Оригинальный язык интервью: английский, перевод – Human Rights Watch
Андрей Солдатов, проинтервьюированный Human Rights Watch в апреле, – журналист-расследователь, писатель-документалист и один из ведущих экспертов по российским спецслужбам. Его книга «Битва за Рунет. Как власть манипулирует информацией и следит за каждым из нас», написанная в соавторстве с Ириной Богоран, посвящена ситуации в российском сегменте интернета и попыткам государства задушить цифровую свободу.
Как бы Вы охарактеризовали текущее состояние цифровых прав в России? Какие события Вы можете выделить?
Я думаю, в России сегодня мы переживаем период отмирания цифровых прав. Этот процесс начался в 2012 году, а в 2019-м все стало совсем плохо. Появился закон о «суверенном Рунете», который фактически создает систему, позволяющую власти, среди прочего, отключать интернет в отдельных регионах или изолировать трафик внутри того или иного региона. И еще новый закон об обязательной предустановке российских приложений, чтобы у каждого российского пользователя они с самого начала стояли на смартфоне. Этот закон вступает в силу в декабре 2020 года. Идея в том, чтобы заставить российских пользователей работать с приложениями российских же разработчиков, которые легче контролировать, чем иностранные.
За последние годы несколько уже давно принятых законов обросли подзаконными актами. Это касается и использования VPN-сервисов и анонимайзеров для доступа к запрещенной информации, и «пакета Яровой». На Ваш взгляд, с какой целью изначально принимались эти законы?
Проблема в том, что власть подбирала эффективную стратегию годами. Методом проб и ошибок, и получалось не всегда. Например, мы все помним эпопею с Telegram, когда государство попыталось его полностью заблокировать. Сейчас они сами им активно пользуются: куча министров, большие начальники, кремлевские пиарщики. Так что здесь особой последовательности не видно.
Была еще история с черными списками запрещенных сайтов. Тоже не очень получилось, я бы сказал, потому что при желании из России можно легко получить доступ к такой информации, причем очень простыми способами. То же самое с VPN-сервисами – технически это не особо реализуемо. Так что государство ищет рабочие варианты, и в 2019-м они, похоже, вышли на решение. Закон о «суверенном Рунете» может оказаться очень эффективным. Речь не о том, чтобы изолировать весь российский сегмент. Наверху понимают, что это не сработает. Они знают, что слишком завязаны на глобальную сеть. Но власти хотят получить инструмент, чтобы иметь возможность отключать тот или иной регион, в котором кризисная ситуация, и не давать протестам распространяться по стране. Именно это мы почти полтора года наблюдали, в частности, в Ингушетии, когда там шли протесты против изменения административной границы с Чечней.
Сегодня, во время пандемии коронавируса, у власти большой соблазн задействовать это законодательство. Допустим, например, что в каком-то регионе вспышка ковида, и вы хотите купировать панику. У вас уже есть возможность отключить этот регион – мол, в интересах безопасности местных жителей, и публика, скорее всего, купится на это.
Закон о предустановке российского софта тоже может оказаться важным, потому что это может заставить людей вариться в системе разработанных в России приложений. Если у вас все это есть, тогда уже не нужно больше искать способы, как принудить к сотрудничеству Google, Facebook или Twitter. За последние семь лет государство потратило кучу сил на то, чтобы заставить эти компании соблюдать бесконечные законодательные ограничения, но результат не впечатляет. И вот теперь можно локализовать российских пользователей в оболочке российских же соцсетей и сервисов электронной почты, а это уже совсем другая история. Власть, к тому же, понимает, что когда в момент кризиса обычные пользователи – не активисты – будут распространять чувствительную информацию, то они, скорее всего, воспользуются привычным интерфейсом, то есть на тот момент уже российскими приложениями.
Вы хотите сказать, что закон о «суверенном Рунете» в той части, которая касается национальной системы доменных имен (DNS) и отрезания российского сегмента от остального мира, - это не реалистично, а речь на самом деле идет об интернет-цензуре и отключении отдельных регионов?
Именно так.
На Ваш взгляд, нет политической воли отрезать российский сегмент интернета, или Вы думаете, это еще и технически нереально?
Я думаю, и то, и другое. Издержки слишком высокие, смысла нет. Когда российские власти вводили в 2012 году цензуру интернета, они ошибочно полагали, что самый опасный, подрывной, контент приходит извне. Поэтому-то и пытались вводить все эти черные списки и требовать сотрудничества от Google, Twitter и других гигантов индустрии. Но теперь уже понятно, что самый острый контент о российской власти делается внутри страны. Это «иновещание» типа Радио Свобода или «Голоса Америки». Это видео от Навального, это отечественные блогеры, которые увидели какое-то безобразие, что-то запостили, а иногда и до уличных протестов доходит. Это не вбросы из Вашингтона. И власти хотят контролировать контент, который делается здесь, внутри страны.
Если говорить о глубокой фильтрации трафика (DPI), которой в законе о «суверенном Рунете» отводится немало места, то какие Вы видите последствия для свободы слова и права на информацию?
Техническая проблема законодательства о «суверенном Рунете» состоит в том, что даже если вы захотите отключить отдельный регион, это не так просто. Можно заблокировать те или иные виды трафика, но не весь трафик. Сегодня уже понятно, что самый сильный эффект дает видео, особенно стримы, потому что это мотивирует людей на действие. Когда смотришь что-нибудь в реальном времени, то это действует куда сильнее, чем чтение текста. Именно эту проблему и можно решить с помощью DPI. Отключить не весь трафик и связь, а только все видео, стримы, YouTube и так далее.
Как Вы думаете, насколько эффективным может быть DPI для фильтрации электронной почты и мессенджеров?
С технической стороны это не так просто. Проблема в объеме трафика. На первый взгляд, DPI – это очень эффективная и очень грозная вещь. Но чтобы это реально работало, нужен огромный аналитический ресурс: базы данных и мощные серверы, чтобы весь этот трафик обрабатывать. Одно дело – установить DPI на корпоративный сервер для контроля переписки сотрудников. Это делается просто и стоит недорого. Но на уровне города или страны это совсем другой уровень сложности. Я не думаю, что Россия прямо сейчас способна выстроить необходимую архитектуру. На мой взгляд, для этого нужно иметь много людей, которые бы такую систему обеспечивали. У российской системы интернет-цензуры та же ситуация: известно, что на нее работают очень немногие, порядка пары сотен человек, не тысячи, которые потребовались бы для обеспечения такой фильтрации. Так что, к счастью, здесь есть определенные пределы возможного.
Не видите ли Вы вероятность ужесточения правоприменения с помощью подзаконных актов, как это произошло с VPN-сервисами и «пакетом Яровой»? В том смысле, что спящие нормы могут в какой-то момент пустить в ход?
Пока не вижу. Мне кажется, главной целью «пакета Яровой» было припугнуть российские интернет-компании, чтобы они пошли на сотрудничество. Это был сильный ход. Если нельзя припугнуть всех пользователей интернета (их слишком много), то можно это сделать с интернет-компаниями. С учетом того, что у нас до сих пор инфраструктура очень иерархичная, а самих компаний – по пальцам пересчитать, достаточно напугать этих немногих и так решить вопрос со свободой интернета и цензурой. Правительство долгое время подбирало варианты, как прижать эти компании. Именно поэтому законы всегда писались такие невнятные с точки зрения технической стороны. Задача состояла не в том, чтобы их реально реализовать, а в том, чтобы припугнуть лидеров отрасли. Хотя сейчас уже власти на самом деле начинают подумывать и над реализацией.
Можно ли сказать, что в перспективе стоит цель припугнуть и пользователей, потому что власти не могут быть уверены в том, что их не читают и не цензурируют, а это, в свою очередь, может толкать их на самоцензуру в том или ином виде?
Не напрямую. По пользователям власти работают по-другому. Тут пускают в ход тот самый широкий набор уголовных статей, которые можно вменить человеку за размещение контента в соцсетях. В частности, можно привлечь за возбуждение ненависти, по экстремистским статьям. Это уже сильно сказалось на свободе интернета в России, потому что люди просто перестали понимать, что им можно говорить. И правоприменение очень произвольно, в каждом регионе по-разному. Одновременно люди понимают, так это если ты, к примеру, Навальный и ты раскручен, то можно говорить критические вещи, и за это ничего не будет. А если ты просто обычный парень из провинции, то за подобный контент могут и «закрыть», и никто не заметит и за тебя не впишется. Вот это и приводит к самоцензуре: люди думают, что лучше перестраховаться.
Я не вижу, чтобы власть активно продвигала месседж, что они пропускают пользовательский трафик через DPI. Иногда они очень активно пиарят свои планы цифровой слежки. Например, в Сочи перед Олимпиадой в 2014-м на каждом углу рассказывали, как все под контролем. Мы [Андрей Солдатов и Ирина Бороган] тогда опубликовали в The Guardian большую статью о том, какую отстроили систему слежки за всеми приезжающими. И власти нашу статью реально пиарили: перевели на русский, комментировали. Идея была именно в том, чтобы раскрутить месседж: «За вами шпионят, даже The Guardian об этом написала, так что давайте лучше без глупостей». Иногда власти могут с помощью технических средств людей припугнуть, но я не думаю, что это происходит с DPI. Для таких целей у них есть силовики и суды, и порой даже непонятно, за что могут привлечь, так что люди предпочитают помалкивать.
Может быть, власти все же сейчас отрабатывают новые технологические решения с прицелом на будущее?
Мы опять возвращаемся к тому, что проблема с камерами, которые могут распознавать лица, - а их на данном этапе [на апрель 2020] не так много, всего три – четыре тысячи, и большинство установлены в московском метро, - заключается в том, что для этого нужна огромная база данных. Эти камеры чаще всего использовались для розыска преступников, так что сейчас у них в базе только те, кто всерьез находятся в розыске. А то, о чем Вы говорите, - для этого надо делать новую огромную базу с фотографиями всех москвичей, то есть всех, кто в Москве проживает, а это порядка 15 – 17 миллионов, и сопоставлять их с картинкой с камер. Тут совсем другой уровень задачи. Может быть, прямо сейчас такая перспектива рассматривается, но это потребует времени. Если власти смогут такое отстроить, то, конечно, все это останется про запас, потому что слишком дорого будет демонтировать после эпидемии [коронавируса]. Но опять же, по моему опыту, главная проблема будет сделать такую огромную базу. Российский софт обычно хорошо работает на небольших проектах, но когда возникает масштабная задача, как правило, приходится софт где-то покупать. ФСБ, например, годами использует базу от Oracle. Прямо сейчас в стране нет таких технологий. Может быть, их смогут разработать, но на это уйдут годы, я думаю.
Что Вы думаете о мобильном трекинге и геолокации?
Это, к сожалению, вполне реализуемо, поскольку здесь не нужна государственная база данных. Можно использовать абонентские базы мобильных операторов. Это просто: например, можно сразу штрафовать, если кто-то выйдет за пределы установленной территории. Российские операторы сотовой связи уже довольно давно сотрудничают с властями. И такие компании исторически имеют самый большой опыт по внедрению новых технологий. Даже DPI они первыми внедрили: не для того, чтобы шпионить, а чтобы отсекать дорогой видеотрафик. А теперь это используется для совсем других целей и задач.
И еще одна большая проблема. Власти парируют критику ссылками на то, что другие страны, как Франция, делают то же самое. Используют данные мобильных телефонов, чтобы отслеживать перемещения людей. В России власть любит кивать на Запад: «Смотрите, они делают то же самое».