Разделы

Бизнес Законодательство

Apple запретила частным лицам писать приложения VPN для iPhone и iPad

Новая редакция правил публикации приложений в магазине App Store отныне позволяет выкладывать VPN-сервисы только юридическим лицам. В дополнение, также серьезно расширился пункт правил о защите приватности пользователей.

В духе времени: бой анонимам и защита приватности

Компания Apple оповестила всех разработчиков приложений по электронной почте о серьезном изменении в правилах публикации в ее магазине приложений App Store. В первую очередь, в письме подчеркивается запрет на использование программных интерфейсов (API) для виртуальных частных сетей (VPN) в приложениях, публикуемых частными лицами. Отныне, согласно пункту 5.4 обновленных правил, использование этой опции доступно исключительно юридическим лицам.

Серьезному обновлению также подвергся глобальный регламент правил публикации приложений, ужесточающий и более подробно описывающий положения, относящиеся к защите приватности пользователей. В частности, пункт 5.1.1 правил публикаций о сборе и хранении пользовательских данных (5.1.1 Data Collection and Storage) увеличился с четырех до семи подпунктов.

Нововведения в свод App Store Review Guidelines были внесены по итогам работы цензоров App Store за последние несколько месяцев, в течение которых наиболее тщательной проверке подвергались приложения с предоставлением пользователям анонимного доступа к интернет-ресурсам.

Больше никакой анонимности для частных лиц

Последнее обновление на странице правил публикации в App Store для разработчиков было произведено 4 июня 2018 г. Между тем, согласно данным архивированной Archive.org копии страницы от 28 мая, публикация приложений со встроенным VPN-сервисом была доступна как физическим, так и юридическим лицам.

Письмо Apple разработчикам приложений с обновленным пунктом правил

Новейшая версия пункта 5.4 правил Apple для разработчиков приложений в вольном переводе регламентирует следующее (изменения выделены): «5.4 VPN Apps. Приложения, предлагающие VPN-сервисы, должны использовать набор функций NEVPNManager API и могут быть предложены только разработчиками, зарегистрированными в качестве организаций. Вы обязаны четко указать, какие именно пользовательские данные будут собраны и как они будут использованы. VPN-приложения не должны нарушать местные законы, и в случае, если вы намерены обеспечить доступ к вашему VPN-приложению на территории, где требуется лицензия на использование VPN, вы обязаны представить информацию о вашей лицензии в поле описания приложения (App Review Notes).

Сбор и хранение пользовательских данных

Ранее пункт 5.1.1 правил о сборе и хранении пользовательских данных включал в себя четыре пункта. В частности, в них требовалось заявлять политику конфиденциальности и заручаться согласием пользователя при работе с HealthKit или другими технологиями для медицины и охраны здоровья, ARKit, API различных камер и фото, а также других программных API для обработки данных о рельефе лица; HomeKit, расширениях клавиатуры, Apple Pay, стикерах и расширениях для iMessage.

Также приводились рекомендации по парольному входу для различных приложений и соцсетей, содержалось предупреждение об удалении любых приложений, тайно собирающих пароли, и присутствовало четкое описание правил и запретов на использование SafariViewContoller.

Пункт в последней июньской редакции правил дополнился обязательным требованием присутствия в поле метаданных App Store Connect обязательной ссылки на политику приватности, с подробным описанием обязательных требований к этой политике.

Пункт об обоюдном согласии на доступ к пользовательским данным пополнился требованием понятного и легкодоступного для пользователя способа отзыва этого согласия, запрет на доступ к данным в зависимости от платной функциональности, а также упоминанием о соблюдении правил GDPR Евросоюза и «других схожих сводов законов».

В дополнение к требованию о доступе только к необходимым для приложения данным добавился прямой запрет на трюки, манипуляции и принуждение пользователей к открытию доступа к ненужным для приложения данным.

Практика борьбы с анонимами в России

В начале июня 2018 г. Госдума приняла закон о штрафах для хостеров и поисковиков, касающиеся средств обхода блокировок в интернете. Закон, который вступит в силу через 90 дней с момента официального опубликования, представляет собой набор поправок в Кодекс административных правонарушений России.

В частности, Госдума определила размеры штрафов для хостеров за нераскрытие информации о владельцах прокси и VPN. Если оператор поисковика не исключил из результатов поиска заблокированный ресурс, это влечет за собой штраф для граждан в размере от 3 тыс. до 5 тыс. руб., для должностных лиц — от 30 тыс. до 50 тыс. руб., для юридических лиц — от 500 тыс. до 700 тыс. руб.

Если же оператор поисковой системы не убрал из поисковой выдачи сведения о доменном имени и об указателях страниц заблокированных сайтов или копий заблокированных сайтов, то это влечет наложение штрафа на граждан в размере от 3 тыс. до 5 тыс. руб., на должностных лиц — от 30 тыс. до 50 тыс. руб., а на юридических лиц — от 500 тыс. до 700 тыс. руб.

Принятый закон является дополнением к поправкам в закон «Об информации, информационных технологиях и защите информации», которые были приняты в июле 2017 г. Поправки поставили вне закона технологии, позволяющие обойти блокировку тех или иных ресурсов — анонимайзеры, VPN-сервисы, туннели, браузеры с функцией проксирования (Opera, Tor и др) и другие подобные сервисы. Роскомнадзору было предписано ограничить доступ не только к самим анонимайзерам, но и к тем сайтам, на которых содержится руководство по обходу блокировок.

Ссылки на такие ресурсы должны блокироваться операторами поисковых систем после включения в специальный перечень Роскомнадзора: ведомство создает федеральный государственный реестр информационных ресурсов и информационно-телекоммуникационных сетей, доступ к которым ограничен на территории страны. У владельцев поисковиков есть 30 дней на подключение к Реестру и затем еще три дня для исключения из поисковой выдачи ссылок на запрещенные в России ресурсы.

После получения информации от уполномоченных органов о каком-либо сервисе, Роскомнадзор должен определить его хостинг-провайдера и направит ему запрос на предоставление информации, необходимой для идентификации владельца данного сервиса. Хостинг-провайдер обязан ответить на этот запрос в течение трех дней.

Далее Роскомнадзор направляет уже владельцу анонимайзера или аналогичного средства запрос на получение доступа к Реестру запрещенных сайтов. Владелец анонимайзера должен в течение 30 дней ответить на данный запрос. Затем у него будет три дня для того, чтобы начать блокировать для россиян попытки зайти на запрещенные ресурсы через его сервис. В противном случае Роскомнадзор заблокирует доступ к данному сервису.

Законопроект делает исключения для владельцев государственных информационных систем, государственных органов и органов местного самоуправления. Также предусмотрено исключение для владельцев корпоративных VPN и подобного рода сервисов. Дословно, исключение делается для систем, круг пользователей которых заранее определен их владельцами и использование которых осуществляется «в технологических целях обеспечения деятельности лица, осуществляющего использование».

Китайский опыт

Китайские власти ведут войну против VPN на протяжении нескольких лет. Некоторое время власти КНР тестировали различные методики ограничения доступа к иностранным ресурсам, например, вводя ограничения на посещения социальных сетей с устройств компании Apple. С 2015 г. власти начали отключать абонентов мобильной связи за использование приложений с возможность самостоятельной настройки VPN.

В январе 2017 г. была запрещена работа VPN-сервисов, не прошедших государственную регистрацию, спустя полгода китайское правительство приказало всем телеком-провайдерам страны заблокировать пользователям доступ к незаконным виртуальным частным сетям.

В августе 2017 г. года в Китае были утверждены новые правила пользования интернетом, направленные на борьбу с анонимными сообщениями, которые пользователи оставляют на форумах и других площадках. С 1 октября 2017 г. все такие сообщения удаляются государственной интернет-цензурой. Выполнение нормы обеспечивает Администрация киберпространства Китая.

В декабре 2017 г. житель Китая был приговорен к реальному тюремному заключению на 5,5 года за незаконную настройку VPN-сети и продажу доступа к нему. Прокуратуре удалось доказать, что Ву Сянян (Wu Xiangyang) в 2013 г. настроил виртуальную частную сеть, которая позволила ему обойти существующую в Китае интернет-цензуру и беспрепятственно посещать любые иностранные ресурсы.

Европейский «регламент защиты персональных данных» (GDPR)

С 25 мая 2018 г. на территории стран ЕС вступил в силу новый регламент защиты персональных данных, который распространяется не только на европейские организации, но и на филиалы зарубежных компаний, работающих в Европе. Непосредственно новые правила коснутся тех, кто работает с персональными данными клиентов. Это банки, туристические компании, интернет-компании, перевозчики и т.д.

Подробнее о том, что нужно знать российскому бизнесу после ввода нового европейского регламента защиты персональных данных, читайте в аналитическом материале CNews «Что стоит знать о GDPR».

Владимир Бахур