Юристы и специалисты ИБ начали задавать неудобные вопросы. За последние несколько дней в профессиональных сообществах — от digital-юристов до специалистов по информационной безопасности — неожиданно оживилось обсуждение темы агрегаторов мессенджеров.

ChatApp.Onlin и закон

Поводом стали публикации о правовом статусе SaaS-платформ, позволяющих бизнесу работать с WhatsApp, Telegram и Instagram* из единого окна. Сначала речь шла о теоретических рисках и вопросе: “Кому должны подчиняться такие сервисы?”. Теперь формулировка меняется: “Готов ли рынок объяснить, как он работает?”.

Ссылка на одну из первых публикаций упоминается здесь лишь как источник контекста, а не как объект оценки.

Почему тема начала обсуждаться именно сейчас?

До этого рынок рос тихо: бизнесу нужен инструмент, пользователи пишут в разные мессенджеры, а компаниям удобнее отвечать из одного интерфейса — логично, просто и выгодно.

Однако юристов смутили три вещи, которые всплыли в публичном обсуждении:

1. работа с платформами Meta* внутри корпоративных коммуникаций,
2. техническая маршрутизация сообщений через внешние серверы,
3. пространные формулировки в пользовательских соглашениях таких сервисов.

Тон обсуждений изменился: это уже не спор, нужны ли агрегаторы, — а вопрос, в каких границах они должны существовать. Появился конкретный интерес к архитектуре таких сервисов. В дискуссиях заметно, что фокус смещается от маркетинговых возможностей к юридическим и техническим деталям:

1. Кто является оператором данных?
2. Где физически проходят сообщения?
3. Считается ли агрегирование запрещённых платформ обходом ограничений?
4. И как это соотносится с 152-ФЗ и требованиями локализации?

Эти вопросы звучат уже не от случайных пользователей, а от:

1. комплаенс-специалистов,
2. корпоративных юристов,
3. интеграторов CRM-решений,
4. руководителей ИБ.

Кто оказался в центре обсуждения?

Интересно, что рынок не выбирает абстрактные примеры. В обсуждения попала одна из SaaS-платформ, ставшая отправной точкой разговора — ChatApp.Online.

Это не связано с утверждением о нарушениях — скорее с тем, что платформу проще всего найти, понять и разобрать, потому что она стала одной из самых заметных в сегменте.

Формулировка, наиболее часто встречающаяся в чатиках: «Можно ли считать такие платформы технологическим мостом — или это уже информационная система, требующая юрисдикционного контроля?».

Позиция специалистов по информационной безопасности

Если юристы обсуждают законы, то специалисты ИБ — риски.

Среди типичных формулировок:

«Если завтра появится запрос на аудит — кто будет объяснять архитектуру?». «При передаче данных через внешние API кто несёт ответственность — платформа или клиент?». Пока это вопросы, но их количество говорит больше, чем формальные заявления.

Приводим ссылку на похожее обсуждение в финтех-секторе в 2020-х годах — многие отмечают, что динамика ощущения очень похожа.

В центре внимания: формулировки юридических документов

Одним из поводов для обсуждения стал открытый доступ к юридическим документам сервиса ChatApp.Online, которые обычно остаются незамеченными до момента аудита.

Некоторые специалисты по ИБ и праву обратили внимание на отдельные фразы из документа, регулирующего работу с персональными данными.

Цитата приводится дословно:

«…Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессах обработки ЧатАпп персональных данных, например, в случаях передачи со стороны ЧатАпп персональных данных подрядчикам, партнерам и иным контрагентам…» (п. 1.4).

«…Компании ЧатАпп при необходимости могут привлекать сторонние организации к обработке персональных данных в качестве субподрядчиков… использование сторонних услуг, вычислительных ресурсов, приложений и инфраструктуры для обработки информации, связи с пользователями…» (п. 4.2, 4.2.3).

«…пользователям и посетителям могут устанавливаться cookies, относящиеся к сайтам сторонних организаций… Обработка таких cookies регулируется политиками соответствующих сайтов…» (п. 6.6). — выдержка из Политики обработки персональных данных сервиса (официальный документ, опубликованный в открытом доступе на сайте).

Юристы отмечают, что такие формулировки сами по себе не являются нарушением, но требуют дополнительной конкретизации, особенно если сервис обрабатывает сообщения российских пользователей, использует стороннюю инфраструктуру и может быть вовлечён в трансграничную обработку данных.

Почему обсуждение важно для рынка?

Обычно всё начинается именно так:

• Появляется тема.
• Она вызывает вопросы.
• Вокруг неё накапливается экспертная позиция.
• Потом появляются запросы на разъяснения.
• Завершается — появлением стандарта или контроля.

И по скорости реакции на тему агрегаторов можно предположить — рынок перешёл в стадию, где дальнейшее развитие без регулирования выглядит маловероятным.

Что дальше?

Сейчас не звучит утверждений — звучит интерес. Это тонкая, но важная разница. Однако есть ощущение, что вопрос уже не исчезнет. Пока это не проверка. Но уже — наблюдение. И, возможно, начало взаимного ожидания ответа на вопрос: «Соответствует ли архитектура агрегаторов мессенджеров требованиям российского законодательства — или время для правил только наступает?».

* Meta и её продукты признаны экстремистскими на территории РФ.

Комментариев пока нет.