Мессенджер с идентификацией по телефону, но без «персональных данных» на сервере

Верховный Суд Российской Федерации в пункте 18 Обзора судебной практики по делам, связанным с защитой прав потребителей финансовых услуг (утвержден Президиумом ВС РФ 27.09.2017), прямо указал на то, что передача в числе прочих ПДн телефонного номера гражданина третьим лицам без его согласия нарушает требования Закона №152-ФЗ.

Если телефонный номер зарегистрирован на конкретное физическое лицо и дает возможность его идентифицировать, то он, безусловно, относится к ПДн. Это касается как мобильных номеров, оформленных по договору с оператором связи, так и стационарных телефонов, привязанных к конкретному адресу.

В то же время существуют ситуации, когда номер телефона может не являться персональными данными. Это:

1. Корпоративные номера, принадлежащие юридическим лицам.
2. Номера общего пользования (горячие линии, справочные службы).
3. Виртуальные номера без привязки к конкретному абоненту.

номер телефона сам по себе, как будто бы, не является персональными данными.

ПД является любая информация позволяющия идентифицировать человека, в случае чего, вопрос является ли что-то ПД или нет будет решать суд.

Люди в переписках часто обмениваются персональными данными даже если прямо поля ввода ФИО нету.

Плюс главная проблема месседжеров в РФ вообще не обработка персональных данных (там всего то политику конфиденциальности написать да галочку согласия сделать), а требования именно как к мессенджерам. У меня вообще ощущения, что в РФ законы про мессенджеры носят больше запретительный характер, чем регуляторный (т. е. ни крупные, ни мелкие игроки их полностью не соблюдают и не могут, но всё решает наличие крыши или отсутствие интереса органов).

Обратитесь к юристам.

Номер телефона сам по себе уже является персональными данными, потому что он однозначно идентифицирует человека. То есть даже если ты не хранишь имя, фамилию или адрес, но у тебя есть база номеров, это всё равно подпадает под регулирование. Поэтому идея «мессенджера без персональных данных» при обязательной привязке к телефону в реальности не работает. Государство специально требует именно номер, потому что через него можно связать аккаунт с конкретным человеком. Многие считают, что это превращает граждан в зависимых и управляемых «цифровых рабов».

То есть технически можно сделать мессенджер без «персональных данных» и без привязки к телефону. Но если ты хочешь, чтобы он официально работал в юрисдикции, где закон требует номер, придётся либо подчиниться, либо идти в подполье и обходить блокировки, как это делают многие проекты.

Сейчас настали времена децентрализованных мессенджеров, с шифрованием и без регистрации по номеру телефона. Остальное всё - ненужно.

И этих всяких мессенджеров сейчас — хоть соли!

Государство требует регистрировать пользователей через номер телефона

Я, кажется, опять всё проспал. Где оно это требует и у кого?

См. https://www.itu.int/en/ITU-D/Regional-Presence/CIS/Documents/Events/2018/03_M...

(это пример организации взаимодествия оператора сотовой связи и оператора IM)

Законодательство: Постановление Правительства РФ от 20 октября 2021 г. N 1801 «Об утверждении Правил идентификации пользователей информационно-телекоммуникационной сети „Интернет“ организатором сервиса обмена мгновенными сообщениями» http://pravo.gov.ru/proxy/ips/?docbody=&nd=602494398

Примерный алгоритм действий оператора IM (ОСОМС):

- проверить, что номер используется лицом его указавшим при регистрации. Через отправку SMS или звонок.
- запросить у ОПСОС`а подтверждение наличия действующего абонентского договора договора. Причем договор должен быть с актуальными и проверенными данными по абоненту.
- При получении подтверждения передать ОПСОС`у уникальный ID ОСОМС`а и уникальный ID присвоенный пользователю в этом ОСОМС`е при регистрации. Данные эти ОПСОС хранит в своей БД.
- В случае прекращения действия абонентского договора ОПСОС извещает ОСОМС`а, а тот в свою очередь перестает оказывать услугу.

Как я понимаю, ОСОМС номер телефона не хранит. Это и есть ответ на вопрос ТС ( An12)

https://habr.com/ru/articles/1022914/

Вот тут описаны некоторые тонкости работы мессенджеров в РФ, можете оценить объем работы для соответствия закону.

Побуду зумером-изобретателем:

А что, если для связи надо будет узнать и записать номер собеседника в свой телефон? И поименовать контакт произвольным набором символов! Тогда один и тот же контакт будет именоваться по-разному у всей сети!!! И все смогут отправлять друг другу короткие сообщения!111 И даже если база одного владельца утечет, никто не сможет сопоставить номера и ники у других!!!адын-адын!

Сейчас настали времена децентрализованных мессенджеров,

где настали?

Согласно федеральному закону от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»: (http://pravo.gov.ru/proxy/ips/?docbody&nd=102108264)

Обязанности, предусмотренные настоящей статьей, не распространяются на операторов государственных информационных систем, операторов муниципальных информационных систем, операторов связи, оказывающих услуги связи на основании соответствующей лицензии, в части лицензируемой деятельности, а также не распространяются на граждан (физических лиц), осуществляющих указанную в части 1 настоящей статьи деятельность для личных, семейных и домашних нужд. Правительством Российской Федерации в целях применения положений настоящей статьи определяется перечень личных, семейных и домашних нужд при осуществлении деятельности, указанной в части 1 настоящей статьи.

Т.е. selfhosted решения для личных нужд вне опасности.
Кроме того я не видел в законах упоминаний внутриведомственных/корпоративных сетей связи.

Ну, тогда ничего не поделаешь. Впрочем, кажется мне, в создании сейчас общалки 99% усилий уйдёт на продвижение. А создание приложения и хранилища персональных данных для него на этом фоне уже полная ерунда.

Во всём мире. Даже дата центры не надёжны, могут подвергаться атакам(например, дата центр Амазона в ОАЭ). Учитывая, что ситуация в мире, врятли станет лучше в ближайшее время. Сейчас самое время для децентрализации.

а, ты хотел сказать, что должно бы настать

Если телефонный номер... дает возможность его идентифицировать

Циферки сами ничего никому не дают. Дают дырявые опсосы по все щели. Если это решение ВС, а не очередное словоблудие, то оно должно указывать на субъекта права, в данном случае по закону о Связи на опсоса. Он и будет нести ответственность.

Ну ет не совсем так. Ведь номер телефона принадлежит РФ, которая за денежку и на определенных условиях передает номерную ёмкость оператору, а тот выделяет из этой ёмкости номерок абоненту. А может и отобрать назад, с некоторыми условиями. Как в эту стройную логическую схему запихали MPN не знаю, но видимо как-то утрамбовали

Хочу вот я сделать мессенджер...

Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте, что тут писалось. Я вполне понимаю, что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых – стоп. Остальных просто не найдут.

Если тебе justforfun, то какая разница? Если бизнес, то вот прикинь, написал новый мега мессенджер, он стрельнул, куча пользователей, а потом приходит гос-во и говорит, с заботой о безопасности пользователя, мы твой месс и все сервера блокируем. Оно тебе надо? Так что ответ на твой вопрос - какая в дупу разница :-)

А вот DeltaChat - это месенджер или почта? С точки зрения необходимости телефонного номера.

Во-первых это приложение/протокол, а не сервис.
Но предположим, некое юр.лицо организует публичный сервис на базе DeltaChat.

Из http://pravo.gov.ru/proxy/ips/?docbody=&nd=602494398

Понятия "организатор сервиса обмена мгновенными сообщениями" и "пользователь сервиса обмена мгновенными сообщениями" используются в настоящих Правилах в значениях, установленных частью 4.2 статьи 10.1 Федерального закона "Об информации, информационных технологиях и о защите информации".

http://pravo.gov.ru/proxy/ips/?docbody=&prevDoc=602494398&backlink=1&...

4.2. Организатор распространения информации в сети "Интернет" в случае осуществления деятельности по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями исключительно между пользователями этих информационных систем и (или) программ для электронных вычислительных машин, при котором отправитель электронного сообщения определяет получателя или получателей электронного сообщения и не предусматривается размещение пользователями сети "Интернет" общедоступной информации в сети "Интернет" (далее - организатор сервиса обмена мгновенными сообщениями), также обязан: (В редакции Федерального закона от 01.04.2025 № 41-ФЗ)

Из чего следует, что критерием является общедоступность содержимого электронного сообщения. Т.е. если сообщение публичное (например на форуме), то это не ОСОМС. А если непубличное (адресовано ограниченному кругу лиц, определяемых отправителем), то ОСОМС.

Я не почему почему ТС боится именно обработки персональных данных. Ну влепите политику конфиденциальности (если совсем лень писать, то ИИ напишет) с галочкой. Ну захостите сервер в РФ. Это всё решаемо малой кровью.

Гораздо больше проблем доставит «реестр организаторов распространения информации» и требования к ним. И под эти требования подпадают даже внутриигровые чаты, где никто не указывает ФИО в профиле.

А ещё техническая проблема, которая заключается в том, что иностранные сервисы с 2022 года не очень хорошо доставляют СМС с кодами подтверждения в РФ, а российские сервисы хотят много денег и обязательно договор с юрлицом.

То есть полностью исполнить законодательство РФ про мессенджеры без открытия юрлица физически невозможно. А если его исполнять не полностью, а по принципу best effort (и надеясь, что мелочь никто не тронет), то можно обойтись без номера телефона и всё сразу станет проще (правда, персональные данные всё равно будут обрабатываться, но, как я уже сказал, это не такая уж проблема).

Спасибо за крутые ответы.

В сообществах разработчиков.

Разного рода новые мессенджеры или используют mesh-сети, или p2p, или используют пользовательские relay- сервера, которые p2p-рятся между собой без участия клиентов, или используют готовую инфраструктуру без собственных серверов (например, DeltaChat).

Обычные клиент-серверные чаты вышли из моды. Времена уже не те.

А хранение данных полгода и три года как реализуешь?

это приложение/протокол, а не сервис.

DeltaChat - это просто такой специфический почтовый клиент, успешно мимикрирующий под месенджер внешне. Работать может через даже бесплатные почтовые серверы, например через gmail. Наверно и через mail.ru может - я не пробовал. Сообщения, созданные в DeltaChat, вполне читаемы и обычным почтовым клиентом, например sylpheed их читает в линуксе.

Из чего следует, что критерием является общедоступность содержимого электронного сообщения.

Понятно. То есть свой почтовый сервер вне закона(и джаббер получается тоже), а вот «нецелевое» использование какого-нибудь mail.ru с помощью deltachat - ненаказуемо. Вот не знаю - прикрутили к deltachat шифрование сообщений или нет? Собирались. Но я давно в него не заглядывал.

DeltaChat - это просто такой специфический почтовый клиент, успешно мимикрирующий под месенджер внешне.

я к тому, что закон «Об информации, информационных технологиях и о защите информации» не про протоколы и приложения, их реализующие, а про сервисы (организаторы распространения информации).

Понятно. То есть свой почтовый сервер вне закона(и джаббер получается тоже), а вот «нецелевое» использование какого-нибудь mail.ru с помощью deltachat - ненаказуемо.

Закон вообще не про использование, а про предоставление услуг.