Агрегаторы мессенджеров (WhatsApp/Telegram/Instagram) в РФ: технически кто отвечает за данные?
Коллеги, добрый день.
Изучаю рынок SaaS-агрегаторов мессенджеров, которые позволяют бизнесу вести WhatsApp, Telegram и Instagram-переписку из одного интерфейса.
У меня возник вопрос, который почему-то нигде не обсуждается открыто — хотя тема, кажется, пересекает инженерию, безопасность и право.
Если сервис агрегирует переписку из запрещённых в РФ сервисов (например, Instagram Meta), то технически — кто считается обработчиком данных?
сам сервис-агрегатор?
российская компания, использующая его?
зарубежный мессенджер?
или это shared-liability модель?
В документации некоторых сервисов я нашёл интересные моменты.
Например, в политике обработки данных одного из агрегатов указано:
«…допускается передача данных третьим лицам и трансграничная обработка при использовании сервисов коммуникаций, интегрированных в платформу».
Источник: официальный документ по ПДн, опубликованный на сайте.
(Это открытый доступ, не инсайд).
Вопрос, который хочу обсудить:
Если WhatsApp API передаёт переписку через зарубежные сервера — как это сочетается с 152-ФЗ и хранением данных в РФ?
Dmitry Roo, нет, он имеет ввиду "программные платформы, которые объединяют сообщения из различных каналов связи в одно «окно»". Загугли, их, оказывается, полно.
Спасибо за комментарий.
Сегмент можно называть по-разному: мультиканальные коммуникационные платформы, CPaaS, SaaS-интеграторы мессенджеров или middleware-API-брокеры.
Термин «агрегатор» использовал как рабочий, чтобы описать суть: один интерфейс — много мессенджеров.
Но не поверишь- компании сами так позиционируют себя на рынке, например: Юмнико, Пакт, Чатапп
Что касается WhatsApp/Meta и иностранной инфраструктуры — да, это отдельный пласт вопросов.
Интересно не то, что Meta запрещена, а то, что российские сервисы продолжают использовать её API в коммерческих продуктах для бизнеса.
Например, ChatApp публично предлагает подключение WhatsApp Business API и Telegram через единую платформу Ссылка, чтобы речь шла о конкретике, например: https://chatapp.online
Ну и да, то что "Мета" вне закона- их это по всей видимости не смущает...
Собственно, не обсуждение брендов важно, а понимание юридической модели:
работает ли это в рамках 152-ФЗ или пока живёт “по понятиям”?
Если есть опыт или встречались кейсы — будет круто, если поделитесь.
Refguser, да, полно и есть к ним много вопросов. я пробую разложить архитектуру на схему (пока условно):
Клиент → SaaS-платформа → WhatsApp Business API / Telegram API → сервера Meta/Telegram
Если ядро сервиса расположено вне РФ (Казахстан, Турция, Нидерланды — как у некоторых компаний),
то формально происходит трансграничная передача данных без локального хранения.
Для 152-ФЗ это автоматически:
— согласие на трансграничную передачу
— модель угроз ИСПДн
— сертифицированные СКЗИ (если данные защищаемые)
— проверка уровня страны (GDPR/другое право)
Пока я не видел ни одного официального DPA или DPIA у таких сервисов.
Разработчики, кто сталкивался с аудитами или внедрениями подобного — правда интересно подтверждение или опровержение.
Dmitry Roo, то, что они работают по АПИ как и все клиенты (сторонние в тч) не значит, что это "клиент". Как минимум это мутильтиклиент, но этот "термин" тоже не описывает задач и возможностей агрегаторов.
Naporistiy, у тебя каша в голове, без обид. Мало того, что ты пытаешься натянуть законы на то, что этим законам не подчиняется (чит: нарушает), так ты ещё умудрился смешать технологии предоставления услуг, с этими самыми услугами.
Refguser, называть такие сервисы “клиентом” действительно не совсем корректно — обычный клиент просто отображает переписку. Агрегатор же маршрутизирует, форматирует, может хранить историю, подключать CRM, бот-платформы и сторонние интеграции. То есть он уже не “прослойка”, а информационная система, участвующая в обработке и передаче персональных данных.
И в этом случае требования закона определяются самим фактом обработки, а не тем, что он подключён к API.
И как раз в этом и суть вопроса: сейчас обсуждение касается не техники, а правового режима, потому что инвесторы, корпоративные пользователи и интеграторы хотят заранее понимать регуляторные риски, прежде чем начинать масштабирование. Если собрать все мнения в ветке — вырисовываются одинаковые потенциальные точки риска:
-отсутствие чёткого статуса сервиса (клиент / оператор / посредник обработки);
-возможное хранение и кэширование сообщений без прозрачного правового основания;
-передача данных третьим сервисам через интеграции ― без отдельного согласия пользователей.
Именно эти моменты и могут стать предметом будущего регулирования, если рынок агрегаторов продолжит расти.
Никто пока не дал четкого и определяющего ответа с ссылкой на нормы закона
Refguser, называть такие сервисы “клиентом” действительно не совсем корректно — обычный клиент просто отображает переписку. Агрегатор же маршрутизирует, форматирует, может хранить историю, подключать CRM, бот-платформы и сторонние интеграции. То есть он уже не “прослойка”, а информационная система, участвующая в обработке и передаче персональных данных.
И в этом случае требования закона определяются самим фактом обработки, а не тем, что он подключён к API.
И как раз в этом и суть вопроса: сейчас обсуждение касается не техники, а правового режима, потому что инвесторы, корпоративные пользователи и интеграторы хотят заранее понимать регуляторные риски, прежде чем начинать масштабирование. Если собрать все мнения в ветке — вырисовываются одинаковые потенциальные точки риска:
-отсутствие чёткого статуса сервиса (клиент / оператор / посредник обработки);
-возможное хранение и кэширование сообщений без прозрачного правового основания;
-передача данных третьим сервисам через интеграции ― без отдельного согласия пользователей.
Именно эти моменты и могут стать предметом будущего регулирования, если рынок агрегаторов продолжит расти.
Никто пока не дал четкого и определяющего ответа с ссылкой на нормы закона
Refguser, Без обид — но именно поэтому обсуждение и важно. Сейчас как раз не вопрос «нравится — не нравится», а вопрос статуса: это технологический инструмент или субъект обработки данных?
Пока рынок сам не определил рамки, каждый трактует по-своему:
кто-то видит это как «клиента поверх API», кто-то — как отдельный сервис обработки данных с функциями хранителя и пересылки.
И как только происходит: кэширование сообщений, обработка переписки внутри стороннего интерфейса, интеграции с CRM/ботами, маршрутизация данных между платформами— это уже не просто «технология подключения». Это обработка персональных данных, и как только она есть — вступают законы, независимо от желания или позиции сервиса.
То, что рынок их пока игнорирует, не означает что они «не применимы». Это просто правовой вакуум, который всегда заканчивается одинаково: либо саморегуляцией, либо приходом государства, когда объём пользователей и видимость становятся значимыми.
Собственно, дискуссия не про «кошмарить сервисы», а про базовый вопрос:
если завтра регулятор спросит, кто отвечает за данные — API-платформа, агрегатор или клиент?
Пока ответа нет — риск есть. И мои боссы дали мне эту тему разобраться и представить ясный для понимания ответ. Если ответ будет такой, что рынок в серой зоне и закон пока не работает, мне будет необходим оценить степень влияния рисков: юридических, финансовых, временных. Мы же не знаем, какие чудеса регулирования к нам применят. А могут быть такие, что будет бессмыслено заниматься подобным продуктом.
И возможно как раз здесь нужен не спор «кто как это понимает», а единая трактовка. Сейчас каждый рынок, интегратор и пользователь читает законы по-разному, потому что формально сегмент агрегаторов мессенджеров нигде не описан.
Может, в этой дискуссии появится кто-то из Минцифры, Роскомнадзора или юристов, которые занимались подготовкой разъяснений по 152-ФЗ и закону о мессенджерах? Было бы полезно получить однозначную позицию:
это клиентское ПО, посредник обработки, или отдельный оператор персональных данных со своими обязанностями.
Потому что пока статус не определён, каждый участник цепочки остаётся в зоне неопределённости — от разработчиков до конечных пользователей.
обычно это просто веб интерфейс-прослойка. которая подключена к API воцапа \ тг итд..
ничего она не собирает
если же это платформа которая агрегирует сообщения из разных источников и пересылает условно в один чат, то данные она хранит явно у себя(кеширует всё). чтоб при "переезде" \ повторном открытии не подгружать данные по новой
касательно закона - прелесть в том что принятые закон в РФ это одно, а его реальное исполнение это совсем другое)
Переводя на русский язык - всем пофиг на закон, если он принят идиотами \ для идиотизма. и да, многие компании из РФ сейчас хранят свои данные заграницей, по банальной причине - это безопаснее.
Если сервис работает как “просто прослойка” и передаёт сообщения — этого уже достаточно, чтобы подпасть под российские требования: ФЗ-152 (оператор данных) и закон об ОРИ. В законе важен не факт хранения, а сам доступ и обработка, включая маршрутизацию.
И здесь возникает ключевой момент: в пользовательском соглашении прямо указано, что сервис может передавать данные третьим лицам и не несёт ответственности за последствия, а решение о рисках принимает сам пользователь.
То есть модель построена так: функционал — у сервиса, ответственность — на клиенте.
Похожая история уже была с несколькими платформами — CloudPayments, email-агрегаторами и чат-ботами для бизнеса: пока было “всем всё равно”, всё работало. А когда появились объёмы и публичность — начались проверки, предписания по локализации и вопросы по обработке данных.
Поэтому как раз сейчас обсуждение не про технику, а про правовой режим и прозрачность.
Если сервис масштабируется и работает с персональными данными — он должен соответствовать требованиям, а не перекладывать последствия на клиента.
Простой
Средний
