Госдума запретила «вынос» данных

В последний день весенней сессии Госдума приняла во втором и третьем чтениях законопроект «о персональных данных». Документ обязывает иностранные компании хранить и обрабатывать персональные данные россиян исключительно на территории страны. По мнению его авторов, законодательные поправки поспособствуют «развитию интернет-технологий в России». Однако эксперты утверждают, что принятый закон может фактически запретить гражданам России бронировать авиабилеты и номера в гостиницах на иностранных ресурсах. Время для дополнения документа, впрочем, есть — до 1 сентября 2016 года. Что примечательно — несовершенство законопроекта осознают и некоторые его разработчики.

С 1 сентября 2016 года процессы, связанные с записью, хранением, обработкой, извлечением и уточнением информации о россиянах, должны протекать через серверы, размещенные исключительно на территории России. Точное расположение подобных баз данных, согласно законопроекту, принятому Госдумой, иностранные интернет-компании также обязаны указывать. В противном случае Роскомнадзор, уполномоченный отслеживать и «нейтрализовывать» нарушителей закона, на основании вступившего в силу судебного акта вправе ограничить доступ к обработанной не должным образом информации. Более того, документ предусматривает создание специального «черного списка» сайтов, которые хранят и обрабатывают персональные данные россиян вне территории России (официально — «Реестра нарушителей прав субъектов персональных данных»), что, помимо прочего, предполагает блокировку ресурса целиком.

Как отмечают авторы законопроекта, под его действие попадут западные социальные сети, почтовые сервисы, а также другие веб-ресурсы, использующие персональные данные (в частности, сайты для онлайн-бронирования авиабилетов), которые будут вынуждены подстраиваться под новые законодательные реалии и разместить базы данных в России, дабы не потерять ценную аудиторию. Однако эксперты интернет-отрасли с подобной позицией не согласны. По их мнению, законопроект в его нынешнем виде попросту отпугнет часть небольших зарубежных компаний, которым не по карману перенести серверы, от российского рынка и доставит множество трудностей мировым интернет-гигантам, поэтому он нуждается в существенной переработке. Впрочем, парламентарии, поддержавшие закон, осознают его «сырость» и уверяют, что до вступления в силу все необходимые поправки будут непременно учтены и внесены.

Один из разработчиков законопроекта, член комитета Госдумы по информационной политике, информационным технологиям и связи Александр Ющенко убежден: посредством принятия закона о персональных данных нижней палатой парламента был задан «общий вектор развития интернет-технологий непосредственно на территории РФ». С точки зрения парламентария, законодательные органы создают условия для «нормального ведения крупного бизнеса», к которому он без сомнений относит социальные сети и прочие интернет-технологии, заинтересованные в укреплении позиций на российском рынке. Аналогии Александр Ющенко проводит с банковской сферой: «Цивилизованное развитие этого бизнеса подразумевает размещение представительств на территории России. Допустим, крупные банки всегда имеют крупное представительство на территории России. Крупные автокомпании тоже всегда показывают свое присутствие. То же самое и здесь: тот же Google, тот же «Яндекс» (который работает над открытием своего дата-центра), Twitter — я думаю, будут заинтересованы. Тем более, что на реализацию этого закона отводится два года. Это достаточное количество времени для того, чтобы все наладить и продвинуться в нужном направлении».

Главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян, в свою очередь отмечает, что некоторые свойства информационного обмена в Сети законотворцы и вовсе обошли вниманием. Так, например, эксперту не ясно, как будет регулироваться трансграничная передача данных, без которой некоторые интернет-сервисы попросту недееспособны.

«Самый простой пример — система бронирования авиабилетов. Если вы покупаете билет, через систему Sabre (ее серверы размещены в США — «Росбалт») данные отправляются в глобальную систему GDS, поскольку, разумеется, всем участвующим компаниям нужна информация о пассажире. Если она останется на территории РФ, пассажир не сможет куда-либо улететь или прилететь назад», — поясняет он. Аналогичная схема работает и при бронировании номеров в гостиницах — этот вопрос тоже серьезно волнует критиков принятого закона.

Однако подобные вопросы, как сообщил «Росбалту» Александр Ющенко, носят «технический» характер и будут доработаны позже. «Что касается технической возможности этого законодательного проекта, то, конечно, тут надо много дорабатывать. В том числе, я считаю, что если человек хочет забронировать номер в гостинице где-то, то, если этого нельзя делать, должно быть наличие окошка, которое будет спрашивать: «Согласны ли вы с тем, чтобы ваши данные размещались непосредственно на территории той страны, куда вы отправляете запрос?» Я думаю, что надо дорабатывать, проводить на эту тему круглые столы и слушания, и крупные интернет-компании должны присутствовать, интернет-специалисты, с которыми можно решить эти вопросы». При этом парламентарий затруднился пояснить, почему его коллеги решились поспешно принять «сырой» законопроект, и признался, что «не совсем согласен» со столь ускоренной процедурой, и «до идеала тут (в законопроекте — «Росбалт») далеко». По его словам, несколько депутатов от фракции КПРФ воздержались от голосования по этому документу как раз из-за того, что также не получили ответа на этот вопрос.

Между тем претензий по поводу спорных вопросов в законопроекте у представителей интернет-отрасли накопилось немало. Так, 1 июля на сайте РАЭК была опубликована развернутая позиция Ассоциации по закону о персональных данных. В частности, специалисты организации заявили, что законопроект лишает граждан права распоряжаться своими собственными данными, «императивно определяя, что их запись, систематизация и т.д. должны обеспечиваться только в базах данных, расположенных на территории Российской Федерации». Кроме того, в Ассоциации напомнили печальный опыт других стран, пытавшихся на законодательном уровне утвердить «локализацию» персональных данных.

«Ярким примером является тот же самый Вьетнам, где достаточно жесткие законы были приняты, и многие иностранные компании просто решили, что во Вьетнаме им работать не стоит. Подход неправильный», — отметил Карен Казарян.

В своем заявлении эксперты РАЭК также упомянули европейский опыт регулирования процессов передачи, сбора и хранения персональных данных, а также действующий закон РФ о персональных данных (№152-ФЗ), в целом схожий с Европейской конвенцией по хранению и обработки данных (одним из подписантов которой является Россия). Согласно этому документу, пользователь имеет право знать, как обрабатываются его персональные данные, а перед их использованием давать прямое разрешение. Интернет-сервис, использующий персональные данные, обязуется собирать информацию исключительно в необходимых для функционирования целях, а в базах данных внутри страны должны храниться только «чувствительные» данные — медицинские справки, информация о политических взглядах, сексуальной ориентации и другие личные факты — и данные государственных операционных систем. При этом трансграничная передача данных разрешается только в страны-подписанты конвенции, в которых установлена «адекватная» защита персональных данных (в том числе США, Канада, страны ЕС, Аргентина и Бразилия).

«У нас же интересным образом получается: коммерческие компании обязаны хранить данные, а для государственных информационных систем у нас как раз существует исключение. Им, получается, хранить данные на территории России не обязательно», — продолжает главный аналитик РАЭК.

В то же время аргументами авторов законопроекта являются «порядок» и безопасность — как пользователей, так и их персональных данных.

Александр Ющенко рассказал о случае, который побудил его принять участие в разработке документа. По словам парламентария, его помощник, «достаточно известный человек», специалист в электроэнергетике, был оклеветан поисковиком Google. «Почему-то первой строчкой в Google, когда вбиваешь его фамилию, выскакивает какой-то подсудимый из какого-то поселка Белебей республики Башкортостан. В жизни никогда не был в Башкортостане. А у Google нет представительства в России. Обычный человек подобные вещи не может убрать, нет рычага давления, а имиджевые потери достаточно большие», — поделился депутат.

«Противники говорят: вы нарушаете мои права, я где хочу, там и буду хранить свои данные». Но существует порядок. Допустим, теракт в Волгограде координировался непосредственно через соцсети, это уже следствием доказано. Естественно, если у нас соцсети являются очагом нестабильности, то правоохранительные органы должны иметь к ним доступ. Еще один аргумент, который звучит: хорошо, данные у нас, но они все равно являются собственностью западных компаний, которые всегда могут их забрать для использования западными спецслужбами. Тут включается юридический аспект, нарушение закона: если персональные данные находятся на территории России, то попытка их забрать — это такое же нарушение закона, как и похищение данных из ячейки сейфа, например», — добавил он.

Тем не менее, с точки зрения Карена Казаряна, перенос серверов зарубежных социальных сетей в Россию не поможет государству их контролировать, поскольку общение там происходит не только между российскими гражданами.

«При любом раскладе ваши данные будут передаваться за рубеж. Формально закон не запрещает трансграничную передачу данных, но те поправки, которые внесли, не меняют закон в этом отношении, — подчеркнул он, — Как можно разрешать трансграничную передачу одной рукой, а другой рукой требовать обработку и сохранение серверов в России, не очень понятно, поскольку это взаимоисключающие вещи».

«Российские законодатели считают, что если интернет-компании предоставляют услуги россиянам, значит, они подпадают под российское законодательство. Это своеобразное ноу-хау, но не только наше, но и многих государств, где с Интернетом не очень все благополучно», — резюмировал специалист.