Закон о персональных данных вступил в силу. Что дальше?
1 сентября вступил в силу закон «О персональных данных». В целях защиты персональных данных обычных пользователей Интернета он вводит ряд ограничений по их обработке. Отныне персданные россиян должны храниться и обрабатываться только на территории России. Это означает, что крупные зарубежные компании, которые желают обслуживать граждан Российской Федерации, вынуждены размещать своё оборудование на территории страны или арендовать его. В случае невыполнения требований закона предусматривается знакомая пользователям Рунета мера — блокировка.
Закон сразу был воспринят неоднозначено как в кругах пользователей, так и среди представителей индустрии. Уже сейчас некоторые компании в неофициальных каналах выражают нежелание соблюдать новый закон. Формально их могли заблокировать ещё во вторник. Но «страшилки» про заблокированный Facebook грозят стать реальностью только после как минимум 1 января 2016 года.
Новая редакция закона «О персональных данных», в которой содержатся требования хранить и обрабатывать данные россиян на территории страны, была подписана президентом РФ 31 декабря 2014 года. Через восемь месяцев закон вступил в силу.
Определять гражданство носителя персданных оператору предлагается самостоятельно, но если этот вопрос не был решён, то предлагается применять закон ко всем данным, собираемым на территории РФ. Требования не касаются нескольких видов деятельности, к примеру, авиаперевозок, выдачи виз и областей, регулируемых международным правом. Закон не запрещает трансграничную передачу данных. Закон требует:
«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».
Изначально планировалось, что поправки вступят в силу 1 сентября 2016 года — так говорилось в первой версии закона. Однако Государственная дума под давлением комитета по информационной политике 17 декабря 2014 года в третьем и окончательном чтении изменила дату на 1 января 2015 года. Позднее дату из-за несогласия интернет-индустрии и ряда ведомств сдвинули на 1 сентября.
Закон безуспешно предлагали смягчить множеством способов. Интернет-омбундсмен Дмитрий Мариничев предложил разрешить хранить персональные данные пользователя в зарубежных странах, если пользователь даст на это своё согласие. Речь идёт о государствах, которые ратифицировали конвенцию Совета Европы «О защите частных лиц в отношении автоматизированной обработки данных личного характера». На данный момент документ ратифицирован 46 странами, включая Россию, Великобританию, Францию, Германию и Италию с Испанией. Участники Петербургского экономического форума в начале лета этого года передали президенту России Владимиру Путину свои предложения о корректировке нового закона. Суть предложения заключалась в том, чтобы не наказывать за неисполнение закона в течение года после его вступления в силу — до 1 сентября 2016 года.
Дата 1 сентября не устраивала многие компании. К примеру, её критиковали на Большом медиакоммуникационном форуме в Москве 13 мая 2015 года. Тогда высказывалось предположение, что новые поправки будет трудно соблюдать без предварительно подготовленных подзаконных актов и документов, и что за три месяца компании не успеют перенести данные. Трудно дать даже некоторые базовые определения.
Определения этого термина разнятся от страны к стране. Разные компании могут иметь разное мнение о том, что считать персональными данными: это может быть всё, что касается человека, или это только что-то приватное, поскольку имя и фамилию может узнать каждый. Определение термина отличается даже в СМИ и государственных структурах. К примеру, на момент подготовки закона многие источники называли персональными данными любые данные россиян. В самом законе определение звучит следующим образом:
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.»
Определение главы Роскомнадзора Александра Жарова звучит более узко: это определённый набор данных, который позволяет точно идентифицировать человека — фотография, адрес электронной почты фамилия, имя и отчество. То есть просто чья-то фотография с подписью «Маша», считаться персданными не может. Не могут быть персональными данными адрес электронной почты или номер телефона. Вообще, в интервью Жаров слегка подменяет многие понятия: он считает нарушениями персональных данных спам и таргетированную рекламу, а хранение данных на территории России призвано помочь бороться с этими явлениями. Но его определение совпадает с официальным комментарием Роскомнадзора:
«Так, к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения. Другие идентификаторы сами по себе не определяют однозначно конкретное физическое лицо. Такие данные должны быть отнесены к персональным данным только в том случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо.»
Вероятно, по этому принципу и будут проводиться проверки и блокировки веб-сайтов.
За невыполнением условий закона следит Роскомнадзор. При невыполнении условий сайт будет заблокирован по решению суда. Также суд может оштрафовать компанию на сумму до 300 тысяч рублей. Поправки для обеспечения выполнения блокировок уже были внесены в федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Блокировки сайтов будут осуществлять провайдеры услуг связи. Списки для блокировок будет готовить Роскмонадзор. 26 августа ведомство сообщило о намерении создать соответствующий реестр под названием «Реестр нарушителей прав субъектов персональных данных». Записи будут включать следующие данные:
«Доменные имена и указатели страниц сайтов в сети Интернет, которые содержат незаконную информацию; сетевые адреса, позволяющие идентифицировать сайты в сети интернет [IP-адреса], указание на вступивший в законную силу судебный акт о принятии мер по ограничению доступа к информации, дату и время направления Роскомнадзором операторам связи сведений для осуществления мероприятий, ограничивающих доступ к информации, а также информацию об устранении нарушения законодательства РФ в области персональных данных.»
28 августа пресс-секретарь Роскомнадзора Вадим Ампелонский напомнил, что блокировке может быть подвергнут любой сайт: и Facebook, и «Википедия» могут попасть в реестр. («Википедия» действительно блокировалась за несколько дней до этого.) Но в этом году Twitter, Google и Facebook заблокированы за невыполнение нового закона не будут: они отсутствуют в планах проверок.
В этом году на соответствие новым требованиям будут проверены 317 компаний, из них 90 в сентябре. Как говорит Александр Жаров, механизм проверок будет заключаться в визитах представителя Роскомнадзора:
«Инспектор Роскомнадзора в ходе плановых проверок запросит договор с российским дата-центром или документы, подтверждающие наличие собственного дата-центра на территории нашей страны. План проверок утвержден Генпрокуратурой. […] Возможны еще и внеплановые проверки — в качестве меры реагирования. Например, если к нам поступят многочисленные жалобы граждан.»
Неизвестно, что остановит компании от простого заключения фиктивных или действительных договоров с российскими дата-центрами без собственно переноса персональных данных.
Также в Роскомнадзоре говорят, что в этом году проверять Facebook, Twitter и другие крупные сервисы социальных сетей не будут. РКН прежде всего интересуют компании, которые хранят много чувствительной информации: паспортные данные, банковскую информацию.
Пресс-секретарь Роскомнадзора Вадим Ампелонский 2 сентября рассказал, что проверить Facebook и Google у ведомства нет возможности. У Facebook представительства в России нет, а офис Google выполняет исключительно маркетинговые функции. Традиционные юридические операции (выемку документов) в таких условиях выполнить невозможно. Скорее всего Роскомнадзор будет получать жалобы от пользователей и задавать вопросы компаниям.
- Alibaba Group, компания онлайн-торговли и владелец Alibaba.com. Китайская компания арендует в московском дата-центре компании Linxdatacenter порядка 20 стоек (по другим источникам — 25—30). Некоторые источники сообщают, что есть планы арендовать 200 стоек. Стоимость аренды двухсот стоек эксперты оценивают в сумму от 3 до 4,8 миллионов долларов.
- Booking.com, самый популярный в России туристический сайт. 10 июня компания объявила о намерении соблюдать новый закон. 31 июня стало известно о забронированном российском дата-центре британской компании IXcellerate. В нём будут храниться паспортные данные граждан, которые бронируют отели, и данные банковских карт, используемых при заказе услуг.
- Samsung Electronics, производитель электроники. Для выполнения закона у компании DataPro был арендован дата-центр в Москве. Площадь построенного в 2014 году дата-центра — 16 тысяч квадратных метров, в нём есть в общей сложности 3000 стоек.
- Есть истории и более мелких игроков. Сервис «Доктор на работе» ранее арендовал мощности в немецком дата-центре компании Leaseweb. Требование перенести персональные данные россиян вынудило к поискам нового хостера. Многие дата-центры отказывались принимать проект по причине необходимости закупок нужного оборудования, а их склады либо пустовали, либо были заморожены из-за нестабильного курса рубля. Поиски шли от начала декабря 2014 года и продолжались до середины 2015 года. Удалось найти лишь три компании. Аренда четырёх серверов в Германии стоила 1077 евро в месяц или около 19 тысяч рублей на сервер по курсу декабря 2014 года. Аренда девяти серверов в новом дата-центре обошлась 2,5 раза дороже: был заключён двухлетний договор на 10 миллионов рублей, то есть около 46 тысяч рублей в месяц на сервер. Цены от других дата-центров достигали 66 тысяч за сервер в месяц. Достоинством конечной ситуации можно назвать независимость от колебания курсов обмена валют. Сервис оценивает потери на перенос в миллион рублей.
- Несколько других компаний. К ним причисляются Lenovо, PayPal, eВay, Uber, Citibank и даже Google.
На данный момент нет ни одного гиганта, который официально и открыто выступил против нового закона и объявил о намерении не выполнять его нормы. Но уже есть неподтверждённые официально сообщения о намерении игнорировать требования государственных органов. В частности, газета «Ведомости» со ссылкой на свой источник рассказывает, что 24 августа Томас Мируп, топ-менеджер Facebook, отвечающий за Скандинавию, Восточную Европу и Россию, общался с главой Роскомнадзора Александром Жаровым на повышенных тонах и отказался размещать персональные данные на территории России. Мируп жёстко объяснил, что подобное невыгодно экономически. Также он указал на отличие определения персональных данных: в крупнейшей соцсети мира информацию из аккаунтов пользователей персданными не считают. В свою очередь Жаров отрицает подобный ход разговора:
«Не знаю, кто распространил информацию о том, что Facebook отказался переводить персональные данные в Россию. Это неправда. Компания получила всю интересующую их информацию по применению закона. Рассчитываю в ближайшее время услышать их официальную позицию.»
Отказ компании Facebook размещать персональные данные в России отрицает и пресс-секретарь Роскомнадзора. Участники рынка центров обработки данных знают, что Facebook не имеет намерений покупать мощности или создавать свои дата-центры. Один из крупнейших дата-центров России не раз предлагал свои услуги американской соцсети, но безуспешно. Техническая реализация разграничения хранения персональных данных по регионам маловероятна: как указывают эксперты, скорее всего, Facebook хранит данные по типам.
Наконец, есть компании, которые просто не успели перенести требуемую информацию в срок. Всего около 10% клиентов двадцати самых крупных провайдеров обработки данных в России успели полностью завершить перенос данных в РФ. Во всяком случае, так говорится в исследовании сразу двух компаний — «Телеком Биржи» и 42Future. «Заказчики демонстрируют достаточно высокий интерес к данной теме, но явно уже запаздывают с ее реализацией. Проблема — в недостаточном понимании компаний, как именно необходимо изменить IT-инфраструктуру и бизнес-процессы», отмечают авторы. «Так, в ряде ситуаций заказчики переносили лишь некоторые свои системы, а в отношении остальных приостановили активность, ожидая разъяснений и дополнений со стороны регуляторов», — говорится в исследовании.
Эксперты аналического центра ECIPE посчитали, что в случае самого негативного сценария развития событий Россия потеряет из-за нового закона 286 миллиардов рублей. Это 0,27% ВВП. Инвестиции в российскую экономику уменьшатся на 1,41%. Спад российской экономики достигнет 4,1% с учётом эффекта этого нового закона. Аналогичные законы уже работают во Вьетнаме, Китае, Индонезии и Индии — странах, где ВВП на душу населения не превышает 5000 $. Специалисты ECIPE отмечают, что Россия будет первой страной, которая введет полную локализацию данных, имея ВВП на душу населения в три раза больше, чем у этих развивающихся стран. Россия может потерять инвестиционную привлекательность, так как сотрудничество с какой-либо иностранной компанией потребует от последней размещения информации о клиентах в России. А это повлечет дополнительные затраты. Половину российского ВВП обеспечивает сфера услуг, то есть компании, обрабатывающие большое количество данных. Известно, что в Бразилии отказались от подобного закона, опасаясь нанести вред экономике.
Пессимистичный прогноз мозгового центра легко критиковать: зарубежные компании арендуют вычислительные мощности российских дата-центров, то есть наоборот приносят деньги. В такой крайний оптимизм бросается глава Роскомнадзора: он видит в технологиях хранения и передачи информации толчок развития отечественной Кремниевой долины. Владельцы дата-центров действительно подтверждают растущий интерес к их услугам в связи с новым законом.
В случае блокировки какого-либо крупного зарубежного веб-сайта можно ожидать лёгкую форму китайского сценария развития локального сегмента Сети. В Китае существует так называемая Великая Китайская огненная стена: это файерволл на границе китайского Интернета, который фильтрует весь зарубежный трафик. Многие сайты постоянно заблокированы на территории Китая, в их числе есть и популярные по всему миру веб-сервисы. В этом случае рынок самой крупной по числу жителей страны мира делится между локальными игроками. Китайцы не сидят в Facebook — он заблокирован. Вместо этого они используют QZone, Renren, Pengyou и Kaixin001. Каталог фильмов IMDB заблокирован за полный список неугодных документальных фильмов, вместо него существует M-time. Несколько копий гугловского Blogger.com могут похвастать завидной посещаемостью во многом благодаря блокировке оригинала. Сам Google тоже заблокирован, что на руку китайскому Baidu и другим местным поисковикам.
На графике распределения запросов хорошо заметны война Google с китайским правительством в 2010 году и блокировка 2012 года
Использование VPN в Китае не запрещено, но не приветствуется. Некоторые сервисы, предоставляющие VPN, тоже блокируются. Многие китайские пользователи умеют обходить и обходят блокировки. Но локальные заменители всё равно будут иметь куда большую популярность: Baidu пользуются 80%, а былое доминирование китайского подразделения Google съёжилось до процента. Подобное может случиться и в России: если тот же Facebook будет заблокирован, то небольшая часть его пользователей продолжит ходить на сайт с помощью VPN и Tor, но большинство пополнит базу пользователей незаблокированных соцсетей.
Сайт pd-info.ru
Информация о законе на сайте Минкомсвязи