Уйти или переехать: К чему может привести принятие закона о хранении персональных данных россиян только на родине?

15.07.2014

9 июля 2014 года Совет Федерации одобрил закон, согласно которому все иностранные интернет-компании, осуществляющие продажи в России, должны хранить персональные данные россиян только в РФ. Соответствующие поправки внесены в законы «О персональных данных» и «Об информации, информационных технологиях и о защите информации». Подчеркнем, что под действие закона попадают компании вне зависимости от сферы их деятельности. В том числе и ставшие уже неотъемлемой частью жизни для многих соцсети. А также все интернет-ресурсы по продаже и бронированию авиабилетов, гостиниц, eBay, Amazon и т.п. Некоторые говорят даже о том, что под действие закона попадают и российские компании, использующие международные системы, например, системы бронирования.

Законопроект уже вызвал бурную реакцию как со стороны граждан, опасающихся, что могут лишиться ставших привычными сервисов, так и среди специалистов, объясняющих, что реализация требований закона на практике, довольно проблематична. Облачная реальность сделала границы между государствами виртуальными.

В случае подписания закона президентом РФ, он вступает в силу уже через два года — 1 сентября 2016 года. Авторы инициативы полагают, что у интернет-компаний будет достаточно времени, чтобы открыть в России свои дата-центры. Тем временем в Интернете уже собираются подписи под петицией в Государственную Думу: «Отмените поправки к Закону о Персональных данных и об информации (проект ФЗ № 5534246)».

Мы обратились к экспертам с просьбой прокомментировать последствия данного закона (в случае если он будет принят) как для самих интернет-компаний, так и для пользователей.

Валерий Андреев, заместитель директора по науке и развитию компании ИВК: «Это очередной малопродуманный популистский закон, который разработан непрофессионалами и ими же принят. Выполнение такого закона, скорее всего, будет необязательным, если только он не коснется персональных данных высшей категории. А так, я думаю, что простое предупреждение пользователя об обработке персональных данных и его согласие на эту обработку решит все вопросы. Это касается стандартных сервисов по бронированию и т.п.

Возможной перестройке могут подвергнуться веб-ресурсы, на которых это соглашение об обработке будет добавлено в контент. Примером такой обработки служат стандартные посольские сервисы по получению виз, в которых данные как раз хранятся совершенно не там, где предписано законом. Иные сервисы не требуют большего объема персональных данных, поэтому все останется так, как есть.

Другое дело, что не решится проблема трансграничной передачи персональных данных высших категорий, что в ряде случаев совершенно недопустимо. Легче все запретить, чем решить! Это лозунг многих чиновников, в которых постепенно превращаются наши депутаты...»

Александр Санин, коммерческий директор компании «Аванпост»: «Вокруг обсуждения законопроекта сложилась совершенно нездоровая ситуация. Да, к нему есть масса вопросов, и реальные последствия его подписания вряд ли можно обоснованно спрогнозировать сегодня. Но то, как его «обсуждают» в блогосфере и в интернет-СМИ — это какая-то истерия, искусственно нагнетаемая напряженность. Даже «Хабр» это затронуло, что уж говорить о «Твиттерах» и блогах нашей либеральной элиты.

На мой взгляд, для этого нет оснований. Чтобы убедиться в этом, стоит обратиться к первоисточнику и прочитать текст законопроекта (10 страниц, из которых информативны восемь с половиной) и историю его прохождения. Сухой остаток: (1) размещать свои персональные данные за границей гражданам РФ никто не запрещал; (2) никто не запрещал иностранным компаниям получать и обрабатывать данные граждан РФ!

Еще один момент: если иностранная компания не имеет официальных представительств на территории РФ, она никоим образом не может быть «наказана» нашими органами. Ведь наши законы на них не распространяются. Booking.com уже официально заявил, что ему не очень важно, что у нас принимает Госдума. Но сайты могут быть заблокированы на территории РФ, и это может создать проблемы пользователям популярных интернет-сервисов. Однако вряд ли этим будут пользоваться — слишком велик может быть резонанс.

Конечно, за законопроектом явно просматривается желание наших спецслужб иметь необходимый контроль над «Фейсбуками», «Твиттерами» и т.п. Выбран метод «запугивания и давления». Не самый простой, но проверенный временем и эффективный.

Закон еще должен вступить в силу. И только правоприменительная практика покажет его фактическое влияние на нашу жизнь. Конечно, есть риск, что возникнет очередной двойной стандарт, который позволит блокировать на территории РФ сайты одних компаний, а другим не помешает спокойно делать то же самое. Но и нормально работать закон может, хотя для этого его, вероятно, придется не раз корректировать. В любом случае, до 2016 года еще далеко«.

Насколько серьезные ограничения и проблемы для интернет-компаний создает новый закон? Что компаниям придется менять, насколько существенная перестройка им предстоит?

Алексей Лукацкий, член Консультативного совета «Роскомнадзора» по защите прав субъектов персональных данных: «Если говорить о российских компаниях, то им практически мало что придется перестраивать, т.к. фактически убедиться, что хранятся не в России проблематично. Достаточно иметь один сервер в своем офисе и доказать хранение за его пределами становится проблематично. А вот с иностранными ситуация обстоит иначе. Они изначально в невыигрышном положении и им придется доказывать, что они данные не хранят за границей. Поэтому им надо будет представлять какой-то договор на хостинг БД с ПДн в России. Пойдет ли на это какой-нибудь австрийский небольшой семейный отель, в котором российский чиновник любит проводить зимние каникулы? Или швейцарская элитная школа, где учатся дети депутата? Или компания SABRE, благодаря которой депутат заказывает авиабилеты в Майями, чтобы проведать свою недвижимость? Или оператор Web-сайта международного экономического форума в Давосе, куда как мухи на мед слетаются депутаты? Или владелец магазина эксклюзивных алкогольных напитков и сигар в Лондоне, который обслуживает депутатов? Нет, не пойдут. Они будут либо нарушать ФЗ, либо перестанут работать с ПДн россиян.

Кстати, в последней фразе есть два важных момента. Что такое персональные данные? И что такое ПДн россиянина? Я за последние две недели смог вспомнить только один случай, когда у меня при заполнении хоть какой-либо анкеты спрашивали гражданство. Это было виза. Все! Больше случаев не припомню. Ну еще получение загранпаспорта. А в остальных случаях — гражданство не указывается. Ни во время заказа автомобиля в Hertz. Ни во время заказа билетов в Аэрофлоте. Ни во время бронирования билетов в парк Aventura. Ни во время бронирования на booking.com. Нигде. И как, позвольте спросить, иностранный оператор ПДн должен узнать, что он хранит ПДн россиян? По имени? Так они часто совпадают у славян, которые населяют и сопредельные государства, где нет таких идиотских законов. По фамилии? Та же ситуация. По IP-адресу? Он тоже не имеет «гражданства». Оператор может сказать, что он не хранит ПДн россиян и формально будет прав. Но только РКН это все равно никак не помешает заблокировать доступ к такому сайту. Еще можно сослаться на то, что иностранный оператор не хранит ПДн вовсе. Ведь, что такое ПДн, определяет он сам в своих локальных актах. Тот же РКН считает, что номер мобильного телефона, e-mail и логин не являются ПДн. А если добавить сюда еще и адрес? Тоже, скорее всего, нет. Но вот добавив ФИО можно говорить о ПДн. А если не ФИО, а только ФИ? Вопросы, вопросы, вопросы... Но так ли они важны?

На мой взгляд, совершенно не важна юридическая или техническая сторона данного закона. Можно долго спорить о том, как надо читать статьи закона — отдельно или в совокупности? Важно другое. У РКН появилась возможность блокировать сайты преимущественно иностранных компаний, которые якобы нарушают российское законодательство. Формально это будет выглядеть очень корректно. РКН направит запрос иностранному оператору ПДн (как обычно на русском языке). Тот его проигнорирует (он же не знает русского, как ни странно). РКН заблокирует доступ к сайту. Именно доступ, а не самого оператора. А дальше уже оператор будет пытаться (если захочет) что-то сделать. Когда вьетнамский «РКН» аналогичную комбинацию с локальным хранением провернул у себя в стране с целью принудить Yahoo создать локальные хранилища, Yahoo ответил отказом и ушел с вьетнамского рынка. У нас будет ситуация аналогичная, чего, на мой взгляд, и добиваются российские власти, так и не договорившись с Facebook, Google и Twitter (последним особенно). И их поставили перед выбором — либо за 2 с небольшим года они «исправятся», либо доступ к ним подавляющей части россиян будет блокирован.

Аналогичный финт российские власти провернули с Visa и Mastercard, которых вынуждают играть по правилам РФ. Но если для последних Россия — это хоть и незначительный, но все-таки лакомый кусок бизнеса, то для западных социальных сетей, это скорее всего не так. Поэтому не исключаю, что через пару лет мы столкнемся с импортозамещением еще и социальных сетей. Если, конечно, в закон вновь не внесут поправки, а это вполне реальная вещь, видя как депутаты сначала принимают закон, а потом либо отменяют его, либо вносят поправки, отменяющие первичный запрет. Иными словами, данный закон разрабатывался и принимался (а скорость его принятия — это вообще песня) только с геополитической целью, а не для защиты прав российских граждан. Кстати, об этом косвенно говорят и сами депутаты, которые во время заседаний в Комитете Госдумы и во время голосования на 2-ми 3-мчтении прямо говорили, что пусть оператор ПДн хранит ПДн где угодно; лишь бы их копия хранилась еще и в России«.

Дмитрий Бирюков, руководитель практики аудита и консалтинга компании «Астерос . Информационная безопасность»: «Во-первых, компаниям придется развернуть ИТ-инфраструктуру в России для осуществления обработки и хранения персональных данных, либо заключить договор с местными провайдерами такого рода услуг. Во-вторых, придется обеспечить соответствие требованиям государственных регуляторов в части обработки и защиты информации (ФСТЭК, ФСБ, Роскомнадзор и др.). Все это влечет за собой расходы, которые, на наш взгляд, могут отразиться на клиентах в виде повышения стоимости услуг».

Елена Козлова, руководитель направления Compliance Центра информационной безопасности компании «Инфосистемы Джет»: «Серьезных ограничений на компании-операторы ПДн новый закон не накладывает. Такой вид обработки ПДн, как „передача“, в законе не указан, а это значит, что передавать ПДн российских граждан за рубеж по-прежнему можно.

Польза нового закона и, собственно, идея его принятия заключается в том, чтобы пробудить у российских компаний интерес к использованию ЦОД-ов на территории РФ для хранения данных. И это, очевидно, единственный аспект применения закона. Если оператор ПДн пользуется для обработки ПДн зарубежными ЦОД-ами и облачными сервисами, то он, согласно букве закона, должен обязать иностранную компанию (обработчика ПДн по поручению) исполнять требования российского законодательства. Например, создать реплики хранилищ данных на территории РФ.

Так как это повлечет за собой дополнительные затраты, а тем более иностранные компании находятся вне российской юрисдикции, слабо верится, что они на это пойдут. Соответственно, российским операторам ПДн остается хранить ПДн в своих системах или пользоваться отечественными сервисами. Однако под большим вопросом остается способ проверки РКН конкретных мест хранения ПДн».

Рустем Хайретдинов, CEO компании Appercut Security: «Для бизнес-процессов нет разницы, где находятся данные, как нет разницы, где находится электричество — для бизнеса все „облачные“ данные находятся „в розетке“. Небольшие изменения могут коснуться только служб ИТ, обеспечивающих доступ к этим данным, да и то не факт, что они будут в худшую сторону. В интересах провайдеров облачных услуг сделать так, чтобы клиент не заметил разницы от перемещения данных внутрь России, или заметил позитивные сдвиги. Локализованные зарубежные компании и их русские конкуренты, хоть автомобильные, хоть пивные, всегда брали тем, что они ближе к российскому заказчику, чем заокеанские коллеги, лучше понимают его нужды, быстрее и гибче реагируют на его запросы. Скажем, абстрактному „Амазону“ наплевать на „облачного“ клиента, приносящего миллион рублей в год, ради него он не изменит и буквы договора: хочешь — подписывай стандартный, не хочешь — не подписывай. Российский дата-центр для такого клиента и договор изменит, и специального менеджера выделит, да еще и скидку даст».

Аркадий Прокудин, заместитель руководителя Центра компетенции информационной безопасности компании компании «АйТи»: «Смысл поправок в закон о ПДн заключается в том, чтобы все персональные данные россиян хранить, обрабатывать и т.п. только на территории РФ. Сама по себе это здравая идея. Показательно, на мой взгляд то, что данные поправки к закону полностью противоречат предыдущей инициативе правительства. Речь идет о законопроекте, разработанном Минкомсвязи, согласно которому все „облака“ госорганов должны быть расположены только на территории России, а вот коммерческие „облака“ могут располагаться где угодно.

Я слабо представляю дальнейшие шаги зарубежных компаний для соответствия „принятым поправкам“. Никто не станет создавать в РФ базу данных только российских пользователей. Хотя, конечно, все возможно. И напрямую зависит от объема денег, которые приносит компании РФ».

Григорий Шевченко, коммерческий директор компании «Открытые технологии»: «Это, в первую очередь, зависит от компаний. Если это небольшой интернет-сервис, типа продажи авиабилетов, расположенный где-то в облаке за нашей границей, то, скорее всего, ему особо ничего делать и не потребуется. Так, для отвода глаз арендовать пару blade-серверов в российском дата-центре и заявить, что выполнил требования властей.

Если же это крупный почтовый сервис типа Gmail или Yahoo, то им, для сохранения их репутации, все же, придется хотя бы часть требований реально выполнить: создать здесь инфраструктуру, обеспечить контроль IP-адресов, позволять осуществлять проверки и т.п.

Хотя все эти меры не смогут обеспечить реальное выполнение требований регуляторов, так как, если наш человек захочет держать свои почтовые или другие данные за границей, то всегда сможет эти ограничения обойти и поймать его за руку будет крайне сложно и дорого».

Вырастут ли цены на услуги этих компаний?

Алексей Лукацкий: «Вряд ли. Российским компаниям, как я написал выше, нет смысла вкладываться в исполнение закона, так как они либо уже хранят ПДн россиян в России, либо имеют здесь копию, либо их никто никогда не закроет по политическим соображениям. А вот для западных компаний российский рынок не так уже и велик (обычно в пределах от 0,5 до 1,5% от общего оборота), чтобы ради этого создавать в России локальные центра хранения персональных данных, которые еще надо как-то вычленить из общего множества. А хранить в России все подряд, включая и ПДн иностранных граждан, могут не захотеть спецслужбы и регуляторы уже других государств».

Дмитрий Бирюков: «Как правило, расходы компаний-операторов влекут за собой расходы пользователей. Поэтому, высока вероятность, что подобные изменения повлияют в сторону увеличения стоимости предоставляемых услуг».

Елена Козлова: «Вряд ли. Это далеко не первый закон, рождающий необходимость у российских компаний тратить дополнительные средства на соответствие требованиям. Как правило, под исполнение законов специально закладываются бюджеты. Это совсем не означает, что проекты по приведению в соответствие в таких компаниях будут проводиться напрямую за счет клиентов».

Рустем Хайретдинов: «Вполне возможно, что хранение данных в России будет даже дешевле — в России сейчас много недогруженных дата-центров, как государственных (министерства, госкомпании), так и частных (телеком-провайдеры, сотовые операторы, системные интеграторы), владельцы которых завлекают клиентов существенными скидками. А цену, как мы помним из школы, регулирует не себестоимость, а рынок: чем больше будет предложения, тем ниже будут цены и шире выбор. Посмотрите сейчас на услуги хостинга — вы можете выбирать от копеечных условий, при которых будете хоститься на подержанных десктопах, до VIP-пакета, включающего „полный фарш“ дополнительных услуг».

Аркадий Прокудин: «Прямой зависимости, конечно же, нет, но это может стать поводом, на который можно сослаться».

Григорий Шевченко: «Учитывая все вышесказанное, билеты, очевидно, дороже не станут. А почта и так бесплатна».

Многие ли компании предпочтут просто прервать свою деятельность в России?

Алексей Лукацкий: «Я думаю, пока мало кто всерьез рассматривает такую перспективу. У нас ведь закон о персональных данных существует давно, но по-прежнему соблюдают его очень небольшое количество компаний (менее 10%). Причин ожидать, что ситуация изменится, пока нет. Поэтому я думаю, российские операторы персональных данных будут играть по старым правилам, а иностранные игроки либо и вовсе не знают о данном законе, либо не сильно расстроятся, „уйдя“ с нашего рынка. Для россиян это будет потеря, но мнение граждан при принятии данного закона никто не спрашивал. Как, собственно, и мнения экспертов».

Дмитрий Бирюков: «Полагаю, что в целом число компаний уменьшиться, в частности, это относится к компаниям SMB-сегмента. Крупные компании, вероятнее всего, примут новые правила игры и останутся в России. Однако это усложнит процесс предоставления услуг, ведь им придется ощутить на себе особенности нормативно-правового поля РФ. Кроме того, внесение подобных изменений в бизнес может стоить достаточно дорого».

Елена Козлова: «Иностранные компании вряд ли сильно озабочены этим вопросом. Аналогично в свое время было много споров по применению российской криптографии при передаче ПДн в зарубежные ЦОД-ы. Наше законодательство совместно с практикой его применения не позволяет выполнить такое требование в принципе. Из-за этого ни одна компания не перестала оказывать услуги российским операторам ПДн. Кроме того, есть достаточное число компаний, головные офисы и управленческие ресурсы которых находятся за рубежом. Они также неохотно принимают меры по выполнению требований российского законодательства».

Рустем Хайретдинов: «Каждая компания решает для себя, чего больше в новом законе — опасностей или возможностей. Ссылки на китайский опыт, при котором подавляющее число зарубежных провайдеров „прогнулось“ под похожие требования, не совсем корректен — все же китайский рынок много больше российского и жертвовать им гораздо сложнее. Так что, как говорится, „возможны варианты“, но предсказать их до тех пор, пока не выйдут подзаконные акты, описывающие детали требований и способы их контроля, а также не появится правоприменительная практика, прогнозы делать не стоит».

Григорий Шевченко: «Думаю, никто из западных провайдеров услуг не захочет терять свой бизнес здесь — ведь на освободившиеся места тут же придут их российские конкуренты».

С какими ограничениями и сложностями столкнуться рядовые пользователи сервисов?

Алексей Лукацкий: «Как минимум, еще два с лишним года все останется без изменений. А потом мы будем ждать правоприменительной практики. Рядовой пользователь в принципе ничего не может сделать в данной ситуации, исключая подачу иска в Конституционный суд по поводу нарушения своих прав на свободу доступа к информации. Но это малореальный сценарий. Поэтому пользователям Рунета остается ждать момента, когда закон вступит в силу и когда РКН начнет свою деятельность по защите прав субъектов персональных данных».

Дмитрий Бирюков: «С точки зрения технологий предоставления услуг для рядовых пользователей все останется по-прежнему. При этом им станет проще защищать свои интересы, в том числе в области защиты своих персональных данных на территории РФ, в соответствии с требованиями нашего законодательства».

Елена Козлова: «Пользоваться указанными сервисами можно по-прежнему: и bookind`ом, и eBay, и фейсбуком. Для рядовых пользователей все останется по-старому.

И хотя новый закон предоставляет РКН право блокировать доступ к интернет-сервисам, работающим с нарушениями порядка обработки ПДн, с трудом представляется каким образом будет прекращен доступ к многочисленным популярным сайтам. К счастью для рядовых пользователей в данном случае, жесткость отечественных законов компенсируется необязательностью их исполнения. Самое интересное начнется с 1 сентября 2016 года, когда все мы узнаем о фактах правоприменения нового закона».

Рустем Хайретдинов: «Лично я собираюсь решать проблемы по мере их поступления — мы не знаем, как отреагируют на это требование привычные нам интернет-сервисы, ведь реализовать требования достаточно просто — достаточно хранить в России не сами данные, а только их копию, что не требует изменения основных бизнес-процессов, а только добавляет новый процесс копирования. Нигде, кстати, не сказано, что оно должно быть он-лайн, нужно лишь иметь возможность вовремя предоставлять данные по запросам спецслужб, то есть копировать данные на российский ресурс можно в течение нескольких суток. Поэтому пока привычные облачные ресурсы доступны — можно смело ими пользоваться. Если они станут недоступны по своей инициативе или по решению российских регуляторов, вы об этом сразу узнаете и будете выбирать — либо пользоваться ли их конкурентами, локализовавшими хранение данных, либо продолжать пользоваться привычными сервисами с помощью специальных технических средств и сервисов, которые позволяют обходить запреты. Возможно, перед вступлением в силу запретов имеет смысл, на всякий случай, потратить бонусные „поинты“ в зарубежных сервисах, но не более того».

Аркадий Прокудин: «Для простых граждан, скорее всего, ничего особенно не изменится. Но это в случае, если все заработает так, как задумывалось. К сожалению, у нас в России именно с этим и связаны основные сложности».

Григорий Шевченко: «Если у вас чистые намерения, добрая душа и благородное сердце, учитывая вышесказанное, вам не стоит бояться и паниковать :). А если нет, вам стоит сразу пойти в компетентные органы и сдаться с повинной».

Источник: Наталья Басина, CRN/RE

Опубликовал: Александр Абрамов (info@ict-online.ru)

Тематики: Регулирование, Безопасность

Ключевые слова: защита персональных данных