Что нам делать с законом о хранении персональных данных россиян

На днях на сайте РБК появилась статья «Google начала переносить сервера в российские дата-центры», сразу попавшая в топ-список текущих публикаций и вызвавшая заметный интерес у интернет-аудитории. Информационным поводом для статьи стало проведенное накануне в Минкомсвязи совещание по вопросам подготовки к вступлению в силу с 1 сентября федерального закона 242 от 21.07.14 о хранении персональных данных. Однако публикация, на мой взгляд, получилась довольно странной — ключевая суть актуальной для российского ИТ-рынка (не только для компаний-поставщиков, но в первую очередь для огромной массы потребителей) проблемы в ней упоминается как-то мимоходом. При этом статья, делая акценты на частные факты, подводит читателей к выводам, которые, как представляется, не очень соответствуют действительности. Так, со ссылками именно на РБК сразу появились публикации в других СМИ, где прямо указывалось, что «Google уже хранит данные россиян в России», хотя таких сведений в тексте исходной статьи не содержалось.

Поскольку мне в течение последнего года неоднократно приходилось писать по данной теме (см. «С законами о персональных данных нужно серьезно разбираться» и «О законодательном регулировании Рунета в 2014 году»), хотелось бы высказать свои соображения по данной теме.

Острота вопроса повышается

В целом проблема выглядит понятно: приближается время вступления в силу 242-ФЗ, и соответственно все острее встает вопрос: что делать? Как операторам персональных данных (ОПД) готовиться к исполнению этого закона и как действовать государственным ведомствам, назначенным ответственными за его реализацию? Вопросы эти не новы, дискуссии по ним идут еще с момента обсуждения самой идеи такого закона, сколь-нибудь однозначных ответов не было и, как можно понять из обсуждаемой статьи, нет до сих пор. Поскольку сроки уже начинают поджимать, а проблема остается весьма запутанной, нервозность участников процесса возрастает.

Для беспокойства есть объективные причины и потому, что имеющийся опыт реализации принятых в прошлом году законов о регулировании российского Интернета показывает, что авторы этих актов не учли важные аспекты функционирования данной сферы, и потому содержащиеся в них требования порой или работают не очень хорошо, или не работают вовсе.

Краткая история вопроса

Напомним, что закон 242-ФЗ устанавливает требование к ОПД хранить персональные данные российских граждан на территории России. При этом он содержит очень важные уточняющие положения: ОПД должны не только хранить такую информацию внутри страны, но пройти соответствующую регистрацию в «компетентных органах», в том числе указав, где именно хранятся данные и ряд других сведений, и приняв на себя обязательства по предоставлению информации из таких баз данных правоохранительным ведомствам по правилам, установленным законом.

В качестве обоснования необходимости принятия закона (его авторами была группа депутатов) говорилось о задаче повышения безопасности хранения ПД. Однако уже на начальной стадии дискуссий по теме было показано, что декларируемая цель с помощью данного акта будет не только не достигнута, но, возможно, даже будет получен обратный результат. В качестве доводов в пользу закона приводилось и то соображение, что он будет способствовать повышению загрузки мощностей российских дата-центров, хотя специалисты отмечали, что собственно ПД потребляют довольно незначительную долю ресурсов хранения информации. В менее официальных комментариях высказывались мнения о том, что закон нужен, чтобы государство получило юридические возможности по управлению доступа россиян к зарубежным интернет-ресурсам, а также для обеспечения доступа к персональной информации граждан страны со стороны правоохранительных служб.

В исходном варианте закона предусматривалось введение его в действие с 1 сентября 2016 г. (имея в виду необходимость подготовиться операторам к его технической реализации), но буквально сразу после принятия акта сами его авторы внесли предложение об ускорении запуска закона, предложив назначить его старт на 1 января 2015-го. В ответ на это последовал ряд демаршей со стороны ИТ-отрасли (в частности, от ассоциации АПКИТ) с пояснением нецелесообразности и невозможности такого сокращения сроков. На уровне законодательной власти завязалась борьба, по результатам которой законодатели в декабре приняли компромиссный вариант, установив срок на 1 сентября 2015 г.

Однако еще осенью все чаще стали звучать мнения о том, что данный закон требует именно содержательной корректировки, поскольку отдельные его статьи имеют неоднозначное толкование, а реализация некоторых положений может войти в конфликт с общественными интересами, с перспективами развития экономики страны и с принятыми Россией международными обязательствами. В частности, именно вопрос о необходимости ревизии закона ставил тогда назначенный летом прошлого года на должность интернет-омбудсмена Дмитрий Мариничев. Еще в ноябре он отправил письмо президенту Путину с предложением пересмотреть положения закона в сторону его смягчения, поясняя там, что существующий вариант ставит под угрозу отключения жителей страны от практически всех зарубежных интернет-сервисов. Омбудсмен предлагал включить в закон положение о том, что персональные данные россиянина могут храниться за границей, если сам пользователь даст на это согласие (такое положение есть в законодательствах ряда европейских стран). Кроме того, в письме говорилось о необходимости участия экспертного сообщества в обсуждении принимаемых в стране законодательных норм.

После отсрочки ввода в действие закона на восемь месяцев острота публичных дискуссий спала, но тема все же продолжала развиваться. Роскомнадзор (РКН) начал говорить подзаконные акты с уточнением положений законов, которые неоднозначно воспринимались ИТ-экспертами. Так, например, РКН решил, что персональные данные россиян должны храниться ТОЛЬКО в России, хотя такого требования в законе не было. В то же время нарастала озабоченность относительно негативных последствий выполнения требований закона со стороны разного рода российских ОПД (сервисы по продаже авиабилетов и бронированию отелей, туроператоры и представили других видов деятельности, глубоко интегрированных в мировое информационное пространство).

При этом нужно отметить, что ситуация с 242-ФЗ не являются уникальной — аналогичные проблемы (трудности в реализации и сложности в результате исполнения) сейчас выявляются и в других законодательных актах, принятых летом прошлого года на волне «защиты национальных интересов страны» (в том числе, в ИТ, в банковской сфере). Все чаще говорится об ошибках, сделанных «сгоряча»...

Будет ли работать закон?

Вспомнив предысторию темы, вернемся теперь к статье РБК и к вопросу, который там явно не обозначен, но которому, по сути, посвящена публикация: собираются ли зарубежные ОПД (а это практически все иностранные интернет-сервисы) выполнять требования 242-ФЗ. Из текста видно, что совещание проводилось по инициативе все того же Дмитрия Мариничева, но хотя РКБ утверждает, что располагает стенограммой собрания, конкретная повестка дня не уточняется. Говорится, что участвовали сразу два заместителя главы Минкомсвязи, но при этом не было представителей РКН, которому отводится ведущая роль в реализации закона (в плане уточнения формулировок требований, регистрации ОПД и контроля исполнения закона). Для участия в собрании были приглашены руководители крупнейших дата-центров страны, к которым закон имеет весьма косвенное отношение, но при этом не было никого из числа ОПД, которым закон адресован напрямую.

Из «утечек» можно сделать вывод, что целью собрания было выяснить, как перспектива введения в действие 242-ФЗ повлияет на активность зарубежных ОПД по миграции в российские дата-центры. Из представленных примеров можно сделать вывод — пока никак. Приведены двусмысленные намеки на некие действия Google по аренде серверов и пример какого-то малоизвестного в России американского стартапа. При том, что в России представлены десятки крупнейших мировых интернет-сервисов (Microsoft, Apple, Facebook, Twitter, Booking, Anywayanyday, Amazon, AliExpress и пр.), а о своей готовности соблюдать закон и перенести соответствующие данные в Россию из числа американских интернет-компаний заявила только eBay, сделав такое заявление в начале апреля. Из приведенной в статье информации также совсем не следует, что арендуемые Google мощности используются именно для хранения ПД россиян (более вероятной версией представляется хранение там рекламной информации, распространяемой в России).

Дело в том, что увеличение вычислительных мощностей в «стране пребывания» зарубежными провайдерами является совершенно нормальным делом, отражающим просто факт расширения здесь ее бизнеса. Ведь хорошо известно, что при определенном объеме операции выгоднее размещать вычислительные ресурсы ближе к месту их потребления, чем гонять информацию по магистральным каналам связи с одного конца планеты на другой.

Проблема же, к сожалению, заключается в том, что вполне вероятно, что 242-ФЗ как раз препятствует расширению «вычислительного присутствия» крупных зарубежных ИТ-провайдеров, в том числе потому, что он вступает в противоречие с законодательными требованиями стран, где эти поставщики официально зарегистрированы и которым они обязаны подчиняться. Вполне вероятно, что этот и другие подобные отечественные акты сыграли свою роль в принятии рядом западных ИТ-игроков решений по сокращению своего присутствия в нашей стране.

Отстраненная позиция Минкомсвязи

Весьма примечательно и то, что в обсуждаемой публикации ничего не сказано о том, к каким же выводам или решениям пришло собрание в министерстве. При этом хотелось бы обратить внимание на заключительную фразу статьи: «Представитель Минкомсвязи отметил, что закон о хранении персональных данных писали депутаты, а министерство к его созданию не привлекалось, поэтому формулировки „не идеальные“». Из нее можно сделать вывод, что Минкомсвязи признает необходимость корректировки закона, но при этом подчеркивает свою изначальную непричастность к нему. В последнее верится с трудом, но если же допустить вариант «непричастности», то тогда встает вопрос о компетентности министерства, поскольку речь идет именно о его сфере ответственности.

В этой связи должен напомнить о случае, произошедшем летом прошлого года. В начале июля в Москве проходила конференция по облачной тематике, на которой с пленарным докладом как раз по теме нормативного регулирования облачных ИТ-услуг выступал начальник отдела развития единого информационного пространства и правового обеспечения вопросов защиты информации Минкомсвязи Иван Зимин. Тогда ему был публично задан вопрос: что Минкомсвязи думает по поводу 242-ФЗ, который в том момент уже активно обсуждался в Госдуме и в ИТ-сообществе? На него был получен такой ответ: «Нам его на экспертизу не присылали, если пришлют, мы сформулируем свое мнение». Все это выглядело очень странно, поскольку хорошо известно, что все законопроекты проходят экспертизу в правительстве, а Минкомсвязи в законе прописано как один из ключевых его исполнителей.

Тут также нужно вспомнить, что еще год назад Минкомсвязи заявило о намерении подготовить закон о регулировании облачных ИТ-услуг, который поначалу хотели ввести в действие с января 2015 года. Но за это время в Интернете были опубликованы лишь два предварительных варианта законопроекта (не переданных на рассмотрение в правительство), о дальнейшей его судьбе ничего не известно.

Что же делать с 242-ФЗ?

То, что российские ОПД будут выполнять закон и что для них его реализация не представляет принципиальных трудностей, вполне понятно. Проблема заключается, что делать с зарубежными ОПД, и тут есть два вопроса, которые задавались еще год назад на этапе зарождения проекта закона:

— Распространяется ли юрисдикция российского закона на зарубежные ОПД-компании?

— Что делать с зарубежными нарушителями закона?

Еще летом прошлого года в ответах экспертов на первый вопрос звучал вариант «а куда они денутся?». Однако уже имеющийся опыт законоприменения говорит сейчас, скорее, об обратном. Напомним, что тогда же был принят и «закон о блогерах» 97-ФЗ от 05.05.14, который обязывает хранить информацию об электронных сообщениях россиян внутри страны, а также регистрироваться в РКН в качестве «блогеров» владельцам информационных Web-сайтов. Он введен в действие с 1 августа прошлого года, но из сообщений СМИ и по сведениям из частных источников никто из заметных зарубежных интернет-провайдеров его не соблюдает и никакие санкции к ним со стороны РКН не применяются...

Вполне вероятно, что и в 242-ФЗ будет использован традиционный отечественный метод, когда суровость российских законов компенсируется необязательностью их исполнения. Но при этом нужно помнить и то, что в нужный момент по отношению к конкретным лицам (как юридическим, так и физическим) законы могут применить «по полной».

Если же говорить о возможной коррекции закона, то начинать, конечно, нужно с определения его целей и задач. Как еще зимой заметил весьма авторитетный российский интернет-эксперт: «Если цель закона иметь возможность отключения Google и Facebook, то обсуждать вопросы его изменения и даже исполнения — бессмысленно. Если же есть другие цели, то их нужно сформулировать, а после этого начать изучение средств их достижения».