11 Июля, 2014

Беспрецедентное право о запрете хранения ПДн

Алексей Лукацкий
А вот вернусь я к закону (или законопроекту) о запрете хранения ПДн россиян за границей :-) Ибо в последнюю неделю было высказано столько всего :-) И у меня тоже есть что сказать, помимо уже высказанного тут  и тут  и тут . Страсти немного улеглись и можно уже немного подытожить то, что произошло.

Начну я издалека, а точнее с иллюстрации того, как могут циркулировать ПДн россиян через границу Российской Федерации. Можно выделить два основных варианта:

  • Персональные данные россиянина уходят с территории РФ на Интернет-сервис, который затем хранит эти данные там же, заграницей. На иллюстрации ниже это вариант №1. По этому сценарию сейчас работают почти все зарубежные социальные сети, а также сайты отелей, бронирования билетов, организации мероприятий, лечения за рубежом и т.п. Именно против такого сценария и направлен, по моему мнению, принятый закон.
  • Персональные данные россиянина уходят с территории РФ на Интернет-сервис, который хранит эти данные в России. Это вариант №2. Никакой проблемы с нарушением требований закона в этом случае я не вижу; нужно только соблюсти требования по трансграничной передаче ПДн.
Кстати, о трансграничной передаче. Многие коллеги высказывают мысль, что ее-то никто не запрещал. Да, это так. Только попробуйте задаться вопросом - а что такое передача? Это стратегические бомбардировщики могут у нас летать, не приземляясь и заправляясь "на ходу". При передаче ПДн всегда есть точка отправления и точка получения ПДн. Всегда! Персональные данные не передаются в никуда (вариант №3 на иллюстрации). Поэтому они должны где-то "приземлиться". В случае трансграничной передаче они "приземляются" либо в России, либо за ее пределами. Первый случай хорошо описан в сказке Катаева "Цветик-семицветик":

Лети, лети, лепесток,
Через запад на восток,
Через север, через юг,
Возвращайся, сделав круг
Вот в этом случае персданные, трансгранично передаваясь, возвращаются в Россию, и мы получаем вариант №2. А если данные не возвращаются, то мы получаем вариант №1. Иными словами, трансграничная передача ПДн никому не нужна, если их запрещено хранить за рубежом. При этом формально ст.12 Евроконвенции, о которой тоже многие коллеги говорили, не ограничивается. В ней же говорится о трансграничной передаче, а не о хранении. Передача по-прежнему разрешена, а вот хранение нет :-(




Есть и других два, менее распространенных варианта:
  • Персональные данные россиянина уходят из-за границы также заграницу. Формально, ФЗ-152 не распространяется на иностранные юрлица, которые не могут и не должны знать о наших депутатах, столь рьяно беспокоящихся о гражданах своей страны. И формально они могут делать с ПДн все, что угодно и передавать их в рамках своего государства или за его пределы как угодно. Только вот мы забываем про вторую часть принятого закона, которая по объему больше первой и третьей частей. Она подробно расписывает процедуру блокирования доступа к сайтам-нарушителям. Нарушителям по мнению Роскомнадзора, а не зарубежного оператора ПДн. И если нарушение есть (а по мнению РКН и депутатов оно будет), то доступ к иностранному сайту будет блокирован (в варианте №1 он также будет блокирован). А вот дальше уже оператор ПДн будет доказывать в российском суде, что он не верблюд. И какова вероятность, что иностранный оператор будет с этим разбираться? А что он пойдет в суд? А что он выиграет дело? То-то и оно. Формально он может быть и будет прав, но фактически доступ к его сайту будет для россиян, не пользующихся VPN, закрыт.
  • Персональные данные россиянина уходят из-за границы в Россию. Это почти такой же вариант, что и предыдущий. Как только данные попадают в РФ, то на их обработку распространяется по мнению РКН ФЗ-152 в полном объеме и мы вновь возвращаемся к предыдущему сценарию.
И, наконец, последний, совсем уж редкий и вырожденный вариант - персональные данные россиянина уходят из-за границу обратно в заграницу транзитом через Россию. Я такой вариант представляю себе с трудом, но он тоже возможен. Но с точки зрения законодательства разницы между ним и предпоследним вариантом почти никакой.

Это теория. Теперь обратимся к практике. Как РКН, как надзиратель над законом, сможет удостовериться, что ПДн россиян хранятся (или не хранятся) за границей? По жалобе или исходя из уведомления, отправленного оператором ПДн, в котором теперь надо будет указывать место хранения ПДн. С жалобой все понятно, а вот с уведомлением ситуация не такая очевидная. Врядли российские операторы ПДн в здравом уме станут включать в уведомление удавку на свою шею. Поэтому у РКН останется только одна возможность узнать о нарушении закона - жалобе. Но что будет, когда РКН получит такой сигнал от "добропорядочных" граждан? Формально он может инициировать проверку. А фактически? Как можно проверить, что ПДн хранятся за рубежом? Если у меня есть какой-нибудт сервак и я могу его показать проверяющему, то как он может меня уличить в том, что у меня данные есть еще и на американском Amazon AWS или европейском MS Azure? Таблицы маршрутизации анализировать? Сниффить трафик? Репликацию СУБД изучать? Иными словами, российского оператора ПДн наказать сложно.

А вот с иностранными ситуация обстоит иначе. Они изначально в невыигрышном положении и им придется доказывать, что они данные не хранят за границей. Поэтому им надо будет представлять какой-то договор на хостинг БД с ПДн в России. Пойдет ли на это какой-нибудь австрийский небольшой семейный отель, в котором российский чиновник любит проводить зимние каникулы? Или швейцарская элитная школа, где учатся дети депутата? Или компания SABRE, благодаря которой депутат заказывает авиабилеты в Майями, чтобы проведать свою недвижимость? Или оператор Web-сайта международного экономического форума в Давосе, куда как мухи на мед слетаются депутаты? Или владелец магазина эксклюзивных алкогольных напитков и сигар в Лондоне, который обслуживает депутатов? Нет, не пойдут. Они будут либо нарушать ФЗ, либо перестанут работать с ПДн россиян.

Кстати, в последней фразе есть два важных момента. Что такое персональные данные? И что такое ПДн россиянина? Я за последние две недели смог вспомнить только один случай, когда у меня при заполнении хоть какой-либо анкеты спрашивали гражданство. Это было виза. Все! Больше случаев не припомню. Ну еще получение загранпаспорта. А в остальных случаях - гражданство не указывается. Ни во время заказа автомобиля в Hertz. Ни во время заказа билетов в Аэрофлоте. Ни во время бронирования билетов в парк Aventura. Ни во время бронирования на booking.com. Нигде. И как, позвольте спросить, иностранный оператор ПДн должен узнать, что он хранит ПДн россиян? По имени? Так они часто совпадают у славян, которые населяют и сопредельные государства, где нет таких идиотских законов. По фамилии? Та же ситуация. По IP-адресу? Он тоже не имеет "гражданства". Оператор может сказать, что он не хранит ПДн россиян и формально будет прав. Но только РКН это все равно никак не помешает заблокировать доступ к такому сайту. Еще можно сослаться на то, что иностранный оператор не хранит ПДн вовсе. Ведь, что такое ПДн, определяет он сам в своих локальных актах. Тот же РКН считает , что номер мобильного телефона, e-mail и логин не являются ПДн. А если добавить сюда еще и адрес? Тоже, скорее всего, нет. Но вот добавив ФИО можно говорить о ПДн. А если не ФИО, а только ФИ? Вопросы, вопросы, вопросы... Но так ли они важны?

На мой взгляд, совершенно не важна юридическая или техническая сторона данного закона. Можно долго спорить о том, как надо читать статьи закона - отдельно или в совокупности? Важно другое. У РКН появилась возможность блокировать сайты преимущественно иностранных компаний, которые якобы нарушают российское законодательство. Формально это будет выглядеть очень корректно. РКН направит запрос иностранному оператору ПДн (как обычно на русском языке). Тот его проигнорирует (он же не знает русского, как ни странно). РКН заблокирует доступ к сайту. Именно доступ, а не самого оператора. А дальше уже оператор будет пытаться (если захочет) что-то сделать. Когда вьетнамский "РКН" аналогичную махинацию с локальным хранением провернул у себя в стране с целью принудить Yahoo создать локальные хранилища, Yahoo послала вьетнамский "РКН" в пешее эротическое путешествие и ушел с вьетнамского рынка. У нас будет ситуация аналогичная, чего, на мой взгляд, и добиваются российские власти, так и не договорившись с Facebook, Google и Twitter (последним особенно). И их поставили перед выбором - либо за 2 с небольшим года они "исправятся", либо пойдут лесом. Аналогичный финт российские власти провернули с Visa и Mastercard, которых вынуждают играть по правилам РФ. Но если для последних Россия - это хоть и незначительный, но все-таки лакомый кусок бизнеса, то для западных социальных сетей, это скорее всего не так. Поэтому не исключаю, что через пару лет мы столкнемся с импортозамещением еще и социальных сетей. Если, конечно, в закон вновь не внесут поправки, а это вполне реальная вещь, видя как депутаты сначала принимают закон, а потом либо отменяют его, либо вносят поправки, отменяющие первичный запрет. Иными словами, данный закон разрабатывался и принимался (а скорость его принятия - это вообще песня) только с геополитической целью, а не для защиты прав российских граждан.

Кстати, об этом косвенно говорят и сами депутаты, которые во время заседаний в Комитете Госдумы и во время голосования на 2-м и 3-м чтении прямо говорили, что пусть оператор ПДн хранит ПДн где угодно; лишь бы их копия хранилась еще и в России (отмечен на иллюстрации ниже). Почему АНБ можно получать доступ к данным соцсетей, банков и операторов связи, а ФСБ нельзя? Потому что АНБ - это оно, а ФСБ - она? Мы за эмансипацию и равноправие. Поэтому нашим спецслужбам тоже надо.


А как же права субъекта? А никак. У нас давно права субъекта никого не интересуют. Даже уполномоченный орган по их защите. А как же право на доступ к информации, свободу перемещений, свободу слова, дарованные нам Конституцией? А никак. Мало ли у нас нарушений Конституции? Вон и Президент на днях, якобы  совершил  такое нарушение. А если гражданин считает себя ущемленным, то милости просим в Конституционный суд. А как же Евроконвенция? А никак. У нас уже скоро 8 лет как ст.19 ФЗ-152 противоречит Конвенции и ничего.

Если взглянуть на закон о запрете хранения ПДн с точки зрения геополитической, то все встает на свои места. И формулировки, и трактовки, и комментарии, и срок вступления в силу. Ведь формально РКН и сейчас имеет право блокировать сайты, содержащие запрещенную информацию. Один из последних примеров произошел 8-го июля. Кто-то прочтя об этом случае (кстати, я к этому сайту смог без проблем получить доступ) заговорил о нарушениях - якобы РКН до вступления в силу закона стал блокировать иностранные сайты. На самом деле у РКН такое право было по 139-му федеральному закону "о черных списках". И право блокировки, описанное в рассматриваемом нами сейчас законе, ему не особо и нужно.

Но вот что интересно в законе, так это третья часть, о которой все благополучно молчат и только Михаил Емельянников про нее заговорил  первым и, пока, единственным. Речь о внесении изменений в ФЗ-294 "о проверках", согласно которым, надзор за обработкой ПДн и информации в Интернет исключается из общих норм ФЗ-294. Иными словами, после вступления в силу этой нормы РКН может уже не формировать списки плановых проверок, не согласовывать проверки с прокураторой, не соблюдать частоту плановых проверок раз в три года и многое другое. Вот это, на мой взгляд, самое опасное в этом законе, т.к. несет с собой вполне конкретные риски для российских операторов ПДн, которые теперь будут ходить постоянно под Дамокловым мечом, не зная, когда к ним придет проверка РКН. А учитывая законопроект по штрафам, вышедшим на финишную прямую, картина и вовсе становится зловещей...

Вот такая картина вырисовывается. Заметка получилась длинной, но зато я постарался изложить в ней мысли о законе о запрете хранения ПДн россиян за рубежом, которые появились за последнее время. Прав я был или нет, покажет время. За оставшиеся 2 года с небольшим у нас будет возможность либо напрячься по поводу этого закона, либо на фоне всего остального посчитать его такой мелочью...
или введите имя

CAPTCHA
Ригель
11 Июля, 2014
Ты упускаешь, мне кажется, что передача вообще и трансграничная в частности - это обязательно другому лицу. Если я передаю на СВОЙ заграничный сервер (место там в ЦОДе арендовал), то... нет никакой трансграничной передачи!
0 |
  • Поделиться
  • Ссылка
Алексей Лукацкий
11 Июля, 2014
Ригель: СВОЙ за границей? Принадлежит российскому юрлицу? Или иностранной дочке российского юрлица?
0 |
  • Поделиться
  • Ссылка
13 Июля, 2014
Я вот чего не могу понять: а если я добровольно передал свои ПДн организации за кордоном, то кто их обяжет ставить сервант в России? Не начихают ли они на российское законодательство, дескать "со своим уставом в чужой монастырь не лезь"?
0 |
  • Поделиться
  • Ссылка
Алексей Лукацкий
14 Июля, 2014
Прокуратура и не должна никого уведомлять - она над 294-ФЗ находится. А РКН все свои проверки согласовывал
0 |
  • Поделиться
  • Ссылка
9 Сентября, 2014
Алексей, а как расценить следующую ситуацию: SaaS - услуга зарубежного производителя размещается в российском ЦОД, продается и поддерживается российским дистрибьютором, но иногда, в экстренных случаях, связанных с правильным функционированием ПО, к базе данных удаленно подключаются программисты зарубежного производителя. Надо ли как-то оговаривать данную ситуацию (и как ?) в Правилах предоставления услуг электронным путем, которые подтверждает пользователь, либо подписывать между пользователем и производителем отдельное соглашение, либо вообще ничего не надо делать?
0 |
  • Поделиться
  • Ссылка