Как законно неиспользовать сертифицированные СКЗИ при передаче ПДн через Интернет?

Позиция ФСБ на использование СКЗИ достаточно давно озвучена и выглядит примерно следующим образом - необходимость применения средств шифрования определяется исходя из модели угроз, но... при передаче через Интернет единственным механизмом защиты ПДн является шифрование. При этом средства шифрования должны быть сертифицированными. Логика понятна, но согласиться с ней бывает трудно. Особенно, когда для принятого в организации способа передачи данных отсутствуют сертифицированные решения или когда организация уже использует IPSec в маршрутизаторах и не готова платить миллионы рублей за то, что и так уже работает (ведь сертификация в ФСБ на уровень защиты не влияет никак). Как быть? Недавно услышал один из таких сценариев. Идея проста - передавать все ПДн через заграницу ;-) Как это облегчает задачу? Все просто. Согласно ст.4.4 ФЗ-152 "Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора". При этом в ст.12.2 ратифицированной нами Евроконвенции написано: "Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни". А т.к. в Европе нет требования использования сертифицированных в ФСБ СКЗИ, то такой сценарий вполне себе работоспособен. Правда, в ст.12 есть 3 исключения, когда могут быть наложены свои локальные правила: Передача отдельных категорий ПДн в силу характера этих данныхПередача на территорию государства, не являющегося стороной КонвенцииПередача через территорию государства , не являющегося стороной Конвенции.Т.е. чтобы не попасть в исключения достаточно передавать ПДн через страны, ратифицировавшие Конвенцию.