На этой неделе в Госдуму был внесен проекта федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях)», который подготовили депутаты Вадим Деньгин, Андрей Луговой и Александр Ющенко. Документ включается две статьи, содержащие изменения в уже действующих законах — 152-ФЗ «О персональных данных» и 149-ФЗ «Об информации, информационных технологиях и о защите информации». Суть предлагаемых новшеств сводится к следующему:

1. Обязать операторов персональных данных граждан России хранить эти сведения в базах данных, расположенных на территории нашей страны, и более того — информировать компетентные государственные органы о местонахождении этих баз данных. (В комментариях уже появившихся в российских СМИ, говорится о том, что в сферу действия этих новшеств попадает и частная переписка россиян, но анализ текста проекта пока не дает оснований для такой трактовки его положений.)

2. Сформировать механизм борьбы государства с нарушителями пункта 1.

Разговоры о реализации подобных инициатив начались еще в начале года и встретили неоднозначную реакцию экспертов и общества. Но сейчас эти идеи сформулированы уже в форме конкретного закона, и представляется, что этот проект должен пройти широкое обсуждение, поскольку в нем затрагиваются серьезные общественные интересы и последствия принятия такого закона могут быть далеко не позитивными.

Сейчас можно сформулировать три основных вопроса по поводу предлагаемого законопроекта:

1. Чем вызвана необходимость внесения подобных изменений? Какие существующие проблемы и будущие задачи они призваны решить?

2. Насколько реализуемы в практическом плане предлагаемые законы?

3. Насколько хороши и понятны формулировки закона (нет ли там двусмысленности, внутренних противоречий, конфликтов с другими законами, в том числе с Конституцией России)?

Зачем нужны предлагаемые изменения

В целом понятно, что предлагаемые поправки лежат в русле общей тенденции в направлении усиления контроля за средствами коммуникаций и информационными ресурсами, причем к уже знакомым объяснениям со ссылками на борьбу с терроризмом и экстремизмом, на заботу о нравственном здоровье нации и защиту авторских прав, в последнее время прибавилась защита от недружественных интересов других стран. Все эти объяснения, конечно, тоже являются достаточно дискуссионными, но если вернуться к обсуждаемому законопроекту, то видно, что его авторы даже не посчитали нужным как-то аргументировать необходимость его принятия — какие проблемы и как они собираются решать его помощью.

В пояснительной записке, приложенной к законопроекту, никаких обоснования в пользу принятия поправок не приводится вовсе. Лишь в конце записки есть такой текст:

«Предлагаемые законопроектом изменения соответствуют, в том числе и практике Европейского суда по правам человека. Так, 13 мая 2014 года Европейский суд по правам человека вынес решение, согласно которому поисковые интернет-сервисы должны принимать во внимание просьбы физических лиц об удалении, открыто размещенной информации с упоминанием их имени из поисковых результатов. При этом, 1Т-компании, владеющие поисковыми системами в сети „Интернет“, обязаны нести ответственность за распространение персональных данных пользователей, опубликованных на сайтах третьих лиц.»

Довольно очевидно, что пример с решением Европейского суда никакого отношения к вопросу физического размещения баз персональных данных не имеет.

Напомним, что в действующем 152-ФЗ зафиксировано ключевое положение (соответствующие Конституции России и международной практике): «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Существуют ли проблемы с реализаций этого требования, о чем говорит практика? Зачем нужны дополнительные требования?

Авторы законопроекта на эти вопросы ответов не дают, но можно предположить, что их предложения связаны с потенциальной возможностью утечек такой информации в распоряжение официальных служб иностранных государств (не преступным путем, а на основе законов этих стран). Но поможет ли хранение баз данных на территории России решению такой задачи?

Если и поможет, то лишь в какой-то степени. Ведь если эти базы данных будут находиться в распоряжении иностранных провайдеров, то эти компании смогут (и будут обязаны это сделать по закону или судебному решению ) передать властям страны, в чьей юрисдикции они находятся, любую информацию независимо от того, где она физически хранится. Не говоря уже о том, что предлагаемые формулировки закона обязывают хранить в России лишь некий экземпляр базы данных, но не запрещает хранить другие экземпляры (копии) в любых других местах планеты.

Другой важный момент заключается в том, что обязательство размещать базы данных в России может привести к снижению безопасности этой информации. Простой пример: если информация о местонахождении баз данных попадет в руки российских преступных группировок (а у них интерес к персональным данных соотечественников может быть намного выше, чем у зарубежных спецслужб), то заполучить им эти сведения (например, вместе с серверами) будет намного проще, чем, скажем, из всемирного облачного пространства, в котором узнать физическое местонахождение данных очень сложно.

А если предлагаемые поправки не обеспечивают повышения безопасности данных, то зачем они нужны? Наблюдатели на этот вопрос выдвигают предположение, что это необходимо для обеспечения в случае необходимости доступа к этой информации со стороны государственных органов. Причем проблемой тут является то, что сегодня существует заметная тенденция (впрочем не только в России, но и в других странах) к реализации такой возможности хотя и законным, но внесудебным образом.

Реализуемы ли декларируемые задачи законопроекта?

Первый вопрос: каким образом оператор сможет отличить данные российских граждан от нероссийских? В подавляющем большинстве анкет по сбору такой информации графы «гражданство» просто нет.

Второй, еще более сложный вопрос, на который сегодня ни в текущем варианте закона, ни в предлагаемых поправках нет ответа: о каких именно операторах персональных данных идет речь — только об отечественных или также и об иностранных (первые находятся в российской юрисдикции, вторые — в зарубежной). Если только о российских, то предлагаемое требование является бессмысленным, поскольку огромные массивы персональных данных сосредоточены в базах иностранных компаний. Если же авторы закона имеют в виду и зарубежных провайдеров, то интересно — как они себе представляют реализацию этих требований?

Когда говорят об иностранных сервис-провайдерах, обычно подразумевают таких гигантов, как Google, Microsoft, Facebook, Twitter. Конечно, можно выставить им требование подчиниться нашему законодательству, но не факт, что эти компании выполнят их, причем, возможно, по той простой причине, это может противоречить требования законов стран, в прямой юрисдикции которых они находятся. Что будет делать Роскомнадзор в случае невыполнения его требований? Блокировать доступ, например, к Google на территории России? Тогда было бы хорошо смоделировать возможные экономические и социально-политические последствия (в том числе и внутри страны) такого шага.

Но проблема состоит не только в возможных конфликтах с мировыми ИТ-гигантами. Ведь на самом деле персональные данные россиян хранятся в базах данных сотен или тысяч зарубежных провайдеров, о существовании которых наверное Роскомнадзор даже и не подозревает. Например, это интернет-магазины, сервисы по аренде гостиницы, по продаже билетов и многие, многие другие. Как Роскомнадзор намерен контролировать факт нахождения персональных данных россиян в огромном море мировых интернет-сервисов и заставлять провайдеров переносить свои базы в Россию? Вряд ли, скажем, норвежский сервис по бронированию кемпингов в своей стране, при всем его желании, будет выносить данные сотни россиян, которые у него зарегистрировались, в отдельную базу данных, а потом заниматься размещением этого сервера в далекой стране.

Нужно отметить, что вопрос о применении российских законов в интернет-сфере уже давно является актуальным, в том числе применительно к взаимоотношениям государственных органов с зарубежными хостинг- и сервис-провайдерами. Представляется, что данная тема не очень хорошо проработана на уровне действующего законодательства, из формулировок которого обычно не очень понятно, к кому относятся данные положения: к лицам (физическим и юридическим), являющимися резидентами страны, или также к нерезидентам, что, в свою очередь, вызывает правовую неопределенность при решении юридических коллизий.

Борьба с будущими нарушителями

Что касается механизма борьбы с нарушителями, то авторы законопроекта предлагают использовать методы, в целом уже отработанные Роскомнадзором в сражениях с нежелательным контентом — блокировка интернет-ресурсов. Правда, тут возникает вопрос: далеко не все базы персональных данных формируются через интернет-сервисы и доступ к ним осуществляется не через сеть. Как быть с такими ресурсами, находящимися за рубежами страны?

Позитивным моментом предлагаемого закона является то, что решение о применении санкций к оператору персональных данных (внесение его в «Реестр нарушителей прав субъектов персональных данных» и последующая блокировка доступа к сервисам нарушителей) должна выполняться только по решению суда. Но известно, что такие условия постоянно пытаются обходить с помощью последующих дополнительных поправок, дающих возможность доступа к информации и внесудебными путем.

Возникает также вопрос о финансовых бюджетных затратах для реализации положений предлагаемого законопроекта. Авторы в пояснительно записке утверждают, что для этого «не потребует дополнительных расходов федерального бюджета». А на какие тогда средства будет создаваться и поддерживаться предусмотренная законом автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных»?

Краткие выводы

Предлагаемый закон, как минимум, требует серьезного общественного обсуждения и проведения независимых экспертиз. Пока анализ показывает, что не понятны сами цели данных поправок и реалистичность их воплощения в жизнь. В то же время видны угрозы в плане снижения безопасности данных, усложнения работы людей в Интернете и ухудшения отношений с мировым интернет-сообщестом. Все эти вопросы нужно внимательно изучать до принятия законов.


Версия для печати