Приняв в прошлом году закон 242-ФЗ, обязывающий операторов хранить персональные данные (ПД) граждан России внутри страны, российские власти поставили в довольно сложное положение не только отечественных пользователей и всех поставщиков онлайновых сервисов, но и самих себя. Дело в том, что по задумке авторов закон сформулирован таким образом, что его можно применять как к российским компаниям, так и к зарубежным. И вот тут возникает главная «неловкость» ситуации, когда вроде бы, с одной стороны, закон нужно исполнять, а с другой — его формальное исполнение может повлечь весьма тяжелые негативные последствия и для страны, и для самих властей.

Сразу отметим, что точно такое же положение дел год назад сложилось с введенным в действие 1 августа 2014-го 97-ФЗ от 05.05.14, вводившим похожие требования для коммуникационных сервисов. В течение года Роскомнадзор не раз сообщал об отправке «решительных» требований ведущим зарубежным сервисам (Google, Facebook, Twiiter), и при этом, даже не получая никаких ответов на свои послания, российский регулятор никак не решится на применение к ним санкций, предусмотренных законом. Здесь надо понимать, что под статьи закона подпадают абсолютно все подобные коммуникационные сервисы в мире, но Роскомнадзор даже не пытается выяснять с ними отношения, отлично понимая, каким будет результат этих действий.

Но 97-ФЗ в российских СМИ не очень сильно освещался, о его существовании знают немногие. Чего нельзя сказать о 242-ФЗ, о котором весь прошедший год писалось много, и в этих публикациях мысль о том, что «мы заставим всех выполнять его положения», присутствовала постоянно. Однако именно это «заставим всех» заметно взбудоражило общественное мнение еще прошлогодним летом, поскольку граждане увидели тут угрозу лишиться доступа к интернет-сервисам, уже самым крепким образом интегрированным в их повседневную жизнь. В первую очередь речь шла о службах продажи авиабилетов и бронирования гостиниц и об интернет-торговле. Власти тогда оперативно отреагировали на эту общественную озабоченность, заявив устами депутатов Госдумы и представителей Минкомсвязи, что причин для беспокойства нет, поскольку до ввода закона в действие еще целый год и этого срока вполне достаточно, чтобы зарубежные сервисы привели себя в соответствие с российским законодательством.

Здесь нужно отметить: власти тогда фактически ушли от ответа на общественный вопрос по существу. Ведь вопрос был о том, что будет с теми, кто не соответствует законам. А то, что подавляющее большинство зарубежных интернет-сервисов не захочет вписаться в российские представления о работе с персональными данными, было понятно изначально. Почему они не станут этого делать, сейчас не столь важно, но суть проблемы заключается в том, что 242-ФЗ (как и 97-ФЗ) сформулирован так, что подавляющее число даже очень крупных зарубежных компаний просто не смогут его выполнить (по целому ряду причин — юридических, технических, организационных). То есть такие сервисы сразу ставились «вне закона».

Так что же делать: следовать ключевому юридическому принципу «суров закон, но он закон» (его надо исполнять), имея сильные риски общественного негодования, или придерживаться традиционного отечественного подхода «строгость российских законов компенсируется необязательностью их исполнения»?

Судя по всему, Минкомсвязи, которое является ответственным правительственным органом по реализации 242-ФЗ, выбрало путь легализации второго варианта, начав вносить свои исключения в толкование данного закона в специально созданном на министерском сайте разделе «Обработка и хранение персональных данных в РФ». При этом сразу подчеркнем: приведенные там разъяснения явно не имеют достаточной юридической силы, чтобы гарантировать, что написанное от имени министерства будет соответствовать реальной юридической практике. Как известно, толкование законов — это прерогатива суда, всё остальное, даже мнение федерального органа власти, — не более чем мнение, которое с позицией суда может расходиться.

На днях в этом Web-разделе министерство поделилось своими соображениями о применимости 242-ФЗ к интернет-сервисам, доступность которых вызывает повышенную озабоченность российского общества, — продаже авиабилетов и туристических услуг. Что касается первого рода сервисов, то тут Минкомсвязи высказалось вполне четко: зарубежные системы бронирования авиабилетов (как самих авиаперевозчиков, так и их агентов, т. е. посреднических компаний) освобождены от обязанности хранить данные граждан РФ в стране. В Минкомсвязи объясняют такое исключение тем, что вопросы безопасности ПД в этих системах надежно обеспечиваются положениями Воздушного кодекса РФ.

А что будет с другими подобными сервисами? Вот что говорится на сайте министерства.

Вопрос:

«Смогут ли граждане РФ размещать свои ПД в удобном для них формате и пользоваться услугами, предлагаемыми на мировом рынке товаров, работ, услуг (например: туризм (бронирование), заказ товаров, банковские услуги и т. п.)?»

Ответ министерства:

«Считаем, что изменения, вносимые в законодательство Российской Федерации Федеральным законом № 242-ФЗ, не препятствуют гражданам Российской Федерации получать за пределами Российской Федерации услуги, в случае, если в их рамках обрабатываются персональные данные граждан Российской Федерации за пределами территории Российской Федерации, в соответствии с международным договором или в соответствии с федеральным законом, либо в рамках иных исключений, на которые не распространяется норма части 5 статьи 18 152-ФЗ».

Обращаем внимание еще раз: в самой формулировке ответа подчеркивается, что это всего лишь мнение министерства, которое может меняться, а главное — совсем не обязательно для суда. По сути же Минкомсвязи уходит от прямого ответа. Если в случае с авиабилетами об отмене применения 242-ФЗ сказано однозначно, то тут ссылки на какие-то неназванные законы (и существующие ли вообще?) и «исключения». Четкого ответа о доступности таких услуг в России нет.

Что можно сказать в итоге? Как и предполагалось изначально, подавляющее большинство зарубежных интернет-сервисов 1 сентября не будут соответствовать 242-ФЗ, и не стоит ожидать, что такое соответствие может быть достигнуто в будущем. Власти страны вряд ли рискнут пойти за строгое исполнение закона: наиболее популярные сервисы будут выведены из-под его действия в виде исключений, на несоответствия же подавляющего числа других сервисов, как обычно, закроют глаза.

Но нужно отдавать отчет, что все равно все эти сервисы будут «вне закона», и к любому из них (или ко всем сразу) могут быть применены положения 242-ФЗ по всей строгости, глаза регулятора могут открыться в любой момент. Вполне типичная ситуация для российского законодательства и практики его применения.