На весь интернет подозрительно синхронно выплеснулась весть «Стартовые потери России от закона “О персональных данных” оценили в 286 млрд рублей» (а потом — ещё больше).

Лучше даже так: «Тоталитарный режим персонификации обойдется правительству в 286 миллиардов рублей… в принципе непонятно, как нездоровая экономика нашей страны отреагирует на данное нововведение. Скорее всего, волна недовольств может обрушиться на руководящие органы власти. … Чего же все-таки добивается наша страна. Ответ невероятно прост: Россия станет первой страной, имеющей мощность в 3 раза больше, чем у развивающихся стран, в которой будет введена полная локализация данных. Ради чего она не прочь спустить каких-то 286 миллиардов рублей, несмотря на дефицит бюджета и грозящие последствия».

Ну, хотя бы не «эта страна». Ладно, кто выступил экспертом? Некий Европейский центр по международной политической экономии (ECIPE). Вот цитата его директора Фредрика Эриксона, наглядно показывающая непредвзятость по отношению к России:

«Европейский союз был слишком слаб, чтобы снизить уровень своей экономической зависимости от России. Применение ЕС широких экономических санкций крайне неправдоподобно, даже если инвестиции и экспорт в Россию настолько велики, что санкции могли бы привести к банкротству Russia Inc.».

Очень хотелось бы, но не получится. Понятно, что эксперты скромно умолчали о том, как именно они рассчитывали потери, и огласили лишь конечный вывод. Это же эксперты, им нельзя не верить!

Но ладно, сами указали, что цель — это локализация данных. Давайте посмотрим — они как-то так написали, что это что-то плохое. Ну и глянем на сам закон.

Следует отметить, что чтение журналистских материалов на тему законодательства всегда затруднительно: юриспруденция — очень специфическая область, и мало кто в ней разбирается. Тема IT обладает теми же особенностями. При этом депутаты, выдвигающие законы, крайне редко обладают нужной юридической и компьютерной квалификацией, особенно одновременно, и принимают законы со скоростью, за которые их хорошо бы успеть просто прочитать.

Ну а журналисты, которые об этом пишут… ну, вы поняли. Так что при чтении публикаций на тему эти особенности надо учитывать, очень уж часто применяется метод «сам не слышал, но мне Рабинович напел». Так что посмотрим в первоисточник.

Федеральный закон № 242-ФЗ, о котором идёт речь, вносит в Федеральный закон № 152-ФЗ «О персональных данных» следующие изменения:

1) статью 18 дополнить частью 5 следующего содержания:

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона”».

Указанные исключения связаны с международными обязательствами, осуществлением правосудия и другой работой органов государственной власти, а также научной, творческой и журналистской деятельностью. Не вижу повода для паники.

Беглый обзор публикаций (включая обсуждения ранних редакций закона) выявил две главные «пугалки».

Первая: нельзя будет пользоваться зарубежными магазинами, бронировать билеты в гостиницах и т.д. — им что, специально в РФ сервера заводить? Однако если иностранное юридическое лицо не имеет представительства на территории России, на него не распространяются требования законов РФ, что логично.

Вторая: будет невозможно оформлять шенгенские визы (был такой массовый вброс от «анонимного европейского чиновника»). Однако эта процедура относится к имеющимся международным соглашениям и к исполнению полномочий органов власти — оба исключения прописаны в законе.

Остальное вида «для иностранных компаний слишком дорого хранить личную информацию клиентов в каждой стране, где они работают» даже не заслуживает внимания.

Почему это? Какая разница, где хранить информацию, тем более что для большинства компаний объём соответствующей информации не особо велик. Например, представитель Lenovo сообщил, что компания перенесла персональные данные российских клиентов: «Это небольшой объем информации, который занял около терабайта — такой объем можно хранить даже в обычном ноутбуке».

Да и вообще паники среди иностранных фирм не наблюдается: Cisco изначально хранила часть данных в России, не видят проблем в переносе информации eBay, PayPal, AliExpress, Samsung, Booking.com (как раз сайт для бронирования отелей). Даже Google с 2014 года заранее переносил сервера в российские дата-центры. Это — сходу, и понятно, что пишут лишь о самых крупных компаниях. Но как-то незаметно, чтобы из-за закона иностранные компании начали разбегаться.

Ясно, на кого рассчитан вброс: любому технически хоть сколько-нибудь грамотному человеку понятно, что данные безразлично, где хранить, расходы больших корпораций на аренду стойки в дата-центре ничтожны по сравнению с оборотом, а для небольших компаний речь по сути идёт о том, чтобы завести специальный жёсткий диск, на котором ещё место под любимые сериалы останутся. Даже если будет дублирование данных — это не принципиально для любой организации.

Зачем вообще разрабатывали закон? Заместитель председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству, Председатель временной комиссии Совета Федерации по развитию информационного общества Людмила Бокова объясняет:

«Вопрос о месте хранения личных данных никак не соотносится с вопросом свободы. Конституцией закреплено право каждого человека искать и получать информацию. И ни одна из законодательных инициатив, в том числе последнего времени, не является попыткой ограничить это право. В случае, когда персональные данные российских граждан хранятся на территории другого государства, мы не можем проконтролировать уровень их защиты, а ведь государство обязано обеспечить защиту прав своих граждан, в том числе права на неприкосновенность частной жизни. Поэтому мы все должны понимать, где конкретно располагаются наши данные».

Честно говоря, несколько мутновато. Я бы сказал, что видение данных тут на уровне распечатки, а не самих данных. Мол, тут мы может проконтролировать, чтобы не спёрли то, на чём данные хранятся. К сохранности самих данных это не имеет ни малейшего отношения, начиная с шифрования и заканчивая охранником с дробовиком в серверной: «По сигналу стрелять по вот этим коробочкам».

Может, тогда будет проще заставить выполнять требования российских законов? Но, скажем, Twitter последовательно не выполняет требования российского законодательства, в том числе направленные на противодействие экстремизму, хотя аналогичные запросы США удовлетворяет, чем и хвастается. Ну и чем поможет, если сервер с данными «какой у кого никнейм» будет на территории России? Да что там Twitter — в изначально российском «вконтактике» можно найти всё, от гей-порнографии до парадов гордости самостийных бандеровцев, включая явно русофобские и антироссийские паблики и группы — лучше бы тут зачисткой занялись.

Более того, а как можно проверить, хранятся ли эти самые персональные данные именно на этом сервере в РФ? Конечно, специалист определит — но для этого нужен полноценный доступ в систему, что без санкции суда затруднительно. Но ладно — сами разрешили, но как убедиться, что на сервере все-все персональные данные и именно россиян? А вдруг несколько байт хранится на сервере в другой стране, как отследить такое вопиющее нарушение закона?

Юридический аспект закона также шедеврален. Читаем определение: «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Это даже не «позволяющая идентифицировать лицо», а вообще любая. Всё, что написали (сказали, записали на видео) лично вы, и всё, что написали (сказали, записали на видео) о вас другие. Как-то даже не смешно. Похоже, те, кто выдал такую формулировку, вообще никогда не пользовались интернетом.

При этом некоторые хотят ещё расширить понятие: «Помощник президента Игорь Щеголев предложил расширить понятие персональных данных, включив в них информацию о действиях пользователей в интернете, например в соцсетях… В качестве примера Щеголев привел поисковые запросы, данные геолокации и информацию о посещаемых пользователями сайтах. Эти данные напрямую не идентифицируют человека, но характеризуют его привычки, поведение и мировоззрение, а значит, могут считаться персональными».

Таким образом, закон юридически как минимум не проработан, а технически как минимум странен.

Уже имеется факт практического применения: «В Роскомнадзор уже поступило решение Симоновского районного суда, где более 60 сайтов признаны нарушителями закона “О персональных данных”. Эти ресурсы размещали различные базы данных и справочники с персональными данными россиян». Одобряю, но ради этого городить настолько большой огород?

Доверять голословным утверждениям всяких «экспертов» не стоит — никто не будет резать выгодных для России бизнес-партнёров. И я бы сказал, что данный закон — очередной результат применения традиционного метода «бешеного принтера», если бы не одно обстоятельство: Барак Обама потребовалот правительства Китая отменить введение законопроекта, схожего с российским законом о персональных данных: «Мы ясно дали понять, что это то, что они должны изменить, если они хотят продолжить иметь деловые отношения с США».

Причём Китай, в отличие от РФ, требует не только хранить персональные данные китайских пользователей на территории КНР, но и предоставлять записи о действиях пользователей по запросу силовых ведомств Китая, а при использовании шифрования данных ключи будет необходимо предоставить спецслужбам КНР. Более того, оборудование для банковского сектора должно проходить специальную сертификацию, а для госзакупок будет запрещено приобретение продукции таких фирм, как Cisco Systems, Apple, Intel и т.д., необходимо будет приобретать местную технику.

Мы пока не можем позволить себе подобного — но если рассматривать закон «О персональных данных» как подготовительный к подобном комплексу мероприятий — то это очень правильный закон по своей сути, а вот текущие формулировки надо бы подредактировать.

Источник