Итак, примерно месяц назад, 1 сентября 2015 года вступил в силу закон «О персональных данных», обязывающий хранить персональные данные россиян на российских серверах. Закон этот, впрочем как и многие другие российские законы, написан так, что его можно трактовать максимально широко, проверить его выполнение практически невозможно, а иногда оказывается невозможным и само его исполнение. Например, в случае распределённых систем хранения информации, когда информация физически не локализована на одном сервере, а распределена по всему миру. То есть даже наличие серверов компании в стране, ещё не гарантирует, что на её территории вообще хранится что-то осмысленное. Более того, а как компании будут определять гражданство своих пользователей, ведь практически все информационные ресурсы не требуют предоставления паспортов?
Если же у иностранной компании нет на территории России филиала или представительства, то на него по мнению юристов не распространяются требования закона. Представители Facebook, не имеющего офисов в России, уже в жёсткой форме сказали Роскомнадзору, что не считают нужным размещать данные российских пользователей в этой стране по экономическим причинам. Кроме того в компании вообще не считает хранящуюся у неё информацию персональной. Что уж говорить, если само ведомство признало, что не сможет проверить исполнение закона иностранными компаниями. Также в законе были сделаны исключения для авиакомпаний, так как оказалось, что все системы заказа билетов в России используют иностранные сервисы. Изменения были внесены своевременно, так как наши депутаты рисковали навсегда остаться в России, что для них совершенно неприемлемо.
Так что он уже выглядит как решето. Впрочем, с самого начала было ясно, что этот закон писался лишь затем, чтобы иметь ещё один инструмент цензуры для закрытия неугодных ресурсов, так что обсуждать его с позиций логики или пытаться как-то улучшить лишено всякого смысла. Предположим однако, что закон действительно писался бы для защиты прав людей, каким в этом случае он должен быть? На мой скромный взгляд, пользователь сам вправе распоряжаться своей информацией, но при этом он имеет полное право знать, где она будет храниться, и кто сможет её читать. Одним из таких решений было бы предоставление пользователям возможности самим выбирать, в какой стране будут храниться их данные, или заранее предупреждать о единственном варианте. Лучшим же решением было бы писать закон, используя понятие юрисдикции, а не физического расположения.
Действительно, как уже было сказано, само физическое расположение в некоторых случаях оказывается неопределено и теряет смысл, но и в случае, если компания заявила, что данные хранятся на сервере внутри страны, получить их или проверить окажется невозможно, если они зашифрованы. Так что «низкоуровневая» формулировка закона оказывается очень неудобной в применении. Юрисдикция же однозначно определяет страну в которой будет храниться ваша информация, но не в физическом, а в юридическом смысле. Пользователи сами смогут выбрать или, во всяком случае, будут знать, какая страна несёт ответственность за хранение их персональных данных.
Это особенно ценно, учитывая, что в разных странах разные законы о защите персональной информации и её разглашении по запросу в том числе других стран. Не говоря уже о том, что в некоторых странах ситуация с правами человека очень неоднозначна, и Россия, увы, не является исключением. Кстати, российский омбудсмен Дмитрий Мариничев предложил весьма схожий вариант, разрешающий хранить информацию о россиянах, на зарубежных серверах – с их согласия, но, как известно, всем всё равно. Впрочем, для реализации права выбирать юрисдикцию не нужен специальный закон, и я надеюсь, что компании сами предоставят пользователям такое право. И кроме прочего, такая возможность послужит прекрасной проверкой на доверие граждан к властям своей страны.
Ссылки:
В России вступил в силу закон о персональных данных — Российская газета
Обработка и хранение персональных данных в РФ — Минкомсвязь России
Речь депутата и речь омбудсмена о персональных данных и госрегулировании технологий — Роскомсвобода
«Как вы собираетесь противостоять прогрессу?» Закон о персональных данных: омбудсмен против депутата. Расшифровка — Meduza
Санкции самим себе: 286 млрд руб. потеряет Россия от правоприменения закона — Роскомсвобода
242 Федеральный Закон — Роскомсвобода
Данные о философских взглядах россиян защитят штрафом — BBC Русская служба
Комментарии (9)
teecat
12.10.2015 12:56Возмущаться легко. Я тоже постоянно указываю на проблемы закона. Но вот так отвергать с порога… Защищать персданные нужно. Да хоть от мошенников. Но кто будет писать подобные требования? В Думе естественно сидят не профессионалы в этой области. Закон (и подзаконные акты еще более) нужен, но кто будет его писать? Проблема не в законах как таковых — проблема в отсутствии обратных связей — рекрутирования опыта компаний и отдельных специалистов для выполнения таких проектов.
В без этого любые законы получаются страшные. Это мы тут обсуждаем ИТ. А ведь есть и другие отраслиarielf
14.10.2015 01:26А ведь есть и другие отрасли
В иных отраслях как раз таких проблем мало. Почему так много говорится про информационные технологии? Причём высказывают своё мнение как простые работники, так и руководители фирм, а законы встречают жёсткую критику и сопротивление? Во всяком случае — словесное? Потому что эта сфера весьма слабо зависит от государства. Вам не нужно ничего от правительства, чтобы писать программы. Люди в основном работают на международнные рынки и не привязаны к стране. Вся её культура и традиции пришли к нам из заграницы. А, скажем, в строительстве всё решается намного проще: откаты, взятки, свои люди в правительстве и прочие чуждые, как я надеюсь, молодым и амбизиозным программистам вещи. Я несколько лет работал в строительной фирме и видел фрагменты этой грязной кухни своими глазами. Ничего без этого построить нельзя.
qw1
Это стоит огромных денег, переделать инфраструктуру и оргструктуру (зарегистрироваться в разных юрисдикциях, формально поставить на баланс сервера, сделать защиту, чтобы никакой офис не мог получить доступ к данным другой юрисдикции, иначе с приходом органов вся защита коту под хвост). Делать так очень невыгодно, пока это не будет значительным конкурентным преимуществом, чтобы 50% пользователей перешли на продукт, предоставляющий такой выбор, только по причине наличия выбора. А пользователи в основной массе не беспокоятся.
arielf
Речь идёт не о физическом равположении серверов в стране, а о логическом хранении информации и юридической ответственности. Например, многие фирмы регистрируются в оффшорах. Компании эксплуатируют свои корабли под флагами иных стран.
qw1
Тут несколько моментов:
— Юрисдикция компании подразумевает работу (ведение учёта, кадровую политику) по законам страны, уплату налогов. Юристов, которые оптимизируют налоги и отвечают на иски, потребуется в N раз больше, по числу юрисдикций.
— Закон не мешает конфисковать сервера из датацентра, юрисдикция и неприкосновенность на сервер не распространяются.
— Сотрудники любого офиса не должны иметь возможность получить доступ к данным другой юрисдикции, иначе к ним придут как к физическим лицам и потребуют открыть доступ. Отказ — обвинение в пособничестве (террористам, педофилам и т.д., чем сейчас можно пугать).
arielf
Ну как минимум такие компании как Google, Facebook, Yahoo смогли бы себе это позволить, ведь как правило вопросы именно к ним, а не к мелким фирмам.
qw1
Может, если выкинуть эти деньги на благотворительность, карма компании выросла бы больше?