image

Осталось чуть больше двух недель до вступления в силу нового закона о локализации персональных данных россиян. В связи с новым законодательством у владельцев сайтов в Рунете все еще возникает немало вопросов по поводу того, а где же безопасней хостить сайт, и что будет, если персональные данные российских пользователей будут первично собираться, обрабатываться и храниться на серверах за пределами страны. Для того, чтобы ответить на эти вопросы и понять, так где же стоит хостить свой сайт и как не попасть в неприятную ситуацию, связанную с привлечением Роскомнадзором к ответственности за нарушение правила об обработке персональных данных российских пользователей сети, необходимо определить общие правила правового регулирования хостинга в России и обозначить пределы законодательного регулирования гражданско-правового оборота персональных данных, чему и посвящено указанное исследование.


ХОСТЕРЫ КАК ИНФОРМАЦИОННЫЕ ПОСРЕДНИКИ

С незапамятных времен аналоговой эры существовали посредники, которые занимались предпринимательской деятельностью, связанной с оказанием сервисов для граждан и хозйственных обществ (сегодня это B2C и B2B). Среди них были почтальоны, владельцы складов, торговцы и организаторы ярмарок. В цифровую эпоху, все те же сервисы, которые существовали в реальном мире, появились и в форме диджитал. Вместо почтальонов появились интернет-провайдеры, вместо владельцев складов — хостеры, вместо организаторов ярмарок — поисковики, форумы и соц.сети, ну а роль рыночных продавцов взяли на себя Интернет-магазины и веб-аукционы.

Длительное время принцип «почтальонского иммунитета» строго действовал в аналоговом мире. И несмотря на то, что аналог СОРМ уже в советские годы использовался на узлах почтовой связи, почтальоны никогда не фигурировали в качестве сторон по гражданским и уголовным делам, связанным с содержимым посылки или письма, с дальнейшим привлечением их к ответственности.

Однако в цифровую эру наступил момент, когда роль инфопосредников заметно возросла в жизни общества, и назрела необходимость наделения их особым юридическим статусом.

Длительное время в российской правовой системе отсутствовали какие-либо специальные нормы касательно деятельности хостеров, провайдеров доступа и операторов веб-приложений. Однако российский законодатель, опираясь на различный международный правовой опыт регулирования сети, в стремительном темпе с 2012 г. начал принимать нормы, возлагающие новые обязанности и предусматривающие ответственность информационных посредников.

Следует отметить, что в настоящее время в международной практике выделяют три правовых режима деятельности информационных посредников:
— прямая ответственность — например, Китай, где на информационных посредников возложена обязанность по активному мониторингу контента под угрозой наказания;
— «тихие гавани» — например, Сингапур, Гана, Уганда, Южная Африка и Европа, где инфопосредники обладают надежным иммунитетом от ответственности если они соблюдают процедуру претензионного рассмотрения обращений;
— почти абсолютный иммунитет от ответственности за контент, созданный другими — например, США или Чили, где инфопосредник не отвечает за контент создаваемый другими в случае если он не видоизменяет контент. Инфопосредник лишь обязан удалить контент по постановлению суда.

Манильские принципы, выработанные на Филиппинах в 2015 г. представителями крупнейших правозащитных организаций в области распространения информации, на сегодняшний день наиболее детально формулируют основные принципы ответственности информационных посредников, в т.ч. и хостеров.

В настоящее время модель правового регулирования деятельности информационных посредников в России только формируется и пока, похоже, представляет из себя микс из первого и третьего варианта.

Существующее российское законодательство в области IT различает три вида информационных посредников:
1. операторов связи (в международной практике — ISP);
2. хостинг-провайдеров;
3. организаторов распространения информации (OSP).

В этом исследовании мы будем рассматривать исключительно правовое регулирование деятельности хостинг-провайдеров и их ответственность за размещаемый контент и обработку персональных данных.

ПРАВОВОЕ РЕГУЛИРОВАНИЕ ХОСТИНГА В РФ

image Впервые, дефиниция хостинг-провайдера появилась в российском законодательстве после вступления в силу первого закона, предусматривающего ограничения доступа к веб-сайтам. Федеральным законом от 28.07.2012 № 139-ФЗ, который внес изменения в Федеральный закон №149-ФЗ “об информации” было определено, что провайдер хостинга — это лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет»;

Хостинг-провайдеру в соответствии с законом отводилась особая роль информационного посредника. Так, согласно ст.15.1 №139-ФЗ хостер в течение суток с момента получения от Роскомнадзора уведомления о включении сайта в реестр, он обязан проинформировать об этом обслуживаемого им владельца сайта в сети «Интернет» и уведомить его о необходимости незамедлительного удаления интернет-страницы, содержащей информацию, распространение которой в Российской Федерации запрещено.

Если в течение суток владелец сайта этого не делает, то хостер обязан сам ограничить доступ к такому сайту в течение суток. В случае если это сделано не будет, то Роскомнадзор вносит сайт вместе с доменным именем, указателем страницы сайта в сети (URL) и сетевым адресом (IP) в реестр, после чего все операторы связи обязаны ограничивать к нему доступ пользователей.

В 2013 году Антипиратским законом ver.1.0 (Федеральный закон №187 от 02 июля 2013) была введена в действие статья 1253.1 Гражданского кодекса РФ. Так была установлена еще одна норма об ответственности хостинг-провайдеров за размещение контента с нарушением исключительных авторских прав. В соответствии со ст. 1253.1 информационный посредник, предоставляющий возможность размещения материала в информационно-телекоммуникационной сети, не несет ответственность за нарушение интеллектуальных прав, произошедшее в результате размещения в информационно-телекоммуникационной сети материала третьим лицом или по его указанию, при одновременном соблюдении информационным посредником следующих условий:
1) он не знал и не должен был знать о том, что использование соответствующих результата интеллектуальной деятельности или средства индивидуализации, содержащихся в таком материале, является неправомерным;
2) он в случае получения в письменной форме заявления правообладателя о нарушении интеллектуальных прав с указанием страницы сайта и (или) сетевого адреса в сети «Интернет», на которых размещен такой материал, своевременно принял необходимые и достаточные меры для прекращения нарушения интеллектуальных прав. Перечень необходимых и достаточных мер и порядок их осуществления могут быть установлены законом.


Статья 17 №149-ФЗ «Об информации» предусматривает ограничение ответственности хостера. Так, в случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:
1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;
2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.

Провайдер хостинга, оператор связи и владелец сайта в сети «Интернет» не несут ответственность перед правообладателем и перед пользователем за ограничение доступа к информации и (или) ограничение ее распространения.

Закон установил, что к информационному посреднику, который не несет ответственность за нарушение интеллектуальных прав, могут быть предъявлены требования о защите интеллектуальных прав, не связанные с применением мер гражданско-правовой ответственности, в том числе об удалении информации, нарушающей исключительные права, или об ограничении доступа к ней.

Однако анализ правоприменительной практики показал, что несмотря на ограничение ответственности, хостинг-провайдеры стали довольно частыми фигурантами судебных процессов по самым разным основаниям: в Мосгорсуде — по вопросам блокировки пиратских сайтов, в районных судах — по вопросам взыскания компенсации за нарушение интеллектуальных прав, а также по искам прокуроров в защиту неограниченного круга лиц в связи с размещением информации, признаваемой государственными органами незаконной. Зачастую, в случае если Истец не может или не хочет привлекать в качестве Ответчика владельца интернет-ресурса или администратора домена (например, если такое лицо находится вне юрисдикции РФ, и становится очевидно, что решение суда будет затруднено к исполнению), которые имеют реальную возможность модерировать контент сайта, иски предъявляются к российским хостинг-провайдерам, как к солидарным ответчикам. Это позволяет прокурорам, а также гражданам и юр.лицам с соблюдением принципа подсудности все же инициировать процессы в российских судах, подавая иски по месту нахождения хостинг-провайдеров.

В таких случаях владелец сайта, находящийся не на территории РФ, но нацеленный на российскую аудиторию, вынужден находить компромисс с лицом, подавшим иск для того, чтобы не допустить блокировки ресурса и потери интернет-трафика.

Если же иностранный владелец веб-сайта на это не идет, то решение принимается в отсутствие сторон. Хостинг-провайдер, как правило не имеет личной заинтересованности в исходе дела и не имеет возможности отправлять в разные уголки страны адвокатов, представляющих интересы как его самого, так и его клиентов по самым разнообразным делам, связанным с размещением незаконной информации. Однако, даже при отсутствии вины на хостера, как на проигравшую сторону возлагается возмещение судебных издержек, в т.ч. госпошлины, расходов на обеспечение доказательств, оплату услуг юристов со стороны Истца.

Кроме постоянных судебных повесток российские хостинг-провайдеры получают еще и множество иных запросов от различных структур, но чаще всего это МВД (отдел К) и ФСБ. Иногда участковые.

Ужесточение гос.регулирования российского IT-сектора и хаотичная практика по пресечению оборота противоправной информации в киберпространстве несомненно сказались и на снижении привлекательности российского рынка хостинга. Это признают сами представители отрасли, которые на XXIV Всероссийском форуме провайдеров хостинга, прошедшем 28-30 мая 2015 г. в СПб, обратились к Интернет-омбудсмену поддержать инициативу по улучшению правовой ситуации в области предоставления хостинговых услуг.

ИММИГРАЦИЯ САЙТОВ

image Последние 3 года российские пользователи интернета и отечественный IT-бизнес могли наблюдать резкий темп правового регулирования оборота информации в сети. В стремительные сроки без какого-либо обсуждения с обществом и учета предложений отрасли были приняты 6 федеральных законов, наделяющих 5 различных органов власти принимать решение об ограничении доступа к сайтам в сети Интернет по более чем 15 основаниям.

Деятельность Роскомнадзора по самостоятельному определению IP адресов “сайтов с незаконным контентом” с дальнейшем направлением требований российским операторам связи об ограничении доступа в том числе и по сетевым адресам, закономерно привела к нарушению связанности и целостности российской сети. По результатам общественного мониторинга, более 260 000 веб-сайтов было заблокировано за это время, только потому что они находились на тех же адресах, что и сайты с информацией, к которой имелись претензии уполномоченных государственных органов и правообладателей. Внедрение законодательства о защите детей, антипиратского закона ver.2.0 с возможностью вечной блокировки сайтов, на фоне не останавливающихся повсеместных несистемных блокировок сайтов по требованию районных и городских прокуроров создали в целом неблагоприятную почву для размещения в российской юрисдикции посевных проектов, а также готовых b2b и b2c сервисов, форумов, блог-платформ и др. веб-приложений.

Избыточное государственное регулирование и вмешательство российского законодателя в работу сети и правоприменителя создали два правила ведения бизнеса в Рунете.

Первым правилом реализации любого проекта в Интернете стало правило не регистрировать домены в зоне .ru. Это связано с рядом вполне реальных рисков:
— обязанностью российского регистратора доменных имен выдать всю информацию третьим лицам (в т.ч. конкурентам) об администраторе доменного имени;
— изъятием доменного имени по решению суда с применением норм законодательства о промышленной собственности;
— внесудебным порядком приостановки делегирования доменного имени по требованию органов, осуществляющих ОРД.

Вторым правилом ведения бизнеса в Рунете стало хранение информации на серверах, находящихся не на территории РФ. Это связано с возможностью раскрытия в РФ информации о веб-сайте, клиентах, и другой чувствительной информации, которая может быть получена злоумышленниками либо по требованию правоохранительных органов, изъятием серверов и ряда других рисков, речь о которых пойдет ниже.

Беспорядочная блокировка сайтов наряду с постоянными требованиями о предоставлении информации и удалении информации в РФ в купе с более привлекательным показателем цена/качество по аренде серверного пространства в странах ЕС и США привели к массовой миграции российских интернет-ресурсов, нацеленных на российскую аудиторию, к иностранным хостерам, где правоприменительная практика более предсказуема, а стоимость услуг ниже.

До 2012 года доля сайтов доменной зоны .ru, размещенных за границей, составляла 15%, и то, большинство сайтов были российскими версиями интернет-площадок крупных международных компаний. Согласно исследованию Openstat на 2014 г. лишь только среди сайтов в зоне .ru более ? всех ресурсов уже хостилось зарубежом. По данным Reg.Ru, немецкая компания Hetzner — крупнейший провайдер хостинга зоны .ru — на ее серверах находятся 13,8% сайтов главного домена России.

В 2014 году депутат Климов представил результаты исследования экспертов Общероссийского народного фронта, которые в рамках мониторинга госзакупок выборочно изучили 9000 сайтов госзаказчиков. Довольно любопытно, что более трети из них также оказались на иностранных серверах, в основном в США и Германии. Всего, как показало исследование ОНФ, зарубежным хостингом пользуются 1560 федеральных бюджетных учреждений, 1230 органов власти, 720 муниципальных учреждений и 350 предприятий, обладающих признаками стратегических.

КУРС НА РЕПАТРИАЦИЮ

Увеличение правовых рисков внезапного прекращения работы веб-сайтов при постоянном давлении на российских хостеров со стороны правоохранительных и судебных органов, а также правообладателей, несомненно, заставило большое количество веб-сайтов физически уехать в более “тихие гавани” иностранных юрисдикций. Было очевидно, что, с одной стороны, это наносит урон экономике РФ и российским дата-центрам, с другой стороны, это не позволяет органам, осуществляющим оперативно-розыскную деятельность получать информацию и осуществлять в необходимых случаях слежку за пользователями различных ресурсов. Для того, чтобы заставить российские веб-сайты вернутся на сервера в РФ на высшем уровне было сформировано решение принять ряд законотворческих мер.

В соседней Беларуси просто законодательно запретили резидентам хостить сайты за пределами своей Родины (что, несмотря на запреты, практически повсеместно не выполняется). В России же решили пойти по пути объявления прямой обязанности государства во чтобы то ни стало защитить персональные данные россиян и обеспечить безопасность веб-сайтов гос.органов. Очевидно, в условиях назревшей информационной войны необходимо предпринимать все меры для минимизации рисков уничтожения, блокирования и изменения информации на официальных сайтах гос.органов, а также для понижения уязвимости от кибератак и информационного шпионажа.

И если законодательное требование о хостинге госсайтов на территории РФ, принятое в конце декабря 2014 года и вступающее в силу с 01 июля 2015 года было понятно с точки зрения национальной безопасности, то императивное требование резонансного Федерального закона №242-ФЗ о локализации персональных данных россиян с 01 сентября 2015 г. вызвало наибольшее количество оживленных дискуссий и публикаций на разных площадках.

Надо отметить, что разоблачения Сноудена о массовой слежке АНБ очень хорошо легли в новую национальную концепцию того, почему персональные данные (далее — ПНд) российских пользователей Интернета и сайты гос.органов должны в обязательном порядке храниться на российских серверах.

ХОСТИНГ ЗА РУБЕЖОМ В КОНТЕКСТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

image Закон о «локализации персональных данных” вызвал немало вопросов у отрасли. Его не ругал только ленивый. Но dura lex sed lex. Несомненно, он был весьма плохо продуман, технически нереализуемым и плохо коррелирует с уровнем технологического прогресса. Масло в огонь подлили и СМИ.

Принятие закона о “локализации персональных данных” сопровождалось широким освещением законодательной инициативы в различных СМИ, в результате чего были созданы два главных мифа о Федеральном законе №242-ФЗ:

— россиянам отныне запрещено размещать свои персональные данные за рубежом;
— всем иностранным компаниям запретили получать и обрабатывать персональные данные россиян на серверах за пределами РФ.

Но так ли это? Давайте разберёмся.

Федеральным законом № 242-ФЗ предусматривается, что «при сборе персональных данных, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». В противном случае, доступ к сайту, уличенному в первичном сборе и хранении персональных данных российских граждан не базах данных, находящихся в пределах юрисдикции РФ, может быть ограничен.

1 сентября 2015 года Федеральный закон № 149 «Об информации, информационных технологиях и о защите информации» будет дополнен ст.15.5, предусматривающей, что все уникальные идентификаторы сайтов, нарушающих требование нового закона, должны быть внесены Роскомнадзором в специальный реестр нарушителей персональных данных и далее блокироваться всеми интернет-провайдерами.

Новость о новом законе создала настоящую панику в Рунете и породила немало переживаний владельцев российских сайтов, которые предпочитали до этого размещать свои ресурсы на хостинге за рубежом.

Для того чтобы развеять мифы необходимо подробно разобраться с самим законом, а также с понятием “персональных данных” и “баз данных”.

Во-первых, законодатель при принятии новой нормы одновременно предусмотрел исключения. Указанные требования не распространяются на сайты, которые занимаются обработкой персональных данных для:
— достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
— исполнения судебного акта;
— исполнения полномочий органов государственной и муниципальной власти;
— осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

Как видно, в законе предусмотрен юридический механизм так называемых изъятий. Это подтверждает и сам министр связи Николай Никифоров: “ если те или иные виды деятельности регулируются международными соглашениями или профильным законодательством, они не попадают под действие этого закона”.

Во-вторых, закон не запрещает создание реплики любого сайты с хранением его на серверах, расположенных на территории стран, подписавших конвенцию Совета Европы ETS №108, а также трансграничную передачу персональных данных. Согласно ратифицированной Россией Конвенции Совета Европы ETS №108 «О защите физических лиц при автоматизированной обработке персональных данных», в части 2 ст.12 предусматривается, что присоединившиеся к ней страны не будут запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны Конвенции, а ст. 25 запрещает любые оговорки в отношении Конвенции.

Таким образом, хранение и обработка персональных данных за рубежом будет считаться правомерной в государствах, подписавших Конвенцию: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония, а также как это следует из разъяснений Роскомнадзора, в странах, обеспечивающих адекватную защиту персональных данных. Такими признаются страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных: Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

В-третьих, речь в законе идет только о персональных данных. Согласно ст.3 Федерального закона от 27.07.2006 №152 „О персональных данных“ персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Несмотря на то, что российская дефиниция несколько некорректна и устарела, на что неоднократно обращалось внимание отрасли (в части отдельного определения идентификационных данных), ее дополняет положение ст. 2 Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, подписанная в Страсбурге 28 января 1981 года. В Конвенции указывается, что «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных)”.

Вместе стем, Конвенция Совета Европы, вступившая в силу для Российской Федерации с 1 сентября 2013 г. занимает более высокий статус в иерархии нормативных документов в системе российского права, т.к. согласно Конституции РФ, общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законодательством, то применяются правила международного договора.

На основании этого можно сделать вывод, что персональные данные представляет из себя все же не любая информация о человеке, а информация, при помощи которой можно определить конкретного гражданина. Этой позиции придерживается и Роскомнадзор, который указывает, что само по себе “размещение на страницах сайтов в сети «Интернет» фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица”. Аналогична позиция ведомства и в отношении фотографий. “Размещение на страницах сайтов в сети «Интернет» фотографии без дополнительной информации, позволяющей идентифицировать физическое лицо, как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица”.

Таким образом, фотография человека — это неидентифицирующие данные, также как и ФИО, сами по себе. В то же время их сочетание — уже относится к персональным данным. Номер телефона в сочетании с именем, e-mail и адресом доставки также не относятся к персональным данным, так как публичного доступа к базам мобильных номеров не существует, а значит обладание этой информации не позволяет идентифицировать человека. Однако, если владельцы веб-ресурсов вместо поля “адрес доставки” будут использовать поле “место жительства”, то в сочетании с другой информацией о гражданине такие данные будут считаться персональными данными, т.к. позволяют однозначно идентифицировать лицо.

В-четвертых, в законе не содержится никаких требований, запрещающих хранение персональных данных россиян на серверах вне территории РФ. Единственное, что есть — это требование к оператору обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Как справедливо отметил Интернет-омбудсмен и владелец собственного хостинга Дмитрий Мариничев на Петербургском Международном Юридическом Форуме (27-30 мая 2015 г.):
Программное обеспечение, работающее на смартфоне, работает на локализованном устройстве, в Российской Федерации. Оно собирает, агрегирует, хранит персональные данные в базах данных, которые хранятся в памяти мобильного устройства. После этого закон говорит — передавать трансгранично — это возможно, это в рамках закона, у нас Конвенция. Устройство передало. Где в законе написано, что сервера должны храниться в России с единственной репликой персональных данных граждан Российской Федерации?


Очевидно, регрессивное законодательство создает определенные проблемы у крупных операторов веб-сервисов, однако в ряде случаев принятый закон не может ограничить определенные действия владельца веб-сайта с предоставленными пользовательскими данными, даже если сайт хоститься в зарубежных дата-центрах. Федеральный закон “о локализации данных” не запрещает размещение сайтов за рубежом по причине обработки информации о гражданах РФ. Если бы даже законодатель пытался это сделать, то закон был бы абсолютно невыполним и неэффективен в условиях современных технологий сети.

КТО ПОДПАДАЕТ ПОД ДЕЙСТВИЕ ЗАКОНА

image Сначала те, кто не должен подпадать под требование закона о локализации персональных данных:
1. Веб-сайты, которые осуществляют оформление и выдачу виз;
2. Веб- сайты гос. и муниципальных органов;
3. Веб-сайты СМИ и Интернет-издания (новостные ленты, индивидуальные блоги, авторские проекты);
4. Информационные ресурсы, не нацеленные на захват данных пользователей;
5. Веб-сайты, нацеленные на научную, литературную или любую иную творческую деятельность, а также UGC-ориентированные ресурсы (блог-платформы, платформы для коллективного творчества, в т.ч. на вики-движке);
6. Интернет-магазины и сайты по оказанию бытовых услуг, сайты-визитки (landing page), на которых размещается форма заявки для получения имени, телефона и e-mail клиента (а также адрес доставки, т.к. адрес доставки не тождественен адресу места жительства).
7. Веб-сайты и сервисы (в т.ч. “счетчики”), собирающие и передающие следующую обезличенную информацию в автоматическом режиме: информация о дате и времени запроса, типе браузера или иного приложения, языке, данные об устройствах, такие как модель, версия операционной системы, уникальные идентификаторы устройства, включая IP-адрес, а также данные о мобильной, беспроводной или другой сети, сведения о действиях в журналах серверов, включая сведения об использовании служб, поисковые запросы, URL перехода, использованные ссылки и функции, просмотренный или запрошенный контент, данные об аппаратных событиях, в том числе о сбоях и действиях в системе, а также файлы cookie и другие подобные файлы и технологии, например локальные общие объекты, веб-маяки и т. п., сохраняемые кэш-функцией пользовательского веб-браузера или иного клиентского программного обеспечения;
8. Веб-сайты в сегменте B2B, которые не продают услуги/товары физ.лицам и не обрабатывают персональные данные граждан.
9. Пользовательские форумы и чаты;
10. Веб сайты авиабилетных агрегаторов

При буквальном прочтении закона можно сделать вывод, что под действие закона будут попадать следующие виды ресурсов:
1. Веб-сайты, собирающие паспортные данные пользователей (сервисы по аренде автомобилей, бронированию гостиниц и др.);
2. Социальные сети;
3. Веб-сайты, собирающие биометрические данные граждан (в т.ч. дактилоскопические данные, радужную оболочку глаз, анализы ДНК, рост, вес и другие, а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить личность человека и используются оператором для установления личности);
4. Платежные сервисы;
5. Веб-сайты банков, МФО и иных финансовых/страховых предприятий, позволяющих делать заявки на оказание финансовых услуг;
6. Веб-сайты медицинских учреждений, предприятий розничной торговли, использующих программы лояльности, учебных учреждений, социальных учреждений, которые имеют функционал личного кабинета и однозначно идентифицируют клиента по паспортным данным, номеру договору, а также другим данным, представленным самим гражданином;
7. Веб-сайты рекрутинговых агентств и компаний по предоставлению персонала.

В таких случаях, оператор персональных данных (как правило, это владелец интернет-сайта) во избежания ответственности должен осуществлять первичную обработку данных на ЦОД, которые кроме нахождения в России, также должны отвечать и техническим требованиям защиты конфиденциальной информации (ТЗКИ) с необходимым уровнем защищённости. При этом у хостера должна быть лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации и лицензия ФСБ на предоставление услуг с использованием шифровальных (криптографических) средств.

Можно сделать вывод, что в случае, если веб-сайт собирает заявки лишь в виде имени и телефона, либо e-mail, либо позволяет обмениваться электронными сообщениями с пользователями, указывающими только имя и адрес электронной почты, он также не подпадает под правило о локализации персональных данных. Защите в рамках законодательства о персональных данных подлежит только та информация, по которой можно определить, что эта информация относится к конкретному лицу. Первичная обработка, хранение и распространение информации, из которой нельзя сделать однозначный вывод о её принадлежности к конкретной персоне (в том числе обезличенные данные) не может нарушить прав и свобод физического лица, а значит может осуществляться в любом месте.

В настоящее время невозможно дать легальное толкование с точным перечнем информации, относящейся к персональным данным, а также случаев отнесения тех или иных онлайн-ресурсов к требованиям “о локализации персональных данных” россиян. Какой будет реальная практика после принятия ряда подзаконных актов и начала правоприменения Роскомнадзором и судами, не знает никто. Регулятор, до момента принятия во исполнение закона постановлений и приказов, воздерживается от каких-либо разъяснений.

После появление новостей о принятии закона, устанавливающего новые правила работы с персональными данными, перед компаниями встало сразу несколько важных вопросов:
1. стоит ли вносить изменения в собственные локальные нормативные акты и заключать нвоые договоры с российскими дата-центрами;
2. будет ли усилен контроль со стороны Роскомнадзора и насколько увеличится количество судебных разбирательств по защите субъектом своих прав.

Однако, несмотря на правовую неопределенность закона, эксперты отрасли сходятся во мнении, что ожидать усиления внимания со стороны регулятора ко всем владельцам сайтов в Рунете в ближайшее время не стоит. Да и учитывая множество новых обязанностей возложенных на ведомство, определенно можно сказать, что у Роскомнадзора нет человеческих ресурсов для проверки более 3 млн компаний работающих в зоне Рунета на предмет их соответствия требованию о локализации персональных данных. . Поэтому, указанный закон скорее станет законом выборочного правоприменения. В Роскомнадзоре заявили, что готовы начать проверку 0,01 компаний (317 компаний), работающих с перс.данными россиян на предмет соотвествия требованию о локализации. В ведомстве также уверют, что Twitter под действие закона не подпадает, так как не хранит персональных данных россиян, а Facebook и Google пока трогать и блокировать не будут.

Некоторые вопросы, связанные с применением нового законодательства были раскрыты на официальном портале МинКомСвязи. На сайте представлены разъяснения по закону о локализации персональных данных 242-ФЗ, которые позволяют компаниям определить, какие изменения им необходимо внести в свою IT-инфраструктуру и (или) бизнес-процессы для того, чтобы исполнить закон.

Кроме того силами РАЭК и РКН был создан портал пд-инфо.рф, посвященный реализации федерального закона №242-ФЗ, на котором есть также множество вопросов-ответов касательнонового требованию к обработке персональных данных российских пользователей интернета.

РИСКИ И ОТВЕТСТВЕННОСТЬ

image Напомню, что за несоблюдение требований нового российского законодательства локализации предусматривается ряд негативных последствий.

Прежде всего, закон “о локализации персональных данных” внес изменения в законы 152-ФЗ (О персональных данных) и 149-ФЗ (Об информации) и предполагает создание при РосКомНадзоре «реестра нарушителей прав субъектов персональных данных», куда с 01 сентября 2015 года будут включаться интернет-ресурсы, нарушающее требование хранить информацию о персональных данных граждан в РФ в базах данных, расположенных на территории РФ, и на этом основании могут быть заблокированы на основании решения суда.

Кроме блокировки сайта нарушение повлечет также и наложения штрафа на владельца сайта. Действующее законодательство, а именно ст. 13.11 КоАП, в настоящее время предусматривает штрафы от 500 рублей (для граждан) до 10 тыс. рублей (для юридических лиц) за нарушение установленных правил (без пояснений видов нарушений). Однако, указанных штрафов показалось мало, и в 2015 г. появилась законодательная инициатива Правительства по увеличению взыскиваемых штрафов (на момент данной публикации не принята). Законопроектом предусмотренр, что если персональные данные будут обрабатываться с согласия субъекта, но с нарушением действующих норм, штраф составит от 700 рублей для граждан до 50 тыс. рублей для юрлиц. Всего в ст. 13.11 КоАП предлагается включить 8 пунктов, описывающих различные формы нарушений и соответствующие штрафы (вместо одного абзаца в нынешней редакции).

Административная ответственность на хостеров, как информационных посредников, распространяться не будет.

Вызывает сомнение, что принятые меры гос.принуждения смогут значительно увеличить спрос на услуги дата-центров в России, а вот понизить инвестиционную и клиентскую привлекательность — это вполне, т.к. новые правила регулирования вызывают непонимание и страх у многих представителей бизнеса. По данным исследования Европейского центра по международной политической экономии (ECIPE), вступление в силу закона «О персональных данных» приведет к падению российского ВВП на 0,27%, что соответствует 286 млрд руб.

Вместо стимулирования использования природного потенциала страны для строительства в российской зоне севера дата-центров, работающих на возобновляемых источниках энергии, в настоящее время наблюдается законодательный тренд на принятие непопулярных решений, главной целью которых является давление на западных IT гигантов, имеющих львиную долю потребления среди российских пользователей Рунета. Все это ставит отечественных хостинг-провайдеров в неконкурентные условия с остальным миром и серьезно тормозит развитие российского IT-рынка.

Материал подготовлен при поддержке хостинг-провайдера FASTVPS.RU

Комментарии (9)


  1. CrazyRad
    14.08.2015 11:49

    В соседней с вами Беларуси запретили размещать сайт вне страны, если на сайте ведется бизнес. Те юридические лица, которые не выполняют это требование, добавляют себе хороший риск попасть на штраф при проверке. Остальные могут хоститься где угодно.


    1. awoland
      14.08.2015 14:46
      +2

      Очевидно, что юридическое лицо в этом случае следует размещать вне страны.


    1. sardarbinyan
      14.08.2015 23:56

      при этом размещение неанимированного баннера может быть расценено как бизнес в осбо крупном )


  1. inkvizitor68sl
    14.08.2015 14:34
    +1

    > Сначала те, кто не должен подпадать под требование закона о локализации персональных данных:
    >…
    > Интернет-магазины и сайты по оказанию бытовых услуг, сайты-визитки (landing page), на которых размещается форма заявки для получения имени, телефона и e-mail клиента
    В этом вы уверены?


    1. sardarbinyan
      14.08.2015 23:57

      частное мнение практикующего и теоретизирующего юриста. не более )


  1. msuhanov
    14.08.2015 20:04

    — почти абсолютный иммунитет от ответственности за контент, созданный другими — например, США или Чили, где инфопосредник не отвечает за контент создаваемый другими в случае если он не видоизменяет контент. Инфопосредник лишь обязан удалить контент по постановлению суда.


    США? Там иммунитет при соблюдении указанных в законе условий, одно из которых, для хостинг-провайдеров – удалить контент. И не просто удалить, а оперативно удалить. И оперативно удалить не по решению суда, а по претензии, составленной в установленном законом порядке, которую отправляет далеко не суд. Такой вот DMCA.

    На основании этого можно сделать вывод, что персональные данные представляет из себя все же не любая информация о человеке, а информация, при помощи которой можно определить конкретного гражданина.


    Этот вывод не следует из федерального закона или международной конвенции. Хотя, да, его разделяют юристы Роскомнадзора в своих разъяснениях. Но если следовать букве закона, то возможно и другое толкование – человек определил себя, например, заключив договор с указанием своих данных, а затем любая информация об этом человеке, полученная другим лицом в рамках этого договора, будет персональными данными (поскольку относится к уже определенному при заключении договора лицу).

    так как публичного доступа к базам мобильных номеров не существует, а значит обладание этой информации не позволяет идентифицировать человека.


    А если номер телефона попадает к человеку, который может его «пробить» на законных основаниях, то становится ли он персональными данными или нет? :-)

    Программное обеспечение, работающее на смартфоне, работает на локализованном устройстве, в Российской Федерации. Оно собирает, агрегирует, хранит персональные данные в базах данных, которые хранятся в памяти мобильного устройства. После этого закон говорит — передавать трансгранично — это возможно, это в рамках закона, у нас Конвенция. Устройство передало. Где в законе написано, что сервера должны храниться в России с единственной репликой персональных данных граждан Российской Федерации?


    С этим можно согласиться, но только в двух случаях:
    1. смартфон – это лицо, обрабатывающее персональные данные;
    2. физическое лицо – это оператор своих же персональных данных.


    1. sardarbinyan
      15.08.2015 00:07

      а затем любая информация об этом человеке, полученная другим лицом в рамках этого договора, будет персональными данными (поскольку относится к уже определенному при заключении договора лицу).

      не думаю что я вас понял. По условиям задачи договор трехсторонний что ли. Информация будет считаться перс/данными с самого начала, если с большей долей вероятности позволяет идентифицировать человека.

      А если номер телефона попадает к человеку, который может его «пробить» на законных основаниях,
      «пробивать» номер уже незаконно по-умолчанию… как минимум нарушение правил оператором с гражданским и дисциплинарным взысканием. перс/данными номер сам по себе не является, потому что без каких-то манипуляций (доступных избранным) не позволяет идентифицировать человека. Классическая криминалистика очень хорошо раскрывает суть идентификации личности/- (от ср.-век. лат. identifico — отождествляю) — установление тождества личности по совокупности общих и частных признаков.


      1. msuhanov
        15.08.2015 00:48

        не думаю что я вас понял. По условиям задачи договор трехсторонний что ли. Информация будет считаться перс/данными с самого начала, если с большей долей вероятности позволяет идентифицировать человека.


        Мое мнение: информация считается персональными данными, если она была предоставлена определенным (не в значении некоторым, а в значении известным) лицом. И эта информация будет персональными данными в любой ее комбинации и в любой степени ее полноты, даже не позволяющей установить личность лица, ее предоставившего. Т. е. это не только сведения, позволяющие установить личность.

        Противное толкование, которое используется в комментариях Роскомнадзора, содержит множество проблем. Если не считать ФИО персональными данными, то как тогда защищать ФИО, которые есть только у одного человека, т. е. которого можно однозначно идентифицировать по такому, казалось бы, неуникальному набору данных? Вот, например, есть оператор персональных данных и к нему приходят данные некоторого Абрывалга Ицукенговича и некоторого Иванова Ивана, переписанные из их паспортов работником. Может ли оператор персональных данных не считать строку «Иванов Иван» персональными данными, а строку «Абрывалг Ицукенгович» – считать? И, самое главное, как что-либо доказать регулятору в этой ситуации? Или, например, оператор персональных данных получает некоторую информацию об иностранном гражданине – как можно определить, является ли она достаточной для идентификации этого лица и, таким образом, отнести ее к категории персональных данных или не отнести? И таких проблем море, а решаются они, по сути, «перебдением», когда оператор персональных данных, от греха подальше, защищает любые данные о субъектах персональных данных. А чем же тогда расширительное толкование понятия персональных данных не устраивает?

        Кстати говоря, позиция Роскомнадзора в этом плане шатается – раньше я на одном из их сайтов находил объяснения, что фамилия и инициалы лица являются персональными данными, однако в силу недостаточной полноты этих данных привлечь лицо к ответственности за их размещение без согласия жалобщика нельзя.

        «пробивать» номер уже незаконно по-умолчанию


        УПК РФ и ФЗ «Об ОРД» уже отменили? Ладно, давайте заменим «пробивать» на «устанавливать данные об абоненте оператора связи».

        Классическая криминалистика очень хорошо раскрывает суть идентификации личности/- (от ср.-век. лат. identifico — отождествляю) — установление тождества личности по совокупности общих и частных признаков


        Во времена, когда санкции на различные следственные действия еще давали прокуроры, а решение КС РФ о получении метаданных звонков только по судебному решению «отменялось» противоречащим ему решением ВС РФ, известные процессуалисты аргументировали возможность получения сведений о звонках абонента без судебного решения тем, что номера телефонов являются персональными данными. Хотя я с этой позицией не согласен, да и ВС РФ успел поправить свою линию новыми разъяснениями, вопрос остается тем же: почему номер телефона в руках следователя в связи с производством по уголовному делу не может быть признан персональными данными абонента?


        1. sardarbinyan
          16.08.2015 00:02

          Ну так мы с Вами дойдем и до того, что все MAC и IPv6 адреса также можно отнести к перс.данным и требовать их ограниченного гражданского оборота. В Интернете вещей к счастью все уже будет по новому. Метаданные по децентрализованным сетям будут проходить уже не с тем темпом обработки. Машины будут читать их на лету и передавать наши данные по множеству машин дальше, а согласие на их обработку изыматься у человека в момент выдачи паспорта. Сразу для целого множества аккредитованных сервисов. Поэтому я за ограничение «ограниченного оборота» и против того, чтобы к перс.данным относить какие-либо инные данные, кроме тех, что могут позволить любому лицу с большой долей вероятности идентицировать человека.