Первого сентября вступил в силу закон о локализации персональных данных. Теперь Facebook, Twitter, Booking.com, eВay и другие компании, которые так или иначе используют личную информацию россиян, обязаны хранить ее в России. Выносить эту информацию за границу разрешено лишь на время. Готовы ли компании к таким изменениям? Хватит ли на всех дата-центров? Что такое персональные данные и почему их надо хранить на родине? На эти и многие другие вопросы в беседе с «Лентой.ру» ответил глава Роскомнадзора Александр Жаров.
«Лента.ру»: Персональные данные — это что?
Александр Жаров: Это набор информации, позволяющий безошибочно идентифицировать вас как личность. Либо, если ваша личность уже определена, безошибочно отнести требуемые данные именно к вам. Например, фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно. А фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных.
Но персональные данные нужны там, где они используются. Взять хотя бы бронирование гостиничных номеров, аренду автомобилей за границей.
Здесь нет никаких проблем. Закон не запрещает трансграничную передачу данных. Она и прежде осуществлялась с согласия гражданина. И не запрещена новым законом — мы говорим об этом вот уже год. Но до сегодняшнего дня ваши данные собирались и обрабатывались сразу на зарубежных серверах — и вашего согласия по поводу места их обработки никто не спрашивал. А теперь трансграничная передача возможна только с серверов, расположенных в России. Значит, согласие гражданина на такую передачу становится обязательным.
Не слишком ли сложный получается алгоритм?
Простой пример — нашумевшая история с сервисом Booking.com. Очень много было волнений по поводу того, что россияне больше не смогут пользоваться его услугами. Но компания Booking.com одной из первых заявила, что продолжит работу в России, соблюдая закон. Ваши данные будут храниться в России. Если же они понадобились за границей для бронирования номера, то компания передаст их в конкретный отель, а затем уничтожит, как только ваше пребывание там завершится. Опять собрались куда-то поехать — компания снова возьмет ваши данные из российского дата-центра и отправит для обработки за границу.
Тогда какой смысл хранить эти данные в России? Все равно они отправляются за рубеж, где их можно использовать по своему усмотрению.
Если данные хранятся за границей постоянно, их использование невозможно проконтролировать. Транснациональные компании накапливают массивы «больших данных», которые, например, позволяют им прогнозировать потребительское поведение людей и рассылать им таргетированную рекламу. Если же данные отправляются за границу на время, со строго определенной целью, такие манипуляции крайне затруднительны и легко выявляются.
Меня вот не пугает, что кто-то строит свою маркетинговую политику, используя мои персональные данные.
А мне неприятно, когда на мою электронную почту приходит реклама, в которой я совершенно не заинтересован. Мне это не нравится. А будущее маркетинга — таргетированная реклама. Имея информацию о том, чем человек интересуется и в какие магазины ходит, можно создать индивидуальный профиль потребителя. На основании этого профиля, человеку отправляют определенную коммерческую информацию, формируя его поведение как покупателя. Со временем такие технологии будут использоваться все больше и больше. Поэтому я чувствую себя более защищенным, зная, что мои персональные данные хранятся на территории моей страны. Я в любой момент могу потребовать, чтобы мои данные более не отправлялись для обработки за границу.
То есть закон защищает нас от высокотехнологичного спама?
Не только. Закон также стимулирует инвестиции в нашу экономику и развитие IT-индустрии. Сегодня Samsung открывает в России большой дата-центр для обслуживания российских клиентов. В том же направлении работают такие гиганты индустрии связи, как французский Orange, английский IXCellerate. И, по мнению большинства экспертов и участников этого рынка, развитие дата-центров на территории России будет стимулировать развитие IT-индустрии. За 2014 год количество серверных стоек в России увеличилось на 15 процентов. А бюджеты, вложенные в эту сферу, выросли на 30 процентов. Специалисты говорят, что активный рост IT-отрасли, опирающийся на соответствующий инфраструктурный фундамент, может стать толчком к созданию отечественной Кремниевой долины.
Оптимисты…
Дело в том, что технологии хранения данных быстро эволюционируют и трансформируются. Сейчас тренд в этой области сосредоточен в гибридных облачных решениях. Закон о локализации персональных данных заставляет бизнес развивать такие IT-технологии, которые позволят оптимизировать хранение и использование данных.
ОК. Но готовы ли компании перенести все наши данные в Россию?
Я считаю, что уровень готовности достаточно высокий. Такие выводы мы делаем по результатам нашего общения с бизнесом. Но достоверно говорить об этом можно будет после первых проверок. В сентябре мы должны проверить на соответствие новым требованиям около 90 организаций, до конца года — 317. Это капля в море, потому что новый закон предусматривает очень широкую сферу применения.
Это российское ноу-хау или есть прецеденты в мировой практике?
В той или иной мере такие требования существуют в разных секторах экономики Китая, Индии, Канады, Австралии, Индонезии и других стран. В Китае, например, запрещена даже трансграничная передача данных, если они касаются банковской сферы. Наш закон такого не предполагает. Но мы первые, кто принял закон о хранении всех персональных данных граждан на территории нашей страны.
Много компаний попадает под действие закона?
В России более 2,5 миллионов юридических лиц занимается хранением и обработкой персональных данных. В общем-то, любой работодатель, принимая вас на работу, получает, обрабатывает и хранит ваши данные. Но больше всего проблем с компаниями, действующими в сфере электронной коммерции, чей бизнес полностью находится в интернете.
Какого рода проблемы?
Многие из них считают, что интернет транснационален, они работают по всему миру и не должны аккумулировать персональные данные в конкретном месте.
Определенная логика в этом есть.
Но я напомню, что они получают свои доходы от российских граждан. Их маркетинг — на русском языке. Они продают нам товары и зарабатывают здесь деньги. Поэтому для сегмента коммерции, ориентированного на нашу страну, закон требует хранить персональные данные клиентов в России.
Так кто из «китов» уже готов вернуть персональные данные на историческую родину? Что говорят в Facebook и Twitter?
Российская ассоциация электронных коммуникаций (РАЭК), куда входят, пожалуй, все крупные интернет-компании, недавно провела опрос. Оказалось, что 81 процент членов ассоциации уже готовы работать по новому закону. Еще 14 процентов готовы, но с оговоркой. Они стремятся соблюдать требования закона, но им еще нужно какое-то время, чтобы адаптироваться. Только пять процентов считают, что выполнить требования закона им будет проблематично. Кто конкретно составляет эти пять процентов, мы пока сказать не можем — опрос был анонимным. Могу сообщить, что персонально нам подтвердили свою готовность Samsung, Lenovо, AliExpress, Booking.com, PayPal, ЕВay, Uber, Citibank. Встречались мы и с представителями Twitter и Facebook. Не знаю, кто распространил информацию о том, что Facebook отказался переводить персональные данные в Россию. Это неправда. Компания получила всю интересующую их информацию по применению закона. Рассчитываю в ближайшее время услышать их официальную позицию.
Как будете проверять?
Документарно. Инспектор Роскомнадзора в ходе плановых проверок запросит договор с российским дата-центром или документы, подтверждающие наличие собственного дата-центра на территории нашей страны. План проверок утвержден Генпрокуратурой. Ни одной крупной социальной сети в этом списке нет. Возможны еще и внеплановые проверки — в качестве меры реагирования. Например, если к нам поступят многочисленные жалобы граждан.
Малые и крупные компании станете проверять одинаково усердно?
Нет. Крупные компании, государственные или муниципальные структуры, которые обрабатывают значительные объемы данных, проверяются планово и регулярно. На малые компании плановые проверки не распространяются. Напомню, у нас 2,5 миллиона операторов персональных данных. Чтобы охватить проверками всех, не хватит никакого ресурса. Поэтому мы реагируем на жалобы и обращения.
Говорят, нет правил без исключений, и в законе о персональных данных такие исключения сделаны для авиакомпаний.
С авиаперевозчиками история была очень длинная, и Минкомсвязи, наконец-то, поставило в ней точку. Авиакомпании уверяли, что современная система продажи билетов полностью замкнута на иностранные сервисы бронирования, и это не позволяет им оперативно перенести все данные в Россию. К тому же выяснилось, что авиаперевозки с 1929 года регламентируются системой международных договоров и соглашений. А это прямое исключение из закона — все трансграничные транзакции персональных данных, если они регламентируются международными договорами, не попадают под его действие. Тут и авиаперевозки, и консульские услуги по операциям с визами. Отдельное исключение — работа журналистов, научная и литературная деятельность.
Во время Петербургского экономического форума представители иностранных компаний просили Путина смягчить закон. Что они имели в виду?
Это инициатива Американо-российской торгово-промышленной палаты и Ассоциации европейского бизнеса. Они говорили, что закон мешает иностранным компаниям развивать бизнес в России. Мне трудно их понять — цифры, которые я приводил, свидетельствуют об обратном. Среди пострадавших в том заявлении был упомянут Citibank. Но представители банка затем сами нам подтвердили, что готовы работать по новому закону, а имя компании в публичных заявлениях было использовано без их согласия. Наверное, это конкурентная борьба за место для новых дата-центров. Чтобы они развивались не в России, а в Европе или в Америке.
Я знаю, что этот вопрос президент обсуждал на совещании с правительством после форума. И министр связи и массовых коммуникаций Николай Никифоров после совещания сообщил СМИ, что на данном этапе закон меняться не будет. Мое мнение такое — давайте наработаем какую-то практику его применения и на основе этого опыта обсудим, нужно что-то менять или нет.
Ныне существующих в России дата-центров хватит для нормальной работы?
С полной уверенностью заявляю — хватит. Очень большие темпы строительства новых площадок, поэтому никаких опасений тут быть не может.
Тогда пару слов о соблюдении других законов, связанных с регулированием интернета. Чем все закончилось с Википедией?
Одну из статей в Википедии заблокировали, а через непродолжительное время разблокировали. Ту спорную статью (о наркотическом веществе «чарас») модифицировали, и на этом инцидент, в общем-то, был исчерпан. Все закончилось хорошо.
Чарас перестал быть наркотическим веществом?
Напротив. Теперь статья называется не просто «Чарас», а «Чарас (наркотическое вещество)». У нее другой адрес, а по прежней ссылке расположена статья о разных значениях слова «чарас», в том числе и гиперссылка на новую статью о наркотике. Первоначальный текст не содержал каких-либо ссылок на источники. Автор написал о том, где и как собирается чарас, как его готовить и употреблять. Как будто на основе личного опыта. Теперь это вполне академическая статья из нескольких разделов, с большим количеством ссылок на источники. Обновленный вариант мы отправили в ФСКН и получили ответ, что статья более не содержит пропаганды употребления наркотиков. Вот, собственно, и все.
Стоит ли подходить с одним аршином ко всем ресурсам без исключения? Не взирая на их популярность и востребованность?
Закон не делит ресурсы на тех, кого стоит блокировать, и тех, кого не стоит. Если компетентный орган (а в случае с Википедией это был суд) решил, что там находится запрещенная информация, то ее следует удалить или изменить в течение трех дней. Если этого не происходит, увы, ресурс будет заблокирован.
Много уже заблокировали?
На сегодняшний день примерно 78 тысяч указателей страниц (так называемых урлов) и, кстати, больше половины — почти 60 процентов — это информация о наркотиках, от пропаганды употребления до прямой торговли. В большинстве случаев требования на блокировку этих ресурсов поступали от единого центра экспертных компетенций по наркотикам — ФСКН РФ — во внесудебном порядке.
То есть вы лишь нажимаете кнопку. Это происходит сразу?
Нет. Если решение принимает Роскомнадзор, Госнаркоконтроль или Роспотребнадзор (когда речь идет о способах самоубийства), у интернет-ресурса есть возможность обсудить с уполномоченными органами их экспертное заключение и убедить коллег в том, что нет необходимости в блокировке. Если же решение принимает суд по представлению прокурора, то единственный шанс его оспорить — это обращение в вышестоящую судебную инстанцию. Мы же как правоприменитель обязаны исполнить решение суда. В случае с Википедией мы дополнительно связались с ФСКН РФ и запросили у них экспертную оценку. Там посчитали, что первоначальная статья «Чарас» действительно подпадает под действие закона, а ее отредактированный вариант — нет. На основании этих экспертных заключений мы принимали свои решения, связанные с блокировкой и разблокировкой статьи.
Но изначально жалобы от пользователей приходят именно к вам.
Жалобы на конкретные адреса приходят к нам на единую горячую линию. Жалуются на все. И на наркотики, и на экстремизм, и на проституцию. Весь этот массив проходит через фильтр первого уровня, когда специалисты просматривают все обращения и примерно две трети сразу отсеивают. Потому что люди шутят, ошибаются, заблуждаются. Остальное достается аналитику второго уровня. Если он подтверждает наличие запрещенной информации, то эти материалы уже идут в уполномоченные принимать соответствующие решения госорганы — ФСКН, Роспотребнадзор, Генпрокуратуру. По детской порнографии мы сами выносим решения. В течение суток аналитик каждой из этих структур должен дать ответ — есть запрещенная информация или нет. Эти решения поступают к нам, и тогда уже мы обращаемся к владельцам ресурсов и к провайдерам с просьбой в течение трех дней эту информацию удалить. Если этого не случается, происходит блокировка.
У журналистов часто возникают претензии к вашему ведомству, когда с подачи Роспотребнадзора вы выносите предупреждение за очередную статью о самоубийстве.
Этого требует закон.
Но как не писать о самоубийстве, если его причина — нестерпимая боль из-за отсутствия обезболивающих?
Я понимаю, о чем вы говорите. Об этом действительно надо писать. Но хотел бы выступить адвокатом наших коллег из Роспотребнадзора. Если вы детально описываете способ и обстоятельства самоубийства — это, на мой взгляд, недопустимо. Потому что такая подача материала создает у других онкобольных ощущение, что самоубийство — это выход и из их невыносимой ситуации, и подсказывает способ ухода из жизни. Что, эти подробности как-то меняют смысл статьи? Что изменится, если написать просто — свел счеты с жизнью, покончил с собой? Ведь у человека, страдающего от непрерывной боли, психическое состояние пограничное — любая информация может подтолкнуть его к непоправимому решению.
Описывать важную социальную проблему необходимо. Но важно понимать, как писать. Важен контекст.
В каком контексте можно публиковать нацистскую символику? Где грань между экстремизмом и историческим фото или кадром кинохроники? Помните случай с девушкой, которая опубликовала в соцсети фото своего дома времен немецкой оккупации?
Решение в том конкретном случае принимал суд. Девушку оштрафовали, насколько я помню.
Да. При этом страница не была заблокирована.
Не хотел бы заочно полемизировать с судом, но такое решение мне кажется не совсем верным. Я напомню, что в канун Дня Победы мы рассылали в редакции средств массовой информации информационные письма о том, что демонстрация нацистской символики не допускается законом именно в тех случаях, когда это делается с целью пропаганды. Если такой цели нет, то и вопросов возникать не должно. У нас огромное количество художественных и документальных фильмов, где демонстрируется нацистская символика. Но эти произведения антифашистские.
Еще один вопрос про кино. Хотел скачать «Здравствуйте, я ваша тетя» на одном из ресурсов, и оказалось, что он заблокирован по требованию правообладателя. Может, такую киноклассику стоит оставить в открытом доступе?
Эта дискуссия продолжается, на моей памяти, уже года три. Права на советские фильмы сконцентрированы, в основном, у «Мосфильма», Гостелерадиофонда и у Госфильмофонда. Я хорошо знаком с гендиректором «Мосфильма» Кареном Шахназаровым и знаю, что коллекцию старых фильмов они выложили в открытом доступе у себя на сайте. За других говорить не могу, но скажу, что законодательная точка в этом вопросе не поставлена. Безусловно, такие фильмы, составляющие золотую коллекцию отечественного кинематографа, должны быть в свободном доступе. Надо полагать, свою коммерческую функцию они уже исполнили, в отличие от премьер. Фильм-то в итоге нашли?
Нашел.
Ну, вот видите.
Беседовал Роман Уколов
Источник: http://lenta.ru/articles/2015/09/01/personaldata/