локализация данных что это значит
Offline и online: как бизнесу работать с персональными данными
– Какие услуги операторы персональных данных могут получить в вашей компании?
– Законодательство о персональных данных в последнее время меняется в России чуть ли не ежемесячно. В этой связи на рынке возрастает потребность в юристах, специализирующихся на вопросах в сфере защиты персональных данных. Для нашей фирмы практика защиты информации и персональных данных – одно из самых главных направлений в области ТМТ [телекоммуникации, медиа и технологии – прим. ред.]. Наши услуги в сфере персональных данных можно разделить на четыре большие группы. Юридический консалтинг (подготовка заключений, меморандумов, различных ответов на вопросы клиентов, а также консультирование по вопросам защиты персональных данных в рамках коммерческих и корпоративных сделок и гражданско-правовых договоров), сопровождение проверок регулятора (Роскомнадзора), комплаенс-проекты и подготовка документации по персональным данным, а также судебные споры. Важно заметить, что мы полностью делаем юридическую и организационную часть, а техническую часть самостоятельно не выполняем.
– Если рассматривать юридический консалтинг, с какими вопросами чаще всего к вам приходят клиенты?
– Один из самых популярных запросов в последнее время – работа с персональными данными в Интернете. Эта потребность есть как у российских, так и у зарубежных компаний. Например, когда открывается интернет-магазин в Рунете, нужны разные документы, подтверждающие бизнес-процессы и выполнение оператором требований законодательства. В частности, политика обработки персональных данных, согласие физического лица (субъекта) на обработку персональных данных, а также политика в отношении cookie-файлов. Да, кстати, по мнению Роскомнадзора «отслеживание» поведения субъекта в Инете по cookie – это тоже работа с персональными данными. Также мы делаем пользовательские соглашения, публичные оферты, лицензионные соглашения и иные документы в зависимости от запроса и ситуации клиента.
Довольно часто у нас бывают вопросы, связанные с поручениями на обработку персональных данных в сделках. Например, при франчайзинге, лицензировании, трансфере технологий. Если сделка трансграничная, ситуация, конечно же, усложняется – подключается еще и зарубежное правовое регулирование. Мы помогаем уследить за тем, чтобы соблюдались все применимые нормы и законы, не только российские. Работаем по иностранному праву через субподрядчиков (иностранных консультантов).
– Российское законодательство в этой сфере не самое суровое?
– Нет, регулирование в США и Европе гораздо жестче по отношению к операторам персональных данных. Возьмем, к примеру, GDPR – Общий регламент защиты персональных данных Евросоюза. Российская компания обязана соблюдать его, если продает товары или оказывает услуги на европейском рынке. GDPR серьезнее ограничивает операторов как минимум по трем причинам.
Во-первых, в нем гораздо больше требований, чем в нашем законе. Грубо говоря, чтобы не нарушить европейские правила, бизнес должен постоянно думать о персональных данных своих клиентов, формировать реестры, вносить изменения в документы и так далее. Поэтому многие компании привлекают внешних консультантов, нанимают сторонних DPO (ответственных за обработку персональных данных), чтобы не делать все своими руками.
Во-вторых, GDPR предусматривает огромные штрафы. Они могут достигать 20 млн евро или 4% годового глобального дохода компании. В России таких штрафов не бывает.
В-третьих, за соблюдением GDPR нужно внимательно следить. Обо всех утечках данных надо своевременно сообщать регулятору и принимать необходимые меры. В России пока нет ответственности за утечку данных.
– А что такое комплаенс-проект? Это вообще популярная услуга в России?
– Комплаенс-проект – это прежде всего исследование бизнес-процессов в компании на предмет «вовлечения» в них персональных данных, выполнение юридических, организационных и технических мер защиты, включая подготовку необходимой документации для обеспечения соответствия требованиям законодательства, подачу уведомления в Роскомнадзор, а также проведение тренинга по работе с персональными данными. Это комплексная и достаточно популярная услуга, которую клиенты запрашивают сейчас.
По своему опыту, я бы поставил ее на второе место по востребованности, сразу после общего юридического консалтинга. При выполнении комплаенс-проектов мы исследуем и оцениваем все бизнес-процессы компании, выясняем, по каким «каналам» она получает и передает персональные данные в группе компаний, например, в пользу контрагентов. Основные типы персональных данных – это данные работников и данные клиентов (контрагентов). Бывают также разные цели, способы, сроки и правовые основания для обработки данных. Для всех категорий субъектов персональных данных мы «рисуем» матрицу, на основе которой формируем необходимый комплект документов.
Как правило, у компании уже есть 5–10 документов и она думает, что этого достаточно, чтобы соответствовать закону. Приходится разочаровывать клиента и объяснять, что этого не достаточно. Часто, например, в компаниях нет положения о видеонаблюдении, положения об архиве, положения о пропускном режиме. Мы помогаем подготовить полноценный комплект документов, отвечающий всем требованиям законодательства, а также подаем уведомление в Реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Некоторые компании полагают, что они могут не подавать такое уведомление. Но по практике под исключения из этого правила почти никто не подпадает.
Добавлю, что в комплаенс-проектах есть не только правовая, но и техническая составляющая, которую я упомянул. Мы работаем с несколькими проверенными и опытными субподрядчиками – специализированными ИТ-компаниями, у которых есть нужные лицензии для такой работы. Эти организации помогают нашим клиентам реализовать технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах. Например, проводят аудит информационных систем персональных данных, помогают выбрать уровень защищенности персональных данных в ИТ-системах, готовят модель угроз, консультируют по различным вопросам информационной безопасности.
– А проверки Роскомнадзора – большой стресс для компании? К консультантам приходят с такими вопросами или предпочитают сами справляться?
– Конечно, приходят, и очень часто. Повышенное внимание регулятора никому не нравится, все хотят подготовиться получше, чтобы не нарваться на штрафы. Роскомнадзор может проводить не только плановые, но и внеплановые проверки операторов персональных данных. График плановых проверок публикуется на год вперед. А вот к внеплановой выездной проверке подготовиться почти невозможно, о ней должны предупредить не менее чем за 24 часа до начала ее проведения. Кстати, с 1 июля 2021 года действует новое Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных, поэтому операторам надо подготовиться к прохождению проверок по новым правилам.
Не так давно мы помогали «пережить» проверку Роскомнадзора российской дочерней компании Alibaba Group. Ее российский сегмент, aliexpress.ru, обрабатывает персональные данные десятков миллионов российских пользователей. Мы провели первоначальный аудит бизнес-процессов, оценили риски, подготовили документы, предоставили ряд консультаций, сопровождали клиента во время визитов представителей Роскомнадзора. В итоге проверка прошла в целом успешно, никаких штрафов не было. Хотя обойтись без нарушений достаточно сложно на практике – требований много, объем работы очень большой, а времени, как правило, недостаточно, чтобы на максимум отработать соответствующий проект.
– Споры о персональных данных – это обычно конфликты с их субъектами, то есть с физлицами. Может ли бизнес использовать законодательство о персональных данных, чтобы «уколоть» конкурента?
– Да, такое тоже встречается, когда, например, человек подает жалобу в Роскомнадзор или обращается в суд за защитой своих прав, но фактически в интересах конкурента. Дело в том, что самый серьезный риск в таких спорах – блокировка интернет-ресурса. Для всех компаний, которые ведут бизнес в интернете, это критично, потому что влечет огромные убытки в связи с блокировкой их деятельности в онлайн-режиме. Поэтому к спорам в этой области нужно относиться очень серьезно.
Не так давно у нас в практике было подобное дело. Физлицо, скорее всего связанное с конкурентом, подало иск к нашему клиенту – крупному российскому маркетплейсу. Якобы тот незаконным образом собирал и использовал персональные данные, а также передавал их сторонним сервисам без согласия истца. Нам удалось выиграть это дело и «засилить» решение суда первой инстанции в апелляции. Можно отметить, что это дело стало одним из прецедентных для формирования судебной практики по защите персональных данных при использовании средств веб-аналитики.
– Комплаенс-проекты, проверки Роскомнадзора, судебные споры – это объемные и комплексные проекты. А с более мелкими вопросами работаете?
– Конечно, точечно мы тоже помогаем. Недавно к нам обратился крупный французский бренд одежды и аксессуаров. Ему нужна была форма согласия на обработку персональных данных клиентов, чтобы доставлять им товары и рассылать рекламу. Мы разработали эту форму.
– Какие требования в области персональных данных бизнесу особенно трудно соблюдать?
– Если нужно назвать что-то одно, то я остановился бы на «локализации» персональных данных. С 2015 года все операторы обязаны осуществлять первичный сбор и хранить персональные данные российских граждан с использованием баз данных, находящихся на территории РФ. За нарушение в том числе этого требования заблокировали соц-сеть LinkedIn. В последнее время обострился конфликт Роскомнадзора с Facebook и Twitter. В прошлом году этим соцсетям назначили крупные штрафы.
Недавно на сайте Роскомнадзора появилась информация, что сервисы Facebook, WhatsApp и Twitter своевременно не предоставили документы, подтверждающие выполнение требования о локализации. Таким образом, для Facebook и Twitter это будет повторное нарушение требования о локализации (ч. 9 ст. 13.11 КоАП), что может повлечь за собой штрафы до 18 млн руб.
Кстати, для того чтобы добиться соблюдения требований российского законодательства иностранными компаниями, регулятор стал применять и технические меры. Помните, как недавно замедляли работу Twitter? На мой взгляд, это было связано с отказом соцсети удалить запрещенную в РФ информацию. Думаю, нельзя исключать, что такие меры воздействия со временем могут распространиться и на иные сферы и сервисы, работающие в России.
Недавно Роскомнадзор начал отправлять «веерные» рассылки международным компаниям. Просит сообщить, каким образом локализованы данные граждан РФ. Мы следим за практикой регулятора по этому вопросу тоже и предлагаем нашим клиентам некоторые правовые пути решения этого вопроса.
Да, Роскомнадзор периодически проводит семинары и вебинары по локализации. Но у компаний все равно возникают вопросы. Например, многие интересуются, можно ли использовать привычное им «облачное» решение, которое работает в РФ? К сожалению, чаще всего ответ отрицательный, необходимо использовать локальный «физический» сервер. Как правило, эта проблема возникает у иностранных компаний, у которых нет российских подразделений и местных серверов. Получается, что сервер нужно арендовать, а это дополнительные расходы и увеличение риска утечки данных, за что нет ответственности, как я уже отметил.
– Утечки персданных бывают и у зарубежных, и у российских компаний. Юридически с этим как-то можно бороться?
– Сейчас у нас нет эффективного механизма привлечения к ответственности за утечки данных, отсутствуют оборотные штрафы за такие действия по примеру GDPR. Парадоксально, но привлечь операторов за неправильно оформленное согласие на обработку персональных данных значительно проще, чем за допущенную утечку данных. Кстати, сложно привлечь к ответственности тех, кто использует нелегально полученные персональные данные или даже продает их третьим лицам. Такого состава правонарушения нет в ст. 13.11 КоАП, где прописаны основные штрафы за нарушения в области персональных данными.
– Теперь вместо термина «общедоступные персональные данные» в законе фигурирует понятие «персональные данные, разрешенные субъектом персональных данных для распространения». Как эти поправки влияют на работу операторов персональных данных?
– Эти изменения вступили в силу с 1 марта 2021 года. Теперь нужно получать согласие на распространение персональных данных по новой форме, требования к содержанию которой были недавно утверждены Роскомнадзором. В таком согласии нужно устанавливать определенные запреты и условия использования и передачи данных. В каждой компании есть свои бизнес-процессы, поэтому существующую форму согласия необходимо адаптировать под каждую ситуацию и каждого клиента. Например, для соцсети нужно одно согласие, для интернет-магазина – совсем другое.
– Мы говорили о «локализации» персональных данных. Бок о бок с ней идет новый закон о «приземлении» ИТ-компаний. В чем смысл такой атаки на иностранный бизнес?
– Действительно, согласно этому закону теперь владельцам иностранных информационных ресурсов придется выбрать между созданием филиала, открытием представительства или учреждением российского юридического лица в России. Это правило применимо не ко всем, а только к тем, у кого суточная аудитория больше 500 000 российских пользователей.
Для чего нужны такие новые правила? Во-первых, это «рычаг» с политической точки зрения. А во-вторых, этот закон можно использовать для того, чтобы штрафы за нарушения в области локализации данных попадали в российский бюджет. Например, у Facebook и Twitter нет ни локализованных баз данных, ни корпоративного присутствия в России. Вот Роскомнадзор штрафует их, но как получить штраф, если они не выплатят его добровольно? Гораздо проще будет принудительно исполнить такое решение или повлиять на его исполнение, если у иностранной компании будет российская «дочка» и имущество на нашей территории. Кстати, иностранные компании должны учредить офис в России к 1 января 2022 года, времени остается совсем мало.
Власти направили иностранным компаниям запросы о хранении данных россиян
Роскомнадзор направляет международным компаниям, которые занимаются обработкой и хранением персональных данных россиян, запросы о выполнении требований о локализации данных на территории страны, рассказали РБК несколько участников рынка, получивших подобный запрос. По словам одного из них, получатели — из самых разных отраслей, чьи центры обработки и хранения данных находятся не в России.
В запросе (копия есть у РБК) ведомство просит подтвердить выполнение требования российского законодательства, предоставив Роскомнадзору заверенную схему размещения серверов, на которых хранятся данные российских пользователей, а также договор купли-продажи серверов и справку о том, что их поставили на учет организации. Если у компании нет своих мощностей и она арендует серверы в российских дата-центрах, она должна будет представить копию договора аренды.
По словам сооснователя компании «Б-152» (разработчик автоматизированный системы защиты персональных данных) и эксперта по защите персональных данных Максима Лагутина, подобные запросы получили также несколько их клиентов. Руководитель практики по защите данных PwC Legal Артем Дмитриев также подтвердил, что такие запросы получили «представительства крупных иностранных компаний». Но конкретные названия компаний Лагутин и Дмитриев не раскрывают.
Представитель пресс-службы Роскомнадзора подтвердил, что ведомство направило запрос «ряду организаций в целях уточнения размещения баз персональных данных российских граждан».
Почему Роскомнадзор запросил адреса серверов
Требование хранить персональные данные россиян, в том числе получаемые через интернет, в базах данных, расположенных на территории страны, вступило в силу 1 сентября 2015 года. За его несоблюдение в 2016 году в России была заблокирована социальная сеть профессиональных контактов LinkedIn. Другим крупным международным компаниям Роскомнадзор несколько раз предоставлял отсрочку. В конце мая представитель ведомства заявлял, что чиновники ждут от социальный сетей, включая Facebook и Twitter, информацию о выполнении требования о хранении до 1 июля. Как сообщал замглавы Роскомнадзора Милош Вагнер на итоговом заседании коллегии ведомства, более 600 иностранных компаний уже локализовали данные россиян.
Если организация не соблюдает требование о хранении, за это предусмотрен штраф в размере административного штрафа от 30 тыс. до 50 тыс. руб. для физлиц; от 100 тыс. до 200 тыс. руб. для на должностных лиц и от 1 млн до 6 млн руб. для юрлиц, напомнил он. Однако при повторном нарушении штраф для юрлиц составит уже от 6 млн до 18 млн руб.
Как пояснил Артем Дмитриев, Роскомнадзор каждый год рассылает запросы российским компаниям и подразделениям иностранных компаний в России, но раньше они касались необходимости включения в реестр операторов персональных данных. «Теперь ведомство просит указать, где именно расположены серверы компаний, обрабатывающих персональные данные россиян, с кем из дата-центров заключены договоры, то есть подтвердить, что у компаний есть в России свое или арендуемое «железо», — говорит Дмитриев. По его мнению, запросы приходят тем компаниям, которые в предыдущие годы по каким-то причинам не указывали информацию об адресе баз данных.
Какие могут быть последствия
Партнер юридической компании bchk.legal Константин Бочкарев отметил, что с момента вступления в силу требования о хранении данных россиян на территории страны было «несколько волн» запросов от Роскомнадзора о его исполнении. «Это последовательная, но довольно хаотичная работа. Например, несколько лет назад была массовая рассылка в представительства иностранных компаний, потом спрашивали компании отдельных отраслей», — отметил эксперт. По его словам, все компании, получающие подобные запрос, опасаются, что за ним последует проверка, но Бочкарев не вспомнил, чтобы «после предыдущих запросов были какие-то репрессии».
По словам Артема Дмитриева, предоставление запрошенной Роскомнадзором информации — «лишь бумажный или формальный шаг обеспечения соответствия требованию о локализации». «На основании этой информации вряд ли возможно проверить фактическую локализацию всех категорий данных и всех систем. Тем не менее готовить ответ Роскомнадзору следует аккуратно, проверив фактические процессы и нахождение серверов», — говорит эксперт PwC.
«У международных компаний всегда остро стоит вопрос об организации хранения персональных данных в России. Среди компаний, которые подпадают под это требование закона, тех, кто действительно локализовал хранение данных, меньшинство», — говорит Максим Лагутин. Он отметил, что пока речь идет о запросе на предоставление информации, а не о фактической проверке, однако допустил, что, если совпадет несколько факторов, Роскомнадзор может инициировать выездную внеплановую проверку выполнения требования.
Хостинг в законе. Где хостить сайт в контексте «локализации персональных данных»
Осталось чуть больше двух недель до вступления в силу нового закона о локализации персональных данных россиян. В связи с новым законодательством у владельцев сайтов в Рунете все еще возникает немало вопросов по поводу того, а где же безопасней хостить сайт, и что будет, если персональные данные российских пользователей будут первично собираться, обрабатываться и храниться на серверах за пределами страны. Для того, чтобы ответить на эти вопросы и понять, так где же стоит хостить свой сайт и как не попасть в неприятную ситуацию, связанную с привлечением Роскомнадзором к ответственности за нарушение правила об обработке персональных данных российских пользователей сети, необходимо определить общие правила правового регулирования хостинга в России и обозначить пределы законодательного регулирования гражданско-правового оборота персональных данных, чему и посвящено указанное исследование.
ХОСТЕРЫ КАК ИНФОРМАЦИОННЫЕ ПОСРЕДНИКИ
С незапамятных времен аналоговой эры существовали посредники, которые занимались предпринимательской деятельностью, связанной с оказанием сервисов для граждан и хозйственных обществ (сегодня это B2C и B2B). Среди них были почтальоны, владельцы складов, торговцы и организаторы ярмарок. В цифровую эпоху, все те же сервисы, которые существовали в реальном мире, появились и в форме диджитал. Вместо почтальонов появились интернет-провайдеры, вместо владельцев складов — хостеры, вместо организаторов ярмарок — поисковики, форумы и соц.сети, ну а роль рыночных продавцов взяли на себя Интернет-магазины и веб-аукционы.
Длительное время принцип «почтальонского иммунитета» строго действовал в аналоговом мире. И несмотря на то, что аналог СОРМ уже в советские годы использовался на узлах почтовой связи, почтальоны никогда не фигурировали в качестве сторон по гражданским и уголовным делам, связанным с содержимым посылки или письма, с дальнейшим привлечением их к ответственности.
Однако в цифровую эру наступил момент, когда роль инфопосредников заметно возросла в жизни общества, и назрела необходимость наделения их особым юридическим статусом.
Длительное время в российской правовой системе отсутствовали какие-либо специальные нормы касательно деятельности хостеров, провайдеров доступа и операторов веб-приложений. Однако российский законодатель, опираясь на различный международный правовой опыт регулирования сети, в стремительном темпе с 2012 г. начал принимать нормы, возлагающие новые обязанности и предусматривающие ответственность информационных посредников.
Следует отметить, что в настоящее время в международной практике выделяют три правовых режима деятельности информационных посредников:
— прямая ответственность — например, Китай, где на информационных посредников возложена обязанность по активному мониторингу контента под угрозой наказания;
— «тихие гавани» — например, Сингапур, Гана, Уганда, Южная Африка и Европа, где инфопосредники обладают надежным иммунитетом от ответственности если они соблюдают процедуру претензионного рассмотрения обращений;
— почти абсолютный иммунитет от ответственности за контент, созданный другими — например, США или Чили, где инфопосредник не отвечает за контент создаваемый другими в случае если он не видоизменяет контент. Инфопосредник лишь обязан удалить контент по постановлению суда.
Манильские принципы, выработанные на Филиппинах в 2015 г. представителями крупнейших правозащитных организаций в области распространения информации, на сегодняшний день наиболее детально формулируют основные принципы ответственности информационных посредников, в т.ч. и хостеров.
В настоящее время модель правового регулирования деятельности информационных посредников в России только формируется и пока, похоже, представляет из себя микс из первого и третьего варианта.
Существующее российское законодательство в области IT различает три вида информационных посредников:
1. операторов связи (в международной практике — ISP);
2. хостинг-провайдеров;
3. организаторов распространения информации (OSP).
В этом исследовании мы будем рассматривать исключительно правовое регулирование деятельности хостинг-провайдеров и их ответственность за размещаемый контент и обработку персональных данных.
ПРАВОВОЕ РЕГУЛИРОВАНИЕ ХОСТИНГА В РФ
Впервые, дефиниция хостинг-провайдера появилась в российском законодательстве после вступления в силу первого закона, предусматривающего ограничения доступа к веб-сайтам. Федеральным законом от 28.07.2012 № 139-ФЗ, который внес изменения в Федеральный закон №149-ФЗ “об информации” было определено, что провайдер хостинга — это лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет»;
Хостинг-провайдеру в соответствии с законом отводилась особая роль информационного посредника. Так, согласно ст.15.1 №139-ФЗ хостер в течение суток с момента получения от Роскомнадзора уведомления о включении сайта в реестр, он обязан проинформировать об этом обслуживаемого им владельца сайта в сети «Интернет» и уведомить его о необходимости незамедлительного удаления интернет-страницы, содержащей информацию, распространение которой в Российской Федерации запрещено.
Если в течение суток владелец сайта этого не делает, то хостер обязан сам ограничить доступ к такому сайту в течение суток. В случае если это сделано не будет, то Роскомнадзор вносит сайт вместе с доменным именем, указателем страницы сайта в сети (URL) и сетевым адресом (IP) в реестр, после чего все операторы связи обязаны ограничивать к нему доступ пользователей.
В 2013 году Антипиратским законом ver.1.0 (Федеральный закон №187 от 02 июля 2013) была введена в действие статья 1253.1 Гражданского кодекса РФ. Так была установлена еще одна норма об ответственности хостинг-провайдеров за размещение контента с нарушением исключительных авторских прав. В соответствии со ст. 1253.1 информационный посредник, предоставляющий возможность размещения материала в информационно-телекоммуникационной сети, не несет ответственность за нарушение интеллектуальных прав, произошедшее в результате размещения в информационно-телекоммуникационной сети материала третьим лицом или по его указанию, при одновременном соблюдении информационным посредником следующих условий:
1) он не знал и не должен был знать о том, что использование соответствующих результата интеллектуальной деятельности или средства индивидуализации, содержащихся в таком материале, является неправомерным;
2) он в случае получения в письменной форме заявления правообладателя о нарушении интеллектуальных прав с указанием страницы сайта и (или) сетевого адреса в сети «Интернет», на которых размещен такой материал, своевременно принял необходимые и достаточные меры для прекращения нарушения интеллектуальных прав. Перечень необходимых и достаточных мер и порядок их осуществления могут быть установлены законом.
Статья 17 №149-ФЗ «Об информации» предусматривает ограничение ответственности хостера. Так, в случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:
1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;
2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.
Провайдер хостинга, оператор связи и владелец сайта в сети «Интернет» не несут ответственность перед правообладателем и перед пользователем за ограничение доступа к информации и (или) ограничение ее распространения.
Закон установил, что к информационному посреднику, который не несет ответственность за нарушение интеллектуальных прав, могут быть предъявлены требования о защите интеллектуальных прав, не связанные с применением мер гражданско-правовой ответственности, в том числе об удалении информации, нарушающей исключительные права, или об ограничении доступа к ней.
Однако анализ правоприменительной практики показал, что несмотря на ограничение ответственности, хостинг-провайдеры стали довольно частыми фигурантами судебных процессов по самым разным основаниям: в Мосгорсуде — по вопросам блокировки пиратских сайтов, в районных судах — по вопросам взыскания компенсации за нарушение интеллектуальных прав, а также по искам прокуроров в защиту неограниченного круга лиц в связи с размещением информации, признаваемой государственными органами незаконной. Зачастую, в случае если Истец не может или не хочет привлекать в качестве Ответчика владельца интернет-ресурса или администратора домена (например, если такое лицо находится вне юрисдикции РФ, и становится очевидно, что решение суда будет затруднено к исполнению), которые имеют реальную возможность модерировать контент сайта, иски предъявляются к российским хостинг-провайдерам, как к солидарным ответчикам. Это позволяет прокурорам, а также гражданам и юр.лицам с соблюдением принципа подсудности все же инициировать процессы в российских судах, подавая иски по месту нахождения хостинг-провайдеров.
В таких случаях владелец сайта, находящийся не на территории РФ, но нацеленный на российскую аудиторию, вынужден находить компромисс с лицом, подавшим иск для того, чтобы не допустить блокировки ресурса и потери интернет-трафика.
Если же иностранный владелец веб-сайта на это не идет, то решение принимается в отсутствие сторон. Хостинг-провайдер, как правило не имеет личной заинтересованности в исходе дела и не имеет возможности отправлять в разные уголки страны адвокатов, представляющих интересы как его самого, так и его клиентов по самым разнообразным делам, связанным с размещением незаконной информации. Однако, даже при отсутствии вины на хостера, как на проигравшую сторону возлагается возмещение судебных издержек, в т.ч. госпошлины, расходов на обеспечение доказательств, оплату услуг юристов со стороны Истца.
Ужесточение гос.регулирования российского IT-сектора и хаотичная практика по пресечению оборота противоправной информации в киберпространстве несомненно сказались и на снижении привлекательности российского рынка хостинга. Это признают сами представители отрасли, которые на XXIV Всероссийском форуме провайдеров хостинга, прошедшем 28-30 мая 2015 г. в СПб, обратились к Интернет-омбудсмену поддержать инициативу по улучшению правовой ситуации в области предоставления хостинговых услуг.
Последние 3 года российские пользователи интернета и отечественный IT-бизнес могли наблюдать резкий темп правового регулирования оборота информации в сети. В стремительные сроки без какого-либо обсуждения с обществом и учета предложений отрасли были приняты 6 федеральных законов, наделяющих 5 различных органов власти принимать решение об ограничении доступа к сайтам в сети Интернет по более чем 15 основаниям.
Деятельность Роскомнадзора по самостоятельному определению IP адресов “сайтов с незаконным контентом” с дальнейшем направлением требований российским операторам связи об ограничении доступа в том числе и по сетевым адресам, закономерно привела к нарушению связанности и целостности российской сети. По результатам общественного мониторинга, более 260 000 веб-сайтов было заблокировано за это время, только потому что они находились на тех же адресах, что и сайты с информацией, к которой имелись претензии уполномоченных государственных органов и правообладателей. Внедрение законодательства о защите детей, антипиратского закона ver.2.0 с возможностью вечной блокировки сайтов, на фоне не останавливающихся повсеместных несистемных блокировок сайтов по требованию районных и городских прокуроров создали в целом неблагоприятную почву для размещения в российской юрисдикции посевных проектов, а также готовых b2b и b2c сервисов, форумов, блог-платформ и др. веб-приложений.
Избыточное государственное регулирование и вмешательство российского законодателя в работу сети и правоприменителя создали два правила ведения бизнеса в Рунете.
Вторым правилом ведения бизнеса в Рунете стало хранение информации на серверах, находящихся не на территории РФ. Это связано с возможностью раскрытия в РФ информации о веб-сайте, клиентах, и другой чувствительной информации, которая может быть получена злоумышленниками либо по требованию правоохранительных органов, изъятием серверов и ряда других рисков, речь о которых пойдет ниже.
Беспорядочная блокировка сайтов наряду с постоянными требованиями о предоставлении информации и удалении информации в РФ в купе с более привлекательным показателем цена/качество по аренде серверного пространства в странах ЕС и США привели к массовой миграции российских интернет-ресурсов, нацеленных на российскую аудиторию, к иностранным хостерам, где правоприменительная практика более предсказуема, а стоимость услуг ниже.
В 2014 году депутат Климов представил результаты исследования экспертов Общероссийского народного фронта, которые в рамках мониторинга госзакупок выборочно изучили 9000 сайтов госзаказчиков. Довольно любопытно, что более трети из них также оказались на иностранных серверах, в основном в США и Германии. Всего, как показало исследование ОНФ, зарубежным хостингом пользуются 1560 федеральных бюджетных учреждений, 1230 органов власти, 720 муниципальных учреждений и 350 предприятий, обладающих признаками стратегических.
КУРС НА РЕПАТРИАЦИЮ
Увеличение правовых рисков внезапного прекращения работы веб-сайтов при постоянном давлении на российских хостеров со стороны правоохранительных и судебных органов, а также правообладателей, несомненно, заставило большое количество веб-сайтов физически уехать в более “тихие гавани” иностранных юрисдикций. Было очевидно, что, с одной стороны, это наносит урон экономике РФ и российским дата-центрам, с другой стороны, это не позволяет органам, осуществляющим оперативно-розыскную деятельность получать информацию и осуществлять в необходимых случаях слежку за пользователями различных ресурсов. Для того, чтобы заставить российские веб-сайты вернутся на сервера в РФ на высшем уровне было сформировано решение принять ряд законотворческих мер.
В соседней Беларуси просто законодательно запретили резидентам хостить сайты за пределами своей Родины (что, несмотря на запреты, практически повсеместно не выполняется). В России же решили пойти по пути объявления прямой обязанности государства во чтобы то ни стало защитить персональные данные россиян и обеспечить безопасность веб-сайтов гос.органов. Очевидно, в условиях назревшей информационной войны необходимо предпринимать все меры для минимизации рисков уничтожения, блокирования и изменения информации на официальных сайтах гос.органов, а также для понижения уязвимости от кибератак и информационного шпионажа.
И если законодательное требование о хостинге госсайтов на территории РФ, принятое в конце декабря 2014 года и вступающее в силу с 01 июля 2015 года было понятно с точки зрения национальной безопасности, то императивное требование резонансного Федерального закона №242-ФЗ о локализации персональных данных россиян с 01 сентября 2015 г. вызвало наибольшее количество оживленных дискуссий и публикаций на разных площадках.
Надо отметить, что разоблачения Сноудена о массовой слежке АНБ очень хорошо легли в новую национальную концепцию того, почему персональные данные (далее — ПНд) российских пользователей Интернета и сайты гос.органов должны в обязательном порядке храниться на российских серверах.
ХОСТИНГ ЗА РУБЕЖОМ В КОНТЕКСТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Закон о «локализации персональных данных” вызвал немало вопросов у отрасли. Его не ругал только ленивый. Но dura lex sed lex. Несомненно, он был весьма плохо продуман, технически нереализуемым и плохо коррелирует с уровнем технологического прогресса. Масло в огонь подлили и СМИ.
Принятие закона о “локализации персональных данных” сопровождалось широким освещением законодательной инициативы в различных СМИ, в результате чего были созданы два главных мифа о Федеральном законе №242-ФЗ:
— россиянам отныне запрещено размещать свои персональные данные за рубежом;
— всем иностранным компаниям запретили получать и обрабатывать персональные данные россиян на серверах за пределами РФ.
Но так ли это? Давайте разберёмся.
Федеральным законом № 242-ФЗ предусматривается, что «при сборе персональных данных, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». В противном случае, доступ к сайту, уличенному в первичном сборе и хранении персональных данных российских граждан не базах данных, находящихся в пределах юрисдикции РФ, может быть ограничен.
1 сентября 2015 года Федеральный закон № 149 «Об информации, информационных технологиях и о защите информации» будет дополнен ст.15.5, предусматривающей, что все уникальные идентификаторы сайтов, нарушающих требование нового закона, должны быть внесены Роскомнадзором в специальный реестр нарушителей персональных данных и далее блокироваться всеми интернет-провайдерами.
Новость о новом законе создала настоящую панику в Рунете и породила немало переживаний владельцев российских сайтов, которые предпочитали до этого размещать свои ресурсы на хостинге за рубежом.
Для того чтобы развеять мифы необходимо подробно разобраться с самим законом, а также с понятием “персональных данных” и “баз данных”.
Во-первых, законодатель при принятии новой нормы одновременно предусмотрел исключения. Указанные требования не распространяются на сайты, которые занимаются обработкой персональных данных для:
— достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
— исполнения судебного акта;
— исполнения полномочий органов государственной и муниципальной власти;
— осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
Как видно, в законе предусмотрен юридический механизм так называемых изъятий. Это подтверждает и сам министр связи Николай Никифоров: “ если те или иные виды деятельности регулируются международными соглашениями или профильным законодательством, они не попадают под действие этого закона”.
Во-вторых, закон не запрещает создание реплики любого сайты с хранением его на серверах, расположенных на территории стран, подписавших конвенцию Совета Европы ETS №108, а также трансграничную передачу персональных данных. Согласно ратифицированной Россией Конвенции Совета Европы ETS №108 «О защите физических лиц при автоматизированной обработке персональных данных», в части 2 ст.12 предусматривается, что присоединившиеся к ней страны не будут запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны Конвенции, а ст. 25 запрещает любые оговорки в отношении Конвенции.
Таким образом, хранение и обработка персональных данных за рубежом будет считаться правомерной в государствах, подписавших Конвенцию: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония, а также как это следует из разъяснений Роскомнадзора, в странах, обеспечивающих адекватную защиту персональных данных. Такими признаются страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных: Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.
В-третьих, речь в законе идет только о персональных данных. Согласно ст.3 Федерального закона от 27.07.2006 №152 „О персональных данных“ персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Несмотря на то, что российская дефиниция несколько некорректна и устарела, на что неоднократно обращалось внимание отрасли (в части отдельного определения идентификационных данных), ее дополняет положение ст. 2 Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, подписанная в Страсбурге 28 января 1981 года. В Конвенции указывается, что «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных)”.
Вместе стем, Конвенция Совета Европы, вступившая в силу для Российской Федерации с 1 сентября 2013 г. занимает более высокий статус в иерархии нормативных документов в системе российского права, т.к. согласно Конституции РФ, общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законодательством, то применяются правила международного договора.
На основании этого можно сделать вывод, что персональные данные представляет из себя все же не любая информация о человеке, а информация, при помощи которой можно определить конкретного гражданина. Этой позиции придерживается и Роскомнадзор, который указывает, что само по себе “размещение на страницах сайтов в сети «Интернет» фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица”. Аналогична позиция ведомства и в отношении фотографий. “Размещение на страницах сайтов в сети «Интернет» фотографии без дополнительной информации, позволяющей идентифицировать физическое лицо, как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица”.
Таким образом, фотография человека — это неидентифицирующие данные, также как и ФИО, сами по себе. В то же время их сочетание — уже относится к персональным данным. Номер телефона в сочетании с именем, e-mail и адресом доставки также не относятся к персональным данным, так как публичного доступа к базам мобильных номеров не существует, а значит обладание этой информации не позволяет идентифицировать человека. Однако, если владельцы веб-ресурсов вместо поля “адрес доставки” будут использовать поле “место жительства”, то в сочетании с другой информацией о гражданине такие данные будут считаться персональными данными, т.к. позволяют однозначно идентифицировать лицо.
В-четвертых, в законе не содержится никаких требований, запрещающих хранение персональных данных россиян на серверах вне территории РФ. Единственное, что есть — это требование к оператору обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Как справедливо отметил Интернет-омбудсмен и владелец собственного хостинга Дмитрий Мариничев на Петербургском Международном Юридическом Форуме (27-30 мая 2015 г.):
Программное обеспечение, работающее на смартфоне, работает на локализованном устройстве, в Российской Федерации. Оно собирает, агрегирует, хранит персональные данные в базах данных, которые хранятся в памяти мобильного устройства. После этого закон говорит — передавать трансгранично — это возможно, это в рамках закона, у нас Конвенция. Устройство передало. Где в законе написано, что сервера должны храниться в России с единственной репликой персональных данных граждан Российской Федерации?
Очевидно, регрессивное законодательство создает определенные проблемы у крупных операторов веб-сервисов, однако в ряде случаев принятый закон не может ограничить определенные действия владельца веб-сайта с предоставленными пользовательскими данными, даже если сайт хоститься в зарубежных дата-центрах. Федеральный закон “о локализации данных” не запрещает размещение сайтов за рубежом по причине обработки информации о гражданах РФ. Если бы даже законодатель пытался это сделать, то закон был бы абсолютно невыполним и неэффективен в условиях современных технологий сети.
КТО ПОДПАДАЕТ ПОД ДЕЙСТВИЕ ЗАКОНА
Сначала те, кто не должен подпадать под требование закона о локализации персональных данных:
1. Веб-сайты, которые осуществляют оформление и выдачу виз;
2. Веб- сайты гос. и муниципальных органов;
3. Веб-сайты СМИ и Интернет-издания (новостные ленты, индивидуальные блоги, авторские проекты);
4. Информационные ресурсы, не нацеленные на захват данных пользователей;
5. Веб-сайты, нацеленные на научную, литературную или любую иную творческую деятельность, а также UGC-ориентированные ресурсы (блог-платформы, платформы для коллективного творчества, в т.ч. на вики-движке);
6. Интернет-магазины и сайты по оказанию бытовых услуг, сайты-визитки (landing page), на которых размещается форма заявки для получения имени, телефона и e-mail клиента (а также адрес доставки, т.к. адрес доставки не тождественен адресу места жительства).
7. Веб-сайты и сервисы (в т.ч. “счетчики”), собирающие и передающие следующую обезличенную информацию в автоматическом режиме: информация о дате и времени запроса, типе браузера или иного приложения, языке, данные об устройствах, такие как модель, версия операционной системы, уникальные идентификаторы устройства, включая IP-адрес, а также данные о мобильной, беспроводной или другой сети, сведения о действиях в журналах серверов, включая сведения об использовании служб, поисковые запросы, URL перехода, использованные ссылки и функции, просмотренный или запрошенный контент, данные об аппаратных событиях, в том числе о сбоях и действиях в системе, а также файлы cookie и другие подобные файлы и технологии, например локальные общие объекты, веб-маяки и т. п., сохраняемые кэш-функцией пользовательского веб-браузера или иного клиентского программного обеспечения;
8. Веб-сайты в сегменте B2B, которые не продают услуги/товары физ.лицам и не обрабатывают персональные данные граждан.
9. Пользовательские форумы и чаты;
10. Веб сайты авиабилетных агрегаторов
При буквальном прочтении закона можно сделать вывод, что под действие закона будут попадать следующие виды ресурсов:
1. Веб-сайты, собирающие паспортные данные пользователей (сервисы по аренде автомобилей, бронированию гостиниц и др.);
2. Социальные сети;
3. Веб-сайты, собирающие биометрические данные граждан (в т.ч. дактилоскопические данные, радужную оболочку глаз, анализы ДНК, рост, вес и другие, а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить личность человека и используются оператором для установления личности);
4. Платежные сервисы;
5. Веб-сайты банков, МФО и иных финансовых/страховых предприятий, позволяющих делать заявки на оказание финансовых услуг;
6. Веб-сайты медицинских учреждений, предприятий розничной торговли, использующих программы лояльности, учебных учреждений, социальных учреждений, которые имеют функционал личного кабинета и однозначно идентифицируют клиента по паспортным данным, номеру договору, а также другим данным, представленным самим гражданином;
7. Веб-сайты рекрутинговых агентств и компаний по предоставлению персонала.
Можно сделать вывод, что в случае, если веб-сайт собирает заявки лишь в виде имени и телефона, либо e-mail, либо позволяет обмениваться электронными сообщениями с пользователями, указывающими только имя и адрес электронной почты, он также не подпадает под правило о локализации персональных данных. Защите в рамках законодательства о персональных данных подлежит только та информация, по которой можно определить, что эта информация относится к конкретному лицу. Первичная обработка, хранение и распространение информации, из которой нельзя сделать однозначный вывод о её принадлежности к конкретной персоне (в том числе обезличенные данные) не может нарушить прав и свобод физического лица, а значит может осуществляться в любом месте.
В настоящее время невозможно дать легальное толкование с точным перечнем информации, относящейся к персональным данным, а также случаев отнесения тех или иных онлайн-ресурсов к требованиям “о локализации персональных данных” россиян. Какой будет реальная практика после принятия ряда подзаконных актов и начала правоприменения Роскомнадзором и судами, не знает никто. Регулятор, до момента принятия во исполнение закона постановлений и приказов, воздерживается от каких-либо разъяснений.
После появление новостей о принятии закона, устанавливающего новые правила работы с персональными данными, перед компаниями встало сразу несколько важных вопросов:
1. стоит ли вносить изменения в собственные локальные нормативные акты и заключать нвоые договоры с российскими дата-центрами;
2. будет ли усилен контроль со стороны Роскомнадзора и насколько увеличится количество судебных разбирательств по защите субъектом своих прав.
Некоторые вопросы, связанные с применением нового законодательства были раскрыты на официальном портале МинКомСвязи. На сайте представлены разъяснения по закону о локализации персональных данных 242-ФЗ, которые позволяют компаниям определить, какие изменения им необходимо внести в свою IT-инфраструктуру и (или) бизнес-процессы для того, чтобы исполнить закон.
Кроме того силами РАЭК и РКН был создан портал пд-инфо.рф, посвященный реализации федерального закона №242-ФЗ, на котором есть также множество вопросов-ответов касательнонового требованию к обработке персональных данных российских пользователей интернета.
РИСКИ И ОТВЕТСТВЕННОСТЬ
Напомню, что за несоблюдение требований нового российского законодательства локализации предусматривается ряд негативных последствий.
Прежде всего, закон “о локализации персональных данных” внес изменения в законы 152-ФЗ (О персональных данных) и 149-ФЗ (Об информации) и предполагает создание при РосКомНадзоре «реестра нарушителей прав субъектов персональных данных», куда с 01 сентября 2015 года будут включаться интернет-ресурсы, нарушающее требование хранить информацию о персональных данных граждан в РФ в базах данных, расположенных на территории РФ, и на этом основании могут быть заблокированы на основании решения суда.
Кроме блокировки сайта нарушение повлечет также и наложения штрафа на владельца сайта. Действующее законодательство, а именно ст. 13.11 КоАП, в настоящее время предусматривает штрафы от 500 рублей (для граждан) до 10 тыс. рублей (для юридических лиц) за нарушение установленных правил (без пояснений видов нарушений). Однако, указанных штрафов показалось мало, и в 2015 г. появилась законодательная инициатива Правительства по увеличению взыскиваемых штрафов (на момент данной публикации не принята). Законопроектом предусмотренр, что если персональные данные будут обрабатываться с согласия субъекта, но с нарушением действующих норм, штраф составит от 700 рублей для граждан до 50 тыс. рублей для юрлиц. Всего в ст. 13.11 КоАП предлагается включить 8 пунктов, описывающих различные формы нарушений и соответствующие штрафы (вместо одного абзаца в нынешней редакции).
Административная ответственность на хостеров, как информационных посредников, распространяться не будет.
Вызывает сомнение, что принятые меры гос.принуждения смогут значительно увеличить спрос на услуги дата-центров в России, а вот понизить инвестиционную и клиентскую привлекательность — это вполне, т.к. новые правила регулирования вызывают непонимание и страх у многих представителей бизнеса. По данным исследования Европейского центра по международной политической экономии (ECIPE), вступление в силу закона «О персональных данных» приведет к падению российского ВВП на 0,27%, что соответствует 286 млрд руб.
Вместо стимулирования использования природного потенциала страны для строительства в российской зоне севера дата-центров, работающих на возобновляемых источниках энергии, в настоящее время наблюдается законодательный тренд на принятие непопулярных решений, главной целью которых является давление на западных IT гигантов, имеющих львиную долю потребления среди российских пользователей Рунета. Все это ставит отечественных хостинг-провайдеров в неконкурентные условия с остальным миром и серьезно тормозит развитие российского IT-рынка.