9 июля 2014 года Совет Федерации одобрил закон, согласно которому все иностранные интернет-компании, осуществляющие продажи в России, должны хранить персональные данные россиян только в РФ. К каким последствиям приведет его применение?

Соответствующие поправки внесены в законы «О персональных данных» и «Об информации, информационных технологиях и о защите информации». Подчеркнем, что под действие закона попадают компании вне зависимости от сферы их деятельности. В том числе и ставшие уже неотъемлемой частью жизни для многих соцсети. А также все интернет-ресурсы по продаже и бронированию авиабилетов, гостиниц, eBay, Amazonи т.п. Некоторые говорят даже о том, что под действие закона попадают и российские компании, использующие международные системы, например, системы бронирования.

Законопроект уже вызвал бурную реакцию как со стороны граждан, опасающихся, что могут лишиться ставших привычными сервисов, так и среди специалистов, объясняющих, что реализация требований закона на практике, довольно проблематична. Облачная реальность сделала границы между государствами виртуальными.

В случае подписания закона президентом РФ, он вступает в силу уже через два года — 1 сентября 2016 года. Авторы инициативы полагают, что у интернет-компаний будет достаточно времени, чтобы открыть в России свои дата-центры. Тем временем в Интернете уже собираются подписи под петицией в Государственную Думу: «Отмените поправки к Закону о Персональных данных и об информации (проект ФЗ № 5534246)».

Мы обратились к экспертам с просьбой прокомментировать последствия данного закона (в случае если он будет принят) как для самих интернет-компаний, так и для пользователей.

Валерий Андреев, заместитель директора по науке и развитию компании ИВК: «Это очередной малопродуманный популистский закон, который разработан непрофессионалами и ими же принят. Выполнение такого закона, скорее всего, будет необязательным, если только он не коснется персональных данных высшей категории. А так, я думаю, что простое предупреждение пользователя об обработке персональных данных и его согласие на эту обработку решит все вопросы. Это касается стандартных сервисов по бронированию и т.п.

Возможной перестройке могут подвергнуться веб-ресурсы, на которых это соглашение об обработке будет добавлено в контент. Примером такой обработки служат стандартные посольские сервисы по получению виз, в которых данные как раз хранятся совершенно не там, где предписано законом. Иные сервисы не требуют большего объема персональных данных, поэтому все останется так, как есть.

Другое дело, что не решится проблема трансграничной передачи персональных данных высших категорий, что в ряде случаев совершенно недопустимо. Легче все запретить, чем решить! Это лозунг многих чиновников, в которых постепенно превращаются наши депутаты...»

Александр Санин, коммерческий директор компании «Аванпост»: «Вокруг обсуждения законопроекта сложилась совершенно нездоровая ситуация. Да, к нему есть масса вопросов, и реальные последствия его подписания вряд ли можно обоснованно спрогнозировать сегодня. Но то, как его «обсуждают» в блогосфере и в интернет-СМИ — это какая-то истерия, искусственно нагнетаемая напряженность. Даже «Хабр» это затронуло, что уж говорить о «Твиттерах» и блогах нашей либеральной элиты.

На мой взгляд, для этого нет оснований. Чтобы убедиться в этом, стоит обратиться к первоисточнику и прочитать текст законопроекта (10 страниц, из которых информативны восемь с половиной) и историю его прохождения. Сухой остаток: (1) размещать свои персональные данные за границей гражданам РФ никто не запрещал; (2) никто не запрещал иностранным компаниям получать и обрабатывать данные граждан РФ!

Еще один момент: если иностранная компания не имеет официальных представительств на территории РФ, она никоим образом не может быть «наказана» нашими органами. Ведь наши законы на них не распространяются. Booking.com уже официально заявил, что ему не очень важно, что у нас принимает Госдума. Но сайты могут быть заблокированы на территории РФ, и это может создать проблемы пользователям популярных интернет-сервисов. Однако вряд ли этим будут пользоваться — слишком велик может быть резонанс.

Конечно, за законопроектом явно просматривается желание наших спецслужб иметь необходимый контроль над «Фейсбуками», «Твиттерами» и т.п. Выбран метод «запугивания и давления». Не самый простой, но проверенный временем и эффективный.

Закон еще должен вступить в силу. И только правоприменительная практика покажет его фактическое влияние на нашу жизнь. Конечно, есть риск, что возникнет очередной двойной стандарт, который позволит блокировать на территории РФ сайты одних компаний, а другим не помешает спокойно делать то же самое. Но и нормально работать закон может, хотя для этого его, вероятно, придется не раз корректировать. В любом случае, до 2016 года еще далеко«.

Насколько серьезные ограничения и проблемы для интернет-компаний создает новый закон? Что компаниям придется менять, насколько существенная перестройка им предстоит?

Дмитрий Бирюков, руководитель практики аудита и консалтинга компании «Астерос. Информационная безопасность»: «Во-первых, компаниям придется развернуть ИТ-инфраструктуру в России для осуществления обработки и хранения персональных данных, либо заключить договор с местными провайдерами такого рода услуг. Во-вторых, придется обеспечить соответствие требованиям государственных регуляторов в части обработки и защиты информации (ФСТЭК, ФСБ, Роскомнадзор и др.). Все это влечет за собой расходы, которые, на наш взгляд, могут отразиться на клиентах в виде повышения стоимости услуг».

Елена Козлова, руководитель направления Compliance Центра информационной безопасности компании «Инфосистемы Джет»: «Серьезных ограничений на компании-операторы ПДн новый закон не накладывает. Такой вид обработки ПДн, как „передача“, в законе не указан, а это значит, что передавать ПДн российских граждан за рубеж по-прежнему можно.

Польза нового закона и, собственно, идея его принятия заключается в том, чтобы пробудить у российских компаний интерес к использованию ЦОД-ов на территории РФ для хранения данных. И это, очевидно, единственный аспект применения закона. Если оператор ПДн пользуется для обработки ПДн зарубежными ЦОД-ами и облачными сервисами, то он, согласно букве закона, должен обязать иностранную компанию (обработчика ПДн по поручению) исполнять требования российского законодательства. Например, создать реплики хранилищ данных на территории РФ.

Так как это повлечет за собой дополнительные затраты, а тем более иностранные компании находятся вне российской юрисдикции, слабо верится, что они на это пойдут. Соответственно, российским операторам ПДн остается хранить ПДн в своих системах или пользоваться отечественными сервисами. Однако под большим вопросом остается способ проверки РКН конкретных мест хранения ПДн».

Рустем Хайретдинов, CEO компании Appercut Security: «Для бизнес-процессов нет разницы, где находятся данные, как нет разницы, где находится электричество — для бизнеса все „облачные“ данные находятся „в розетке“. Небольшие изменения могут коснуться только служб ИТ, обеспечивающих доступ к этим данным, да и то не факт, что они будут в худшую сторону. В интересах провайдеров облачных услуг сделать так, чтобы клиент не заметил разницы от перемещения данных внутрь России, или заметил позитивные сдвиги. Локализованные зарубежные компании и их русские конкуренты, хоть автомобильные, хоть пивные, всегда брали тем, что они ближе к российскому заказчику, чем заокеанские коллеги, лучше понимают его нужды, быстрее и гибче реагируют на его запросы. Скажем, абстрактному „Амазону“ наплевать на „облачного“ клиента, приносящего миллион рублей в год, ради него он не изменит и буквы договора: хочешь — подписывай стандартный, не хочешь — не подписывай. Российский дата-центр для такого клиента и договор изменит, и специального менеджера выделит, да еще и скидку даст».

Аркадий Прокудин, заместитель руководителя Центра компетенции информационной безопасности компании компании «АйТи»: «Смысл поправок в закон о ПДн заключается в том, чтобы все персональные данные россиян хранить, обрабатывать и т.п. только на территории РФ. Сама по себе это здравая идея. Показательно, на мой взгляд то, что данные поправки к закону полностью противоречат предыдущей инициативе правительства. Речь идет о законопроекте, разработанном Минкомсвязи, согласно которому все „облака“ госорганов должны быть расположены только на территории России, а вот коммерческие „облака“ могут располагаться где угодно.

Я слабо представляю дальнейшие шаги зарубежных компаний для соответствия „принятым поправкам“. Никто не станет создавать в РФ базу данных только российских пользователей. Хотя, конечно, все возможно. И напрямую зависит от объема денег, которые приносит компании РФ».

Вырастут ли цены на услуги этих компаний?

Дмитрий Бирюков: «Как правило, расходы компаний-операторов влекут за собой расходы пользователей. Поэтому, высока вероятность, что подобные изменения повлияют в сторону увеличения стоимости предоставляемых услуг».

Елена Козлова: «Вряд ли. Это далеко не первый закон, рождающий необходимость у российских компаний тратить дополнительные средства на соответствие требованиям. Как правило, под исполнение законов специально закладываются бюджеты. Это совсем не означает, что проекты по приведению в соответствие в таких компаниях будут проводиться напрямую за счет клиентов».

Рустем Хайретдинов: «Вполне возможно, что хранение данных в России будет даже дешевле — в России сейчас много недогруженных дата-центров, как государственных (министерства, госкомпании), так и частных (телеком-провайдеры, сотовые операторы, системные интеграторы), владельцы которых завлекают клиентов существенными скидками. А цену, как мы помним из школы, регулирует не себестоимость, а рынок: чем больше будет предложения, тем ниже будут цены и шире выбор. Посмотрите сейчас на услуги хостинга — вы можете выбирать от копеечных условий, при которых будете хоститься на подержанных десктопах, до VIP-пакета, включающего „полный фарш“ дополнительных услуг».

Аркадий Прокудин: «Прямой зависимости, конечно же, нет, но это может стать поводом, на который можно сослаться».

Многие ли компаний предпочтут просто прервать свою деятельность в России?

Дмитрий Бирюков: «Полагаю, что в целом число компаний уменьшиться, в частности, это относится к компаниям SMB-сегмента. Крупные компании, вероятнее всего, примут новые правила игры и останутся в России. Однако это усложнит процесс предоставления услуг, ведь им придется ощутить на себе особенности нормативно-правового поля РФ. Кроме того, внесение подобных изменений в бизнес может стоить достаточно дорого».

Елена Козлова: «Иностранные компании вряд ли сильно озабочены этим вопросом. Аналогично в свое время было много споров по применению российской криптографии при передаче ПДн в зарубежные ЦОД-ы. Наше законодательство совместно с практикой его применения не позволяет выполнить такое требование в принципе. Из-за этого ни одна компания не перестала оказывать услуги российским операторам ПДн. Кроме того, есть достаточное число компаний, головные офисы и управленческие ресурсы которых находятся за рубежом. Они также неохотно принимают меры по выполнению требований российского законодательства».

Рустем Хайретдинов: «Каждая компания решает для себя, чего больше в новом законе — опасностей или возможностей. Ссылки на китайский опыт, при котором подавляющее число зарубежных провайдеров „прогнулось“ под похожие требования, не совсем корректен — все же китайский рынок много больше российского и жертвовать им гораздо сложнее. Так что, как говорится, „возможны варианты“, но предсказать их до тех пор, пока не выйдут подзаконные акты, описывающие детали требований и способы их контроля, а также не появится правоприменительная практика, прогнозы делать не стоит».

С какими ограничениями и сложностями столкнуться рядовые пользователи сервисов?

Дмитрий Бирюков: «С точки зрения технологий предоставления услуг для рядовых пользователей все останется по-прежнему. При этом им станет проще защищать свои интересы, в том числе в области защиты своих персональных данных на территории РФ, в соответствии с требованиями нашего законодательства».

Елена Козлова: «Пользоваться указанными сервисами можно по-прежнему: и bookind'ом, и eBay, и фейсбуком. Для рядовых пользователей все останется по-старому.

И хотя новый закон предоставляет РКН право блокировать доступ к интернет-сервисам, работающим с нарушениями порядка обработки ПДн, с трудом представляется каким образом будет прекращен доступ к многочисленным популярным сайтам. К счастью для рядовых пользователей в данном случае, жесткость отечественных законов компенсируется необязательностью их исполнения. Самое интересное начнется с 1 сентября 2016 года, когда все мы узнаем о фактах правоприменения нового закона».

Рустем Хайретдинов: «Лично я собираюсь решать проблемы по мере их поступления — мы не знаем, как отреагируют на это требование привычные нам интернет-сервисы, ведь реализовать требования достаточно просто — достаточно хранить в России не сами данные, а только их копию, что не требует изменения основных бизнес-процессов, а только добавляет новый процесс копирования. Нигде, кстати, не сказано, что оно должно быть он-лайн, нужно лишь иметь возможность вовремя предоставлять данные по запросам спецслужб, то есть копировать данные на российский ресурс можно в течение нескольких суток. Поэтому пока привычные облачные ресурсы доступны — можно смело ими пользоваться. Если они станут недоступны по своей инициативе или по решению российских регуляторов, вы об этом сразу узнаете и будете выбирать — либо пользоваться ли их конкурентами, локализовавшими хранение данных, либо продолжать пользоваться привычными сервисами с помощью специальных технических средств и сервисов, которые позволяют обходить запреты. Возможно, перед вступлением в силу запретов имеет смысл, на всякий случай, потратить бонусные „поинты“ в зарубежных сервисах, но не более того».

Аркадий Прокудин: «Для простых граждан, скорее всего, ничего особенно не изменится. Но это в случае, если все заработает так, как задумывалось. К сожалению, у нас в России именно с этим и связаны основные сложности».