ТОП 10 лучших статей российской прессы за Авг. 27, 2015
Особенности цифрового суверенитета
Автор: Екатерина Буторина . Профиль
С 1 сентября в России вступает в силу закон, согласно которому персональные данные граждан должны храниться исключительно на родине. Россияне рискуют остаться без Google, Facebook и зарубежных онлайн-магазинов.
С 1 сентября взаимоотношения россиян и Интернета вступят в новую эру — эру цифрового суверенитета, в которой права граждан РФ в мировой паутине будут взяты под надежную охрану государства. Что это значит, как выяснил «Профиль», пока сказать не может никто — ни чиновники, ни бизнесмены, ни юристы. Но все согласны, что информация, которую до сих пор можно было найти одним кликом «мыши», станет не столь доступна. Возможно, ее вообще нельзя будет искать привычным способом — например, «загуглить». Потому что сам Google, как и многие другие ведущие мировые корпорации, может стать недоступным для российских пользователей.
Новые правила «жизни» россиян в Интернете условно можно поделить на две части: изменения, касающиеся защиты информации, и новые правила хранения персональных данных россиян. Изменения в соответствующие законы – «Об информации, информационных технологиях и о защите информации» и «О персональных данных» – были внесены в июне прошлого года. Изначально предполагалось ввести их в действие в сентябре 2016 года, затем дату на год приблизили. То есть, с 1 сентября любые организации и компании, собирающие «персональные данные граждан РФ», обязаны будут хранить их на территории России. Неподчинившихся накажут штрафом или заблокируют.
Где и как зародилась эта инициатива, понять невозможно. Формально авторами законопроекта выступили три депутата Госдумы – Вадим Деньгин и Андрей Луговой от ЛДПР и Александр Ющенко от КПРФ. В пояснительной записке к законопроекту они ссылались на «европейские ценности», а именно на практику Европейского суда по правам человека. В мае 2014 года ЕСПЧ «вынес решение, согласно которому поисковые интернет-сервисы должны принимать во внимание просьбы физических лиц об удалении открыто размещенной информации с упоминанием их имени из поисковых результатов». Кроме того, как объяснили депутаты, тот же суд решил, что «IT-компании, владеющие поисковыми системами в сети «Интернет», обязаны нести ответственность за распространение персональных данных пользователей, опубликованных на сайтах третьих лиц». Таким образом, и российские парламентарии решили защитить права граждан и Конституцию, которая гласит, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются» (ч.1 ст.24).
Однако, по мнению старшего юриста коллегии адвокатов «Муранов, Черняков и партнеры» Рафаэля Костаняна, таким образом права граждан не защищаются, а наоборот, нарушаются. «Гарантированное Конституцией право на неприкосновенность частной жизни, на личную и семейную тайну предполагает, что сведения о частной жизни, а значит, и персональные данные, должны находиться в свободном распоряжении гражданина, и только он вправе решать, сообщать кому-либо их или нет, – сказал юрист. – А новые правила позволяют регулятору ограничить покупки граждан РФ через иностранные онлайн-магазины, ссылаясь на нарушение порядка обработки персональных данных».
Границы толкования
Согласно новым правилам, чтобы внести какой-либо интернет-ресурс в «Реестр нарушителей прав субъектов персональных данных», понадобится судебное решение. Предполагается, что по истечении трех дней после вступления в силу решения суда Роскомнадзор отправляет уведомление о нарушении провайдеру хостинга на русском и английском языках. У того будет один день, чтобы уведомить владельца ресурса. Еще день отводится владельцу на устранение нарушения. Иначе будет ограничен доступ к этому интернет-ресурсу, «в том числе к сетевому адресу, доменному имени, указателю страниц сайта в сети «Интернет».
Однако главный вопрос – как не нарушить российское законодательство о персональных данных – за год с момента принятия новых правил так и остался не разрешенным. «Наше бизнес-сообщество к этому в целом готово. Вопросы есть у иностранных компаний, – сказал «Профилю» интернет-омбудсмен Дмитрий Мариничев. – Мы провели колоссальную работу совместно с Минсвязи и Роскомнадзором. Все эти разъяснения опубликованы на сайте Минкомсвязи». Чиновники действительно подготовили объемные разъяснения, вышли и нормативные акты, конкретизирующие закон. Минкомсвязи создал целый специальный раздел на своем сайте, посвященный новым правилам сбора и хранения персональных данных граждан РФ. Помимо общих сведений, там опубликованы и некоторые вопросы пользователей, дана возможность каждому задать свой вопрос. Однако для бизнес-сообщества ситуация яснее не стала.
Непонятно, что понимать под «персональными данными». Закон гласит, что персональные данные – «это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу» (ст.3). «Это подразумевает, что таким образом можно идентифицировать конкретного человека. Но толкование чересчур широкое, что на практике неминуемо приведет к сложностям», – считает Костанян. По его мнению, так и не понятно, какой именно набор персональных данных достаточен для идентификации конкретного человека? Ведь в виртуальной реальности часто используются вымышленные имена («ники»). Никто не заставляет рассказывать правду о себе и пользователей социальных сетей.
Лайкать будет нечего?
От новых законодательных мер в киберпространстве может пострадать и российский бизнес. Например, компании, ведущие дела с иностранными партнерами, а также те, кто активно использует в работе соцсети. “В рамках правоприменения можно закрыть Facebook мгновенно, потому что он не агрегирует персональные данные на территории РФ, – говорит Мариничев. – С другой стороны, можно однозначно утверждать, что Facebook не собирает персональных данных, у него их просто нет. По заявлениям того же Роскомнадзора, Twitter не собирает персональных данных, оперирует только учетными записями. Поэтому это слишком тонкая нематериальная сфера, чтобы сказать, кто прав, а кто виноват. Требуется время, чтобы разобраться в этом».
“Facebook служит ежедневным каналом коммуникации для десятков тысяч компаний малого и среднего бизнеса. Это и самые обычные парикмахерские, и бары, и крупные корпорации. Реклама здесь стоит дешево, от 500 рублей. Именно поэтому малый и средний бизнес особенно активно сейчас использует рекламу в соцсетях и избегает консервативные, малоэффективные и чудовищно дорогие в условиях кризиса виды рекламы – наружка, печатная и ТВ. В общем, России Facebook нужен больше, чем “Фейсбуку” – Россия», – сказал «Профилю» сооснователь агентства Feedback Media, специалист по продвижению в социальных сетях (social media маркетинг) Павел Гуров.
По его мнению, Facebook – единственная социальная сеть в России, аудитория которой растет. «Если Facebook отключат от России, то для тех, кто проводит досуг за бумажными сканвордами, вряд ли что-то изменится, но всему образованному населению России придется жить без главного информационного медиа- и бизнес-поля», – уверен Гуров. Facebook, отметил он, – это 24,5 миллиона человек ежемесячной аудитории (данные Brand Analytics), 77% из которых имеют высшее образование (данные Facebook) и 62% -- знают два и более языков (данные Imhonet).
Неясно и то, смогут ли сами граждане РФ пользоваться услугами зарубежных интернет-магазинов, отелей и прочих продавцов услуг без риска, что их сайты тут же не заблокируют. «И так, и так может быть, – признает интернет-омбудсмен Дмитрий Мариничев. – Нужно будет смотреть правоприменительную практику, время у нас есть примерно до конца года».
Гражданин мира
Минкомсвязи напоминает, что новая версия закона «связывает обязанность оператора по обеспечению локализации с процессом сбора персональных данных» граждан России. При этом, по словам Костаняна, «возникает еще один вопрос: каким образом оператор может определить гражданство пользователя?».
Часы Пескова больше не найти
С января 2016 года полностью удалить себя из виртуального пространства будет просто, благодаря так называемому «праву на забвение». И тогда уже станет невозможно «загуглить» статьи про чьи-нибудь дорогие часы и круизы на яхтах. Соответствующие изменения в федеральный закон «Об информации, информационных технологиях и о защите информации» были приняты месяц назад.
В частности, в закон внесли термин «поисковой системы» – той, что “по запросу пользователя осуществляет поиск в сети «Интернет» информации определенного содержания и предоставляет сведения об указателе страницы сайта (имеются ввиду ссылки. – “Профиль”) для доступа к запрашиваемой информации”. Операторы поисковых систем (такие, как Яндекс, Google, Rambler) по требованию физических лиц должны будут прекратить выдачу ссылок, «позволяющих получить доступ к информации о заявителе, распространяемой с нарушением законодательства, являющейся недостоверной, а также неактуальной, утратившей значение для заявителя в силу последующих событий или действий заявителя». Исключения составляют лишь данные «о событиях, содержащих признаки уголовно наказуемых деяний, сроки привлечения к уголовной ответственности по которым не истекли, и информации о совершении гражданином преступления, по которому не снята или не погашена судимость». Если поисковики откажутся выполнять эти требования, то это можно будет сделать принудительно, через суд – соответствующие процедуры были внесены в Гражданский процессуальный кодекс.
«Принятие законопроекта существенным образом ограничит конституционное право на поиск и получение информации любым законным способом, – так отреагировала на последние изменения в законе об информации Российская ассоциация электронных коммуникаций. – Полагаем, что на операторов поисковых систем фактически возложены функции государственных и судебных органов, поскольку сам оператор должен определить, является ли данная информация о заявителе достоверной, имели ли место и завершились ли определенные события три и более года назад, содержит ли определенное событие признаки уголовно наказуемых деяний и так далее».
О гражданстве Минкомсвязи ничего не говорит, но разъясняет, каким образом владельцы иностранных интернет-ресурсов будут вовлекаться в сферу действия российского закона. Кроме очевидных доменных имен (.ru, .рф., .su, .москва., moscow и т.п.), о «направленности сайтов на территорию РФ» будет свидетельствовать наличие у них русскоязычной версии, возможность оплатить товар или услугу в рублях, реклама на русском языке и т.п.
Один из вариантов такого толкования предлагает руководитель группы практики по разрешению споров юридической компании Goltsblat BLP Наталья Беломестнова: «Интересный нюанс заключается в том, что вступающие в силу с 1 сентября поправки, которые вводят понятие реестра нарушителей, предусматривают возможность блокировки только тех сайтов, которые «содержат» персональные данные, обрабатываемые с нарушением законодательства РФ в области персональных данных. Очевидно, что, если сайт персональных данных не содержит (а только, например, собирает их), такой сайт формально под действие этой нормы подпадать не будет и заблокирован быть не может».
Все эти терминологические сложности и расплывчатость понятий, отмечает адвокат Костанян, позволят чиновникам толковать разные ситуации в свою пользу и применять в любой из них меры по ограничению доступу к информации, вплоть до блокирования сайтов.
«Фактический контроль за исполнением закона будет осуществлять Роскомнадзор. И насколько он разделяет позицию Минкомсвязи по всем вопросам и будет ее придерживаться, сказать пока сложно», – считает Беломестнова. Кроме того, добавляет Костанян, в случае возникновения споров суд тоже не обязан руководствоваться разъяснениями Минкомсвязи, он будет действовать по своему усмотрению.
Не согласен – на выход
Если иностранные компании откажутся выполнять предписания российского закона о персональных данных, то, скорее всего, им придется забыть о клиентах в нашей стране. «Во-первых, им грозит штраф, во-вторых – закрытие доменного имени, – пояснил Мариничев. – Фактически, это приостановка деятельности компании на территории РФ. А как это может быть по-другому?»
«Если иностранная компания находится на территории РФ, ей угрожает административная ответственность, -- подтвердили «Профилю» в Минкомсвязи. -- Если за пределами территории РФ – блокировка доступа к ресурсу из России». С этим не спорят и юристы, и с онлайн-покупками лучше поторопиться и внимательно почитать пользовательские соглашения. «Если, к примеру, пользователь сделал заказ в интернет-магазине и оплатил покупку 31 августа 2015 года, то, скорее всего, никаких препятствий для выполнения данного заказа нет, так как персональные данные были получены и обработаны до вступления в силу новых правил, – говорит Костанян. – Не исключено, что в пользовательских соглашениях или правилах торговли, утверждаемых владельцем интернет-магазина, может содержаться такое форс-мажорное обстоятельство, как изменение законодательства. Возможно, владелец магазина воспользуется данным условием и прекратит выполнение договора или заказа».
В середине июля глава Роскомнадзора Александр Жаров объявил, что в период с 1 сентября до 1 января намерен проверить 317 компаний на предмет соблюдения законодательства о персональных данных. Это всего лишь 0,012% об общего числа подобных организаций, а всего их на территории России 2,6 млн. Проверять будут договоры, заключенные с российским дата-центром, а также собственные архивы персональных данных граждан РФ этих компаний. Внезапными эти проверки не будут, обещают чиновники, но с одной оговоркой: если в Генпрокуратуру не поступят жалобы. «Проверки будут проходить в порядке, который предусмотрен актом правительства», -- пояснили в Минкомсвязи, добавив, что его подготовка предусмотрена законом. Проект соответствующего постановления, утверждающий «Положение о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации» действительно уже есть, не понятно только, когда и в каком именно виде оно будет принято.
Турбулентная среда
Примечательно, что, хотя закон действовать еще не начал, одна жалоба на нарушение правил хранения личных данных уже поступила. Это запрос в Генпрокуратуру от депутата Госдумы от КПРФ Вадима Соловьева, который требует провести проверку компании Microsoft. Он обвиняет компанию в том, что ее новая операционная система Windows10 «собирает и хранит у себя историю посещенных пользователем web-страниц, пароли к сайтам, названия точек доступа, к которым подключался пользователь, пароли к ним, координаты пользователя; фрагменты почтовой переписки и SMS, данные из адресной книги и другие персональные данные клиента». Депутат отмечает, что компания оставляет за собой право предоставлять фрагменты личной переписки и других собранных персональных данных пользователей по запросам спецслужб (в первую очередь, понятно, имеются в виду враждебные России спецслужбы), а также публиковать и использовать ее иными способами по своему желанию.
Microsoft на претензию уже отреагировал. «Windows 10 позволяет пользователям самим выбирать, как будет использована их информация, чтобы они получали максимально персонализированные сервисы, – объяснили «Профилю» свою позицию в компании. – В новой ОС им предлагается несколько вариантов настроек управления данными пользователя, и пользователь может регулировать их в любое время», – сообщили в пресс-службе Microsoft. В компании также напомнили, Microsoft «не предоставляет каким бы то ни было правительствам прямой доступ к электронной почте и мгновенным сообщениям, а также технические возможности для прямого или самостоятельного доступа к контенту пользователей».
На вопросы «Профиля» о том, каково отношение компании к новым правилам по сбору и хранению персональных данных граждан РФ, какие предстоят в связи с этим затраты и что она намерена предпринимать, в Microsoft ответить не смогли. Отказался давать комментарии на эту тему и Google. Без ответа остались запросы «Профиля» в Apple, Amazon, Lenovo, Asus, Samsung, Sony, Toshiba, Booking.com. В компании Acer сообщали, что не успевают ответить, так как у них «аврал из-за биржевых колебаний».
Прошу меня исключить и забыть
Среди документов, принятых в связи с вступлением в действие новых правил, единственным более-менее внятным можно считать форму заявления об ограничении доступа к информации в сети. Заполнить и отправить эту форму в Роскомнадзор может каждый гражданин России. В ней он должен полностью указать персональные данные: Ф.И.О., адрес регистрации, номер карточки пенсионного страхования, номер телефона, а также «сведения об информационных ресурсах, содержащих информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных». Эти сведения включают в себя: доменное имя, сетевой адрес, указатели страниц сайта в сети «Интернет», на котором размещена такая информация.
Также в заявлении следует указать «сведения о судебном акте» – это сразу показывает, что без вмешательства органов правосудия из Сети не выпутаться. Как именно заручиться санкцией суда, тоже не понятно, но, очевидно, процедура будет формальной. Решение суда требуется для множества обеспечительных мер – ареста имущества или замораживания банковских счетов. В данном случае, видимо, будет нечто похожее и, учитывая виртуальность ситуации, вряд ли судебные разбирательства будут длительными.
«Компания Philips принимает все необходимые меры для приведения существующих систем в соответствие с законодательством, вступающим в силу 1 сентября, в основном это касается технических решений, – сказала комплаенс-специалист компании Philips Анна Воронкова. – Мы продумали процесс внедрения требуемых изменений в отношении баз данных таким образом, чтобы для наших потребителей, клиентов и партнеров не возникало ограничений при взаимодействии с компанией Philips, а также при использовании наших товаров и сопутствующих услуг».
Мариничев, свою очередь, сообщил, что в ноябре будет проведен первый анализ правоприменительной практики новых правил по сбору и хранению персональных данных: «Посмотрим, насколько сложно реализовать и исполнить его иностранным компаниям на территории РФ. И не являются ли те затраты, которые они должны будут понести, заградительными для ведения бизнеса».
Примечательно, что в целом попытки государства ужесточения контроля в Сети интернет-омбудсмена Дмитрия Мариничева не пугают. «Что касается закона о персональных данных, то это общемировой тренд на сегодня, – сказал он «Профилю». – Такие правила практикуют Въетнам, Индия, Китай. И Европа тоже. Вы должны понимать, что персональные данные – единственно возможный инструментарий, для создания национального цифрового суверенитета и национального цифрового экономического пространства, то есть новой экономики. Поэтому здесь вопрос заключается в несовершенстве всего законодательства в мире, проблематике в киберпространстве. Из-за этого мы и живем в такой турбулентной среде».
Коментарии могут оставлять только зарегистрированные пользователи.