Судя по всему, закон 242-ФЗ от 21.06.2014 (согласно которому операторы персональных данных (ПД) должны хранить сведения о российских гражданах исключительно на серверах, находящихся на территории России) все же будет введен в действие — как и записано в законе — с 01.09.2016. Хотя Роскомнадзор на своей конференции в начале ноября уверял, что срок будет перенесен на 01.01.2015, но, кажется, ведомство просто выдавало желаемое за действительное.

Тем временем, ИТ- и интернет-бизнес вроде бы избавился от весенне-летней растерянности от резкой активизации законодателей по регулированию российского Интернета и стал активнее выражать свою позицию по этим вопросам, в том числе по поводу упомянутого закона. Причем, если в сентябре борьба (вполне успешная) велась за недопущение переноса старта 242-ФЗ на ближайший Новый год (в частности, наверняка тут сыграло роль публичное заявление АПКИТ), то сейчас вопрос ставится уже в более принципиальном плане — о необходимости пересмотра положений закона как таковых. Так, на прошлой неделе появилась информация о том, что интернет-обмудсмен Дмитрий Мариничев отправил письмо президенту Путину именно с такими предложениями. Согласно публикациям СМИ, в этом послании говорится о необходимости уточнения — какие же именно ПД попадают под действие этих нормативных требований. По действующей формулировке закона получается, что он распространяется на абсолютно любую подробную информацию, что противоречит во многом элементарному здравому смыслу и не реализуемо на практике.

Однако если начинать сейчас серьезное общественно-экспертное обсуждение целей, задач и формулировок закона (чего не было сделано до его принятия), то проблему нужно формулировать в более широкой постановке вопросов, которые местами выходят за рамки 242-ФЗ, имеют отношение и к другим принимаемым законодательным актами в области ИТ и Интернета (в том числе к 97-ФЗ от 5 мая 2014 г., известному, как «закон о блогерах»).

Двусмысленность и недосказанность законов

Первая и принципиальная проблема — весьма размытые, нечеткие формулировки положений закона и необходимость для его реального применения принятия дополнительных подзаконных актов (причем актов нескольких уровней — сначала правительственных, затем ведомственных), которые на практике зачастую не просто уточняют технические детали законов, а формулируют их принципиальные положения. Получается, что законодательный процесс по факту выводится за рамки законодательной власти и поля зрения общества в целом.

Порочность такой практики видна на примере принятия в этом году ряда интернет-законов, когда обсуждение положений этих актов даже в среде специалистов-экспертов происходит в стиле гадания «что бы это значило». Например, по тому же 242-ФЗ широко обсуждались вопросы, какие именно персональные данных и какие именно операторы попадают под его действие. И сколь-нибудь четких ответов на них не было получено ни до, ни после принятия закона. В результате экспертное мнение пришло к довольно традиционному для нашей законодательной практике выводу: «Вот когда закон вступит в силу, тогда и увидим, как именно Роскомнадзор трактует его положения когда он придет с проверками и судебными исками». Такое положение, конечно, никак не является нормальным для правового общества и создает вполне очевидные проблемы для предприятий, которые смогут узнать, соответствуют ли создаваемые ими системы законам, только уже построив эти системы. Кстати, нужно отметить и еще одну проблему: в законах довольно часто ничего не говорится о том, на кого именно возлагаются функции разработки дополнительных подзаконных актов и контроль за исполнением, вместо этого используются понятия «уполномоченный представитель» или «компетентные органы» без какой-либо конкретизации.

Примером трансформации законов в результате их «уточнения» исполнительными органами хорошо была видна на примере 97-ФЗ, введение в действие которого сопровождалось выпуском постановления правительства о необходимости регистрации пользователями своих паспортных данных при использовании публичного (в том числе бесплатного) Wi-Fi-доступа (при этом никто не мог понять, на основании каких именно положений закона принято такое постановление), а потом в течение нескольких недель Минкомсвязи и местные органы власти решали (высказывая весьма различные мнения относительно трактовок и закона, и постановления), как же именно им организовывать такой интернет-доступ на практике. И самым характерным в этом истории было то, что в результате один из авторов закона, депутат Деньгин, обратился в Минкомсвязи за разъяснениями — как же будет на практике применяться сформулированный им же закон.

Что такое персональные данные, и какие данные требуют защиты

Второе замечание носит уже более конкретный характер: что такое персональные данные и какие именно данные мы собираемся защищать с использованием закона о «Персональных данных». По сути тут (в том числе в письме Мариничева) речь идет даже не о 242-ФЗ, а о самом законе «О персональных данных» 152-ФЗ.

В законе дается такая формулировка — «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу», но вполне очевидно, что такое определение допускает крайне широкую трактовку, при небольшом желании к ПД можно отнести чуть ли не любую информацию. Хотя нужно сказать, что это определение является точным переводом общепризнанной в мире формулировки, но в наш закон почему-то не попала очень важная детализация понятия. В несколько упрощенной постановке вопроса задача заключается в том, что нужно достаточно четко выяснить — какие именно ПД требуют защиты как таковой, а какие — не требуют. Например, в европейском законодательстве есть деление информации о человеке на личные сведения (которые позволяются адресоваться к этому человеку, например, имя, фамилия, адрес, телефон) и собственно персональные (номера документов, медицинские сведения и пр.), при этом по умолчанию считается, что личные данные не подлежат какой-то усиленной защите.

Характерно, что в нашем 152-ФЗ практически ничего не говорится о категоризации ПД, есть только выделение порядка формирования открытых источников ПД в статье 8. Но при этом в подзаконных актах («Порядок проведения классификации информационных систем персональных данных», ФСТЭК ) такая категоризация уже вводится, причем для систем четвертого класса (данные четвертой категории — «обезличенные, общедоступные») все вопросы защиты делегированы оператору ПД.

Кроме того, нужно сказать, что в законе явно слабо проработан вопрос процедуры получения согласия человека на обработку его ПД — она изначально привязана к бумажному варианту общения, и хотя там упоминается возможность электронного способа, но сегодня на практике до сих пор нет четкого понимания, что и как нужно делать при работе через Интернет. Более того, по большому счету, проблемой исходного 152-ФЗ является крайне слабая проработка использования Интернета в реализации систему управления персональными данными, при том что 242-ФЗ в существенной мере нацелен на решение проблем, связанных с широким применения Сети. Достаточно хотя бы обратить внимание на то, что карательные меры 242-ФЗ непосредственно задействуют механизмы блокировки доступа к сетевым ресурсам. Собственно, этот разрыв между законодательным описанием процедур использования Интернета при работе с ПД и довольно упрошенным подходом к реализации запретительных мер, вызывает серьезную тревогу у многочисленной армии интернет-пользователей и достаточно внушительного сообщества интернет-провайдеров.

Кто именно попадает под действие закона

Именно из проблематики Интернета вытекает другая фундаментальная проблема 242-ФЗ — абсолютная до сих пор неясность, на какие категории операторов ПД распространяется действие этого закона. А именно: распространяется ли он на компании и организации, находящиеся вне юрисдикции России и ведущие работу с ПД вне нашей страны, но при этом взаимодействующие с гражданами России через Интернет? На этот крайне актуальный вопрос в законе ответа нет — ни «да», ни «нет». Вместо этого в нем используются крайне двусмысленные формулировки, которые позволяют уполномоченному органу отвечать на такой вопрос исключительно по собственному разумению.

Одна из «хитростей» 242-ФЗ заключается в том, что он включает поправки к двум базовым законам — «О персональных данных» и «О защите информации» (149-ФЗ от 27.06.2006), при этом применительно к первому про Интернет вообще ничего не говорится, а во втором случае основные карательные меры связаны именно с использованием Интернета. На практике персональные данные россиян собираются и хранятся по всему миру: во всех местах, где бывают наши граждане. Например, приезжая в гостиницу, вы заполняете регистрационную карточку, которая хранится именно там (и не важно, в каком виде — бумажном или электронном).

Разумеется, Роскомнадзор не имеет возможности (пока) запретить россиянам заполнять такие карточки и указывать гостинице, как именно ей нужно хранить эти данные (хотя он может это делать через сотрудничество с органами власти других стран, в том числе в виде создания международных законов на этот счет). Но при этом он вполне при желании с 1 сентября 2016 г. может отключить в России доступ к сайту отеля, поскольку в законе «О персональных данных» есть теперь в статье 23.3 такой пункт:

«3.1) ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации»

Обратите внимание: неважно кто и где нарушает законы России — наказание (причем не оператора ПД, а пользователей) все равно последует. При этом наши законодатели игнорируют тот простой момент, что иностранцы у себя дома порой при всем желании не могут выполнять российские законы, поскольку они должны выполнять свои (с таким же успехом российское ГИБДД может лишать прав всех автоводителей Лондона за еду по правой, для нас — встречной, полосе движения).

Для чего нужны законы?

Показав необходимость серьезной переработки 242-ФЗ (а, может быть, и 152-ФЗ, и некоторых других), мы подходим к ключевому вопросу: формирование нормативно-правовой базы требует серьезной предварительной экспертной проработки, чего, к сожалению, не наблюдается. До сих пор остается загадкой — для чего вообще принимался этот закон, какие проблемы он должен решить и каких именно результатов от него хотят получить. Ответов на эти вопросы нет ни в пояснительной записке инициаторов закона, ни в материалах хода обсуждения закона в Госдуме, ни в комментариев экспертов уже после его принятия.

То, что этот закон не имеет никакого отношения к декларируемому на уровне общих слов повышению безопасности граждан (и их данных) — это в дискуссиях по поводу 242-ФЗ уже много раз показано. Может быть цель — создание правого механизма, который бы позволил Роскомнадзору по собственному разумению наказывать нарушителей (которыми автоматически становятся все зарубежных операторы ПД)?

Есть, правда, и более прозаическая и практическая задача: поддержка российских ИТ-производителей в плане стимуляции повышения спроса на вычислительные ресурсы (в том числе, по хранению данных) внутри страны. Такая постановка задачи является вполне нормальной, хотя и не бесспорной. Но тогда так и нужно формулировать цель, не прикрываясь общими идеологическими разговорами.

Да, наверное, вполне можно требовать, чтобы данные, которые собираются внутри страны и обрабатываются организациями, работающими именно в России, должны хранится именно в ЦОДах на нашей территории, что поможет местной ИТ-инфрастуктуре. Но тогда закон и должен решать именно эту задачу, не будоража общество угрозой отключением всех граждан от Интернета.