Нынешним летом по инициативе группы федеральных депутатов был стремительно, всего месяц от подачи законопроекта в Госдуму до подписания Президентом, принят закон 242-ФЗ от 21.06.2014, обязывающий операторов персональных данных (ОПД) хранить сведения о российских гражданах исключительно на серверах, находящихся на территории России и сообщать в компетентные органы о физическом местонахождении этого оборудования. Но вступление в силу этот закона, согласно зафиксированному в нем положению, было отложено до 1 сентября 2016 г., что объяснялось необходимостью технически подготовиться к реализации этой законодательной инновации.

Однако сейчас стало известно об еще одной депутатской инициативе: авторы первого проекта Вадим Деньгин и Александр Ющенко, к котором присоединились Евгений Федоров, Ярослав Нилов и Владимир Прахин, подготовили законопроект о переносе даты начала действия 242-ФЗ на ближайший Новый год — 01.01.2015. По мнению этих депутатов, уже сегодня многие российские ОПД готовы к удовлетворению требований закона, а кто не готов (в том числе сотни тысяч зарубежных веб-ресурсов, большинство из которых вообще не в курсе российского законодательства) за оставшиеся пять месяцев вполне могут успеть подготовиться.

Следует напомнить, что с 1 августа уже вступил в силу 97-ФЗ от 5 мая 2014 г. (принятый в таком же стремительном темпе), обязывающий операторов коммуникационных сервисов (почта, скайп, соцсети и пр., причем не только публичных, но также корпоративных и индивидуальных), в том числе, хранить полугодовую историю всех действий всех пользователей (не только российских), причем — на серверах, находящихся на территории России. Простой анализ показывает, что в число нарушителей этого закона почти наверняка попадут 100% зарубежных сайтов, имеющих подобные коммуникационные средства (а их имеют огромное число самых разных сайтов), и с большими шансами — большинство подобных отечественных сайтов. Правда, нужно сказать, что наказания в законе предусмотрены только в виде денежных административных штрафов, которые естественно, могут применяться только к владельцам сайтов, находящих в границах российской юрисдикции.

Под действие 242-ФЗ попадает гораздо более широкий спектр сайтов (например, это любой ресурс, где есть возможность регистрации пользователей), при этом за нарушения предусмотрены уже не административные штрафы, а блокировка доступа на территории России, т. е. подобные меры могут быть применены к любым сайтам всего мира. При этом, наверное, самой главной «фишкой» закона является то, что его требования составлены таким образом, что на сегодня до сих пор в экспертном интернет-сообществе просто нет сколь-нибудь единого понимания — как именно можно их удовлетворить. И как можно доказать, что ОПД соответствует требованиям закона. То есть создается система, в которой при некотором желании контролирующий орган может достаточно просто инициировать (через суд) блокировку почти любого сайта, в том числе, и зарубежного. Судя по всему, депутаты решили, что ждать появления такой возможности два года не стоит и будет лучше, если новый механизм блокировки доступа в Интернет на территории России начнет работать уже через пять месяцев.

Надо сказать, что хотя 242-ФЗ был принят почти полтора месяца назад, в российском интернет-сообществе так и не сформировалось ясное понимание цели этого закона. Процесс его принятия был стремительным, к тому же в разгар летних отпусков, без какого-либо общественного обсуждения. Более того, если появление закона 97-ФЗ имело некоторое формальное публичное объяснение (в рамках антитеррористического законодательного направления), то авторы 242-ФЗ вообще не сочли нужным обозначать цели своей инициативы и обосновывать ее актуальность.

Неформально (в основном в рамках комментариях в СМИ) говорилось о необходимости повышения защищенности персональных данных российских граждан, в том числе от разного рода служб иностранных государств. Однако анализ положений закона, проведенный, в том числе, экспертами в области информационной безопасности, наглядно показал, что реализация его требований никак не связана с решением задачи защиту от утечек информации. Хотя бы уже потому, что закон не запрещает хранить копии баз данных вне России, а вопрос о том, где выше защищенность данных — в российских дата-центрах или в зарубежных — является, как минимум, открытым.

Другой версией относительно целей 242-ФЗ было предположение, что таким образом депутаты хотели помочь российским коммерческим дата-центрам загрузить свои невостребованные пользователями ресурсы и даже, возможно, обеспечить их наращивание. Такая постановка задачи видится уже более понятной и даже «благородной» в плане реализации курса на поддержку отечественной ИТ-отрасли, но только нужно понимать, что оплачивать такой проект придется ИТ-пользователям в виде вполне вероятного повышения затрат, а, возможно, и снижения качества услуг.

И, наконец, третья версия, которая видится наиболее правдоподобной, — это усиление законодательной базы по управлению доступом россиян в мировое интернет-пространство.

Какая версия окажется верной, мы скоро узнаем. До Нового года уже не так много времени осталось.