Персональные данные в России и VPN в Китае. Часть 1.

Начнем с того, что хранение персональных (личных) данных граждан РФ (включая ФИО, номера телефонов, адрес проживания, место работы, семейное положение и т.д.) только на серверах, физически расположенных на территории РФ – решение безусловно логичное. На территории РФ личные данные будут защищены от доступа террористов, недобросовестных коммерсантов, вымогателей, мошенников и т.д. Особенно это критично для баз данных государственных учреждений. Как минимум, можно будет попытаться избавиться от спамовых телефонных звонков. Не думаю, что у иностранных компаний, действующих на территории РФ, не найдется средств на десяток серверов для соответствия новым требованиям. В России предполагается ограничение доступа к сайтам нарушителей, но не планируется блокирование нежелательного контента. Кроме того, блокирование должны проводить сами провайдеры (поставщики услуг Интернета) по требованию Роскомнадзор, поэтому в реалиях нашей жизни блокирование будет только на бумаге, но не в Интернете. В Китае иностранные сайты блокируются из-за нежелательного контента силами Министерства общественной безопасности. VPN-каналы позволяли обходить ограничения только вначале. Уже в 2011 году «Великий китайский брандмауэр» успешно блокировал VPN на всей территории страны, причем не тупо по специфическим портам VPN, а на основе глубокого исследования пакетов (deep packet inspection). Я давно общаюсь с несколькими китайскими компаниям, поэтому иногда сам сталкиваюсь с тем, что не доходят сообщения электронной почты, особенно с вложенными архивами, на которые ошибочно срабатывает этот самый брандмауэр. Повтор пересылки через пару других почтовых служб позволяет быстро устранить проблему. Более того, экспортные китайские компании получают более широкие права на доступ к иностранным сайтам и без проблем используют Skype, Google, Wikipedia, PayPal и остальные ресурсы за пределами Поднебесной.

Теперь перейдем к подробному изложению с попутным объяснением всех технических терминов. Начнем с новых редакций законов Российской Федерации (РФ). Обычно декларируется, что «законы должны быть понятны всем», но в своем узком кругу некоторые юристы говорят о том, что «законы пишутся не для народа, а в интересах народа: они вовсе не должны быть понятны публике» и я полностью согласен с этим мнением. Считая себе дилетантом в области юриспруденции, могу предложить читателям только краткий рассказ об изменениях в законодательстве нашей страны в части персональных данных, а анализ этих нововведений предпочту оставить специалистам.

На данный момент действуют Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 04.06.2014) «О персональных данных» (27 июля 2006 г.) и  Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). Первым из них «регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.»

В нем установлено, что «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);» и «оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;».

Статья 12 допускает трансграничную передачу персональных данных на территории иностранных государств при определенных условиях. А с 1 сентября 2016 года статья 18 будет дополнена частью 5 следующего содержания: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.»

Причем уполномоченный орган по защите персональной информации вправе «ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации;». Во второй закон вносится только одно изменение, предполагающее, что «Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:»дополнительно к тому, что уже были обязаны обеспечить, также дополнительно должны обеспечивать: «нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.».

Изменения были приняты в июле 2014 года и должны были начать действовать с 1 сентября 2016 года, но дату вступления закона в силу перенести на 1 сентября 2015 решением Совета Федерации в конце декабря 2014 года. Юристы уже успели понаписать кучу публикаций с только им понятными словами и выражениями, а дилетанты-журналисты уже опубликовали множество «страшилок» по этому поводу (наиболее популярная ошибка: перепутан оператор связи и оператор обработки персональных данных). На самом деле речь идет о трех не слишком длинных предложениях, которые полностью процитированы выше и, похоже, еще не полностью поняты самими юристами, поскольку основным вердиктом специалистов стало: «слишком широкое толкования понятия персональных данных» и «необходимость дальнейшего разъяснения в подзаконных актах».

С другой стороны, Роскомнадзор уже давно ведет реестр операторов персональных данных (http://rkn.gov.ru/personal-data/register/ ), в котором на 28.12.2014 было 314 158 записи. Для прикола, я попытался найти там Apple, Google, Microsoft и Facebook, но не обнаружил никаких следов, хотя в реестре встречаются такие юридические лица как Муниципальное унитарное предприятие «Управляющая компания поселка городского типа Васильево» из Татарстана, которое собирает «сведений, необходимых для оказания жилищно-коммунальных услуг собственникам, жильцам жилых и нежилых помещений, персональных данных сотрудников (работников), сведений об их профессиональной служебной деятельности». Знаете, я считаю, что персональные данные жителей поселка Васильево лучше хранить на отечественных серверах, а не в Германии или США, на чем и позволю себе закончить обсуждение законов РФ, чтобы перейти к рассказу о «Великом китайском брандмауэре» – см. вторую часть статьи.