Минкомсвязь любое перемещение персональных данных может сделать «трансграничным»

Законопроект, разработанный Минкомсвязью, вносящий поправку в закон «О персональных данных» в части кардинального изменения понятия «трансграничной передачи персональных данных» выставлен на общественное обсуждение.

Минкомсвязь ужесточила формулировку закона «О персональных данных» (152-ФЗ), которая корне меняет подход к передаче любых данных российских пользователей — даже если это происходит внутри одной и той же фирмы. Законопроект состоит всего лишь из одной фразы «11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства», однако это нововведение сильно усложнит жизнь российским компаниям, которые хотят разместить или использовать инфраструктуру вне страны. Операторов персональных данных недвусмысленно подталкивают к использованию серверов только внутри страны. Заодно закон более чётко очерчивает понятие национального сегмента интернета: если ранее под ним понимались ресурсы, которые управляются из России, то теперь только те, которые физически находятся внутри страны. 

РосКомСвобода уже писала в конце апреля о том, что Минкомсвязь опубликовала на Федеральном портале проектов нормативных актов соответствующий проект закона, однако текста самого документа на тот момент ещё не было. Сейчас де-факто законопроект уже появился.

В замечаниях, которые пользователи портала Regulation оставили к проекту закона, отчётливо прослеживается обеспокоенность тем, что эта инициатива Минкомсвязи станет очередным поводом для давления на неугодные интернет-компании, а также цензуры Рунета:

«Видите ли, эти поправки бессмысленны. Кажется, господа из министерства уверены, будто интернет — это такой высокоскоростной телеграф. Объясните им кто-нибудь, что это не так.

Дело в том, что часто «заграничные» маршруты бывают от одного провайдера к другому, даже если обмен данными формально происходит внутри одного города. Например, Питер-Москва-Хельсинки-Братислава-Харьков-Москва-Питер. И пользователь об этом даже не знает, да и ни к чему ему об этом знать, ибо следующий же пакет данных, уже в следующую секунду, может пойти по совершенно другому маршруту! Элементарно, где нибудь отвалился шлюз, и автоматический роутинг перестроил маршрут. Не исключено, что и это моё сообщение пересечёт десяток границ, прежде, чем вы его увидите. И кто в этом виноват?

В 21 веке пора уже понять всем, что интернет — это одна сеть. В ней нет понятия государства. Она работает как единое целое», — Бан Пангур.

«Законопроект в действительности направлен на расширение перечня формальных поводов для репрессивных действий «регуляторов» Интернета в отношении любых неугодных информационных ресурсов, осмеливающихся держать персональные данные граждан России на территории, не подконтрольной российским спецслужбам, желающим иметь в любое время суток беспрепятственный доступ к чужим персональным данным. Я, как субъект персональных данных, желаю самостоятельно решать, кому и на каких условиях я предоставляю свои персональные данные, и не желаю, чтобы чиновники и депутаты этот вопрос решали за меня директивным порядком», — Ефимов Данила Борисович.

«Трансграничная передача данных — это не хранение на территории иностранного государства в том виде, в котором они затребованы обработчиком персональных данных. Передача может осуществляться по линиям связи в зашифрованном виде (и должна), т.е. только клиент и сервер видят эти данные в незашифрованном виде и могут ими пользоваться. Как иностранные государства смогут ими воспользоваться? Для иностранного государства эти данные — зашифрованный мусор, компании и сервисы должны сами заботиться о том, чтобы данные пользователей не утекли в сеть, такое может случиться и внутри страны и заграницей, а пользователи должны сами выбирать, хотят ли они делиться данными или нет.

Шифрование данных — удел сервис-провайдеров, они заботятся о данных, пользователи сами выбирают, как им распоряжаться своими данными. Также как они дают согласие на обработку своих данных, также они могут давать согласие и на передачу своих данных через границу. В этом нет проблемы.

Иначе, данная поправка приведёт к тому, что по любому поводу о несостыковке с этим законом может быть заблокирован любой сервис, предоставляющий доступ через VPN, анонимайзер, который работает через иностранные сети. Любая информация, которая передаётся провайдерами через границу может быть заблокирована! Это нарушение сетевого нейтралитета и конституционного права граждан получать и обрабатывать информацию любым доступным способом.
Также это приведёт к повышению стоимости выхода в Интернет, потому что передача данных через заграницу дешевле, чем передача их через внутренних провайдеров. И также приведёт к снижению скорости доступа к различным сервисам», — Игорь Тирский.

«11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства
На мой взгляд, технически непонятная формулировка. Что такое «территория иностранного государства» в Интернет? Например, если я храню свои фотографии в Mi cloud, значит ли, что я их отправляю в Китай? Аналогичный вопрос возникает и в случае других облачных сервисов, «гражданство» которых установить фактически невозможно. А что получается в случае, если в силу особенности некоторых данных (для безопасности транзакций и т.п.) они передаются по каналам, использующим VPN? Считается ли такая передача трансграничной, даже если она осуществляется от одного резидента РФ другому?» — Ольга Викторовна Бут.

«Все это лишь ускорит движение отрасли в обратном направлении, усилит отток заинтересованных лиц (квалифицированных специалистов и бизнес-сектор). Подобные законопроекты способствуют полному уничтожение отрасли как таковой в России. Лица, предложившие этот проект должны быть проверены на свою проф. пригодность», — Константин Юрьевич Фёдоров.

«В таком виде законопроект принимать нельзя.

Нечёткие определения, отсутствие структуры.

Запутанность.

Некорректные определения трансграничной передачи данных», — Григорий Спирин.

«Незачем менять закон, он и так достаточно реакционный. Пора хоть слегка соблюсти видимость государства, где у людей есть права», — Оксана Олеговна Колачевская.

Ни одно из вышеуказанных мнений разработчиками документа учтено почему-то не было.

Ранее эксперт по кибербезопасности компании Cisco Алексей Лукацкий высказывался также крайне скептически относительно этого законопроекта, поскольку многие отечественные поставщики облачных и других ИТ-сервисов размещают персональные данные на серверах российских фирм, но за рубежом.

Например, «Яндекс» сообщал об открытии большого дата-центра в Финляндии.

— Такие фирмы ссылаются на нынешнюю формулировку закона «О персональных данных», — пояснил Алексей Лукацкий.

Роскомнадзор, по словам эксперта, последовательно добивается, чтобы данные россиян хранились на территории страны.

В ФЗ-152 решили внести правки в термин "трансграничная передача ПДн", чтобы никто не ушел от карающей руки РКН — https://t.co/sxBR5i5NX1 Ё!

— Alexey Lukatsky (@alukatsky) April 25, 2017

Недавно Госдумой были приняты поправки к статье 152-ФЗ и статье 28.3 Кодекса об административных правонарушениях, которые возлагают на операторов обязанность уведомлять надзорные органы о неправомерном раскрытии персональных данных, при этом оговаривается, что для ранее опубликованных данных не требуется обеспечение конфиденциальности.

В пятницу поправки Гаттарова-Матвиенко в ФЗ-152 были приняты в первом чтении

— Alexey Lukatsky (@alukatsky) May 28, 2017

Кроме того, законопроект предлагает санкционировать согласие на дистанционную обработку персональных данных с помощью электронных средств, позволяющих оператору удостовериться в согласии лица на обработку информации о нём. По словам председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству Людмилы Боковой,

«…в случае передачи оператору, который находится на территории РФ персональных данных гражданина, чьи персональные данные собраны за пределами РФ, к этим данным будет применяться закон о персональных данных РФ».

.

Документ уточняет требования к операторам персональных данных (работодатели, операторы связи, банки, интернет-магазины и другие сетевые площадки, а также компании, развивающие программы лояльности). В частности, у операторов появляется обязанность уведомлять уполномоченный орган в случае неправомерного раскрытия или утечки персональных данных.

Авторами документа стали председатель Совета Федерации Валентина Матвиенко, сенаторы Андрей Клишас, Людмила Бокова, а также Руслан Гаттаров, Константин Добрынин вместе с группой депутатов Госдумы.

Публичное обсуждение данного законопроекта, по нормам которого любая передача данных пользователей может стать «трансграничной», закончится 13 июня 2017 года. Каждый может высказать свое мнение по нему и проголосовать на официальном портале разработки НПА.

Читайте также:

Минкомсвязь хочет расширить понятие трансграничной передачи персональных данных
?
Роскомнадзор обещает, что Twitter локализует в РФ персональные данные россиян уже в следующем году
?
Власти вплотную взялись за персональные данные россиян
?
Риски законопроекта о штрафах за ненадлежащую обработку и хранение персональных данных
?
Роскомнадзор анонсировал крупную проверку персональных данных в 2017 году

.