Обследование
Так как владелец информационной системы ПДн обладает исчерпывающей информацией о ней, обследование превращается в систематизацию имеющихся данных, которые понадобятся на последующих этапах:
- Какие сведения обрабатываются в ИСПДн. Есть ли информация, относящаяся к биометрическим и специальным категориям персональных данных.
- Информация какого количества субъектов персональных данных обрабатывается в ИСПДн и до какого объема возможен рост в ближайшие несколько лет.
- Системное и прикладное программное обеспечение ИСПДн.
- Аппаратные платформы ИСПДн.
- Потоки персональных данных и обмен со смежными системами.
- Реализованные механизмы защиты.
- У кого есть привилегированный доступ и с правами на совершение каких действий.
Если вы решите привлечь облачного провайдера, в зависимости от сложности и размеров ИСПДн, потребуется выездное обследование или заполнение опросного листа.
Обработка персональных данных зачастую сконцентрирована не только на одном объекте и может выполняться как на собственных площадках, так и в «облаках».
Кроме того, существует неавтоматизированная обработка персональных данных (например, когда ПДн сотрудников хранятся в бумажном виде). Выполняя требования защиты персональных данных самостоятельно, вы можете охватить все процессы и информационные потоки, в которых есть такие данные.
Классическая услуга по защите ПДн в «облаке» обеспечивает, в первую очередь, соответствие требованиям законодательства в отношении тех информационных систем и обрабатываемых в них данных, которые расположены непосредственно в «облаке». Но ее можно также распространить на рабочие станции, серверы и другие компоненты ИСПДн на площадках клиентов.
Распознать и чётко идентифицировать все информационные системы и потоки с персональными данными не так просто. Порой для этого требуются компетенции и опыт, которые есть далеко не у всех компаний. По этой причине для защиты персональных данных часто привлекают сторонние организации.
Рассмотрим пример компании, разрабатывающей компьютерные игры. Конечно, в ней есть не только программисты, но вот специалистов по информационной безопасности обычно нет. Сотрудники такой компании могут самостоятельно защитить свой программный продукт от копирования, а разобраться во всех хитросплетениях законодательства и привести все рабочие процессы в соответствие с ним не могут. Эта задача требует специфических компетенций, которые у разработчика компьютерных игр, скорее всего, отсутствуют.
Велика вероятность, что комплект документов, подготовленный самостоятельно, не будет удовлетворять всем требованиям законодательства. Результат — многочисленные замечания в ходе проверки регулятора, которые нужно будет оперативно устранить.
Обычно сами компании находят 3-5 процессов обработки персональных данных, упуская из виду целый ряд важных потоков ПДн. В итоге созданная система защиты охватывает не все персональные данные компании, а это, в свою очередь, влечет за собой переделку документов и доработку системы.
Самостоятельное выполнение требований законодательства на данном этапе, конечно же, позволит сэкономить на услугах сторонней компании, но, вероятнее всего, приведет к дополнительным затратам в будущем.
Разработка проектной документации на сзпдн
Как и на предыдущем этапе, разработка проектной документации на СЗПДн имеет смысл, если вы приняли решение сделать это самостоятельно, а также при необходимости дальнейшей аттестации ИСПДн. Облачный провайдер предложит вам типовые решения, для развертывания которых проектная документация не потребуется.
Кроме мер защиты, предусмотренных 21-м приказом ФСТЭК, для комплексной и эшелонированной защиты иногда требуются дополнительные средства защиты. Они могут напрямую не относится к выполнению требований законодательства, но при этом быть строго рекомендованы для создания реально работающей комплексной системы защиты информации.
Ведь персональными данными информация, которую необходимо защищать, не ограничивается. Например, для защиты Web-порталов могут потребоваться специализированные межсетевые экраны, предотвращающие Web-атаки, против которых не эффективны или даже бесполезны классические межсетевые экраны.
В таком случае применяется так называемый Web Application Firewall (WAF). Его настройка зачастую требует не только весьма высокоуровневых компетенций в области информационной безопасности, но и глубокого понимания механизмов атак, протоколов и языков программирования, а также форматов запросов баз данных. Есть ещё средства защиты от DDoS-атак, которые тоже без квалифицированного персонала могут лишь греть воздух в серверной.
А вот для малых предприятий и для многих средних компаний приобретение подобных работающих сервисов в виде услуги — едва ли не единственный способ получить их.
Преимущественно крупные и иногда средние компании и организации могут выбирать и развивать собственные меры защиты информации или реализовывать их посредством аутсорсинга. А вот для малых предприятий и для многих средних компаний приобретение подобных работающих сервисов в виде услуги — едва ли не единственный способ получить их.
Для эффективного обнаружения, реагирования и расследования атак потребуется система сбора и корреляции событий информационной безопасности (SIEM). Её имеет смысл внедрять только при наличии зрелой ИТ и ИБ-инфраструктуры, а также сформированного и обученного высококвалифицированного подразделения специалистов по защите информации.
В нашем примере разработчику компьютерных игр потребуется потратить от 5 млн. рублей, чтобы получить данный комплекс высокоуровневых средств защиты информации.
Создание сзпдн
При самостоятельной реализации СЗПДн в соответствии с проектной документацией необходимо закупить средства защиты информации, выполнить монтажные и пусконаладочные работы, после чего провести приемо-сдаточные испытания. Срок поставки некоторых СЗИ может составлять до 8 недель.
Как в случае самостоятельного выполнения требований по защите данных, так и в случае приобретения соответствующих услуг у облачного провайдера, есть возможность поэтапного проектирования защиты персональных данных. Во втором случае вы получите ощутимое преимущество — более высокую скорость развертывания.
Например, разработчику компьютерных игр может потребоваться до полугода для проектирования, закупки и дальнейшего развертывания средств защиты. При приобретении услуги у облачного провайдера развертывание СЗПДн займёт не более одной недели.
Система защиты персональных данных (СЗПДн) состоит из целого комплекса подсистем, которые строятся на базе средств защиты информации. Они могут включать в себя:
- средства защиты от несанкционированного доступа;
- средства антивирусной защиты;
- средство межсетевого экранирования;
- средство обнаружения вторжений;
- средство анализа защищенности;
- средство защиты среды виртуализации.
Также должны быть реализованы меры физической безопасности. Обычно они являются частью всех услуг облачных провайдеров по умолчанию. Не важно — защищаете вы персональные данные или нет, — видеонаблюдение, бесперебойное питание, пожаротушение, контроль, управление доступом и ряд других мер будут обеспечены вашей компании в любом случае.
Кроме того, в рамках нашего сравнения нужно учесть и дальнейшую поддержку СЗПДн в рабочем состоянии. Для этого потребуются обученные специалисты, регулярное продление контрактов на техническую поддержу, наличие комплектов ЗиП, а со временем и обновление парка средств защиты информации.
В случае сотрудничества с облачным провайдером СЗПДн будет предоставляться как услуга, включающая все необходимые работы с участием высококвалифицированных специалистов. Возможен и гибридный вариант, при котором администрирование СЗПДн выполняется сотрудниками клиента.
Зачастую стоимость организации СЗПДн с учетом всего жизненного цикла в формате аутсорсинга оказывается ниже, чем в случае самостоятельного создания и поддержания системы.
Для малых и ряда средних предприятий помощь облачного провайдера — порой единственный способ выполнить требования законодательства, так как далеко не каждая компания или организация имеет возможность приобрести необходимые средства и содержать отдел специалистов.
Рассмотрим ситуацию на примере разработчика компьютерных игр. В «облаке» размещено три информационные системы персональных данных, суммарно на двух виртуальных машинах, для работы с ПДн используется 20 автоматизированных рабочих станций.
Самостоятельная организация инфраструктуры по 152-ФЗ
С учетом стандартной годовой технической поддержки как минимум потребуются:
Средства защиты от НСД: 8000 x 22 = 176 000 рублей.Средства антивирусной защиты: 3000 x 22 = 66 000 рублей.
Межсетевой экран и криптошлюз, включая систему управления: 400 000 рублей.
Система обнаружения вторжений: 400 000 рублей.
Криптоклиенты: 7 500 x 20 = 150 000 рублей.
Средство анализа защищенности: 100 000 рублей.
Средство защиты среды виртуализации: 160 000 рублей.
Итого: 1 452 000 рублей.
За техническую поддержку и продление лицензий каждый год нужно будет отдавать не менее 20%, то есть примерно 290 400 рублей. Кроме того, придется нанять специалиста, который будет администрировать созданную СЗПДн, а это ещё не меньше 1 000 000 рублей ФОТ в год. Затраты за 10 лет могут составить не менее 14 356 000 рублей.
А вот услуга облачного оператора будет стоить:
| Ед. изм. | Кол-во | Цена руб. в мес. | Сумма руб. в мес. | |
|---|---|---|---|---|
| Средства защиты от НСД | шт. | 2 | 1000,00 | 2000,00 |
| Средства антивирусной защиты | шт. | 2 | 500,00 | 1000,00 |
| Межсетевой экран и криптошлюз, включая систему управления | шт. | 1 | 2800,00 | 2800,00 |
| Система обнаружения вторжений | шт. | 1 | 1700,00 | 1700,00 |
| Криптоклиенты | шт. | 2 | 900,00 | 1800,00 |
| Средство анализа защищенности | шт. | 1 | 800,00 | 800,00 |
| Средство защиты среды виртуализации | шт. | 4 | 250,00 | 1000,00 |
| 11100,00 |
Что составит 133 200.00 в год.
Или 1 332 000 за 10 лет.
Таким образом мы видим, что если у в штате компании уже есть специалист по информационной безопасности, то на горизонте планирования 10 лет, расходы на покупку СЗИ и на приобретение СЗИ как услуги примерно сравняются. В случае же если такого специалиста нет, то его придется нанять. В этом случае разница в стоимости резко смещается в пользу облачного варианта.
Хостинг в законе. где хостить сайт в контексте «локализации персональных данных»
Осталось чуть больше двух недель до вступления в силу нового закона о локализации персональных данных россиян. В связи с новым законодательством у владельцев сайтов в Рунете все еще возникает немало вопросов по поводу того, а где же безопасней хостить сайт, и что будет, если персональные данные российских пользователей будут первично собираться, обрабатываться и храниться на серверах за пределами страны. Для того, чтобы ответить на эти вопросы и понять, так где же стоит хостить свой сайт и как не попасть в неприятную ситуацию, связанную с привлечением Роскомнадзором к ответственности за нарушение правила об обработке персональных данных российских пользователей сети, необходимо определить общие правила правового регулирования хостинга в России и обозначить пределы законодательного регулирования гражданско-правового оборота персональных данных, чему и посвящено указанное исследование.
ХОСТЕРЫ КАК ИНФОРМАЦИОННЫЕ ПОСРЕДНИКИ
С незапамятных времен аналоговой эры существовали посредники, которые занимались предпринимательской деятельностью, связанной с оказанием сервисов для граждан и хозйственных обществ (сегодня это B2C и B2B). Среди них были почтальоны, владельцы складов, торговцы и организаторы ярмарок. В цифровую эпоху, все те же сервисы, которые существовали в реальном мире, появились и в форме диджитал. Вместо почтальонов появились интернет-провайдеры, вместо владельцев складов — хостеры, вместо организаторов ярмарок — поисковики, форумы и соц.сети, ну а роль рыночных продавцов взяли на себя Интернет-магазины и веб-аукционы.
Длительное время принцип «почтальонского иммунитета» строго действовал в аналоговом мире. И несмотря на то, что аналог СОРМ уже в советские годы использовался на узлах почтовой связи, почтальоны никогда не фигурировали в качестве сторон по гражданским и уголовным делам, связанным с содержимым посылки или письма, с дальнейшим привлечением их к ответственности.
Однако в цифровую эру наступил момент, когда роль инфопосредников заметно возросла в жизни общества, и назрела необходимость наделения их особым юридическим статусом.
Длительное время в российской правовой системе отсутствовали какие-либо специальные нормы касательно деятельности хостеров, провайдеров доступа и операторов веб-приложений. Однако российский законодатель, опираясь на различный международный правовой опыт регулирования сети, в стремительном темпе с 2022 г. начал принимать нормы, возлагающие новые обязанности и предусматривающие ответственность информационных посредников.
Следует отметить, что в настоящее время в международной практике выделяют три правовых режима деятельности информационных посредников:
— прямая ответственность — например, Китай, где на информационных посредников возложена обязанность по активному мониторингу контента под угрозой наказания;
— «тихие гавани» — например, Сингапур, Гана, Уганда, Южная Африка и Европа, где инфопосредники обладают надежным иммунитетом от ответственности если они соблюдают процедуру претензионного рассмотрения обращений;
— почти абсолютный иммунитет от ответственности за контент, созданный другими — например, США или Чили, где инфопосредник не отвечает за контент создаваемый другими в случае если он не видоизменяет контент. Инфопосредник лишь обязан удалить контент по постановлению суда.
Манильские принципы, выработанные на Филиппинах в 2022 г. представителями крупнейших правозащитных организаций в области распространения информации, на сегодняшний день наиболее детально формулируют основные принципы ответственности информационных посредников, в т.ч. и хостеров.
В настоящее время модель правового регулирования деятельности информационных посредников в России только формируется и пока, похоже, представляет из себя микс из первого и третьего варианта.
Существующее российское законодательство в области IT различает три вида информационных посредников:
1. операторов связи (в международной практике — ISP);
2. хостинг-провайдеров;
3. организаторов распространения информации (OSP).
В этом исследовании мы будем рассматривать исключительно правовое регулирование деятельности хостинг-провайдеров и их ответственность за размещаемый контент и обработку персональных данных.
ПРАВОВОЕ РЕГУЛИРОВАНИЕ ХОСТИНГА В РФ
Впервые, дефиниция хостинг-провайдера появилась в российском законодательстве после вступления в силу первого закона, предусматривающего ограничения доступа к веб-сайтам. Федеральным законом от 28.07.2022 № 139-ФЗ, который внес изменения в Федеральный закон №149-ФЗ “об информации” было определено, что провайдер хостинга — это лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет»;
Хостинг-провайдеру в соответствии с законом отводилась особая роль информационного посредника. Так, согласно ст.15.1 №139-ФЗ хостер в течение суток с момента получения от Роскомнадзора уведомления о включении сайта в реестр, он обязан проинформировать об этом обслуживаемого им владельца сайта в сети «Интернет» и уведомить его о необходимости незамедлительного удаления интернет-страницы, содержащей информацию, распространение которой в Российской Федерации запрещено.
Если в течение суток владелец сайта этого не делает, то хостер обязан сам ограничить доступ к такому сайту в течение суток. В случае если это сделано не будет, то Роскомнадзор вносит сайт вместе с доменным именем, указателем страницы сайта в сети (URL) и сетевым адресом (IP) в реестр, после чего все операторы связи обязаны ограничивать к нему доступ пользователей.
В 2022 году Антипиратским законом ver.1.0 (Федеральный закон №187 от 02 июля 2022) была введена в действие статья 1253.1 Гражданского кодекса РФ. Так была установлена еще одна норма об ответственности хостинг-провайдеров за размещение контента с нарушением исключительных авторских прав. В соответствии со ст. 1253.1 информационный посредник, предоставляющий возможность размещения материала в информационно-телекоммуникационной сети, не несет ответственность за нарушение интеллектуальных прав, произошедшее в результате размещения в информационно-телекоммуникационной сети материала третьим лицом или по его указанию, при одновременном соблюдении информационным посредником следующих условий:
1) он не знал и не должен был знать о том, что использование соответствующих результата интеллектуальной деятельности или средства индивидуализации, содержащихся в таком материале, является неправомерным;
2) он в случае получения в письменной форме заявления правообладателя о нарушении интеллектуальных прав с указанием страницы сайта и (или) сетевого адреса в сети «Интернет», на которых размещен такой материал, своевременно принял необходимые и достаточные меры для прекращения нарушения интеллектуальных прав. Перечень необходимых и достаточных мер и порядок их осуществления могут быть установлены законом.
Статья 17 №149-ФЗ «Об информации» предусматривает ограничение ответственности хостера. Так, в случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:
1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;
2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.
Провайдер хостинга, оператор связи и владелец сайта в сети «Интернет» не несут ответственность перед правообладателем и перед пользователем за ограничение доступа к информации и (или) ограничение ее распространения.
Закон установил, что к информационному посреднику, который не несет ответственность за нарушение интеллектуальных прав, могут быть предъявлены требования о защите интеллектуальных прав, не связанные с применением мер гражданско-правовой ответственности, в том числе об удалении информации, нарушающей исключительные права, или об ограничении доступа к ней.
Однако анализ правоприменительной практики показал, что несмотря на ограничение ответственности, хостинг-провайдеры стали довольно частыми фигурантами судебных процессов по самым разным основаниям: в Мосгорсуде — по вопросам блокировки пиратских сайтов, в районных судах — по вопросам взыскания компенсации за нарушение интеллектуальных прав, а также по искам прокуроров в защиту неограниченного круга лиц в связи с размещением информации, признаваемой государственными органами незаконной. Зачастую, в случае если Истец не может или не хочет привлекать в качестве Ответчика владельца интернет-ресурса или администратора домена (например, если такое лицо находится вне юрисдикции РФ, и становится очевидно, что решение суда будет затруднено к исполнению), которые имеют реальную возможность модерировать контент сайта, иски предъявляются к российским хостинг-провайдерам, как к солидарным ответчикам. Это позволяет прокурорам, а также гражданам и юр.лицам с соблюдением принципа подсудности все же инициировать процессы в российских судах, подавая иски по месту нахождения хостинг-провайдеров.
В таких случаях владелец сайта, находящийся не на территории РФ, но нацеленный на российскую аудиторию, вынужден находить компромисс с лицом, подавшим иск для того, чтобы не допустить блокировки ресурса и потери интернет-трафика.
Если же иностранный владелец веб-сайта на это не идет, то решение принимается в отсутствие сторон. Хостинг-провайдер, как правило не имеет личной заинтересованности в исходе дела и не имеет возможности отправлять в разные уголки страны адвокатов, представляющих интересы как его самого, так и его клиентов по самым разнообразным делам, связанным с размещением незаконной информации. Однако, даже при отсутствии вины на хостера, как на проигравшую сторону возлагается возмещение судебных издержек, в т.ч. госпошлины, расходов на обеспечение доказательств, оплату услуг юристов со стороны Истца.
Кроме постоянных судебных повесток российские хостинг-провайдеры получают еще и множество иных запросов от различных структур, но чаще всего это МВД (отдел К) и ФСБ. Иногда участковые.
Ужесточение гос.регулирования российского IT-сектора и хаотичная практика по пресечению оборота противоправной информации в киберпространстве несомненно сказались и на снижении привлекательности российского рынка хостинга. Это признают сами представители отрасли, которые на XXIV Всероссийском форуме провайдеров хостинга, прошедшем 28-30 мая 2022 г. в СПб, обратились к Интернет-омбудсмену поддержать инициативу по улучшению правовой ситуации в области предоставления хостинговых услуг.
ИММИГРАЦИЯ САЙТОВ
Последние 3 года российские пользователи интернета и отечественный IT-бизнес могли наблюдать резкий темп правового регулирования оборота информации в сети. В стремительные сроки без какого-либо обсуждения с обществом и учета предложений отрасли были приняты 6 федеральных законов, наделяющих 5 различных органов власти принимать решение об ограничении доступа к сайтам в сети Интернет по более чем 15 основаниям.
Деятельность Роскомнадзора по самостоятельному определению IP адресов “сайтов с незаконным контентом” с дальнейшем направлением требований российским операторам связи об ограничении доступа в том числе и по сетевым адресам, закономерно привела к нарушению связанности и целостности российской сети. По результатам общественного мониторинга, более 260 000 веб-сайтов было заблокировано за это время, только потому что они находились на тех же адресах, что и сайты с информацией, к которой имелись претензии уполномоченных государственных органов и правообладателей. Внедрение законодательства о защите детей, антипиратского закона ver.2.0 с возможностью вечной блокировки сайтов, на фоне не останавливающихся повсеместных несистемных блокировок сайтов по требованию районных и городских прокуроров создали в целом неблагоприятную почву для размещения в российской юрисдикции посевных проектов, а также готовых b2b и b2c сервисов, форумов, блог-платформ и др. веб-приложений.
Избыточное государственное регулирование и вмешательство российского законодателя в работу сети и правоприменителя создали два правила ведения бизнеса в Рунете.
Первым правилом реализации любого проекта в Интернете стало правило не регистрировать домены в зоне .ru. Это связано с рядом вполне реальных рисков:
— обязанностью российского регистратора доменных имен выдать всю информацию третьим лицам (в т.ч. конкурентам) об администраторе доменного имени;
— изъятием доменного имени по решению суда с применением норм законодательства о промышленной собственности;
— внесудебным порядком приостановки делегирования доменного имени по требованию органов, осуществляющих ОРД.
Вторым правилом ведения бизнеса в Рунете стало хранение информации на серверах, находящихся не на территории РФ. Это связано с возможностью раскрытия в РФ информации о веб-сайте, клиентах, и другой чувствительной информации, которая может быть получена злоумышленниками либо по требованию правоохранительных органов, изъятием серверов и ряда других рисков, речь о которых пойдет ниже.
Беспорядочная блокировка сайтов наряду с постоянными требованиями о предоставлении информации и удалении информации в РФ в купе с более привлекательным показателем цена/качество по аренде серверного пространства в странах ЕС и США привели к массовой миграции российских интернет-ресурсов, нацеленных на российскую аудиторию, к иностранным хостерам, где правоприменительная практика более предсказуема, а стоимость услуг ниже.
До 2022 года доля сайтов доменной зоны .ru, размещенных за границей, составляла 15%, и то, большинство сайтов были российскими версиями интернет-площадок крупных международных компаний. Согласно исследованию Openstat на 2022 г. лишь только среди сайтов в зоне .ru более ⅓ всех ресурсов уже хостилось зарубежом. По данным Reg.Ru, немецкая компания Hetzner — крупнейший провайдер хостинга зоны .ru — на ее серверах находятся 13,8% сайтов главного домена России.
В 2022 году депутат Климов представил результаты исследования экспертов Общероссийского народного фронта, которые в рамках мониторинга госзакупок выборочно изучили 9000 сайтов госзаказчиков. Довольно любопытно, что более трети из них также оказались на иностранных серверах, в основном в США и Германии. Всего, как показало исследование ОНФ, зарубежным хостингом пользуются 1560 федеральных бюджетных учреждений, 1230 органов власти, 720 муниципальных учреждений и 350 предприятий, обладающих признаками стратегических.
КУРС НА РЕПАТРИАЦИЮ
Увеличение правовых рисков внезапного прекращения работы веб-сайтов при постоянном давлении на российских хостеров со стороны правоохранительных и судебных органов, а также правообладателей, несомненно, заставило большое количество веб-сайтов физически уехать в более “тихие гавани” иностранных юрисдикций. Было очевидно, что, с одной стороны, это наносит урон экономике РФ и российским дата-центрам, с другой стороны, это не позволяет органам, осуществляющим оперативно-розыскную деятельность получать информацию и осуществлять в необходимых случаях слежку за пользователями различных ресурсов. Для того, чтобы заставить российские веб-сайты вернутся на сервера в РФ на высшем уровне было сформировано решение принять ряд законотворческих мер.
В соседней Беларуси просто законодательно запретили резидентам хостить сайты за пределами своей Родины (что, несмотря на запреты, практически повсеместно не выполняется). В России же решили пойти по пути объявления прямой обязанности государства во чтобы то ни стало защитить персональные данные россиян и обеспечить безопасность веб-сайтов гос.органов. Очевидно, в условиях назревшей информационной войны необходимо предпринимать все меры для минимизации рисков уничтожения, блокирования и изменения информации на официальных сайтах гос.органов, а также для понижения уязвимости от кибератак и информационного шпионажа.
И если законодательное требование о хостинге госсайтов на территории РФ, принятое в конце декабря 2022 года и вступающее в силу с 01 июля 2022 года было понятно с точки зрения национальной безопасности, то императивное требование резонансного Федерального закона №242-ФЗ о локализации персональных данных россиян с 01 сентября 2022 г. вызвало наибольшее количество оживленных дискуссий и публикаций на разных площадках.
Надо отметить, что разоблачения Сноудена о массовой слежке АНБ очень хорошо легли в новую национальную концепцию того, почему персональные данные (далее — ПНд) российских пользователей Интернета и сайты гос.органов должны в обязательном порядке храниться на российских серверах.
ХОСТИНГ ЗА РУБЕЖОМ В КОНТЕКСТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Закон о «локализации персональных данных” вызвал немало вопросов у отрасли. Его не ругал только ленивый. Но dura lex sed lex. Несомненно, он был весьма плохо продуман, технически нереализуемым и плохо коррелирует с уровнем технологического прогресса. Масло в огонь подлили и СМИ.
Принятие закона о “локализации персональных данных” сопровождалось широким освещением законодательной инициативы в различных СМИ, в результате чего были созданы два главных мифа о Федеральном законе №242-ФЗ:
— россиянам отныне запрещено размещать свои персональные данные за рубежом;
— всем иностранным компаниям запретили получать и обрабатывать персональные данные россиян на серверах за пределами РФ.
Но так ли это? Давайте разберёмся.
Федеральным законом № 242-ФЗ предусматривается, что «при сборе персональных данных, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». В противном случае, доступ к сайту, уличенному в первичном сборе и хранении персональных данных российских граждан не базах данных, находящихся в пределах юрисдикции РФ, может быть ограничен.
1 сентября 2022 года Федеральный закон № 149 «Об информации, информационных технологиях и о защите информации» будет дополнен ст.15.5, предусматривающей, что все уникальные идентификаторы сайтов, нарушающих требование нового закона, должны быть внесены Роскомнадзором в специальный реестр нарушителей персональных данных и далее блокироваться всеми интернет-провайдерами.
Новость о новом законе создала настоящую панику в Рунете и породила немало переживаний владельцев российских сайтов, которые предпочитали до этого размещать свои ресурсы на хостинге за рубежом.
Для того чтобы развеять мифы необходимо подробно разобраться с самим законом, а также с понятием “персональных данных” и “баз данных”.
Во-первых, законодатель при принятии новой нормы одновременно предусмотрел исключения. Указанные требования не распространяются на сайты, которые занимаются обработкой персональных данных для:
— достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
— исполнения судебного акта;
— исполнения полномочий органов государственной и муниципальной власти;
— осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
Как видно, в законе предусмотрен юридический механизм так называемых изъятий. Это подтверждает и сам министр связи Николай Никифоров: “ если те или иные виды деятельности регулируются международными соглашениями или профильным законодательством, они не попадают под действие этого закона”.
Во-вторых, закон не запрещает создание реплики любого сайты с хранением его на серверах, расположенных на территории стран, подписавших конвенцию Совета Европы ETS №108, а также трансграничную передачу персональных данных. Согласно ратифицированной Россией Конвенции Совета Европы ETS №108 «О защите физических лиц при автоматизированной обработке персональных данных», в части 2 ст.12 предусматривается, что присоединившиеся к ней страны не будут запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны Конвенции, а ст. 25 запрещает любые оговорки в отношении Конвенции.
Таким образом, хранение и обработка персональных данных за рубежом будет считаться правомерной в государствах, подписавших Конвенцию: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония, а также как это следует из разъяснений Роскомнадзора, в странах, обеспечивающих адекватную защиту персональных данных. Такими признаются страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных: Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.
В-третьих, речь в законе идет только о персональных данных. Согласно ст.3 Федерального закона от 27.07.2006 №152 „О персональных данных“ персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Несмотря на то, что российская дефиниция несколько некорректна и устарела, на что неоднократно обращалось внимание отрасли (в части отдельного определения идентификационных данных), ее дополняет положение ст. 2 Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, подписанная в Страсбурге 28 января 1981 года. В Конвенции указывается, что «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных)”.
Вместе стем, Конвенция Совета Европы, вступившая в силу для Российской Федерации с 1 сентября 2022 г. занимает более высокий статус в иерархии нормативных документов в системе российского права, т.к. согласно Конституции РФ, общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законодательством, то применяются правила международного договора.
На основании этого можно сделать вывод, что персональные данные представляет из себя все же не любая информация о человеке, а информация, при помощи которой можно определить конкретного гражданина. Этой позиции придерживается и Роскомнадзор, который указывает, что само по себе “размещение на страницах сайтов в сети «Интернет» фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица”. Аналогична позиция ведомства и в отношении фотографий. “Размещение на страницах сайтов в сети «Интернет» фотографии без дополнительной информации, позволяющей идентифицировать физическое лицо, как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица”.
Таким образом, фотография человека — это неидентифицирующие данные, также как и ФИО, сами по себе. В то же время их сочетание — уже относится к персональным данным. Номер телефона в сочетании с именем, e-mail и адресом доставки также не относятся к персональным данным, так как публичного доступа к базам мобильных номеров не существует, а значит обладание этой информации не позволяет идентифицировать человека. Однако, если владельцы веб-ресурсов вместо поля “адрес доставки” будут использовать поле “место жительства”, то в сочетании с другой информацией о гражданине такие данные будут считаться персональными данными, т.к. позволяют однозначно идентифицировать лицо.
В-четвертых, в законе не содержится никаких требований, запрещающих хранение персональных данных россиян на серверах вне территории РФ. Единственное, что есть — это требование к оператору обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Как справедливо отметил Интернет-омбудсмен и владелец собственного хостинга Дмитрий Мариничев на Петербургском Международном Юридическом Форуме (27-30 мая 2022 г.):
Программное обеспечение, работающее на смартфоне, работает на локализованном устройстве, в Российской Федерации. Оно собирает, агрегирует, хранит персональные данные в базах данных, которые хранятся в памяти мобильного устройства. После этого закон говорит — передавать трансгранично — это возможно, это в рамках закона, у нас Конвенция. Устройство передало. Где в законе написано, что сервера должны храниться в России с единственной репликой персональных данных граждан Российской Федерации?
Очевидно, регрессивное законодательство создает определенные проблемы у крупных операторов веб-сервисов, однако в ряде случаев принятый закон не может ограничить определенные действия владельца веб-сайта с предоставленными пользовательскими данными, даже если сайт хоститься в зарубежных дата-центрах. Федеральный закон “о локализации данных” не запрещает размещение сайтов за рубежом по причине обработки информации о гражданах РФ. Если бы даже законодатель пытался это сделать, то закон был бы абсолютно невыполним и неэффективен в условиях современных технологий сети.
КТО ПОДПАДАЕТ ПОД ДЕЙСТВИЕ ЗАКОНА
Сначала те, кто не должен подпадать под требование закона о локализации персональных данных:
1. Веб-сайты, которые осуществляют оформление и выдачу виз;
2. Веб- сайты гос. и муниципальных органов;
3. Веб-сайты СМИ и Интернет-издания (новостные ленты, индивидуальные блоги, авторские проекты);
4. Информационные ресурсы, не нацеленные на захват данных пользователей;
5. Веб-сайты, нацеленные на научную, литературную или любую иную творческую деятельность, а также UGC-ориентированные ресурсы (блог-платформы, платформы для коллективного творчества, в т.ч. на вики-движке);
6. Интернет-магазины и сайты по оказанию бытовых услуг, сайты-визитки (landing page), на которых размещается форма заявки для получения имени, телефона и e-mail клиента (а также адрес доставки, т.к. адрес доставки не тождественен адресу места жительства).
7. Веб-сайты и сервисы (в т.ч. “счетчики”), собирающие и передающие следующую обезличенную информацию в автоматическом режиме: информация о дате и времени запроса, типе браузера или иного приложения, языке, данные об устройствах, такие как модель, версия операционной системы, уникальные идентификаторы устройства, включая IP-адрес, а также данные о мобильной, беспроводной или другой сети, сведения о действиях в журналах серверов, включая сведения об использовании служб, поисковые запросы, URL перехода, использованные ссылки и функции, просмотренный или запрошенный контент, данные об аппаратных событиях, в том числе о сбоях и действиях в системе, а также файлы cookie и другие подобные файлы и технологии, например локальные общие объекты, веб-маяки и т. п., сохраняемые кэш-функцией пользовательского веб-браузера или иного клиентского программного обеспечения;
8. Веб-сайты в сегменте B2B, которые не продают услуги/товары физ.лицам и не обрабатывают персональные данные граждан.
9. Пользовательские форумы и чаты;
10. Веб сайты авиабилетных агрегаторов
При буквальном прочтении закона можно сделать вывод, что под действие закона будут попадать следующие виды ресурсов:
1. Веб-сайты, собирающие паспортные данные пользователей (сервисы по аренде автомобилей, бронированию гостиниц и др.);
2. Социальные сети;
3. Веб-сайты, собирающие биометрические данные граждан (в т.ч. дактилоскопические данные, радужную оболочку глаз, анализы ДНК, рост, вес и другие, а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить личность человека и используются оператором для установления личности);
4. Платежные сервисы;
5. Веб-сайты банков, МФО и иных финансовых/страховых предприятий, позволяющих делать заявки на оказание финансовых услуг;
6. Веб-сайты медицинских учреждений, предприятий розничной торговли, использующих программы лояльности, учебных учреждений, социальных учреждений, которые имеют функционал личного кабинета и однозначно идентифицируют клиента по паспортным данным, номеру договору, а также другим данным, представленным самим гражданином;
7. Веб-сайты рекрутинговых агентств и компаний по предоставлению персонала.
В таких случаях, оператор персональных данных (как правило, это владелец интернет-сайта) во избежания ответственности должен осуществлять первичную обработку данных на ЦОД, которые кроме нахождения в России, также должны отвечать и техническим требованиям защиты конфиденциальной информации (ТЗКИ) с необходимым уровнем защищённости. При этом у хостера должна быть лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации и лицензия ФСБ на предоставление услуг с использованием шифровальных (криптографических) средств.
Можно сделать вывод, что в случае, если веб-сайт собирает заявки лишь в виде имени и телефона, либо e-mail, либо позволяет обмениваться электронными сообщениями с пользователями, указывающими только имя и адрес электронной почты, он также не подпадает под правило о локализации персональных данных. Защите в рамках законодательства о персональных данных подлежит только та информация, по которой можно определить, что эта информация относится к конкретному лицу. Первичная обработка, хранение и распространение информации, из которой нельзя сделать однозначный вывод о её принадлежности к конкретной персоне (в том числе обезличенные данные) не может нарушить прав и свобод физического лица, а значит может осуществляться в любом месте.
В настоящее время невозможно дать легальное толкование с точным перечнем информации, относящейся к персональным данным, а также случаев отнесения тех или иных онлайн-ресурсов к требованиям “о локализации персональных данных” россиян. Какой будет реальная практика после принятия ряда подзаконных актов и начала правоприменения Роскомнадзором и судами, не знает никто. Регулятор, до момента принятия во исполнение закона постановлений и приказов, воздерживается от каких-либо разъяснений.
После появление новостей о принятии закона, устанавливающего новые правила работы с персональными данными, перед компаниями встало сразу несколько важных вопросов:
1. стоит ли вносить изменения в собственные локальные нормативные акты и заключать нвоые договоры с российскими дата-центрами;
2. будет ли усилен контроль со стороны Роскомнадзора и насколько увеличится количество судебных разбирательств по защите субъектом своих прав.
Однако, несмотря на правовую неопределенность закона, эксперты отрасли сходятся во мнении, что ожидать усиления внимания со стороны регулятора ко всем владельцам сайтов в Рунете в ближайшее время не стоит. Да и учитывая множество новых обязанностей возложенных на ведомство, определенно можно сказать, что у Роскомнадзора нет человеческих ресурсов для проверки более 3 млн компаний работающих в зоне Рунета на предмет их соответствия требованию о локализации персональных данных. . Поэтому, указанный закон скорее станет законом выборочного правоприменения. В Роскомнадзоре заявили, что готовы начать проверку 0,01 компаний (317 компаний), работающих с перс.данными россиян на предмет соотвествия требованию о локализации. В ведомстве также уверют, что Twitter под действие закона не подпадает, так как не хранит персональных данных россиян, а Facebook и Google пока трогать и блокировать не будут.
Некоторые вопросы, связанные с применением нового законодательства были раскрыты на официальном портале МинКомСвязи. На сайте представлены разъяснения по закону о локализации персональных данных 242-ФЗ, которые позволяют компаниям определить, какие изменения им необходимо внести в свою IT-инфраструктуру и (или) бизнес-процессы для того, чтобы исполнить закон.
Кроме того силами РАЭК и РКН был создан портал пд-инфо.рф, посвященный реализации федерального закона №242-ФЗ, на котором есть также множество вопросов-ответов касательнонового требованию к обработке персональных данных российских пользователей интернета.
РИСКИ И ОТВЕТСТВЕННОСТЬ
Напомню, что за несоблюдение требований нового российского законодательства локализации предусматривается ряд негативных последствий.
Прежде всего, закон “о локализации персональных данных” внес изменения в законы 152-ФЗ (О персональных данных) и 149-ФЗ (Об информации) и предполагает создание при РосКомНадзоре «реестра нарушителей прав субъектов персональных данных», куда с 01 сентября 2022 года будут включаться интернет-ресурсы, нарушающее требование хранить информацию о персональных данных граждан в РФ в базах данных, расположенных на территории РФ, и на этом основании могут быть заблокированы на основании решения суда.
Кроме блокировки сайта нарушение повлечет также и наложения штрафа на владельца сайта. Действующее законодательство, а именно ст. 13.11 КоАП, в настоящее время предусматривает штрафы от 500 рублей (для граждан) до 10 тыс. рублей (для юридических лиц) за нарушение установленных правил (без пояснений видов нарушений). Однако, указанных штрафов показалось мало, и в 2022 г. появилась законодательная инициатива Правительства по увеличению взыскиваемых штрафов (на момент данной публикации не принята). Законопроектом предусмотренр, что если персональные данные будут обрабатываться с согласия субъекта, но с нарушением действующих норм, штраф составит от 700 рублей для граждан до 50 тыс. рублей для юрлиц. Всего в ст. 13.11 КоАП предлагается включить 8 пунктов, описывающих различные формы нарушений и соответствующие штрафы (вместо одного абзаца в нынешней редакции).
Административная ответственность на хостеров, как информационных посредников, распространяться не будет.
Вызывает сомнение, что принятые меры гос.принуждения смогут значительно увеличить спрос на услуги дата-центров в России, а вот понизить инвестиционную и клиентскую привлекательность — это вполне, т.к. новые правила регулирования вызывают непонимание и страх у многих представителей бизнеса. По данным исследования Европейского центра по международной политической экономии (ECIPE), вступление в силу закона «О персональных данных» приведет к падению российского ВВП на 0,27%, что соответствует 286 млрд руб.
Вместо стимулирования использования природного потенциала страны для строительства в российской зоне севера дата-центров, работающих на возобновляемых источниках энергии, в настоящее время наблюдается законодательный тренд на принятие непопулярных решений, главной целью которых является давление на западных IT гигантов, имеющих львиную долю потребления среди российских пользователей Рунета. Все это ставит отечественных хостинг-провайдеров в неконкурентные условия с остальным миром и серьезно тормозит развитие российского IT-рынка.
Материал подготовлен при поддержке хостинг-провайдера FASTVPS.RU
