Александр Савельев: спецоперация форсирует формирование особого пути России в регулировании персональных данных
Юрист в области данных рассказал о законопроекте, предусматривающем регулирование трансграничной передачи данных россиян
Москва. 26 апреля. INTERFAX.RU - В апреле в Госдуму был внесен законопроект, регулирующий трансграничную передачу данных россиян. Он вводит разрешительный порядок на передачу таких данных в отдельные страны, решение по каждому случаю будет принимать Роскомнадзор. В интервью "Интерфаксу" заместитель председателя Комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Савельев рассказал, как государство меняет подход к регулированию оборота персональных данных на фоне обострения геополитической обстановки и следует ли ждать дальнейшего ужесточения законодательства в этой сфере.
- Недавно в Госдуму был внесен законопроект, посвященный трансграничной передаче данных граждан РФ. Ваша комиссия была одним из разработчиков документа. Зачем он нужен? Можно ли сказать, что он продолжает идеи закона о локализации данных россиян внутри страны, уже действующего с 2015 года?
- Долгое время российские компании в погоне за более дешевым и, возможно, более качественным хостингом хранили данные в дата-центрах за рубежом. Те же банки и инфраструктурные компании на тот момент пользовались иностранными ЦОДами, потому что покупали программные решения в связке с ними. И поэтому данные российских граждан физически оказывались за границей. Это не только создавало риски с точки зрения отключения от интернета, но и открывало возможности получения доступа к этим данным со стороны правоохранительных органов и спецслужб на территории тех стран.
Представьте себе, что сейчас опускается мифический информационный занавес, и в условиях, когда большая часть сервисов и баз данных находится за рубежом, российский сегмент интернета становится "голым" - многие сервисы, даже вполне отечественные по своей сути, перестают работать, так как все учетные записи, весь контент, клиентские базы данных находятся уже "за занавесом". Требование локализации персональных данных призвано было минимизировать риски подобного сценария.
Но как таковая передача данных за рубеж законом о локализации данных не была запрещена. Идея была лишь в том, что компании сначала необходимо было локализовать данные в России, и только после этого появлялась возможность отправлять их за рубеж. Положения нового законопроекта теперь уже устанавливают контроль над трансграничной передачей данных.
- А где-то ранее была прописана трансграничная передача?
- Идеология трансграничной передачи данных была взята из европейского законодательства, еще из Директивы ЕС 1995 года, и нашла свое отражение в ст. 12 закона "О персональных данных", принятого в 2006 году. Ее суть в том, что страны, куда направляются данные, делятся на "адекватные" и "неадекватные", то есть те, которые представляют качественный уровень защиты прав субъектов данных и, соответственно, которые не предоставляют такого уровня защиты. В зависимости от того, в какую страну мы передаем данные, зависит порядок такой передачи.
Передача персональных данных в настоящее время возможна без ограничений, если она осуществляется в "адекватные" страны, то есть в те, которые являются членами Конвенции Совета Европы 1981 г. (по сути все европейские страны), или те, которые признаны таковыми Роскомнадзором и входят в его "белый список" - Белоруссия, Узбекистан, Таджикистан, Южная Корея, Япония, Канада, Австралия, некоторые африканские страны.
Если передача осуществляется в "неадекватную" страну с точки зрения защиты прав субъектов персональных данных, вроде США, Китая, Индии, то нужно дополнительное специальное основание для такой передачи: квалифицированное письменное согласие субъекта, либо наличие какого-либо международного договора с такой страной для целей исполнения которого осуществляется такая передача. Таких оснований очень мало, по сути, и это затрудняет передачу персональных данных в "неадекватные" страны.
- А как же тогда Google все эти годы передавал данные в свою штаб-квартиру в США?
- Мне сложно отвечать за Google, но я могу предположить следующее. Сейчас по закону предусмотрено основание для трансграничной передачи данных в "неадекватную" страну как исполнение договора с субъектом. Пользователь, используя сервисы Google, заключает пользовательское соглашение посредством проставления галочки, что является вполне допустимой формой заключения договора даже по российскому законодательству. И для того, чтобы исполнить этот договор, а именно оказать услуги, компании необходимо выполнить трансграничную передачу информации в США, поскольку именно там находятся необходимые для оказания услуги вычислительные мощности. Допускаю, что Google могла использовать данное положение и тем самым констатировать, что нарушений законодательства РФ в этой части нет.
- А что тогда меняет новый законопроект?
- Новый законопроект о трансграничной передачи данных сохраняет деление на "адекватные" и "неадекватные" страны, которое уже существует в законодательстве, но вводит разрешительно-запретительный характер для такой передачи.
Если раньше Роскомнадзор стоял в стороне от этих процессов, то теперь его надо уведомлять о планируемой трансграничной передаче данных, предоставив необходимые данные о ней - сведения о том, какие именно данные, кому, куда и в каких целях планируется предоставлять. В случае, если передача данных осуществляется в "адекватную" страну, регулятор имеет право в течение 30 дней заблокировать ее как противоречащую национальным интересам или нарушающую права субъектов. При этом в ряд случаев такое решение будет приниматься с учетом мнения профильных ведомств (ФСБ, Минобороны и пр.). Если речь идет о "неадекватной" стране, то тогда действует разрешительный порядок: можно начать передавать данные за границу только после одобрения регулятора, которое должно быть дано в течение 30 дней.
Тем самым Роскомнадзор не только получает возможность заблокировать передачу за границу массивов данных, обработка которых иностранными лицами может создать угрозу интересам РФ, но и получает информацию о сложившихся и планируемых трансграничных потоках персональных данных - информацию, которой у него сейчас нет, но обладать которой крайне полезно в условиях рисков дальнейших санкций и технологической изоляции РФ.
- Какая может быть, на ваш взгляд, ответственность за нарушения?
- Поскольку тут явно выраженная публично-правовая направленность - защита национальных интересов, безопасности - государство рано или поздно сопроводит это штрафами, причем достаточно высокими. Скорее всего, будут все те же меры ответственности, что и в отношении требований локализации: штрафы, блокировка ресурса, административные санкции в отношении руководства.
- Даже если в России заблокируют Google, ничто же не мешает ему продолжать передавать эти данные за рубеж, пока люди им пользуются под VPN?
- Законопроект адресован, в первую очередь, не Google и не другим иностранным сервисам. Если они не будут соблюдать данный порядок, их заблокируют, и пользовательская аудитория сервисов будет снижаться, многие начнут переходить на отечественные сервисы. Это основное негативное последствие для них. А вот отечественные компании, в том числе российские подразделения продолжающих свою деятельность в РФ иностранных компаний, потенциально подпадают под предусмотренный в законопроекте порядок обработки данных, и по итогам его применения их деятельность по обработке данных может стать весьма прозрачной не только для Роскомнадзора, но и для других спецслужб России.
И это не случайно, ведь многие утечки данных, которые впоследствии используются за рубежом во вред российским гражданам и государству, были допущены, в том числе по халатности именно российских компаний-операторов. Сейчас мы наблюдаем ситуации, когда звонят с неизвестных номеров с угрозами членам семей военнослужащих, правоохранительных органов или с фейковых номеров с призывами в военкоматы. Эти телефоны, а также сведения о потенциальных их владельцах, нужно было откуда-то взять, это как раз следствие вот этих утечек.
Сейчас государство начало понимать, что это проблема не отдельного взятого гражданина - такого рода утечки могут уже непосредственно оказывать влияние на нацбезопасность. При таких обстоятельствах государство не может не реагировать на новые вызовы. Китай, в котором проблема утечек данных тоже достаточно остро стоит на протяжении многих лет, тоже ужесточил требования к трансграничной передаче данных. По недавно принятому там закону о защите личных данных регулятор дает в ряде случаев разрешение на трансграничную передачу ПД после оценки возможных последствий такой передачи.
- Каким образом ограничение трансграничной передачи поможет бороться с утечками, если они происходят на территории РФ?
- Сам по себе новый порядок трансграничной передачи данных не устраняет рисков утечек как таковых, но способен минимизировать их возможные негативные последствия.
Во-первых, он снизит объем актуальных данных о российских гражданах, которые передаются по действующему законодательству за рубеж на вполне правомерной основе и которые иностранные лица могут использовать для "обогащения" и анализа иных данных, в том числе утекших, увеличивая в результате таких действий негативные последствия от утечек отдельных фрагментарных данных.
Во-вторых, запрет на трансграничную передачу данных из России снижает вероятность последующих утечек таких данных уже от зарубежных их получателей.
В-третьих, в новых геополитических реалиях некоторые массивы персональных данных о российских гражданах, например, медицинских, о воинском учете, сведениях об имуществе физлиц, если окажутся за рубежом, вполне могут использоваться лицами из "недружественных" стран во вред российским гражданам и государству, и такой вред может быть не меньшим, чем от "классических" утечек данных. Важно понимать, что все, что "утекло за рубеж, то пропало": данные, которые очутились за рубежом, полностью выбывают из-под последующего контроля гражданина или российских госорганов, поэтому думать об их сохранности и последствиях передачи нужно еще пока эти данные находятся в РФ.
Вопрос сохранности данных граждан не только остро стоит в России и Китае. Еще после решения Европейского суда справедливости по делу Schrems II, вынесенном в июле 2020 года, европейские страны стали более жестко подходить к трансграничной передаче данных за пределы ЕС. Отдельные европейские страны идут еще дальше. Так, Эстония, согласно сообщениям ряда СМИ, заблокировала работу "Яндекса.Такси" также под предлогом, чтобы данные эстонских граждан не должны оказываться у геополитического противника. Так что можно говорить об определенном тренде на суверенизацию и деглобализацию процессов трансграничной передачи данных.
- О каких данных идет речь? Обезличенные данные тоже подпадут под новое регулирование трансграничной передачи данных?
- Обезличенные данные, по общему правилу, рассматриваются как персональные, так как они позволяют потенциально определить лицо, будучи объединенными с другими данными. Данный подход вытекает как из самого определения персональных данных, содержащегося в законе и являющегося весьма широким, так разъяснений Роскомнадзора и судебной практики. На протяжении многих лет ряд компаний, которые хотели бы работать с обезличенными данными, например, Сбер, Сколково, пытались пролоббировать выведение их из-под действия законодательства о персональных данных. Но пока государство не готово взять на себя ответственность и пустить данные в свободное плавание.
- То есть, на ваш взгляд, экспериментальный правовой режим (ЭПР), в рамках которого как раз хотели разрешить компаниям обрабатывать обезличенные данные россиян в коммерческих целях, не будет одобрен?
- Экспериментальный правовой режим на то и экспериментальный, что там можно отступать от общих правил. Но сделать исключение общим правилом и вывести обезличенные данные из-под действия закона о персональных данных с тем, чтобы их можно было свободно обрабатывать, - слишком рискованный шаг. Многие базы данных, которые утекли, по факту были обезличенными. Но специалисты в области данных вполне могут сделать так называемое "деобезличивание", если объединят эту базу с другой, используя специальные инструменты аналитики. Да и если взглянуть на тенденции регулирования обезличенных данных в зарубежных странах, то почти везде они рассматриваются как персональные с применением к ним жестких норм о порядке обработки. Даже в Китае.
- А что такое вообще обезличенные данные? Как из них можно определить конкретное лицо?
- Представьте, что вы что-то делаете в интернете под своей учетной записью. Пусть в этой учетной записи ваш главный идентификатор - адрес электронной почты. Кто там по факту за этой электронной почтой, часто непонятно, так как при ее регистрации можно указывать не реальное имя, а никнейм. То есть набор данных, что вы сгенерировали под этой учетной записью, в частности, какой контент размещали, какие страницы посещали, где лайки ставили, не позволяет определить конкретное лицо, скрывающееся за такой учетной записью. Но если соединить массив данных, содержащий сведения о пользовательской активности, совершенной под этой учетной записью, с другим массивом данных, где есть привязка этой почты к реальному имени (например, посредством анализа соцсетей, форумов, утекших баз данных интернет-сервисов или госуслуг), сразу все действия, совершенные под соответствующей учетной записью, можно атрибутировать конкретному человеку. И принимать на основании этих данных какие-либо решения в отношении него: о приеме на работу или увольнении, об отчислении из вуза, об отказе в выдаче кредита, о привлечении к административной или уголовной ответственности. Либо совершать мошеннические действия в отношении такого лица, пытаясь украсть деньги со счета, совершать звонки с угрозами или просто направлять еще больше спама.
Так что обработка обезличенных данных о гражданах в современных реалиях может представлять не меньше рисков, чем обработка сведений, в которых фигурируют ФИО и другие данные лица, в связи с чем такая обработка должна подчиняться ряду жестких правил.
- Существует ли у нас какое-то четкое определение персданных?
- Точного определения нет ни у кого, даже у китайцев, и у нас оно максимально широкое: это любые данные, которые относятся прямо или косвенно к определенному или определяемому физическому лицу. То есть это все данные, которые так или иначе отнесены к вам, - это пользовательская активность в сети, геолокационные данные, номера СНИЛС и ИНН, данные о совершенных покупках. Они могут быть трактованы как персональные, так как характеризуют ваше поведение и личность. Сведения о собственниках, содержащиеся в Едином реестре прав на недвижимое имущество, тоже относятся к персональным данным и не случайно, что их решили особым образом урегулировать в рамках нового законопроекта, сократив количество случаев, когда они могут попасть к лицам, не обладающим законным интересом для получения таких данных.
- Давайте вернемся к законопроекту о трансграничной передаче данных. Как будет реализован сам процесс передачи? Не будет ли он затратным для компаний, если им придется получать разрешение каждый раз при обмене данными?
- Из текста законопроекта можно сделать вывод, что одобрение Роскомнадзора нужно будет получать не на каждый акт передачи как таковой, а на их совокупность, объединенную единой целью, например, при передаче определенных видов данных сотрудников в головную организацию. Или, допустим, у вас проект с каким-то зарубежным лицом. И под этот проект вы будете получать разрешение на передачу данных. Таким образом, речь идет об одобрении целого цикла передач данных, в рамках которой все ключевые параметры (виды данных, получатель, страна получателя, цели обработки и пр.) являются неизменными.
Причем конкретные передаваемые персональные данные предоставлять Роскомнадзору не предполагается: они указываются только как категории, например, фамилия, имя, электронная почта, история заказов.
Регулирование, на мой взгляд, может создать дополнительные издержки для бизнеса. Насколько такие издержки будут серьезными будет сильно зависеть от качества подзаконного регулирования и стремления Роскомнадзора и иных госорганов концентрироваться на действительно важных сценариях такой передачи, не бюрократизируя и не блокируя без крайней необходимости рутинные операции по передаче данных (например, данных работников или клиентов в рамках трансграничной группы компаний).
- Каким вы видите будущее регулирование персданных в России? Будет ли на фоне геополитической обстановки оно ужесточаться дальше?
Спецоперация является тем событием, которое обеспечивает форсированное формирование особого пути России в области регулирования персональных данных, об этом не раз говорил президент. Вряд ли мы целиком порвем с европейским прошлым, и сохранение в законопроекте ссылок на Конвенцию Совета Европы тому яркое свидетельство. Но все более четко проявляются и новые "азиатские" нотки в проектируемом регулировании, которые, скорее всего, найдут благодатную почву на фоне нынешней геополитической ситуации.
Учитывая, что проблема утечек и трансграничной передачи данных в "недружественные" страны стоит уже сейчас, и законопроект также содержит ряд положений организационного характера в этой части (новую обязанность уведомлять Роскомнадзор об утечках и взаимодействовать с ФСБ по поводу предотвращения их наступления или последствий), то применять этот закон начнут как можно раньше, такого времени на раскачку, как с законом о локализации, скорее всего не будет. И следует ожидать еще один законопроект, уже посвященный санкциям за нарушение как нового порядка трансграничной передачи данных, так и уже имеющихся положений закона о персональных данных.
Не исключено, что будут введены оборотные штрафы за утечки данных, такого рода штрафы уже существуют в ЕС и недавно были установлены в Китае. Это должно будет простимулировать операторов более ответственно подходить к организации кибербезопасности в компании, не экономя на ней. А в перспективе – снизить тем самым количество утечек данных из них.