«Задача по приземлению». Чем грозит россиянам новая инициатива Роскомнадзора
Сегодня Роскомнадзор объявил о разработке новых цифровых запретов, и не исключено, что речь уже об ограничении передачи (а не обработки и хранения за границей) персональных данных россиян. Если это так, то ведомство нацелилось на то, чтобы скопом запретить гражданам пользоваться небольшими иностранными ресурсами, объясняют опрошенные The Bell IT-эксперты.
Что случилось
Замглавы Роскомнадзора Владимир Логунов во вторник заявил, что ведомство считает правильным ограничить передачу персональных данных россиян за границу в целях защиты их же прав. Он призвал, во-первых, «ввести некие правила трансграничной передачи, чтобы не распространять их на зарубежные юрисдикции, на иностранные интернет-площадки», а во-вторых, распространить принципы, которые заложены в законе о персональных данных, и на иностранные интернет-площадки.
Все это Логунов назвал частью «задачи по приземлению иностранных интернет-компаний», не исключив, впрочем, что действовать РКН будет через соглашения с «иностранными органами власти».
Интерпретировать слова замглавы Роскомнадзора однозначно сложно (речь может идти и о том, чтобы по умолчанию считать, что интернет-площадки не обеспечивают адекватную защиту прав субъектов персональных данных, даже если страна, в которой эти компании действуют, признана благонадежной). Но, учитывая слова о «приземлении» и репрессивные тенденции его ведомства, эксперты полагают, что речь об очередных блокировках. Вероятнее всего, Роскомнадзор нацелился на иностранные сервисы, у которых все сервера находятся только за рубежом, но при этом они взаимодействуют с россиянами.
По федеральному закону «О персональных данных» к таким данным относятся:
- ФИО;
- место, дата рождения;
- место постоянной или временной регистрации;
- фотография или видеозапись, позволяющие идентифицировать человека;
- сведения о детях, родственниках, семейном положении;
- сведения о заработной плате;
- индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
- информация о судимостях или их отсутствии;
- номер телефона, адрес электронной почты, иные идентификаторы в соцсетях или мессенджерах;
- паспортные данные, СНИЛС;
- биометрические данные.
Что это значит?
Михаил Третьяк Партнер юридической фирмы Digital Rights Center
Андрей Солдатов Журналист, автор книги «Битва за рунет»Нынешние заявления Роскомнадзора делаются в рамках общей идеи переноса иностранных серверов в Россию, которая буксует уже с 2015 года. Те платформы, на которые рассчитывал РКН, так и не подчинились этому требованию, поэтому приходится придумывать новые способы реанимировать концепцию. Она, кстати, вяжется с идеей всеми возможными способами заставить сервисы зарегистрировать в России юрлицо.
Это возможно?
Эксперты не видят у Роскомнадзора технической возможности выделять именно трафик, содержащий персональные данные россиян. Плохая новость — скорее всего, ведомство пойдет по привычному пути полной блокировки ресурсов с иностранными серверами.
Андрей Солдатов Журналист, автор книги «Битва за рунет»То, что дальше будет происходить с иностранными сервисами, во многом зависит от того, что в ближайший месяц случится с Twitter. Если Роскомнадзор окажется успешен в борьбе с соцсетью — например, она действительно удалит всю требуемую информацию или же блокировка сервиса не вызовет негативной реакции от руководства, это будет сигналом к дальнейшим цифровым репрессиям. И действовать ведомство будет очень просто. Я не знаю, как технически возможно выделить и заблокировать контент, содержащий передачу личных данных иностранным ресурсам. Даже технология DPI, используемая для суверенного рунета, не сможет выделить такой контент в потоке трафика. Поэтому РКН, скорее всего, просто заблокирует весь ресурс.
Станислав Селезнев Старший партнер проекта «Сетевые Свободы»Технически запретить сервисам обрабатывать данные россиян на зарубежных серверах невозможно и для российских, и для иностранных ресурсов. Вопрос в том, как именно предполагается контролировать соблюдение этого требования. В интернете вопрос юрисдикций не решается так, как в обычной жизни. Многие российские компании, с зарегистрированными у нас юрлицами, арендуют для повышения устойчивости серверы у крупнейших мировых провайдеров — Cloudflare, Amazon, Google. И даже если эти серверы расположены на территории России, у крупных хостинговых сервисов возникают ситуации, когда один из серверов должен пройти техобслуживание. И тогда информацию с него в зашифрованном виде перекидывают на другой сервер, который может быть в Австралии или США, где угодно. После проведения техработ данные пересылаются обратно. Арендатор сервера может даже не узнать об этом. Роскомнадзор тем более. Хотя по его заявлениям, это уже будет нарушением закона.
Алексей Лукацкий Независимый эксперт по кибербезопасностиПомимо того, что это почти невозможно сейчас сделать технически — для этого придется переделывать всю архитектуру рунета и реально тогда приходить к китайскому файерволлу — это нельзя сделать юридически. Согласно Европейской конвенции, ограничивать трансграничную передачу данных запрещено.
К чему приведет такое ограничение?
Если Роскомнадзор серьезно решит привести в исполнение свои инициативы, пострадают снова россияне.
Михаил Третьяк Партнер юридической фирмы Digital Rights CenterНаибольшую опасность здесь, пожалуй, может представлять ограничение передачи данных зарубежным сервисам бронирования билетов (той же самой американской Sabre), что может существенно ограничить мобильность россиян. Ограничение передачи данных зарубежным банкам приведет к невозможности открыть счет за пределами России, социальным сетям (в первую очередь профессиональным) — сузит профессиональную ликвидность россиян. Создается впечатление, что государство подобными мерами, причем оправдывая свои действия защитой интересов граждан, опускает новый «железный занавес» все ниже и ниже.
Алексей Лукацкий Независимый эксперт по кибербезопасностиРоскомнадзор давно считает, что все иностранные площадки должны переносить свои серверы на территорию России. Но если еще от крупных сервисов, например, соцсетей, мы этого можем ожидать, то в отношении небольших иностранных сайтов — нет. По сути РКН грозится, что мы не сможем забронировать билеты в иностранной гостинице напрямую, не сможем заранее арендовать автомобиль или заказать одежду с небольших интернет-магазинов. Эти сайты, конечно, не будут разворачивать специально для россиян инфраструктуру на территории РФ, слишком уж маленькая доля российских пользователей. Вы можете сказать, что ограничения работы сайтов всегда можно обойти с помощью VPN. Да. Но логичным продолжением нынешней инициативы может стать совместная работа Роскомнадзора и таможенников. Не исключаю, что может быть ситуация, когда посылки с «запрещенных» в России сайтов будут отправляться обратно (сервис ведь нарушил российский закон о персональных данных), а их получатель вообще получит штраф.
Михаил Климарев Исполнительный директор «Общества защиты интернета»Тема с тем, чтобы ограничить трансграничную передачу данных, у Роскомнадзора возникает каждую весну. Пока РКН не сделал для этого ничего, и я не представляю, как это организовать технически. Как будут работать AliExpress и eBay? Или, что, магазин, который торгует цифровыми товарами в Польше, должен будет исполнять требования РКН? А ведь в этот магазин передаются персональные данные, по идее наших властей.
И если представить, что Роскомнадзор действительно запрещает передачу персональных данных россиянам сервисам без российских серверов, то вся международная коммерческая деятельность просто останавливается. Нужно тогда пойти дальше — разогнать таможенную службу, логистические компании и объявить новый железный занавес.
Зачем это нужно властям?
Целесообразность такой меры понятна не совсем, но она способна помочь некоторым крупным игрокам в российском бизнесе.
Станислав Селезнев Старший партнер проекта «Сетевые Свободы»Это очень простой способ осуществить давнюю мечту некоторых бизнесменов и полностью заменить Amazon нашим Ozon. И это только один пример.
Михаил Климарев Исполнительный директор «Общества защиты интернета»Хочется спросить наши власти: а какой вообще смысл в том, чтобы сервер был обязательно в России? Чтобы что? Чтобы нагрузить бизнес ненужными действиями по переносу всей информации? Или, что более вероятно, чтобы этот сервер расходовал электричества столько, что давал бы крупный доход нашим энергокомпаниям?
Ограничение либо запрет на трансграничную передачу персональных данных за рубеж дополняет не только существующую обязанность хранить персональные данные россиян на территории России (за неисполнение которой до сих пор заблокирован LinkedIn), но и стремление государства подчинить зарубежные компании, обязав их открывать представительства.
Логика здесь очевидна: если у зарубежной компании отсутствует локальное представительство, она не хранит данные россиян здесь, но существует ограничение на передачу данных россиян за рубеж, это будет представлять собой очередной повод для замедления либо блокировки доступа к ресурсу, пока его оператор не откроет представительство.