День независимости от интернета. Надо ли бояться закона о персональных данных?

4 июля сразу во втором и третьем чтении были приняты поправки к закону о персональных данных. Если он пройдет одобрение Совета Федерации и будет подписан президентом в том виде, в котором существует сейчас, то для российских пользователей наступит совершенно новая эпоха. 

Закон этот интересен сразу несколькими моментами. Во-первых, он обязывает хранить и обрабатывать персональные данные россиян только на территории РФ. Персональные данные – это не то же самое, что данные паспорта. К персональным данным относится все то, что позволяет однозначно установить личность человека. То есть имя и фамилия – это не персональные данные, а вот имя и фамилия плюс почтовый адрес или фотография – уже да. 

Многие уже написали о том, что такой запрет лишит граждан России доступа к иностранным сервисам покупки билетов или бронирования отеля. Но это далеко не все. Новый закон фактически сделает невозможным владение счетами в иностранных банках и использование зарубежных платежных систем. Он также не позволит делать покупки в иностранных интернет-магазинах – при регистрации вы оставляете там свое имя, телефон и адрес доставки. Это закрывает для россиян и иностранные социальные сети, и сервисы электронной почты – Facebook, Twitter, Gmail. 

Но под запрет подпадут и многие российские сервисы: известно, например, что большинство из них арендует дополнительные мощности в Европе и Америке для резервного копирования или для того, чтобы российские туристы могли без проблем пользоваться привычными сервисами за рубежом. Самое интересное, что из России практически невозможно проверить, пользуется ли кто-то из наших сограждан иностранным сервисом или нет и правда ли, что на каком-нибудь калифорнийском сервере хранится домашний адрес Ивана Ивановича из Калужской области. А значит, если логика ситуации сохранится, то все эти сайты должны быть заблокированы только потому, что там могут быть размещены эти данные (не важно, есть ли они там на самом деле) – получится такая вот своеобразная презумпция виновности. То есть с 1 января 2016 года, если ничего не изменится, такие сайты, как Booking.com, Air France, eBay и сотни других, должны быть заблокированы сразу же. 

Техническая сторона вопроса – отдельная тема. Крупные интернет-сервисы уже давно используют так называемую облачную инфраструктуру: данные размазаны тонким слоем по всей планете, между десятками и сотнями серверов, расположенных в разных точках мира. Причем делятся они не по географии (в Лондоне мы храним профили англичан, а в Сан-Паулу – бразильцев), а по категориям. Например, у того же Facebook есть отдельный сервер для лайков – там хранится информация о том, кто и под каким постом нажал эту кнопку. Отдельный сервер для хранения фото, отдельный – для комментариев, и так далее. Собирается это все в единое целое уже в браузере у пользователя. То есть даже если вдруг условный Facebook разместит часть своих серверов в России, это мало чем поможет. Чтобы вычленить из всего потока профили россиян и локализовать их в одной географической точке, придется серьезно доработать всю внутреннюю архитектуру. Это огромные затраты, на которые не каждый пойдет ради не такого уж большого российского рынка. 

Прежняя редакция закона делала упор на то, чтобы обеспечить сохранность персональных данных от неправомерного доступа. При этом если тот, кому эти данные принадлежат, дает согласие на их хранение и обработку, то все вопросы автоматически снимаются. Хочешь – расскажи всем, где живешь, хочешь – опубликуй фото своего паспорта в интернете. Новая редакция закона фактически лишает человека права распоряжаться персональными данными по своей воле. 

Цель закона в общем-то понятна – разоблачения Эдварда Сноудена и новый виток информационных войн действительно вынуждают обратить внимание на то, как хранится информация и кому она может достаться. Но вот реализация заставляет руку намертво прирасти к лицу. 

Дело в том, что персональные данные можно разделить на несколько категорий – от четвертой, куда входит общедоступная информация, и до первой, самой высокой, к которой относятся, например, медицинские данные, национальная принадлежность, религиозные и политические взгляды и т.д. 

И если для первой категории такой подход оправдан (электронные медицинские карты должны храниться только в защищенном дата-центре Минздрава), то требования в отношении данных третьей или четвертой категории вызывают вопросы. Штука в том, что закон вообще не поясняет, о какой категории данных идет речь, поэтому под его действие подпадает практически все. 

Кроме того, такие жесткие требования были бы понятны, например, для людей, которые могут представлять особый интерес для иностранных специальных служб (военные, некоторые госслужащие, сотрудники правоохранительных органов). Тогда закон был бы логичным продолжением недавнего требования запретить госчиновникам пользоваться иностранными почтовыми сервисами, который был принят с большим пониманием. Однако, опять же, такого разделения в законе нет. 

Осенью Российская ассоциация электронных коммуникаций собирает рабочую группу, которая будет готовить свои поправки в закон, а затем предлагать их депутатам. Эти два вопроса – про границы применимости закона и про категории персональных данных, – скорее всего, будут одними из основных. Если удастся убедить законотворцев их принять, то закон раскроется с лучшей стороны: не мешая россиянам свободно путешествовать, покупать за границей товары и общаться в социальных сетях, он позволит защитить критически важные данные от посторонних глаз. Если же этого не произойдет, всего через два года мы можем увидеть совсем другой интернет.