Перенос персональных данных: наши действия
Пишут, что Google уже переносит серверы в Россию, а eBay заявляет о такой готовности. Всё это связано с предстоящим вступлением в действие (с 1 сентября 2015 года) законодательства о запрете персональных данных россиян за рубежом.
Если внимательно читать всё, что про это пишут, то станет понятна одна простая вещь: на сегодняшний день никто из участников «великого переселения данных» не понимает и не может толком объяснить самые базовые правила этого нововведения. Думцы, принимавшие закон, нагородили много квазиюридической чуши, недоступной переводу на язык технологий. Роскомнадзор, надзирающий за исполнением, поминутно на это ссылается: закон писали не мы, там есть непонятное. Компании, деятельность которых закон призван регулировать, ждут разъяснений от Роскомнадзора. Пользователи, в свою очередь, ждут разъяснений от этих компаний, но их позиция предсказуемо сводится к no comments.
Основные непонятки к сегодняшнему дню:
- чьи данные считаются «персональными данными россиян», согласно закону?
- имеет ли это определение обратную силу, и на кого распространится в будущем?
- какая информация относится к охраняемым персональным данным, а какая - нет?
- предусмотрен ли законодательством запрет на резервное копирование массивов данных?
- если компания А хранит «данные россиян» на сервере в Ростелекоме, запрещено ли ей по запросу пользователя делиться этими данными с компанией В, которая этого не делает?
- будет ли ко всем компаниям, хранящим персональные данные в России, предъявлено требование хранить их в незашифрованном виде?
- если такое требование не будет предъявлено, как можно проконтролировать исполнение законодательства?
К сожалению, на сегодняшний день внятный ответ на все эти вопросы отсутствует начисто, а на часть вопросов разумный ответ в принципе не может быть дан. Так уж случилось, что архитектура Интернета в последние 30 лет выстраивалась определённым образом, без оглядки на возможные впоследствии требования по её расчленению на национальные юрисдикции, каждая из которых законодательно установит собственные стандарты для бита, байта, IP-адреса или протоколов связи, а затем потребует от остального мира соблюдать эти конвенции в отношении её подданных.
В истории человечества известен ровно один способ установления единых международных стандартов, действующих поверх национальных границ: для этого всем заинтересованным субъектам нужно сесть и договариваться. Любая работающая договорённость - это всегда разумный компромисс, с учётом интересов разных участников процесса. Российское законодательство о раздельном хранении персональных данных россиян и иностранцев принято сугубо в одностороннем порядке, без малейшей попытки обсудить реалистичность требований, их адекватность существующей архитектуре сетей обмена данными и их хранения. Поэтому требования этого законодательства просто не реалистичны. И вариантов остаётся два: либо иностранные компании отказываются исполнять требования, хлопают дверью и уходят с российского рынка, либо эти требования втихаря, под шумок, пересматриваются таким образом, чтобы не нарушать связности глобальных систем. При этом, разумеется, они обессмысливаются - но это в нашем случае не страшно, потому что смысла в них изначально не было никакого.
Собственно, Роскомнадзор сейчас и пытается вымутить второй вариант. То есть как-то договориться с иностранными компаниями о наборе показных телодвижений, благодаря которым обе стороны могли бы заявить, что требования законодательства выполнены - прекрасно понимая при этом, что они в принципе не исполнимы. Эта лукавая линия поведения Роскомнадзора - не новость: достаточно вспомнить их художества с 97-ФЗ, требующим от россиян предъявлять паспорт при любом доступе к публичным сетям WiFi. Закон этот вступил в силу, и он якобы даже где-то исполняется. Но на самом деле, нет. Паспорт так и не стали спрашивать, ни у кого и нигде, потому что это означало бы попросту запретить весь публичный доступ. Никакой метрополитен не может проверять паспорта у владельцев мобильников и планшетов, точка. Вместо паспорта в некоторых сетях стали требовать подтверждения по СМС. Но это явным образом противоречит требованиям 97-ФЗ, где чёрным по белому сказано об удостоверении личности, а номер мобильного телефона таким удостоверением не является. Но тут сработало универсальное советское правило «замнём для ясности». По такому же правилу они собираются и проблему с хранением персональных данных решать.
Впрочем, это их, лукавых чиновников, проблемы.
Что же касается нас, пользователей, то у нас - своя жизнь, и выбор у каждого очень прост. Это, в первую очередь, выбор не практический, а принципиальный.
Мы можем себе сказать: нам пофиг, где хранятся наши данные. В России, в Америке, или в Швейцарии, где сейчас учитывает россиян европейский датацентр eBay. Мы не верим, что от физической точки хранения наших данных так уж много зависит. И тогда просто перестаём интересоваться дальнейшим ходом мерлезонского балета вокруг «переноса серверов» (который, на самом деле, и не «перенос» вовсе, а дублирование - никакие серверы из Невады в Москву никто не тащит).
Либо мы можем сказать: нас очень волнует, что вчера наши данные хранились там, где мы полагали их защищёнными, а завтра они могут оказаться там, где к ним может получить физический доступ любая российская спецслужба, LifeNews или Рамзан Кадыров. В этом случае у нас есть стопроцентный контроль за тем, как наши данные будут отображаться на тех серверах, где мы их регистрируем. Никакому россиянину сегодня не возбраняется завести себе американский аккаунт в любом онлайн-сервисе - и вывести таким образом свои данные из-под действия беспокоящих нас законов. Нужно только помнить, что текущий критерий «российскости», озвученный Ростелекомом - это IP-адрес. Так что нужно просто использовать при регистрации прокси-сервер, позволяющий Вашему IP не распознаваться в качестве российского. Такую возможность вы можете совершенно бесплатно получить с помощью расширения friGate, которое все мы давно используем для обхода блокировки сайтов Роскомнадзором.
Если внимательно читать всё, что про это пишут, то станет понятна одна простая вещь: на сегодняшний день никто из участников «великого переселения данных» не понимает и не может толком объяснить самые базовые правила этого нововведения. Думцы, принимавшие закон, нагородили много квазиюридической чуши, недоступной переводу на язык технологий. Роскомнадзор, надзирающий за исполнением, поминутно на это ссылается: закон писали не мы, там есть непонятное. Компании, деятельность которых закон призван регулировать, ждут разъяснений от Роскомнадзора. Пользователи, в свою очередь, ждут разъяснений от этих компаний, но их позиция предсказуемо сводится к no comments.
Основные непонятки к сегодняшнему дню:
- чьи данные считаются «персональными данными россиян», согласно закону?
- имеет ли это определение обратную силу, и на кого распространится в будущем?
- какая информация относится к охраняемым персональным данным, а какая - нет?
- предусмотрен ли законодательством запрет на резервное копирование массивов данных?
- если компания А хранит «данные россиян» на сервере в Ростелекоме, запрещено ли ей по запросу пользователя делиться этими данными с компанией В, которая этого не делает?
- будет ли ко всем компаниям, хранящим персональные данные в России, предъявлено требование хранить их в незашифрованном виде?
- если такое требование не будет предъявлено, как можно проконтролировать исполнение законодательства?
К сожалению, на сегодняшний день внятный ответ на все эти вопросы отсутствует начисто, а на часть вопросов разумный ответ в принципе не может быть дан. Так уж случилось, что архитектура Интернета в последние 30 лет выстраивалась определённым образом, без оглядки на возможные впоследствии требования по её расчленению на национальные юрисдикции, каждая из которых законодательно установит собственные стандарты для бита, байта, IP-адреса или протоколов связи, а затем потребует от остального мира соблюдать эти конвенции в отношении её подданных.
В истории человечества известен ровно один способ установления единых международных стандартов, действующих поверх национальных границ: для этого всем заинтересованным субъектам нужно сесть и договариваться. Любая работающая договорённость - это всегда разумный компромисс, с учётом интересов разных участников процесса. Российское законодательство о раздельном хранении персональных данных россиян и иностранцев принято сугубо в одностороннем порядке, без малейшей попытки обсудить реалистичность требований, их адекватность существующей архитектуре сетей обмена данными и их хранения. Поэтому требования этого законодательства просто не реалистичны. И вариантов остаётся два: либо иностранные компании отказываются исполнять требования, хлопают дверью и уходят с российского рынка, либо эти требования втихаря, под шумок, пересматриваются таким образом, чтобы не нарушать связности глобальных систем. При этом, разумеется, они обессмысливаются - но это в нашем случае не страшно, потому что смысла в них изначально не было никакого.
Собственно, Роскомнадзор сейчас и пытается вымутить второй вариант. То есть как-то договориться с иностранными компаниями о наборе показных телодвижений, благодаря которым обе стороны могли бы заявить, что требования законодательства выполнены - прекрасно понимая при этом, что они в принципе не исполнимы. Эта лукавая линия поведения Роскомнадзора - не новость: достаточно вспомнить их художества с 97-ФЗ, требующим от россиян предъявлять паспорт при любом доступе к публичным сетям WiFi. Закон этот вступил в силу, и он якобы даже где-то исполняется. Но на самом деле, нет. Паспорт так и не стали спрашивать, ни у кого и нигде, потому что это означало бы попросту запретить весь публичный доступ. Никакой метрополитен не может проверять паспорта у владельцев мобильников и планшетов, точка. Вместо паспорта в некоторых сетях стали требовать подтверждения по СМС. Но это явным образом противоречит требованиям 97-ФЗ, где чёрным по белому сказано об удостоверении личности, а номер мобильного телефона таким удостоверением не является. Но тут сработало универсальное советское правило «замнём для ясности». По такому же правилу они собираются и проблему с хранением персональных данных решать.
Впрочем, это их, лукавых чиновников, проблемы.
Что же касается нас, пользователей, то у нас - своя жизнь, и выбор у каждого очень прост. Это, в первую очередь, выбор не практический, а принципиальный.
Мы можем себе сказать: нам пофиг, где хранятся наши данные. В России, в Америке, или в Швейцарии, где сейчас учитывает россиян европейский датацентр eBay. Мы не верим, что от физической точки хранения наших данных так уж много зависит. И тогда просто перестаём интересоваться дальнейшим ходом мерлезонского балета вокруг «переноса серверов» (который, на самом деле, и не «перенос» вовсе, а дублирование - никакие серверы из Невады в Москву никто не тащит).
Либо мы можем сказать: нас очень волнует, что вчера наши данные хранились там, где мы полагали их защищёнными, а завтра они могут оказаться там, где к ним может получить физический доступ любая российская спецслужба, LifeNews или Рамзан Кадыров. В этом случае у нас есть стопроцентный контроль за тем, как наши данные будут отображаться на тех серверах, где мы их регистрируем. Никакому россиянину сегодня не возбраняется завести себе американский аккаунт в любом онлайн-сервисе - и вывести таким образом свои данные из-под действия беспокоящих нас законов. Нужно только помнить, что текущий критерий «российскости», озвученный Ростелекомом - это IP-адрес. Так что нужно просто использовать при регистрации прокси-сервер, позволяющий Вашему IP не распознаваться в качестве российского. Такую возможность вы можете совершенно бесплатно получить с помощью расширения friGate, которое все мы давно используем для обхода блокировки сайтов Роскомнадзором.