Россия обозначит цифровые границы

Изменения в законодательстве США дали властям России повод снова заговорить о цифровом суверенитете и границах. Совет по развитию цифровой экономики при Совете федерации просит правительство защитить персональные данные россиян, хранящиеся на серверах Google, Facebook, Microsoft и других компаний, от риска несанкционированного доступа иностранных властей. Насколько реальны угрозы американского CLOUD Act для российских пользователей, эксперты пока достоверно оценить не могут, но отмечают, что трансграничный обмен данными в России и так регулируется с примитивной жесткостью

Совет по развитию цифровой экономики при Совете федерации под председательством секретаря генсовета «Единой России» Андрея Турчака рекомендовал правительству подготовить предложения по защите персональных данных россиян с учетом принятия в США Clarifying Lawful Overseas Use of Data Act (CLOUD Act). Эти поправки упрощают правоохранительным органам доступ к данным интернет-пользователей вне зависимости от того, в какой стране они хранятся, следует из решения совета.

«Необходимо доработать законодательство и правоприменение, чтобы нейтрализовать угрозу несанкционированного доступа и использования данных российских интернет-пользователей», — подтвердил «Ъ» представитель совета. Правозащитники по всему миру считают, что эти поправки могут способствовать злоупотреблению правами человека со стороны иностранных правительств, помогая им получить доступ к онлайн-данным своих граждан, утверждает он.

Совет также рекомендовал правительству уточнить определения «цифрового суверенитета» и «цифровой границы государства», чтобы «повысить эффективность межгосударственного взаимодействия». Предложение совета находится вне компетенции Роскомнадзора, сообщили «Ъ» в ведомстве. В Минкомсвязи на запрос не ответили.

Поправки, утвержденные в марте президентом США Дональдом Трампом, позволяют стране заключать соглашения с другими странами о передаче им данных с серверов американских компаний в любых странах. Таким образом, страны по взаимной договоренности могут запрашивать данные пользователей Google, Facebook и Microsoft, если те не являются гражданами и не проживают на территории США. Поправки позволяют инициировать подобные договоры без одобрения Конгресса.

Изменения принимались на фоне судебного дела о требовании властей США получить доступ к электронным почтовым ящикам на серверах Microsoft в Ирландии. До появления CLOUD Act закон позволял правоохранительным органам требовать у компаний только те данные, которые физически находятся в США. «CLOUD Act допускает, что третья страна при условии соответствующего соглашения с США может запросить у американских ИТ-компаний данные о гражданине РФ. Но будет ли это работать на практике, пока не ясно», — отмечает ведущий аналитик Российской ассоциации электронных коммуникаций Карен Казарян. В Microsoft на принятие акта отреагировали двусмысленно, отмечая, что он «создает основу для нового поколения международных соглашений и сохраняет права поставщиков облачных сервисов на защиту прав на конфиденциальность до тех пор, пока такие соглашения не будут приняты». Комментировать опасения российских законодателей в Microsoft отказались.

«Проблема не только в том, что госорганы США теперь получат данные российских пользователей. Предположим, два пользователя из разных стран ведут переписку, один из них гражданин РФ, а второй — другой страны. Если правительство этой страны заподозрит в чем-то своего гражданина и потребует у сервиса передать данные, это может нарушить законодательство РФ, так как переписка может содержать персональные данные гражданина России», — отмечает директор по развитию бизнеса компании Variti Эдуард Макаров.

Случаи передачи данных IT-компаний третьим лицам известны, несмотря на обязательства по сохранению приватности информации о клиентах, признает директор по консалтингу InfoWatch Мария Воронова. Главный нормативный механизм защиты персональных данных россиян уже давно законодательно описан — это хранение такого рода информации на территории РФ, подчеркивает основатель DeviceLock DLP Ашот Оганесян. «Но для переноса в нашу страну данных, например, российских владельцев iPhone необходимо существенно переработать техническую инфраструктуру Apple, от чего компания уже много лет успешно уклоняется», — уточняет он.

Дополнительно защитить персональные данные можно, например, предусмотрев штрафы для компаний, работающих с российскими пользователями, считает Карен Казарян. В России пока применяется единственная мера ответственности в отношении как сбора, обработки и трансграничного обмена данными, так и распространения незаконной информации — это «ковровая» блокировка ресурсов, зачастую неэффективная, отмечает он.

«Такой подход фактически игнорирует технологические особенности IT-ресурсов и замыкает регулирование рамками национального правопорядка. При этом доступ к данным, хранящимся за рубежом, и взаимодействие наших правоохранительных органов с иностранными при расследованиях преступлений затруднен», — констатирует эксперт.

По его мнению, нормы CLOUD Act могут повлиять и на российские IT-компании, поскольку они предлагают услуги в том числе лицам, находящимся в различных государствах, а также используют сайты иностранных компаний. Поэтому для развития IT-отрасли необходима гармонизация российской правовой системы с зарубежными и возобновление работы над международными соглашениями в этой области, которая ранее велась на уровне спецпредставителя МИД РФ, указывает эксперт. Поэтому перед Россией стоит еще один важный вопрос — стоит ли присоединяться к соглашениям CLOUD Act, если такое приглашение поступит, добавляет господин Оганесян. «В США также хранятся данные, к которым российские спецслужбы хотели бы получить доступ, — поясняет он.— Однако в нынешних внешнеполитических условиях сотрудничество вряд ли будет продуктивным. Обе стороны будут использовать запросы в основном для получения информации об объектах интереса правоохранительных органов друг друга, и очень скоро реальная практика обмена информацией сойдет на нет».