Александр Жаров: У нас презумпция невиновности. Если компания скажет, что не хранит данные за рубежом — мы ей поверим

Развитие событий: Роскомнадзор: 81% интернет-компаний не смущают финансовые и технические трудности переноса персональных данных к 1 сентября (22 июля 2015)

15 июля президент и правительство окончательно решили, что закон о персональных данных вступит в силу, как и планировалось, — 1 сентября 2015 года. Раньше Владимир Путин не исключал, что закон может быть перенесен, но министр связи Николай Никифоров «проинформировал главу государства о том, что совместно с Роскомнадзором мы проводим работу и отвечаем на все возникающие вопросы у представителей рынка, у компаний».

А 16 июля глава Роскомнадзора Александр Жаров встретился с представителями крупных российских интернет-компаний, чтобы убедиться, что как минимум у них 1 сентября все будет готово. Несмотря на то, что по логике закона основные проблемы могут появиться у западных компаний, на встрече были представители только Rambler&Co (главред Lenta.ru Алексей Гореславский и GR Матвей Алексеев), Mail.ru Group (руководитель юридического департамента Антон Мальгинов), «ВКонтакте» (гендир Борис Добродеев) и «Яндекса» (представитель юр. департамента Анастасия Адилова). Вопросы к ним у Роскомнадзора закончились через 15 минут после начала встречи.

— Расширенное заседание, на котором смогут присутствовать все компании, которые захотят, пройдет 21 числа, на базе РАЭК, — пояснил Жаров. — А сегодня мы встречаемся с крупнейшими российскими поисковиками и соцсетями.

Основной вопрос, который интересовал Жарова, — готовы ли компании к вступлению в силу закона 1 сентября. Компании ответили на него меньше чем за минуту — все подтвердили, что да, они готовы, никаких проблем в сентябре не предвидится.

Два других вопроса, которые волновали Роскомнадзор: 1) насколько сильно компаниям пришлось поработать, чтобы исполнить закон, и 2) может ли этот закон стать точкой роста для ИТ в стране, подразумевая рост рынка хранения данных.

Все собравшиеся компании работают преимущественно в России и с российскими пользователями, и не продают услуги по хранению данных. Так что ответы были под копирку: затрат почти не понесли, сильно инфраструктуру переделывать не пришлось, а высказываться насчет рынка по хранению данных не могут, так как его не знают.

Жаров на всякий случай уточнил, что Роскомнадзор и другие компании рынка обещают, что мощностей дата-центров в России хватит, чтобы захостить всех, кого необходимо.

Без всякого перехода добавил, что никаких «ковровых бомбометаний» (в смысле, массовых, а тем более — неожиданных) проверок не предвидится. «Мы планируем провести 317 проверок до 1 января 2016 года, это тысячные доли процента от всех юрлиц, которые обрабатывают персональные данные в стране». Из крупных компаний в первую волну проверок попадут питерский Ростелеком, «Скартел» (Yota), российское представительство General Motors. Компании, которые до 1 сентяря не успели подготовиться, могут жить спокойно, если по ним проверка не запланирована.

Алексей Гореславский («я здесь не как главный редактор Lenta.ru, а как заместитель генерального директора Rambler&Co») поинтересовался у Жарова, что будут делать зарубежные компании, например Alibaba.

Жаров:
— Aliexpress подтвердил, что они готовы соблюдать закон. Проверка будет документарная. Если по документам возникнут вопросы, тогда будем разбираться глубже.

— А Facebook и Twitter?

— На данном этапе мы считаем, что Twitter не обрабатывают персональные данные. А Facebook 25 августа приедет большой делегацией, и основной темой как раз будет вопрос о соблюдении закона.

Среди других зарубежных компаний, которые подтвердили готовность работать по закону, Жаров назвал Booking.com, eBay, PayPal, Citibank, Росфинансбанк — российское подразделение Societe Generale, Lenovo и Samsung.

Журналист «Ведомостей» Ксения Болецкая переспросила, почему на встрече нет никого из иностранных компаний. Жаров ответил, что на встречу позвали только те крупные компании, у которых есть юридические представительства в России. «То есть Юля Соловьева не может ответить на ваши вопросы?» — уточнила Болецкая. «Она не уполномочена», — отрезал Жаров.

Болецкая:

— А какие есть поводы для внезапных проверок?

Жаров:

— По указанию Генпрокуратуры, если у нее возникнут вопросы.

— А какие это могут вопросы?

— Если в генпрокуратуру поступило заявление от гражданина, что его права нарушаются, его данные некорректно обрабатываются, то генпрокуратура может принять решение о проверке.

— А как гражданин вообще может предположить, что его данные обрабатываются некорректно?

— Поверьте, у нас большое количество граждан, которые пишут обращения по вопросу персональных данных. И они гораздо грамотнее, чем можно было бы предположить.

— Но как он может предположить, что данные хранятся не в России?

— Он может заподозрить!

В кулуарах Жаров поговорил с Roem.ru о том, по какому принципу были выбраны участники.

— Почему такой странный состав участников? Почему компании, которые заведомо все сделали?

— Почему странный? Мы отдельно пригласили, как я считаю, крупнейшие компании, которые имеют юридическое представительство у нас. Три поисковые машины, потому что Mail.ru и Rambler исходно являются все-таки поисковыми машинами, это потом они уже перешли на сервисы. И крупнейшие социальные сети. Ни Twitter, ни Facebook не имеют юридических представительств у нас. И смысла обсуждать эту тему с людьми, которые не могут принимать юридически значимых решений, просто пригласить их для массовки, [нет], мне кажется, это было бы некорректно.

Для нас принципиально важно было, что все социальные сети, которые работают у нас и имеют юридические представительства, локализовали данные. Это важно.

— Просто это очень странно выглядит, что пригласили компании, которые заведомо скажут, что все хорошо.

— Знаете, я не был уверен, что Livejournal скажет, что все хорошо. Я предполагал, но в публичной плоскости вы услышали, что было сказано.

Затем, «ВКонтакте» — российская компания, но среди 50 млн пользователей есть разные люди из разных стран.

По крайней мере, мне надо было зафиксировать для себя… Не помню, поднималась ли на «Роеме» тема, что нужно замедлить действие этого закона, сделать на год его спящим, и так далее. В этой истории точно надо поставить точку. 21 июля будет более расширенный состав [на встрече, организованной РАЭК], придут интернет-магазины и так далее. Для нас, для службы это важно, что никакого обвала не произойдет.

Жаров также рассказал, как будет выглядеть трансграничная передача данных, и при каких условиях они могут храниться за рубежом:

До вступления в силу закона 242 закона о персональных данных компания могла брать персональные данные наших граждан, отправлять их за границу и хранить их там. Этот закон внес единственную дефиницию: беря и обрабатывая персональные данные наших граждан, они должны находиться на серверах Российской Федерации. И с них уже трансграничить.

То есть, если для работы, для обеспечения запроса гражданина их необходимо трансграничить, они могут трансграничить. Но они должны быть локализованы здесь.

Отвечая на вопрос, могут ли данные храниться и в России, и за рубежом:

Для каких целей? Например, для бронирования гостиницы, компания Booking.com. Гражданин обратился в Booking.com, передал свои персональные данные, они находятся на некоторых серверах в Российской Федерации. Представим, что он поехал в Египет. Его данные перекочевали в Египет, человек провел там время. А дальше вопрос — зачем и дальше хранить его данные в Египте?

Хранить данные в другой стране можно, но только то время, которые необходимо для исполнения той функции, которую запросил гражданин.

Если у физического или юридического лица возникнет подозрение, что его данные хранятся за рамками той функции, которую он запросил у данной компании, мы будем с такими случаями индивидуально разбираться.

О том, как будет проходить проверка компаний, ведь Роскомнадзор не может физически убедиться, где именно компания хранит данные россиян, и вынужден полагаться на ее честное слово:

У нас в законодательстве работает презумпция невиновности. Если компания ответила — нет, не храним, то мы этим удовлетворяемся. Если ситуация дальше развиваться будет… Слушайте, закон еще не вступил в силу, да? Он начнет работать, возникнут конкретные ситуации, я о всех о них готов рассказывать.

Если по каким-то причинам гражданин говорит: «Нет, я настаиваю, это должно быть проверено», дальше это тоже можно проверить. Но это уже не наша функция. Есть органы власти, которые обладают правом с помощью СОРМ запрашивать логи и так далее, они отследят эти данные, что с ними происходит. Но это уже другая история.

Как будет выглядеть плановая проверка компаний:

Роскомнадзор приходит в компанию и говорит: «У вас обрабатываются данные граждан Российскоф Федерации». Компания говорит: «Да, обрабатываются». «Представьте, пожалуйста, документы, которые подтверждают, что серверные мощности, на которых обрабатываются эти данные, находятся на территории Российской Федерации». Компания говорит: «Пожалуйста». И в 99,9% случаев на этом проверка заканчивается.

Если некая компания не смогла представить документы, что данные хранятся в России, начинается административное производство, суд, и дальше уже суд решает, какое наказание применимо к конкретной компании. Риски у компаний большие — начиная от значительных штрафов, заканчивая блокировкой ее ресурсов. Суд будет решать, насколько серьезен ущерб, который компания наносит интересам граждан Российской Федерации.

— А как с Facebook диалог продвигается? — Поинтересовались у Жарова под конец. — Тяжело?

— Не тяжело, у нас с ними всегда замечательный диалог. Я замечательно говорю по-английски.

Добавить 16 комментариев

  • Ответить

    «в законодательстве работает презумпция невиновности» — да, конечно, особенно это касается заведомо трудно выполнимых законов щедро генерируемых ГосДумой (простейший бытовой пример — курение в общественных местах). Скорее это не презумпция невиновности, а импотенция власти.

    «Слушайте, закон еще не вступил в силу, да?» — это просто шедевр! Надо дождаться когда вступит в силу и тогда начинать думать как его исполнять. Ведь наверняка представителей РКН привлекали как экспертов при разработке закона.

    «Представьте, пожалуйста, документы, которые подтверждают, что серверные мощности, на которых обрабатываются эти данные, находятся на территории Российской Федерации» — сначала надо представить документы из которых следует что данные находятся именно на этих серверах. А вообще заход хитренький, так как не любой сервер может быть присоединен к российским сетям, а только имеющий сертификат Минсвязи, что автоматически подразумевает возможность для инспектора получить бакшиш, так как такие сертификаты обычно есть только у серверов российской сборки, а такие сервера малопопулярны у IT-компаний.

    «с помощью СОРМ запрашивать логи и так далее» — вот именно, «и так далее». СОРМ редкостная профанация и дополнительная возможность для «органов власти» нажиться за счет операторов связи. Ох уж эти «органы» …

  • Ответить

    «так как не любой сервер может быть присоединен к российским сетям, а только имеющий сертификат Минсвязи"
    А не подскажете, каким законом на сервера возложена обязательная сертификация МинСвязи?

  • Ответить

    > каким законом на сервера возложена обязательная сертификация МинСвязи

    Приказ Министерства связи и массовых коммуникаций Российской Федерации (Минкомсвязь России) от 26 августа 2014 г. N 258 г. Москва (http://www.rg.ru/2014/11/12/trebovania-dok.html)

    16. К уведомлению о вводе в эксплуатацию прилагаются:

    е) перечень используемых средств связи с указанием наименования типа и номера сертификата соответствия на средства связи или декларации о соответствии средства связи;

  • Ответить

    Вы не упустили, что это касается только «в целях обеспечения функционирования сетей связи специального назначения»? Есть факты, что кому-то отказались регистрировать сервер в обычной сети? Я не провайдер, могу ошибаться, но мне кажется, что тут речь о другом.

    К тому же, как-то не наблюдаю тут не слова про сервера. Сертификат соответствия на средства связи, определение закона — «средства связи — технические и программные средства, используемые для формирования, приема, обработки, хранения, передачи, доставки сообщений электросвязи или почтовых отправлений, а также иные технические и программные средства, используемые при оказании услуг связи или обеспечении функционирования сетей связи, включая технические системы и устройства с измерительными функциями; http://www.consultant.ru/popular/communication/28_1.html#p48

    К тому же Вы пишете про «уведомление о вводе в эксплуатацию», т.е. перечисленные в уведомлении документы не являются обязательными для лицензирования или сертификации сети.

  • Ответить

    > это касается только «в целях обеспечения функционирования сетей связи специального назначения»

    — в приказе написано «а также … сетей связи специального назначения»

    > Есть факты, что кому-то отказались регистрировать сервер в обычной сети?

    — есть факты, что при сдаче узла связи сервер, входящий в схему сети, должен иметь сертификат соответствия (иногда сотрудники РКН при сдаче узла связи лояльно относятся к тому, что количество серверов и сертификатов не совпадает). Уж поверьте на слово, как человеку который сдавал узел связи.

    > не наблюдаю тут не слова про сервера

    — с точки зрения закона «сервера» (кстати попробуйте дать определение почтовому серверу) отлично вписываются в процитированный абзац, не говоря уж о формулировке «а также иные», в которую вписывается практически все.

    > перечисленные в уведомлении документы не являются обязательными для лицензирования или сертификации сети

    — с такой трактовкой законов встреча в суде с представителями РКН гарантирована (опять же поверьте на слово человеку, который в подобном суде участие принимал).

    P. S. не совсем понимаю причины Вашего полемического задора, который как правило, у Вас вызывают мои посты

  • Ответить

    «в приказе написано «а также … сетей связи специального назначения»»

    В той части, которую прочитал я, написано так «Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации в целях обеспечения функционирования сетей связи специального назначения»

    «что при сдаче узла связи»
    А, так Вы про узел связи. Тогда вполне может быть. Меня зацепило то, что Вы эти правила автоматически адресуете на любой сервер в сети. Уверяю, большинство таких серверов не имеют указанных Вами сертификатов.

    » Уж поверьте на слово, как человеку который сдавал узел связи»
    Спасибо, благодаря Вам я расширил свой кругозор. Собственно я писал, что могу ошибаться, т.к. никогда не сертифицировал услуги связи в РКН.

    «не совсем понимаю причины Вашего полемического задора, который как правило, у Вас вызывают мои посты»
    Не только Ваши, поверьте. Меня цепляют не совсем корректные формулировки, в Вашем посте меня зацепило «не любой сервер может быть присоединен к российским сетям».

    И конечно общие «СОРМ редкостная профанация», «импотенция власти», «ох уж эти «органы»» и прочие оценки на эмоциях в ущерб фактической стороне вопроса.

  • Ответить

    >автоматически адресуете на любой сервер в сети

    — если речь идет о «сети общего пользования» (то бишь Интернет), то сервер подключенный к такой сети должен иметь сертификат соответствия (то что большинство серверов в российском сегменте Сети не имеет такого сертификата это и есть проблема «импотенции власти», такая же как и борьба с курением в общественных местах — власть придумывает драконовские меры, но неспособна проконтролировать их соблюдение, что давно отражено в пословице про «строгость российских законов, которая смягчается необязательностью их исполнения»)

    >так Вы про узел связи

    — формально невозможно представить ситуацию когда «сервер подключенный к российскому сегменту сети Интернет» находится вне структуры узла связи

    «СОРМ редкостная профанация» — про это тоже можно порассуждать, но где то был пункт о неразглашении (для кругозора почитайте: http://www.iksmedia.ru/articles/5158147-SORM-v-setyax-peredachi-dannyx-treb.html и это: http://telekom.org.ru/biblioteka/dlya-operatora-svyazi/uvedomitelny-poryadok-vvoda-v-ekspluataciy-2015 тут есть интересные места про практическую сдачу СОРМ)

    >благодаря Вам я расширил свой кругозор

    — аналогично, так как новую редакцию «требований к порядку ввода сетей электросвязи», до этого не читал — выглядит более разумной чем предыдущая, что вселяет оптимизм

    «импотенция власти» — об этом писал выше, но как гражданин добавлю: хотелось бы более разумных законов и регламентов, в меньшем количестве, но обязательных для исполнения всеми участниками рынка, без преференций предоставляемых ручным регулированием со стороны чиновников или преференций возникающих на основе нигилистического восприятия власти

    про «органы» — отмечу, что контор которые продают оборудование для СОРМ в РФ по пальцам перечесть (нужно лицензирование) и есть предположение что для некоторых бывших/действующих сотрудников «органов» такие конторы дают возможность получить прибавку к пенсии

  • Ответить

    » если речь идет о «сети общего пользования» (то бишь Интернет), то сервер подключенный к такой сети должен иметь сертификат соответствия»
    «формально невозможно представить ситуацию когда «сервер подключенный к российскому сегменту сети Интернет» находится вне структуры узла связи»
    Да, убедили, если все делать полностью по закону и как провайдер — нуен сертификат на оборудование. С другой стороны — были реальные случае отказа, из-за отсутствия сертификата на часть оборудования узла связи? Мне действительно интересно…

    «такая же как и борьба с курением в общественных местах»
    Вы, наверное, курите? Я не курю, и поэтому поэтому вижу реальную практическую пользу от этого закона. Если раньше приходилось входить на станцию метро в клубах дыма, то сейчас этого нет, смолят, но на большом расстоянии, а не у урн прямо у входа. В нашем подъезде на площадках курить стали гораздо аккуратнее, зная о том, что другие жильы могут просто запретить это делать, если на площадке будут бычки и прочий мусор.
    Регулярно смотрю на ютубе «Лев Против» — у них подача, конечно, тенденциозная, но даже по ней видно, что курить стали меньше, и многие теперь понимают, что куря можно мешать другим.

    «про практическую сдачу СОРМ»
    Про сдачу нормативов ничего сказать не могу. Но в нашей работе по ряду фигурантов правоохранительным органам СОРМ помогал. Информация была полезна для дела.

    «хотелось бы более разумных законов и регламентов»
    Этого всем хотелось бы и в любой стране. Проблема в том (как сталкивающийся с законотворчеством говорю), что закон пишется в теории, а применяют его на практике. Опять же, далеко не всегда можно получить нормальный анализ от юристов отрасли, с поправками, а не истерикой на тему, что менять ничего не надо, отрасли и так хорошо.
    Если есть возможность давать практические советы — используйте рабочие группы РАЭК, к ним сейчас весьма неплохо прислушиваются, когда идет разговор на практике с конкретными замечаниями.

  • Ответить

    >были реальные случае отказа, из-за отсутствия сертификата на часть оборудования узла связи?

    — не знаю, я не сотрудник РКН, но уверен что вопрос либо можно «решить на месте», либо добыть липовых сертификатов, либо рассчитывать на лояльное отношение сотрудников РКН понимающих абсурдность некоторых законов. Как Вы верно заметили большинство серверов в Интернет не имеют таких сертификатов.

    >Вы, наверное, курите? Я не курю, и поэтому поэтому вижу реальную практическую пользу от этого закона.

    — все не так: нет не курю и в связи с наличием закона острее отмечаю его несоблюдение. Курят прямо у дверей метро, на платформах, в электричках, в переходах. Сразу после введения закона пару недель курильщики шугались, теперь все вернулось на исходную позицию.

    >СОРМ помогал

    — в моей практике все сводилось к тому что милиционер обращался с запросом к провайдеру с просьбой дать какие-нибудь данные о клиенте

    >закон пишется в теории, а применяют его на практике. Опять же, далеко не всегда можно получить нормальный анализ от юристов отрасли

    — как правило в качестве консультантов выступают сотрудники тех ведомств которые в дальнейшем и будут следить за исполнением этих законов, мнение наиболее значительных представителей конролируемой стороны спрашивают «для галочки» (общественные слушания были? были!) в качестве свежего примера быстро принятый «закон о забвении» нацеленный фактически на Яндекс с отрицательным заключением от самого Яндекса.

    Про РАЭК насмешили:

    «На сегодняшний день Ассоциация объединяет более 150 игроков рынка электронных коммуникаций, что позволяет РАЭК объективно представлять интересы отрасли, и эффективно решать ее задачи. »

    — 150! да это очень представительно! Для лучшего понимания — в РФ сейчас 14 557 операторов связи. Лоббирующая ассоциация которая защищает только своих членов, да и то, в острых случаях, не всех.

    «размер вступительного и периодического членского взноса меньшего размера составляет 90 тысяч рублей, большего размера — 1,5 миллиона рублей»

    — это даже комментировать не хочется (в голове почему-то всплывают слова «общак», «лоббирование», «подкуп»)

  • Ответить

    «Хранить данные в другой стране можно, но только то время, которые необходимо для исполнения той функции, которую запросил гражданин."
    Даа, совок и дибилизм не истребим в головах этиз придурков. Нет у интернета границ, нет ! А эти тупорылые никак это не поймут.

  • Ответить

    " Нет у интернета границ, нет ! А эти тупорылые никак это не поймут"
    Гражданин живет не в интернет, а на конкретной территории. Вы же вряд ли выбросили паспорт, страховое свидетельство и пр., т.к. живете не в сети.

    Сервер тоже находится не в интернете, а на конкретной территории (если он облачный — на нескольких территориях).

  • Ответить

    В их идиотском законе говориться, что данные должны находиться в стране пребывания пользователя. Уехал временно в другую страну — данные тоже могут временно уехать. В их радужном тоталиторическом мире вне закона получаются распределённые кластерные системы, шардинг, реплицирования и бэкапы.
    Вывод — этот коррупционный закон создан только для того, чтобы кого-нибудь прижать или отжать.

  • Ответить

    «В их радужном тоталиторическом мире"
    У каждого свой радужный мир. Вам, как мне кажется по постам, больше нравится анархическая система госуправления«таких в развитых странах не наблюдается.
    А где государство — там всегда регулирование, увы.

    «вне закона получаются распределённые кластерные системы, шардинг, реплицирования и бэкапы"
    Не факт. Нужно смотреть практику применения и подзаконные акты, а это наработается после вступления закона в силу. К сожалению, с персональными данными в любом случае что-то нужно делать, т.к. для граждан эта тема больная, и в госорган они обращаются постоянно.

  • Ответить

    Что-то я не вижу в тех же развитых США такого закона, а только во всяких Северных Кореях.

    До сих пор непонятно, что значит «хранить». Зашифрованный файлик на российском хостинге с персональными данными, синхронизируемый раз в сутки — это хранение ?

  • Ответить

    «Что-то я не вижу в тех же развитых США такого закона, а только во всяких Северных Кореях»
    В США свои приблуды, та же SOPA, PIPA (непрошедшие) и DMCA, если есть глубже, то три кита — харрасмент, сталкинг и треспасинг. В Северных Кореях закона о персональных данных КМК нет (не думаю, что Вы сможете привести на него ссылку).

    «зашифрованный файлик на российском хостинге с персональными данными, синхронизируемый раз в сутки — это хранение ?»
    Если синхронизируемый — то думаю еще и обработка. Но я не большой специалист в ПД.