Отказ от локализации данных обойдется дороже
В Государственную Думу внесен законопроект, который усиливает ответственность за нарушение требований по хранению персональных данных российских пользователей на территории РФ. Законопроект также предусматривает усиление административной ответственности за повторные нарушения законодательства в области регулирования информационных технологий для поисковых систем, организаторов распространения информации, владельцев онлайн-кинотеатров и мессенджеров. Эксперты считают, что законопроект продолжает политику "закручивания гаек" в целях сохранения "суверенного Рунета", а также направлен против мессенджеров, в том числе Telegram, которые не реализовали взаимодействие с ФСБ по СОРМ.
Законопроектом предлагается установить штраф за неисполнение обязанности по локализации баз с персональными данными россиян на территории РФ: в случае первого нарушения для юридических лиц - в размере от 2 млн до 6 млн руб., в случае повторного выявления нарушения - от 6 млн до 18 млн руб.
Законопроектом вводится санкция за повторный отказ передать ключи шифрования в ФСБ - от 2 млн до 6 млн руб. для юридических лиц. Сейчас максимальный штраф за первое нарушение составляет 1 млн руб.
Документ предусматривает штраф за повторное распространение владельцем сайта призывов к терроризму и экстремизму. Размер штрафа составит от 1,5 млн до 5 млн руб. Сейчас максимальная санкция для юридических лиц составляет 600 тыс. - 1 млн руб.
Также законопроект вводит норму о повторном неисполнении поисковым сервисом обязанности по подключению к реестру запрещенных ресурсов и их блокировке. Сейчас максимальный штраф за это - 700 тыс. руб. Если законопроект получит статус закона - поисковики заплатят в казну от 1,5 млн до 5 млн руб.
В пояснительной записке к законопроекту авторы документа приводят пример, что в Германии за нарушение провайдерами телекоммуникационных услуг законного запроса на передачу запрошенной информации, в том числе о механизмах шифрования, уполномоченный орган может наложить штраф в размере до 500 тыс. евро (36,5 млн руб.) либо частично или полностью приостановить деятельность провайдера.
В Великобритании штраф за нарушение требований уполномоченных органов составляет до 50 тыс. фунтов стерлингов (4,1 млн руб.), также предусмотрена уголовная ответственность - до двух лет заключения по обычным делам или пять лет по делам, касающимся национальной безопасности.
Во Франции владельцы сайтов должны собирать и хранить электронную информацию и о лицах, связанных с террористической деятельностью, и об относящихся к кругу общения подозреваемых, и передавать ее Комиссии по борьбе с терроризмом. В случае невыполнения этих требований - тюремное заключение 1 год и штраф 30 тыс. евро (2,2 млн руб.).
В Турции установлен штраф за несоблюдение норм о хранении информации и организации доступа к ней до 100 тыс. турецких лир (1,1 млн руб.), за отказ ограничить доступ к информации - до 300 тыс. турецких лир (3,3 млн руб.).
Отметим, что ранее, например, Facebook уже отказывался предоставить сведения о локализации персональных данных российских пользователей на территории РФ. Также в феврале 2019 г. Роскомнадзор составлял протокол на Twitter (см. новость ComNews от 22 февраля 2019 г.).
Обе компании получили от Роскомнадзора минимальные штрафы - 3000 руб. При этом максимальное наказание, которое они могли получить по текущему законодательству, составляет 5000 руб., согласно статье 19.7 КоАП РФ.
В "Яндексе" корреспонденту ComNews сказали, что комментировать законопроект не будут, но напомнили, что "Яндекс" работает в соответствии с действующим законодательством.
Генеральный директор компании "ОрдерКом" Дмитрий Галушко отметил, что законопроект продолжает политику "закручивания гаек" в целях сохранения "суверенного Рунета". "Власть последовательна в своих поступках, заявления не разнятся с делом. Рекламные деньги много больше, нежели формальное следование законам, поэтому ни Google, ни Facebook не уйдут. Они просто формально исполнят закон так, что Роскомнадзор не сможет точно обнаружить, передаются данные граждан РФ за рубеж или нет. Помимо всего прочего, проект закона направлен против мессенджеров, в том числе Telegram, которые не реализовали взаимодействие с ФСБ по СОРМ. Штраф за повторное нарушение начинается с 2 млн руб. - сейчас он 300-500 тыс. руб.", - прокомментировал Дмитрий Галушко.
Источник на рынке сказал корреспонденту ComNews, что речь идет об уравнивании в обязанностях иностранных компаний с российскими. "На практике если закон будет принят, то он коснется и российских компаний с иностранным капиталом, которые еще не перенесли свои базы в Россию", - сказал он.
Другой источник ComNews, близкий к силовым структурам, сообщил, что блокировка ресурсов в интернете - это сложная, но реализуемая задача. "Соответствующие правовые инструменты для этого имеются. В частности, принятый недавно закон "О суверенном Рунете" предполагает механизмы, которые могут это сделать", - пояснил он.
Ассоциированный партнер Rödl & Partner Татьяна Вуколова сказала корреспонденту ComNews: "Ни Facebook, ни Twitter в России так и не обосновались, насколько мне известно. Так что для них вряд ли что-то существенно изменится даже в случае открытого конфликта. В СМИ были новости о том, что они задумались еще до этого проекта о переносе баз в Россию. Суммы штрафов, конечно, большие, но не вопиющие. Так что возникает вопрос коммерческой и экономической целесообразности при обсуждении вопросов об уходе с рынка".
Эксперт отдела консалтинга центра информационной безопасности компании "Инфосистемы Джет" Александр Морковчин сказал, что как пользователь услуг, предоставляющий персональные данные различным операторам (от сервисов по заказу еды до социальных сетей), он хочет быть уверен, что они будут использованы по назначению и надежно защищены.
"За последние несколько лет мы наблюдаем уже второе повышение мер административной ответственности в сфере персональных данных, предыдущее ужесточение наказания произошло в 2017 г. Это напрямую связано с непрерывным ростом фиксируемых административных правонарушений и публикуемых утечек персональных данных. Такая тенденция позволяет сделать вывод, что многие организации относятся к защите персональных данных формально и без "закручивания гаек" операторы не спешат выполнять требования законодательства. Опубликованный законопроект отвечает современному международному опыту по регулированию персональных данных и, на мой взгляд, способствует пересмотру операторами приоритетов при защите персональной информации", - считает Александр Морковчин.
Генеральный директор компании Selectel Олег Любимов отметил, что опыт показывает, что в России зачастую более важно не то, что формально прописано в качестве нормы закона, а правоприменительная практика - то, как закон фактически применяется: насколько избирательно и жестко. "Именно это мы наблюдаем на примере требования о хранении персональных данных граждан России на территории страны. Закон вступил в действие несколько лет назад, за это время никто из крупных западных компаний не привел свои системы хранения данных в соответствие с ним, однако заблокирован был только Linkedin, остальных нарушителей государство предпочитало не замечать или ограничиваться непропорционально низкими штрафами. Рассматриваемый проект закона может свидетельствовать о планируемом ужесточении данной практики и начале реализации мероприятий, направленных уже на реальный перенос данных на территорию России, а не просто на декларацию этой нормы. При этом мы оцениваем сценарий, при котором Facebook, Twitter и другие компании уйдут с российского рынка, как маловероятный. Скорее всего, зарубежные компании будут искать возможность сохранить свое присутствие здесь. Как вариант, начнут активнее пользоваться услугами российских дата-центров и провайдеров облачных услуг для хранения и обработки данных внутри России, как это делает большинство российских компаний", - сказал Олег Любимов.
Председатель Комитета Государственной Думы по информационной политике, информационным технологиям и связи Леонид Левин прокомментировал законопроект: "Все более возрастающая роль информационно-коммуникационных технологий в нашей жизни обусловила необходимость строгого соблюдения норм права для интернет-сервисов. Особенно это касается требований, направленных на защиту персональных данных граждан - в частности, обязанности хранить такие данные на территории РФ, что гарантирует работу сервисов в случае внешних воздействий на Сеть и обеспечивает соблюдение российских требований по защите личной информации. Относительно усиления ответственности за повторные нарушения в области регулирования информационных технологий, следует отметить, что нововведения не касаются компаний, совершивших нарушение впервые, но направлены на противодействие тем, кто злостно уклоняется от исполнения закона и требований надзорных органов. Особенно это актуально для сферы защиты авторских прав и борьбы с распространением нелицензионного аудиовидеоконтента. Отдельно следует отметить, что законопроект ни по одному из видов нарушений не предусматривает введение процедур блокировок, что исключает какие-либо неприятности для пользователей этих сервисов, но в то же время позволяет контролирующему органу добиваться соблюдения закона", - рассказал Леонид Левин.