Совет по развитию цифровой экономики при Совете федерации под председательством секретаря генсовета «Единой России» Андрея Турчака рекомендовал правительству подготовить предложения по защите персональных данных россиян с учетом принятия в США Clarifying Lawful Overseas Use of Data Act (CLOUD Act). Эти поправки упрощают правоохранительным органам доступ к данным интернет-пользователей вне зависимости от того, в какой стране они хранятся, следует из решения совета.
«Необходимо доработать законодательство и правоприменение, чтобы нейтрализовать угрозу несанкционированного доступа и использования данных российских интернет-пользователей»,— подтвердил “Ъ” представитель совета. Правозащитники по всему миру считают, что эти поправки могут способствовать злоупотреблению правами человека со стороны иностранных правительств, помогая им получить доступ к онлайн-данным своих граждан, утверждает он.
Совет также рекомендовал правительству уточнить определения «цифрового суверенитета» и «цифровой границы государства», чтобы «повысить эффективность межгосударственного взаимодействия». Предложение совета находится вне компетенции Роскомнадзора, сообщили “Ъ” в ведомстве. В Минкомсвязи на запрос не ответили.
Поправки, утвержденные в марте президентом США Дональдом Трампом, позволяют стране заключать соглашения с другими странами о передаче им данных с серверов американских компаний в любых странах. Таким образом, страны по взаимной договоренности могут запрашивать данные пользователей Google, Facebook и Microsoft, если те не являются гражданами и не проживают на территории США. Поправки позволяют инициировать подобные договоры без одобрения Конгресса.
Изменения принимались на фоне судебного дела о требовании властей США получить доступ к электронным почтовым ящикам на серверах Microsoft в Ирландии. До появления CLOUD Act закон позволял правоохранительным органам требовать у компаний только те данные, которые физически находятся в США. «CLOUD Act допускает, что третья страна при условии соответствующего соглашения с США может запросить у американских ИТ-компаний данные о гражданине РФ. Но будет ли это работать на практике, пока не ясно»,— отмечает ведущий аналитик Российской ассоциации электронных коммуникаций Карен Казарян. В Microsoft на принятие акта отреагировали двусмысленно, отмечая, что он «создает основу для нового поколения международных соглашений и сохраняет права поставщиков облачных сервисов на защиту прав на конфиденциальность до тех пор, пока такие соглашения не будут приняты». Комментировать опасения российских законодателей в Microsoft отказались.
«Проблема не только в том, что госорганы США теперь получат данные российских пользователей. Предположим, два пользователя из разных стран ведут переписку, один из них гражданин РФ, а второй — другой страны. Если правительство этой страны заподозрит в чем-то своего гражданина и потребует у сервиса передать данные, это может нарушить законодательство РФ, так как переписка может содержать персональные данные гражданина России»,— отмечает директор по развитию бизнеса компании Variti Эдуард Макаров.
Случаи передачи данных IT-компаний третьим лицам известны, несмотря на обязательства по сохранению приватности информации о клиентах, признает директор по консалтингу InfoWatch Мария Воронова. Главный нормативный механизм защиты персональных данных россиян уже давно законодательно описан — это хранение такого рода информации на территории РФ, подчеркивает основатель DeviceLock DLP Ашот Оганесян. «Но для переноса в нашу страну данных, например, российских владельцев iPhone необходимо существенно переработать техническую инфраструктуру Apple, от чего компания уже много лет успешно уклоняется»,— уточняет он.
Дополнительно защитить персональные данные можно, например, предусмотрев штрафы для компаний, работающих с российскими пользователями, считает Карен Казарян. В России пока применяется единственная мера ответственности в отношении как сбора, обработки и трансграничного обмена данными, так и распространения незаконной информации — это «ковровая» блокировка ресурсов, зачастую неэффективная, отмечает он. «Такой подход фактически игнорирует технологические особенности IT-ресурсов и замыкает регулирование рамками национального правопорядка. При этом доступ к данным, хранящимся за рубежом, и взаимодействие наших правоохранительных органов с иностранными при расследованиях преступлений затруднен»,— констатирует эксперт.
По его мнению, нормы CLOUD Act могут повлиять и на российские IT-компании, поскольку они предлагают услуги в том числе лицам, находящимся в различных государствах, а также используют сайты иностранных компаний. Поэтому для развития IT-отрасли необходима гармонизация российской правовой системы с зарубежными и возобновление работы над международными соглашениями в этой области, которая ранее велась на уровне спецпредставителя МИД РФ, указывает эксперт. Поэтому перед Россией стоит еще один важный вопрос — стоит ли присоединяться к соглашениям CLOUD Act, если такое приглашение поступит, добавляет господин Оганесян. «В США также хранятся данные, к которым российские спецслужбы хотели бы получить доступ,— поясняет он.— Однако в нынешних внешнеполитических условиях сотрудничество вряд ли будет продуктивным. Обе стороны будут использовать запросы в основном для получения информации об объектах интереса правоохранительных органов друг друга, и очень скоро реальная практика обмена информацией сойдет на нет».
Юлия Тишина