Информационное право — сравнительно новое ответвление юридической науки, и в нем особняком стоит локализация данных пользователей, проще говоря — хранение данных пользователей на серверах в той же стране, где эти данные были созданы.
К примеру, в начале 2010-х некоторые страны приняли законы, требующие хранения данных граждан в пределах национальных границ, как поступили в Китае. Однако этот вопрос получил дополнительный импульс для развития (и номинально оправдание) после того, как бывший агент Агентства национальной безопасности США Эдвард Сноуден в июне 2013 года раскрыл ряд секретных документов, подтверждающих, что правительство США тайно прослушивало телефонные звонки, связи через Интернет и другие каналы, шпионя за иностранными гражданами.
После появления этой утечки многие страны задумались о том, как обезопасить данные о своих гражданах, сохраненные технологическими компаниями США на территории США, от надзора собственного правительства США. Глобальные бизнесы – особенно те, что в Соединенных Штатах — выступают против законов о локализации данных, утверждая, что они усложняют электронную коммерцию и, по сути, вредят экономике стран, которые их принимают. Однако это дискуссия, которая будет длиться еще минимум десятилетие.
Зачем локализировать данные?
На самом деле, для размещения данных внутри стран есть несколько оснований. Первое подкрепил своими обвинениями Эдвард Сноуден, описав теплые отношения между правительством США и провайдерами телеком-услуг, что поспособствовало широкому распространению паранойи об опасности хранения данных на американских серверах. Теперь многие страны ссылаются на необходимость обеспечения дополнительной гарантии защиты конфиденциальности для своих граждан, хотя, на самом деле, во многих странах эта практика была распространена еще задолго до откровений беглого сотрудника ЦРУ.
Второе обоснование — сотрудничество с правоохранительными органами. Если данные хранятся внутри страны, с одной стороны, на них не могут посягнуть спецслужбы других стран, с другой — они как на ладони у локальных служб безопасности и полиции с целью сохранения национальной безопасности.
Ну и третье — это «меркантилизм данных», политики правительств в целях создания разных экономических выгод для местной промышленности, ведь так проще избавиться от международных конкурентов.
Как это работает?
Существуют несколько регламентов по обращению с личными данными, как например, GDPR в Европе, однако основой считаются Манильские принципы, выработанные в 2015 году на конференции информационных правозащитников в Маниле, которые регламентируют работу с информацией и ее хранением в том числе. Но многие страны используют свои подходы.
Международное право выделяет три действующих в данный момент режима:
- Полный запрет на вывод данных. Так, например, работают службы в Китае.
- «Безопасная гавань», позволяющая хранить пользовательскую информацию, кроме сверхчувствительной (банковской, медицинской), в других странах. Такими зонами являются Сингапур, Гана, Уганда, Южная Африка и до недавнего времени, Европа.
- Полная свобода передачи данных, однако доступ к ним третьими лицами — только по решению суда. Это практика, которая действует в США и Чили.
В последних двух случая локализация при этом может принимать разные формы. В некоторых странах хранение данных в границах государства предусматривает местное законодательство. В других же, как Европейский Союз, бремя соблюдения правил защиты данных, которые передаются через границы, столь велико, что для компаний хранение и обработка данных на месте становится привлекательной и экономически эффективной альтернативой. Также возможны и суперлокальные решения, когда компания ради безопасности клиентов сама может решить о создании сервера в стране. Посмотрим, как это выглядит в реальности.
«Огораживание»
Одно из самых явных требований локализации — законодательная норма о физическом размещении серверов, где обрабатываются данные, на территории страны их происхождения.
В списке стран, которые используют такие нормы, Россия, Китай, Казахстан, Нигерия, Индонезия, Бруней, Вьетнам и ряд других.
Например, российский закон, принятый осенью 2015 года, содержит явное требование, что компании, собирающие личную информацию о российских гражданах, должны собирать, хранить и обрабатывать ее с помощью серверов, физически расположенных на территории России. Из-за отказа последовать норме закона «за бортом» в РФ оказалась популярная сеть рабочего нетворкинга LinkedIn. В Индонезии, компании, которые предоставляют онлайн-услуги населению, должны физически расположить свои серверы внутри страны для совершения любых электронных сделок. Подобные ограничения действуют в Малайзии, Брунее, Вьетнаме.
Но Китай преуспел на поприще локализации данных больше всех.
Пока законодательно запрещена оффшорная обработка и хранение личной медицинской, финансовой и кредитной информации граждан КНР, перенос информации через границу без согласия пользователя и/или правительства, а также все интернет-СМИ должны иметь сервера в Китае. Но рассматривается также внедрение нормы о необходимости хранения всей личной и бизнес-информации на внутренних китайских серверах, при этом возможность их передачи через границу пока никак не регламентируется.
Есть и незаконодательные ограничения. У Нигерии нет закона о защите персональных данных. Тем не менее, Национальное агентство по развитию информационных технологий составило требования по локализации данных, призванные содействовать развитию местного онлайн-контента. Они требуют, чтобы все информационные и коммуникационные провайдеры хранили все абонентские данные локально в стране. То же касается и правительственных данных.
Любопытная ситуация складывается в Греции. Принятый в 2011-м греческий закон предусматривает, что все данные, полученные и сохраненные на любых носителях в Греции, должны храниться в пределах ее территории. Эта мера в целом не согласуется с законами о защите данных в ЕС, но тем не менее, остается рабочей.
Разборчивость связей
Некоторые страны вводят локализацию данных по конкретным видам информации, например, информации о состоянии здоровья, финансово-кредитной, налоговой, а также информации, собранной государственными органами. Такие ограничения действуют в Венесуэле, Австралии, Новой Зеландии.
В Канаде федеральный закон не содержит каких-либо требований по локализации данных. Тем не менее, провинциальные законы в регионах, Британской Колумбии и Новой Шотландии требуют, чтобы личная информация из госорганов, школ, больниц и ЖЭКов хранилась на серверах, расположенных в Канаде. Эти законы также требуют, чтобы данные были доступны только из Канады, создавая дополнительный барьер для внешних компаний.
ЧИТАЙТЕ ТАКЖЕ: Как новая политика ЕС по защите данных повлияет на украинский бизнес
В Турции поставщики электронных платежных услуг также обязаны обрабатывать все данные внутри страны. Это требование было недавно больно наказало PayPal, который потерял свою лицензию на ведение бизнеса в стране за невыполнение этого параграфа.
Некоторые страны дают своим гражданам дополнительным меры контроля над персональными данными, запрещая трансграничные переводы без их согласия.
Например, подобная схема действует в уже ранее упомянутом Китае. Мексиканские компании также могут передавать данные через границу с согласия граждан. Не так давно на похожее решились Индия и Южная Корея. В Гонконге же действует Постановление о конфиденциальности персональных данных, которое запрещает передачу персональной информации за пределами Гонконга без согласия в письменной форме.
Впрочем, многие бизнесы находят такое «информированное согласие» чрезвычайно неудобным. Национальные законы часто требуют, чтобы цель и адрес передачи данных были четко продемонстрированы их субъекту (по сути, гражданину), а после этого он сможет дать осознанное согласие на их использование. Которое может быть отозвано, что может в будущем создать ряд проблем для этих бизнесов, начиная от штрафов и заканчивая длительными судами.
Сменить гавань на щит
В Европейском Союзе существует несколько явных способов локализации, касающихся трансграничных передачи данных, и рынок все более неохотно хранит персональные данные за пределами Европы.
С июля 2000 года до октября 2015 года соглашение между США и ЕС Safe Harbor было основным правовым механизмом для компаний, базирующихся в США на законном основании передавать и обрабатывать персональные данные граждан в государствах-членах ЕС. Но «лафа» закончилась, поскольку Суд Европейского Союза постановил, что оно не обеспечивает достаточный уровень защиты личной информации гражданина государства-члена ЕС.
Новое соглашение Privacy Shield с 1 августа 2016 года обязывает американские компании проходить процедуру сертификации для работы с данными в ЕС. Также оно содержит ряд мер, призванных защитить данные при трансграничной передаче, что делает более привлекательным для внешних компаний внутреннее хранение в ЕС. Для нарушителей при этом предусмотрена система штрафов. В 2018 году в ЕС и вовсе вступил в силу новый Общий регламент о защите данных, который обещает быть еще более жестким.
Украинский опыт
Пару лет назад в Украине уже рассматривали предложение об исключении зарубежных сетей услуг по обработке платежей. Эксперты-финансисты говорят, что именно такая неопределенность до сих пор не дает зайти в страну бывшему детищу Илона Маска PayPal.
Почти год назад информпространство всколыхнул запрет российских «Яндекса» и «ВКонтакте» с целью избежать утечек данных в подсанкционную страну. «С российскими компаниями остро стоит проблема хранения персональных данных. Например, «ВКонтакте» указали в правилах, что они в правах выдавать ваши персональные данные, если будет подобный запрос со стороны правоохранительных органов. И каким способом их будет использовать воюющая страна, неизвестно, поэтому я не уверен в том, стоит ли туда передавать какую-либо информацию», — говорит партнер юрфирмы Axon Partners Дмитрий Гадомский.
При этом он акцентирует на том, что Украина могла бы последовать примеру многих стран и защитить своих граждан посредством локализации персональных данных.
По мнению юриста, наибольшая проблема Украины сейчас в том, что у нее объективно не у кого брать пример, как правильно вести себя в подобной ситуации. Так, Индия запретила 36 ресурсов в связи с террористическими атаками ИГИЛ. В США есть закон, который разрешает штатам вводить санкции против стран, и этот закон существует уже более 100 лет. «В мире такие вещи уже давно существуют, просто Украина впервые толкнулась с гибридной войной и как с этим жить, никто не знает», — говорит юрист. Впрочем, Гадомский уверяет, что закрыли-то доступ к этим ресурсам не из-за опасности утечки персональных данных, а из-за того, что это средство пропаганды. А это уже совсем другая история.
Не пропустите самые важные новости и интересную аналитику. Подпишитесь на Delo.ua в Telegram