Интернет

Локализация данных в России: возможности для улучшения

0 741

Россия еще в 2014 году ввела закон, по которому все зарубежные интернет-компании должны хранить данные российских пользователей на российских серверах. Когда Facebook и Twitter оштрафовали на смехотворные 3000 рублей за несоблюдение закона, стало понятно, что штрафы надо поднимать — тянуть больше нельзя. Поправки в закон уже почти приняты. Но актуален еще и вопрос о том, какие инструменты необходимы Роскомнадзору, чтобы эффективно взымать штрафы с зарубежных компаний и есть ли альтернативы штрафам и пресловутым блокировкам?

25 ноября поправки в закон о повышении штрафов за нарушение локализации персональных данных на территории России были направлены Президенту. Теперь компании будут оштрафованы на уже ощутимые 2−6 млн рублей, а при повторных нарушениях — на 6−18 млн. Локализация данных — важный инструмент современной концепции data privacy, в той или иной форме реализуемой во всем мире, а штрафы за нарушение закона — весомый аргумент давления на ИТ-гигантов.

Крупные взыскания за нарушение законов о данных с недавнего времени вовсю применяются в мире. Наибольшую известность получил закон о защите данных в Евросоюзе (GDPR), который вступил в силу в 2018 году. В соответствии с ним, компании могут собирать только те персональные данные европейских пользователей, которые «абсолютно необходимы» для ведения бизнеса. Санкции за утечку данных — космические. В июле British Airways была оштрафована на $230 млн за раскрытие данных 500 тыс. клиентов. Позднее сеть отелей Marriot оштрафовали по аналогичному случаю на $123 млн. При этом в Европе данные могут передаваться и в другие страны, но только в те, где есть гарантии защиты. Эксперты отмечают: закон ЕС настолько суров, что их барьеры вкупе со штрафами де-факто означают локализацию.

Тем временем, Калифорния в этом году приняла закон о неприкосновенности частной жизни потребителей (CCPA). Как и GDPR, он позволяет пользователям узнать, какие данные о них собирают компании. Кроме того, можно потребовать удаления или запретить продажу своих данных. За нарушение будут взимать до 7500 долларов за каждого пользователя. Ужесточение законов в США ожидается и на федеральном уровне: на днях в Конгрессе предложили регулярно вызывать руководителей крупнейших технологических компаний на «ковер»: чтобы те отчитывались о совершенствовании внутреннего контроля за данными.

Помимо полной локализации персональных данных, принятой в том числе в России, возможны и более компромиссные модели. Например — определяются данные, которые стоит локализовать и те, которые перемещаются свободно. Если утекают локализованные данные — ответственность очень серьезная. К примеру, локализацию можно ограничить только для общественно-важных данных из таких сфер как финансы, здравоохранение, национальная безопасность. Турция, например, требует от банков и операторов платежных систем, чтобы их серверы находились на территории страны. Австралия и Канада запрещают хранение или обработку личной электронной медицинской информации за пределами страны. Если в нашей стране закон о локализации будет дополняться, а санкции — возрастать, возможно, и нам придется очертить круг данных для строгой локализации, а какую-то несущественную информацию позволить хранить в том числе за рубежом, если, конечно, общество и законодатели посчитают такую меру целесообразной.

Итак, увеличение штрафов для иностранных компаний можно только приветствовать — это безусловно заставит их считаться с российскими законами. Но целью ведь является не наказание, а стимулирование к уважению и обеспечению безопасности персональных данных россиян. По словам законодателей, суммы штрафов сопоставимы с затратами на перенос серверов. Но значимы ли суммы для самих кампаний? Все-таки максимальный штраф — 18 миллионов рублей, а не долларов. Может еще предстоит ввести взимание процента от выручки компании, как меру для особо крупных игроков, например, с капитализацией больше 1 млрд долларов? Такая идея уже продвигается в Великобритании. Там с Facebook и Google планируют взыскивать до 4% от глобальной выручки (а это миллиарды долларов), если те не смогут своевременно избавляться от нелегального и вредного контента на своих платформах, аналогичная мера может быть принята и в отношении персональных данных.

Можно ли предложить альтернативу штрафам и блокировкам? Возможно, ограничение на рекламу в России сможет образумить техногигантов — ведь это основной источник их дохода. Дискуссии о «цифровом налоге» идут в Европе больше года. Связаны они с тем, что компании получают доходы от интернет-рекламы в разных странах, а налоги платят только в одной. Для соцсетей и интернет-компаний, продающих рекламу в интернете, предлагают взимать 3% от прибыли. Если такой закон ввести у нас, то цифра может стать гибкой: если компании уклоняются от исполнения закона о локализации данных, то налог для них повышается вплоть до, например, 100%, либо вовсе запрещается трансляция рекламы в пределах национальной интернет-зоны. То есть, рекламный доход перекрывается.

В любом случае, необходимо дождаться принятия поправок и оценить их эффективность. Российское регулирование на мировом уровне все же останется довольно мягким, но вероятно заставит больший круг ИТ-гигантов оставить данные россиян внутри страны. Ну, а если и это не поможет, мировой опыт подсказывает, что есть еще действенные инструменты, которые не скатываются к блокировкам, и, соответственно, обвинениям в цензуре, но очень весомо могут ударить по кошельку цифровых корпораций.