Сергей Вихорев, заместитель генерального директора по развитию.

Как-то, еще в 2009 году, я писал статью для журнала «Банковские технологии», которая называлась «Осторожно законофобия!». Она была посвящена ситуации с оттягиванием сроков ввода закона «О персональных данных» в силу. Там я охарактеризовал явление нагнетания истерии в среде «обывателей» (в хорошем смысле этого слова) по поводу того или иного законодательного акта, как «законофобию», которую порождают некоторые «профессионалы», по всей вероятности, преследуя свои корыстные цели. Сегодня мне попалась публикация от 09.06.2015 г. в «Вечерней Медузе».

Это репортаж с Петербургского международного юридического форума, одна из секций которого была посвящена закону о переносе персональных данных россиян на серверы внутри страны. Выступали депутат Вадим Деньгин, защищающий закон, и интернет-омбудсмен Дмитрий Мариничев, который документ критиковал, называл предложенный государством подход консервативным и архаичным, идущим вразрез с технологическим развитием. Меня охватило дежавю. Ситуация очень напоминает историю шестилетней давности.

Не могу согласиться с мнением нашего интернет-омбудсмена. Я уже не первый раз слышу эту точку зрения по поводу закона, но все как-то руки не доходили высказаться. Думаю, пора. Тем более что голос Мариничева сливается с нестройным хором еще нескольких экспертов, думающих примерно так же и развивающих «законофобию» у простого обывателя.

Для начала процитирую его выступление: «чтобы обсуждать что-то, нужно сначала понимать что-то. Чтобы понимать что-то, нужно четко воспринимать это и уметь это делать». И еще: «я не юрист ни разу — и в первый раз о персональных данных услышал ровно год назад». Ну а если ты не юрист и о персональных данных только услышал, то чего же ты лезешь судить? Послушай тех, кто что-то понимает и умеет это делать. Правда и истина — суть разные вещи. Правда у каждого своя, а истина одна. Но не надо свою правду, удобную для бизнесмена, выдавать за истину.

Для начала вспомним, что новелла об обработке персональных данных на серверах, расположенных на территории Российской Федерации, (которая и вызывает отрыжку у бизнесменов), включена не в закон «О персональных данных» (ФЗ-152), а в трехглавый закон «Об информации, информатизации и защите информации» (ФЗ-149). Попробуем разобраться, о чем она говорит и для чего это надо. Интернет — это пространство без границ. Четко определить принадлежность того или иного контента или сообщения к той или иной юрисдикции невозможно. И это надо себе уяснить. Но, у каждого государства свои законы, и они имеют разную силу. Введение системы, при которой граница государства физическая совпадает с границей логической («интернетовской») — это, наверное, идеальный случай, позволяющий расставить все точки над i. Но так в жизни не бывает. Поэтому, обязав операторов персональных данных (подчеркиваю — операторов персональных данных, а не кого-нибудь другого) иметь свой сервер, на котором крутятся персональные данные российских граждан на территории России, государство вводит их в правовое поле российского права и накладывает на них определенные обязательства. Это действительно выгодно в первую очередь каждому из нас (субъектам персональных данных), но и закон ведь ставит своей целью в первой статье — защиту интересов субъектов персональных данных, а не операторов (впрочем и мы, как компания, защищая информацию в целом и персональные данные в частности, как ни странно, стоим на защите интересов субъекта). Вот некоторые эксперты, в том числе и Д. Мариничев, пугают население: «Ага! Теперь с 1 сентября вы и авиабилет не купите, и номер в гостинице за границей не забронируете, а все потому, что у нас такие плохие законы!» Ну, во-первых, не только у нас такие законы. Аналогичные законы принимаются в Китае, Австралии и Индии, а Франция и Германия создают внутренние компьютерные сети, говорится в докладе аналитического центра ITIF. А во-вторых, так могут рассуждать только те, кто не умеет читать закон. Рассмотрим пример.

Вы хотите купить билет в Испанию и заказать где-нибудь в Мадриде гостиницу. Вы это можете сделать двумя путями: либо через турагентство, либо сами, через Интернет. Во втором случае вы действуете на свой страх и риск и закон «О персональных данных» на этот случай (обработка персональных данных в личных целях) не распространяется. Вы обращаетесь непосредственно в отель или в международную систему бронирования авиабилетов. А эти операторы уже на чужой территории, под чужой юрисдикцией и у них свои законы и правила. Теперь представим, что с вашими персональными данными произошел инцидент и вам нанесли ущерб, например, воспользовались реквизитами кредитной карты и списали деньги (это живой пример, у нашего сотрудника был такой инцидент). Куда вы побежите? В суд, в российский суд. А там скажут, что это были ваши договорные отношения с отелем, и вы обращайтесь по месту их регистрации, то есть в испанский суд. И в этом случае вы практически остаетесь без какой-либо юридической защиты, так как там совсем другая судебная система, с которой вы не знакомы, а судиться — себе дороже. Все! Finita la Comedia!

Теперь второй случай. Вы заказываетe билет через турфирму или Аэрофлот. Они, так же как и вы обращаетесь в отель, в систему бронирования, делают нужные операции. И это им никто не запрещает: запрета на трансграничную передачу по закону нет. Но! В данном случае турфирма и Аэрофлот — это фирмы, подпадающие под юрисдикцию Российского права, и они являются операторами персональных данных, то есть подпадают под действие и ФЗ-152 и ФЗ-149. И именно они теперь (если накопительный сервер стоит у них на территории России) несут ответственность за трансграничную передачу ваших персональных данных своему зарубежному партнеру, и делают они это на договорных началах, заключив соглашение (так требует ФЗ-152). И если произойдет инцидент, то тут уж точно за вас вступится и российский суд, и российский «омбудсмен» по персональным данным (Роскомнадзор). И взыщут с турфирмы и Аэрофлота, а не с заграничной фирмы, да еще и оштрафуют, чтобы неповадно было. А уж потом никто не запрещает этой турфирме или Аэрофлоту выставить регрессный иск к зарубежным партнерам и судиться с ними до морковкина заговенья в международном суде. Вы будете избавлены от этой головной боли.

Вот и получается, что чисто техническая мера по переносу точки обработки персональных данных на территорию России способствовала определению границ ответственности и границ юрисдикции. И это ну никак не ущемляет права гражданина, хотя и прибавляет головной боли оператору.

Так что закон совсем не страшный. И, уж поверьте, никто не собирается «противостоять технологическому прогрессу, который все сметает на своем пути».

«Убивают» еще несколько тезисов в высказываниях Д. Мариничева:

• «Если я не хочу, чтобы мои персональные данные существовали в мире, значит я не хочу пользоваться благами того технологического общества, в котором живу».
• «Гражданину, избирателю, в деревне и где бы то ни было, глубоко все равно, что такое персональные данные и как с ними живут и зачем они нужны. Потому что в этой деревне — городского типа — где он живет, все вокруг знают, кто он такой и по походке за 200 метров могут определить, идет он к соседке или за хлебом в соседнюю булочную. И это ни разу никого из граждан не пугает».
• «Я вас всех могу идентифицировать, потому что с вероятностью в 99% вы так или иначе заполнили профили в социальных сетях, так или иначе представились, так или иначе кому-то написали где-то на каком-то сайте. Я всегда узнаю, кто из вас кто и чем занимается, и смогу с вами связаться».

Первый тезис — это полная чушь. Я хочу пользоваться благами технологического общества, но при этом, я хочу быть защищенным от разных неприятностей. Возможно ли это? Возможно, но надо ЗНАТЬ как этого достичь. Пример с таксистом — весьма неудачный. Наш интернет-омбудсмен путает открытые (но по воле субъекта!) персональные данные с теми, что надо защищать. Тем более, даже если ты таксистская компания, то это не снимает с тебя обязанности ПРАВИЛЬНО организовать процесс обработки и защиты персональных данных (ведь ты же оператор!), а то и клиентов можно растерять. Лучше бы он читал внимательно закон! Все-таки – омбудсмен!

Второй тезис, повторяя слова же самого Д. Мариничева — это «цифровое мракобесие» (по Ефремовой: «Мракобесие — крайне враждебное отношение к прогрессу, просвещению, науке»). Да, еще не все, особенно в глубинке, понимают, насколько важны персональные данные и что они значат для человека. Но это не их вина, а их беда. К сожалению, у нас нет культуры обращения со своими ПДн. Только сейчас Роскомнадзор и Минобрнауки совместно разработали программу для детей по обучению правилам обращения с персональными данными, и эту инициативу надо приветствовать. И, наверное, еще потребуется одно поколение, пока это войдет в кровь. Да, первобытный человек не понимает ценности золота. Для него это просто кусок металла желтого цвета и им можно забить гвоздь. Но от этого золото не перестает быть золотом и иметь свою цену.

Третий тезис – это уже серьезно. Человечество на протяжении многих столетий не задумывалось над проблемами экологии. Сорило, где попало, сжигало, что попадется, выбрасывало в атмосферу что можно и нельзя. И что в результате? Когда все это стало угрозой существования человечества на планете Земля, когда в полный рост стал проявляться парниковый эффект, оно задумалось и стало само себя и планету Земля чистить. Также и с персональными данными. К сожалению, не имея культуры обращения с этим ценными данными, человечество в эйфории возможности владения Интернетом и средствами коммуникации в соцсетях на протяжении долгого периода сорило этими данными где попало. Ну и насорило. Так, что теперь впору заняться чисткой. Сколько было случаев, когда в приеме на работу человеку отказывали только потому, что ознакомились с его «историей» в соцсетях? Почитайте рекомендации на сайте рекрутских агентств. Ну, хочет человек жить открыто — пусть себе, он же это делает добровольно, в свей воле! А другой понимает последствия и уже задумается, что ему публиковать, а о чем и умолчать. Да, это проблема! И что же теперь, когда уже есть много «информационного мусора», ссылаясь на это нездоровый прецедент, будем и дальше сорить? Или все-таки задумаемся…