Как известно, 1 сентября 2015 года вступил в силу федеральный закон 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Главным нововведением этого акта стало требование хранить персональные данные (ПДн) граждан России на серверах, находящихся под российской же юрисдикцией. Ну а то, что клиентские данные содержат сведения, относящиеся к категории ПДн, сомнений ни у кого не вызывает.
Надо сказать, что принятие этого закона не является чем-то уникальным и из ряда вон выходящим. Аналогичные нормативные акты имеются во многих странах, причем не только в тех, которые в силу разного рода причин ограничивают общение своих граждан с внешним миром. То же законодательство по защите ПДн, которое действует в государствах, ратифицировавших Страсбургскую Конвенцию о защите физических лиц при автоматизированной обработке персональных данных, изначально направлено на защиту частной жизни. А это все страны Евросоюза, Канада, практически вся Латинская Америка и еще целый ряд государств и территорий, которые всегда было принято считать цивилизованными. И в Дании, Германии или Швеции действуют нормативы в чем-то даже более жесткие, чем российские. Например, гражданину этих стран невозможно, находясь в США или в любой другой стране, законодательство которой не обеспечивает должного уровня сохранности ПДн, получить доступ к своим данным. А кроме того, информацию, собранную с помощью одного сервиса, нельзя использовать для решения задач в рамках другого.
И все же принятие закона 242-ФЗ вызывало довольно серьёзные опасения. Ведь с большими объемами данных, которые относятся к персональным, работают многие компании из разных секторов — страховые, банки, розничные торговые сети, авиаперевозчики. Не всё было ясно и с международными компаниями, у которых централизована кадровая служба, а значит, все необходимые ей базы данных физически находятся в штаб-квартире.
Положение усугублялось тем, что у российских ведомств, являющихся регуляторами в области оборота ПДн, есть определенные предубеждения против облачных сервисов. Они привыкли мыслить категориями объектов информатизации, в качестве которых могут выступать исключительно физические устройства. Ситуация, конечно, меняется, но не так быстро, как хотелось бы. К тому же, как это часто бывает, в законе очень много нечетких формулировок.
Да и с чисто технической точки зрения перенос данных из-за рубежа в Россию — дело хлопотное и совсем не быстрое. Например, при «переезде» иногда проще заново создавать виртуальные машины, чем проводить перенастройку уже имеющихся. А их число может достигать десятков и даже сотен. При этом целый ряд весьма популярных поставщиков услуг в силу каких-то причин не собирался, по крайней мере до самого последнего времени, переносить свои мощности на территорию нашей страны. Среди них оказались такие популярные сервисы, как Alibaba, Amazon и Facebook. Между тем у того же Amazon, который является не только интернет-магазином, но и одним из крупнейших провайдеров облачных услуг, немало российских заказчиков.
Хотя есть и обратные примеры, и надо сказать, их существенно больше. Среди компаний, которые уже к моменту написания этих строк разместили свои мощности в России, — Apple, Google, Microsoft, Orange, SAP, Teradata (о переносе ресурсов этой компании в настоящем номере опубликована отдельная статья), а также вся «большая тройка» крупнейших международных аудиторских фирм. А вообще этот список намного шире и будет расширяться и дальше. Да и российские компании не отставали. Так что уже к лету иные коллеги начали говорить о том, что закон 242-ФЗ дал мощный импульс российскому рынку коммерческих центров обработки данных.
Впрочем, стоит отметить, что для переноса данных в Россию были и другие причины, никак не связанные с вступлением в силу 242-ФЗ. Главная из них — девальвация рубля, которая привела к существенному удорожанию размещения своих вычислительных мощностей за границей. Раньше такая практика была весьма популярной — с одной стороны, вследствие значительного дефицита кадров в нашей стране, а с другой — как довольно эффективная антирейдерская мера. Но после падения рубля в самом конце 2014 года это оказалось весьма накладным. Тем более, что из-за неблагоприятных процессов в экономике рублевая выручка у многих компаний если и росла, то невысокими темпами.
Так что успешные примеры переноса компаниями своих данных в Россию имеются. Одному из таких проектов посвящен материал в нынешнем выпуске журнала. Но есть и другие. Так, на конференции Failover с докладом о перемещении в Россию серверов «Битрикс24» выступил генеральный директор «1СБитрикс» Сергей Рыжиков. Раньше эти облачные сервисы (включая CRM), ориентированные на малый и средний бизнес, располагались на ресурсах в США и Ирландии. Причём американские мощности были размещены на Amazon, который к моменту начала работ, да и ко времени написания этих строк, ещё не принял окончательного решения о том, чтобы разворачивать свои мощности в нашей стране. Как и в Teradata, в «1С-Битрикс» решили не рисковать и не подставлять своих заказчиков, а значит, попытки как-то обойти требования 242-ФЗ не предпринимались.
Однако такой подход не является единственно возможным. Например, пользователям зарубежных SaaSсервисов, у которых отсутствуют российские аналоги, можно применять такой хорошо известный прием, как обезличивание. «Данные без фамилии, имени и отчества не позволяют соотнести их с конкретным субъектом, не являются персональными, даже если в них есть номер паспорта, адрес места жительства и номер телефона, поскольку легальных путей деанонимизации таких данных в нашей стране нет. Да и часть 7 статьи 5 закона “О персональных данных” фактически приравнивает обезличивание к уничтожению, допуская по выбору оператора любое из этих действий после достижения цели обработки ПДн. Этим уже воспользовались некоторые реселлеры зарубежного “ПО по запросу” и разработали плагины, обеспечивающие обезличивание на лету с хранением баз идентификаторов как у заказчика, так и у реселлера, по желанию», — разъяснил в своем блоге управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.
Закон также не запрещает собирать или актуализировать данные с помощью информационной системы, расположенной в нашей стране, для того чтобы извлекать их для использования в другой, в том числе и находящейся за пределами Российской Федерации. Интегратор «Информзащита» уже реализовал такой подход для одной из международных страховых компаний. Теперь все менеджеры этой компании вносят ПДн клиентов в единую систему, расположенную на территории РФ, а затем при помощи специальных коннекторов данные копируются во все остальные информационные системы. При этом, как отметил руководитель направления отдела консалтинга компании «Информзащита» Александр Барышников, существуют как минимум три разных метода, реализующих подобного рода подход.
Есть и категории отраслей, оказывающиеся вне зоны действия 242-ФЗ. К таким исключениям относятся, например, данные, оборот которых регулируется международными договорами. Сюда относится в том числе и всё, что связано с бронированием авиабилетов. Впрочем, тут все равно возникает масса вопросов, и не все из них легко решаемы.
Так что, пожалуй, единственной категорией, которой противопоказано держать свои системы за границей, является само государство, а также государственные и муниципальные предприятия. Почему — понятно, комментарии здесь не нужны.