Правильный закон «О персональных данных», каким я его вижу

Итак, примерно месяц назад, 1 сентября 2015 года вступил в силу ^[1] закон «О персональных данных», обязывающий хранить персональные данные россиян на российских серверах. Закон этот, впрочем как и многие другие российские законы, написан так, что его можно трактовать максимально широко, проверить его исполнение практически невозможно, а иногда оказывается невозможным и само его исполнение. Например, в случае распределённых систем хранения информации, когда информация физически не локализована на одном сервере, а распределена по всему миру. То есть даже наличие серверов компании в стране, ещё не гарантирует, что на её территории вообще хранится что-то осмысленное. Более того, а как компании будут определять гражданство своих пользователей, ведь практически все информационные ресурсы не требуют предоставления паспортов?

Если же у иностранной компании нет на территории России филиала или представительства, то на него по мнению юристов ^[2] не распространяются требования закона. Представители Facebook, не имеющего офисов в России, уже в жёсткой форме сказали ^[3] Роскомнадзору, что не считают нужным размещать данные российских пользователей в этой стране по экономическим причинам. Кроме того в компании вообще не считает хранящуюся у неё информацию персональной. Что уж говорить, если само ведомство признало ^[4], что не сможет проверить исполнение закона иностранными компаниями. Также в законе были сделаны исключения ^[5] для авиакомпаний, так как оказалось, что все системы заказа билетов в России используют иностранные сервисы. Изменения были внесены своевременно, так как наши депутаты рисковали навсегда остаться в России, что для них совершенно неприемлемо.

Так что он уже выглядит как решето. Впрочем, с самого начала было ясно, что этот закон писался лишь затем, чтобы иметь ещё один инструмент цензуры для закрытия неугодных ресурсов, так что обсуждать его с позиций логики или пытаться как-то улучшить лишено всякого смысла. Предположим однако, что закон действительно писался бы для защиты прав людей, каким в этом случае он должен быть? На мой скромный взгляд, пользователь сам вправе распоряжаться своей информацией, но при этом он имеет полное право знать, где она будет храниться, и кто сможет её читать. Одним из таких решений было бы предоставление пользователям возможности самим выбирать, в какой стране будут храниться их данные, или заранее предупреждать о единственном варианте. Лучшим же решением было бы писать закон, используя понятие юрисдикции ^[6], а не физического расположения.

Действительно, как уже было сказано, само физическое расположение в некоторых случаях оказывается неопределено и теряет смысл, но и в случае, если компания заявила, что данные хранятся на сервере внутри страны, получить их или проверить окажется невозможно, если они зашифрованы. Так что «низкоуровневая» формулировка закона оказывается очень неудобной в применении. Юрисдикция же однозначно определяет страну в которой будет храниться ваша информация, но не в физическом, а в юридическом смысле. Пользователи сами смогут выбрать или, во всяком случае, будут знать, какая страна несёт ответственность за хранение их персональных данных.

Это особенно ценно, учитывая, что в разных странах разные законы о защите персональной информации и её разглашении по запросу в том числе других стран. Не говоря уже о том, что в некоторых странах ситуация с правами человека очень неоднозначна, и Россия, увы, не является исключением. Кстати, российский омбудсмен Дмитрий Мариничев предложил ^[7] весьма схожий вариант, разрешающий хранить информацию о россиянах, на зарубежных серверах – с их согласия, но, как известно, всем всё равно. Впрочем, для реализации права выбирать юрисдикцию не нужен специальный закон, и я надеюсь, что компании сами предоставят пользователям такое право. И кроме прочего, такая возможность послужит прекрасной проверкой на доверие граждан к властям своей страны.

Ссылки:

В России вступил в силу закон о персональных данных — Российская газета ^[8]
Обработка и хранение персональных данных в РФ — Минкомсвязь России ^[9]
Речь депутата и речь омбудсмена о персональных данных и госрегулировании технологий — Роскомсвобода ^[10]
«Как вы собираетесь противостоять прогрессу?» Закон о персональных данных: интернет-омбудсмен против депутата. Расшифровка — Meduza ^[11]
Санкции самим себе: 286 млрд руб. потеряет Россия от правоприменения закона — Роскомсвобода ^[12]
242 Федеральный Закон — Роскомсвобода ^[13]
Данные о философских взглядах россиян защитят штрафом — BBC Русская служба ^[14]

Автор: arielf

Источник ^[15]