В рамках международной конференции «Защита персональных данных» в Москве глава Роскомнадзора Александр Жаров заявил, что закон о локализации персональных данных в РФ не повлияет на трансграничную передачу данных, т.е. пользователям не будет закрыт доступ к разнообразным интернет-услугам.
По словам Жарова, закон, который вступит в силу уже в 2015 году, неоднозначно воспринимается как интернет-компаниями, так и российскими пользователями. Все же, глава ведомства подчеркнул, что реализация закона не приведет к ограничению прав пользователей на свободное использование личной информации.
«Такого рода заявления не подкрепляются аргументированными доводами и не имеют отношения к реальности», - заметил Жаров, добавив, что государство постоянно ведет работу над защитой персональных данных граждан и всегда готово отстаивать права на надежное хранение личной информации.
Он напомнил, что Россия ратифицировала Конвенцию Совета Европы по защите персональных данных и неукоснительно соблюдает требования подписанной конвенции. РФ также работает в этой сфере на площадках Евразийского экономического союза.
«В вопросах защиты персональных данных нельзя замыкаться в рамках одной страны, необходимо двигаться по пути международного взаимодействия», - заключил глава Роскомнадзора.
Насколько может обезопасить персональные данные локализация в РФ?
На мой взгляд, говорить о безопасности, полученной ценой ограничений пользования удобными сервисами, не имеет смысла. Целью нового закона является скорее привлечение российских компаний в отечественные ЦОД-ы и облачные сервисы, нежели обеспечение безопасности ПДн как таковой. Хотя безопасность в любом случае будет являться неотъемлемой частью любого ЦОД-а: где бы ни хранились ПДн российских граждан (на территории РФ или за рубежом) − все же необходимо находить разумный баланс между защитой данных и комфортом пользователей.
Какова вероятность ограничения доступа пользователей к некоторым интернет-услугам?
Для российских пользователей условия доступа к иностранным интернет-ресурсам останутся прежними. В соответствии с новым законом Роскомнадзору предоставляется право блокировать доступ к интернет-сервисам, работающим с нарушениями порядка обработки ПДн. Однако с трудом представляется, каким образом будет прекращен доступ к многочисленным популярным интернет-сервисам и социальным сетям. Также формулировки нового закона не запрещают трансграничную передачу ПДн. А это значит, что по-прежнему можно передавать ПДн в государства, обеспечивающие адекватную защиту прав субъектов ПДн.
Насколько может обезопасить персональные данные локализация в РФ?
С точки зрения модели угроз, персональные данные могут представлять интерес основным трем классам киберзлоумышленников: классическим киберпреступникам, кибертеррористам и спецслужбам государств. Если для кибепреступников этот интерес чисто финансовый, то кибертеррористы могут использовать персональные данные для получения несанкционированного доступа, к примеру, к критической инфраструктуре промышленных предприятий или инфраструктурных объектов. Спецслужбам доступ к персональным данным в большинстве случаев нужен в легальных целях оперативно-разыскной деятельности. Соответственно, в случае полного запрета на хранение персональных данных вне страны их происхождения, лишь третья группа заинтересованных лиц потеряет к ним потенциальный доступ - спецслужбы иностранных государств. Таким образом, если всё же принимать за данность, что спецслужбы иностранных государств не посягают на персональные данные иностранных граждан без веских на то причин, а отсутствие трансграничной передачи персональных данных нисколько не осложняет к ним доступ киберпреступников и кибертеррористов, всё же с точки зрения эффективности защиты персональных данных, их локализация заметно уровень их защищенности не меняет. С другой стороны, максимально локализованное хранение тех персональных данных, которые не требуются для трансграничной передачи, вовсе не является лишним - это позволяет избежать потенциальных манипуляций с информацией.
Какова вероятность ограничения доступа пользователей к некоторым интернет-услугам?
Даже из текущих комментариев представителей регуляторов следует, что изменение в законодательстве ни в коей мере не должно коснуться ограничений доступа частных и юридических лиц к сервисам, требующим трансграничной передачи персональных данных. Но думаю, никто не будет спорить, что подобные ограничения для государственных организаций могут быть полезны с точки зрения вопросов национальной безопасности.