Все риски в одном пакете
Российским интернет-компаниям будет сложнее работать в Евросоюзе
Требования «закона Яровой» по хранению пользовательских данных, вступающие в силу летом 2018 года, становятся яснее. На прошлой неделе Минкомсвязь разработала перечень информации, которую придется собирать мессенджерам и интернет-компаниям. При этом, как выясняется, новые обязательства по хранению данных грозят головной болью сервисам, работающим также в Евросоюзе. По мнению юристов, исполнение ими «закона Яровой» может привести к нарушению правил ЕС со штрафами до 4% годовой выручки.
Пользователей учтут пофамильно
Подписанный Владимиром Путиным почти год назад пакет законов (ФЗ №374 и №375 от 6 июля 2016 года), более известный как «закон Яровой» (по имени одного из авторов, депутата Ирины Яровой), существенно расширил права властей по сбору и хранению пользовательских данных. Если сейчас операторы связи в интересах спецслужб хранят трафик за последние 12 часов, то с 1 июля 2018 года интернет-компании будут обязаны хранить информацию о фактах приема и передачи данных не менее одного года, а операторы связи — три года. Содержание сообщений пользователей, включая текст, голос и видео, компании должны будут хранить до шести месяцев.
На прошлой неделе Минкомсвязь уточнила, какие данные о своих пользователях будут хранить интернет-компании и мессенджеры в РФ. В перечень входят данные, внесенные самим пользователем: псевдоним, дата рождения, адрес, фамилия, имя, отчество, паспортные данные, языки, которыми он владеет, список его родственников, текст сообщений, аудио- и видеозаписи, адрес электронной почты. Компаниям также придется собирать информацию о дате, времени авторизации пользователя и его выходе из сервиса и наименовании программы-клиента, следует из проекта приказа Минкомсвязи. По оценке операторов связи, объем данных, подлежащих хранению по «закону Яровой», достигает 157,5 эксабайта.
Как хранят данные за рубежом
Авторы антитеррористического пакета заявляли, что опираются на международный опыт. В интервью «России 24» в июле 2016 года Ирина Яровая говорила: «В иностранном законодательстве то, что мы обсуждаем с точки зрения хранения информации, есть уже давно». Она также подчеркивала, что поправки в первую очередь направлены на противодействие международному терроризму.
Действительно, с 2001 года по всему миру почти каждая резонансная террористическая атака становилась поводом для изменения в регулировании в интернете, связанном со сбором и хранением данных пользователей сети и телеком-услуг, отмечают эксперты Института исследований интернета (ИИИ).
По данным ИИИ, в большинстве стран обязательными являются внесудебные меры по хранению метаданных (информации о фактах соединения и пользователях). Доступ к содержанию сообщений возможен только на основании судебного решения, а доступ к метаданным — в рамках расследований. Либо допускается хранение личных данных в рамках конкретного расследования или операции. К таким странам относятся Австралия, США, Великобритания и ряд стран Евросоюза (ЕС) за исключением Нидерландов, где требования по хранению отсутствуют, а принятие нового закона отложено до формирования следующего правительства.
Финансирование деятельности по сбору и хранению данных носит в большинстве случаев смешанный характер. Существенная часть затрат операторов связи компенсируется через систему госгрантов. К примеру, в Австралии минимальный размер гранта составляет $10 тыс., а максимальный — 80% от оценочной суммы расходов провайдера услуг.
При этом защита персональных данных имеет в некоторых государствах приоритет перед требованиями о хранении. В частности, в ЕС в мае 2018 года начнет действовать регламент «О защите физлиц при обработке персональных данных и свободном обращении таких данных». Он устанавливает избирательное хранение данных пользователей только для целей обеспечения национальной безопасности. Такие требования устанавливаются «в отношении обработки персональных данных субъектов данных, находящихся в ЕС», отмечают в ИИИ.
Между молотом и наковальней
В ИИИ предполагают, что требования регламента могут распространяться в том числе на российских операторов связи и интернет-компании и сервисы, оказывающие услуги связи в роуминге или работающие на территории ЕС. С этим соглашаются опрошенные “Ъ” юристы.
Как пояснил исполнительный директор Heads Consulting Никита Куликов, из ст. 3 регламента следует, что он обязателен к применению российской стороной исключительно в случаях «предоставления товаров и услуг или при мониторинге действий субъекта на территории ЕС». «Речь идет об активных действиях российских компаний, направленных на привлечение клиентов в ЕС»,— уточняет управляющий партнер O2 Consulting Ольга Сорокина. Европейский суд указал, что направленность на привлечение клиентов в ЕС может подтверждаться природой деятельности компании (например, туристические услуги), а также прямой или косвенной маркетинговой стратегией, пояснила она.
Применение регламента не распространяется на обработку персональных данных, если она связана, например, с обеспечением национальной безопасности. Так, ст. 23 регламента разрешает ограничивать права субъекта обработки персональных данных, если это вызвано интересами национальной безопасности страны—места учреждения регулируемого лица. Но для компаний, не входящих в ЕС, такого исключения не предусмотрено. «Этот дисбаланс также создает проблемы для российских компаний, которые не смогут апеллировать к требованиям российского законодательства по обеспечению нацбезопасности и противодействия терроризму»,— подчеркнула госпожа Сорокина.
Если интернет-сервисы функционируют на базе единой организационно-юридической структуры и в ЕС, и в России, то они потенциально могут подпадать одновременно и под регулирование регламента ЕС, и под действие «пакета Яровой», считает Ольга Сорокина. Согласно регламенту ЕС, компании, которые нарушают установленные требования, могут подвергаться штрафам в размере до €20 млн или до 4% от годовой глобальной выручки, напоминает господин Куликов. «И эти штрафы в большей степени угрожают именно интернет-компаниям, которые активно занимаются маркетингом и могут собирать данные пользователей ЕС для предоставления им сервисов»,— считает Никита Куликов. Вероятности же того, что российские сотовые операторы начнут хранить данные пользователей ЕС для этих целей, маловероятна, соответственно, угроза штрафов для них минимальна, полагает он.
В реестре организаторов распространения информации, подпадающих под «закон Яровой», находятся российские интернет-компании, мессенджеры, соцсети, почтовые и поисковые сервисы, которые действуют и в ЕС. Кроме того, ООО «Яндекс» на 100% владеет голландская Yandex N. V., головная компания Mail.ru Group ltd. зарегистрирована на Британских Виргинских островах. Ее акции торгуются на Лондонской фондовой бирже, 49,8% из которых — в свободном обороте. «Рамблер Интернет Холдинг», по данным Kartoteka.ru, принадлежит кипрской Tekso Holdings Limited. Напомним, что выручка Mail.ru Group по итогам 2016 года составила 42,751 млрд руб. В «Яндексе» этот показатель составил 75,9 млрд руб.
По мнению Ольги Сорокиной, из-за противоречий европейского и российского законодательства международным игрокам придется решать задачу организации своей бизнес-структуры. «Чтобы в одной части не подпадать под европейское регулирование, а в другой — под российское»,— поясняет она. Для решения проблемы интернет-сервисам следует создать отдельные площадки для разных регионов по аналогии с App Store и, соответственно, разделить потоки получаемой информации в России и ЕС, полагает Никита Куликов.
Представители «Яндекса», Mail.ru Group, Rambler&Co не комментируют возможные риски для бизнеса в связи со вступлением в силу норм европейского законодательства. Представители Ирины Яровой, а также в пресс-службе Еврокомиссии на запросы “Ъ” не ответили.