Блокування "ВКонтакте" 2.0: як держави охороняють особисті дані своїх громадян

1. Навіщо локалізувати дані?
2. Як це працює?
3. "Обгородження"
4. Чіткість зв'язків
5. Змінити гавань на щит
6. Український досвід

Інформаційне право - порівняно нове відгалуження юридичної науки, і в ньому особняком стоїть локалізація даних користувачів, простіше кажучи - зберігання даних користувачів на серверах в тій же країні, де ці дані були створені.

Наприклад, на початку 2010-х деякі країни прийняли закони, що вимагають зберігання даних громадян в межах національних кордонів, як надійшли в Китаї. Однак це питання отримав додатковий імпульс для розвитку (і, номінально, виправдання) після того, як колишній агент Агентства національної безпеки США Едвард Сноуден в червні 2013 року розкрив ряд секретних документів, що підтверджують, що уряд США таємно прослуховувало телефонні дзвінки, зв'язку через Інтернет і інші канали, шпигуни за іноземними громадянами.

Після появи цієї витоку багато країн задумалися про те, як убезпечити дані про своїх громадян, збережені технологічними компаніями США на території США, від нагляду власного уряду США. Глобальні бізнеси - особливо ті, що в Сполучених Штатах - виступають проти законів про локалізацію даних, стверджуючи, що вони ускладнюють електронну комерцію і по суті шкодять економіці країн, які їх приймають. Однак це дискусія, яка триватиме ще мінімум десятиліття.

Навіщо локалізувати дані?

Насправді, для розміщення даних всередині країн є кілька підстав. Перше підкріпив своїми звинуваченнями Едвард Сноуден, описавши теплі відносини між урядом США і провайдерами телеком-послуг, що посприяло значному поширенню параної про небезпеку зберігання даних на американських серверах. Тепер багато країн посилаються на необхідність забезпечення додаткової гарантії захисту конфіденційності для своїх громадян, хоча, насправді, у багатьох країнах ця практика була поширена ще задовго до одкровень побіжного співробітника ЦРУ.

Друге обгрунтування - співпраця з правоохоронними органами. Якщо дані зберігаються всередині країни, з одного боку, на них не можуть посягнути спецслужби інших країн, з іншого - вони як на долоні у локальних служб безпеки та поліції з метою збереження національної безпеки.

Ну і третє - це "меркантилізм даних", політики урядів з метою створення різних економічних вигод для місцевої промисловості, адже так простіше позбутися від міжнародних конкурентів.

Як це працює?

Існують кілька регламентів щодо поводження з особистими даними, як наприклад, GDPR в Європі, проте основою вважаються Манільські принципи, вироблені в 2015 році на конференції інформаційних правозахисників в Манілі, які регламентують роботу з інформацією і її зберіганням в тому числі. Але багато країн використовують свої підходи.

Міжнародне право виділяє три діючих в даний момент режиму:

• Повна заборона на виведення даних. Так, наприклад, працюють служби в Китаї.
• "Безпечна гавань", що дозволяє зберігати інформацію користувача, крім надчутливої ​​(банківської, медичної), в інших країнах. Такими зонами є Сінгапур, Гана, Уганда, Південна Африка і до недавнього часу, Європа.
• Повна свобода передачі даних, проте доступ до них третіми особами - тільки за рішенням суду. Це практика, яка діє в США і Чилі.

В останніх двох випадку локалізація при цьому може приймати різні форми. У деяких країнах зберігання даних в межах держави передбачає місцеве законодавство. В інших же, як Європейський Союз, тягар дотримання правил захисту даних, які передаються через кордони, настільки велика, що для компаній зберігання і обробка даних на місці стає привабливою і економічно ефективною альтернативою. Також можливі і суперлокальние рішення, коли компанія заради безпеки клієнтів сама може вирішити про створення сервера в країні. Подивимося, як це виглядає в реальності.

"Обгородження"

Одне з найбільш явних вимог локалізації - законодавча норма про фізичну розміщенні серверів, де обробляються дані, на території країни їх походження.

У списку країн, які використовують такі норми, Росія, Китай, Казахстан, Нігерія, Індонезія, Бруней, В'єтнам і ряд інших.

Наприклад, російський закон, прийнятий восени 2015 року, містить явне вимога, що компанії, які збирають особисту інформацію про російських громадянах, повинні збирати, зберігати і обробляти її за допомогою серверів, фізично розташованих на території Росії. Через відмову послідувати нормі закону "за бортом" в РФ виявилася популярна мережа робочого нетворкінгу LinkedIn. В Індонезії, компанії, які надають онлайн-послуги населенню, повинні фізично розташувати свої сервери всередині країни для здійснення будь-яких електронних угод. Подібні обмеження діють в Малайзії, Брунеї, В'єтнамі.

Але Китай досяг успіху на ниві локалізації даних більше всіх.

Поки законодавчо заборонена офшорна обробка і зберігання особистої медичної, фінансової і кредитної інформації громадян КНР, перенесення інформації через кордон без згоди користувача і / або уряду, а також всі інтернет-ЗМІ повинні мати сервера в Китаї. Але розглядається також впровадження норми про необхідність зберігання всієї особистої і бізнес-інформації на внутрішніх китайських серверах, при цьому можливість їх передачі через кордон поки ніяк не регламентується.

Є і незаконодательние обмеження. У Нігерії немає закону про захист персональних даних. Проте, Національне агентство з розвитку інформаційних технологій склало вимоги по локалізації даних, покликані сприяти розвитку місцевого онлайн-контенту. Вони вимагають, щоб всі інформаційні і комунікаційні провайдери зберігали все абонентські дані локально в країні. Те ж стосується і урядових даних.

Цікава ситуація складається в Греції. Прийнятий в 2011-му грецький закон передбачає, що всі дані, отримані і збережені на будь-яких носіях в Греції, повинні зберігатися в межах її території. Цей захід в цілому не узгоджується з законами про захист даних в ЄС, але тим не менш, залишається робочою.

Чіткість зв'язків

Деякі країни вводять локалізацію даних по конкретних видах інформації, наприклад, інформації про стан здоров'я, фінансово-кредитної, податкової, а також інформації, зібраної державними органами. Такі обмеження діють в Венесуелі, Австралії, Нової Зеландії.

У Канаді федеральний закон не містить будь-яких вимог щодо локалізації даних. Проте, провінційні закони в регіонах, Британської Колумбії і Новій Шотландії вимагають, щоб особиста інформація з держорганів, шкіл, лікарень та ЖЕКів зберігалася на серверах, розташованих в Канаді. Ці закони також вимагають, щоб дані були доступні тільки з Канади, створюючи додатковий бар'єр для зовнішніх компаній.

ЧИТАЙТЕ ТАКОЖ: Як нова політика ЄС щодо захисту даних вплине на український бізнес

У Туреччині постачальники електронних платіжних послуг також зобов'язані обробляти всі дані всередині країни. Ця вимога була недавно боляче покарало PayPal, який втратив свою ліцензію на ведення бізнесу в країні за невиконання цього параграфа.

Деякі країни дають своїм громадянам додатковим заходи контролю над персональними даними, забороняючи транскордонні перекази без їх згоди.

Наприклад, подібна схема діє в уже раніше згаданому Китаї. Мексиканські компанії також можуть передавати дані через кордон за згодою громадян. Не так давно на схоже зважилися Індія і Південна Корея. У Гонконзі ж діє Постанова про конфіденційність персональних даних, яке забороняє передачу персональної інформації за межами Гонконгу без згоди в письмовій формі.

Втім, багато бізнесів знаходять таке "інформовану згоду" надзвичайно незручним. Національні закони часто вимагають, щоб мета і адреса передачі даних були чітко продемонстровані їх суб'єкту (по суті, громадянину), а після цього він зможе дати усвідомлену згоду на їх використання. Яке може бути відкликано, що може в майбутньому створити ряд проблем для цих бізнесів, починаючи від штрафів і закінчуючи тривалими судами.

Змінити гавань на щит

У Європейському Союзі існує кілька явних способів локалізації, що стосуються транскордонного передачі даних, і ринок все більш неохоче зберігає персональні дані за межами Європи.

З липня 2000 року до жовтня 2015 року угода між США і ЄС Safe Harbor було основним правовим механізмом для компаній, що базуються в США на законній підставі передавати і обробляти персональні дані громадян в державах-членах ЄС. Але "лафа" закінчилася, оскільки Суд Європейського Союзу ухвалив, що воно не забезпечує достатній рівень захисту особистої інформації громадянина держави-члена ЄС.

Нова угода Privacy Shield з 1 серпня 2016 року зобов'язує американські компанії проходити процедуру сертифікації для роботи з даними в ЄС. Також воно містить ряд заходів, покликаних захистити дані під час транскордонного передачі, що робить більш привабливим для зовнішніх компаній внутрішнє зберігання в ЄС. Для порушників при цьому передбачена система штрафів. У 2018 році в ЄС і зовсім вступив в силу новий Загальний регламент про захист даних, який обіцяє бути ще більш жорстким .

Український досвід

Пару років тому в Україні вже розглядали пропозицію про виключення зарубіжних мереж послуг по обробці платежів. Експерти-фінансисти говорять, що саме така невизначеність досі не дає зайти в країну колишньому дітищу Ілона Маска PayPal.

Майже рік тому інформпростір сколихнув заборона російських "Яндекса" і "ВКонтакте" з метою уникнути витоків даних в подсанкціонную країну. "З російськими компаніями гостро стоїть проблема зберігання персональних даних. Наприклад," ВКонтакте "вказали в правилах, що вони в правах видавати ваші персональні дані, якщо буде подібний запит з боку правоохоронних органів. І яким способом їх буде використовувати воююча країна, невідомо, тому я не впевнений в тому, чи варто туди передавати будь-яку інформацію ", - говорить партнер юрфірми Axon Partners Дмитро Гадомський.

При цьому він акцентує на тому, що Україна могла б взяти приклад багатьох країн і захистити своїх громадян за допомогою локалізації персональних даних.

На думку юриста, найбільша проблема України зараз в тому, що у неї об'єктивно не у кого брати приклад, як правильно вести себе в подібній ситуації. Так, Індія заборонила 36 ресурсів в зв'язку з терористичними атаками ІГІЛ. У США є закон, який дозволяє штатам вводити санкції проти країн, і цей закон існує вже понад 100 років. "У світі такі речі вже давно існують, просто Україна вперше штовхнулася з гібридною війною і як з цим жити, ніхто не знає", - говорить юрист. Втім, Гадомський запевняє, що закрили щось доступ до цих ресурсів не через небезпеку витоку персональних даних, а через те, що це засіб пропаганди. А це вже зовсім інша історія.

Не пропустіть найважливіші новини і цікаву аналітику. Підпишіться на Delo.ua в Telegram