Георгий Бовт: Жизнь за интернет-стеной
Георгий Бовт о том, как закон о персональных данных навредит России
Если бы я был сторонником теории заговора, то решил бы, что Эдварда Сноудена ЦРУ специально подослало с разоблачениями. Чтоб напугать конкурентов Америки тотальной слежкой и заставить строить стены защиты персональных данных, причем за свой счет. Хотя, видимо, все было иначе. Но результат тот же.
В прошлом году около 20 стран потребовали локализовать обработку персональных данных своих граждан. С 1 сентября и в России вступает в силу аналогичный закон. Опустится ли тотчас «железный занавес»? Закон принимался, когда нефть была за $100, доллар шел за 33 руб., а Черное море нам было примерно по колено. Теперь все иначе. С внешним миром мы разговариваем не с позиций экономической силы. Надо ли усугублять?
Не менее половины работающих в стране интернет-компаний заявили о неготовности соблюдать закон (а сколько такую неготовность предпочли не афишировать?). Гиганты Apple, Google, Facebook локализоваться, в принципе, не очень собираются. На фоне ухудшения отношений Москвы и Запада им на российский рынок наплевать с высокой колокольни. Чай не Китай. И если, мол, российские власти хотят пособить Западу в изоляции страны и ее режима до состояния маргинализации, то и флаг им в руки.
А буквальное исполнение закона означает именно изоляцию российского интернета, или что там от него останется.
Надзорные ведомства (Минсвязи и Роскомнадзор) немногословны по поводу правоприменительной практики закона, формулировки которого размыты и дают свободу рук чиновникам. Ясно, что основные решения — а они все политические — будут приниматься не на уровне Роскомнадзора и Минсвязи. В частности, о том, блокировать ли в России не подчинившиеся Facebook или Google. Глава Роскомнадзора Александр Жаров дал понять, что немедленных кар, видимо, не будет. Они могут последовать в случае плановой или внеплановой проверки. Или как «наверху» скажут.
В Роскомнадзоре есть список 317 компаний, которые будут проинспектированы на предмет соблюдения закона (с возможностью запрета работать в РФ), но список сей закрытый.
Под закон не подпадают покупка авиабилетов, получение виз и ряд других действий. Например, заказ гостиниц через Booking.com (который доложил, что локализовался). А вот покупка в «нелокализовавшихся» интернет-магазинах, наоборот, под закон подпадает. Как и интернет-месенджеры. И очень много чего еще, что даже предсказать трудно.
Минсвязи неофициально разъясняет: доступности интернет-сайта в России мало, чтобы на него распространился данный закон, надо применять критерий «направленности деятельности» на территорию России. О чем могут свидетельствовать: использование доменного имени, связанного с Россией или субъектом РФ и (или) наличие русскоязычной версии сайта. Еще могут учесть «как минимум один из следующих элементов»: возможность осуществления расчетов в рублях; возможность исполнения заключенного на таком сайте договора на территории России (доставки товара, оказания услуги или пользования цифровым контентом на территории России), использование рекламы на русском или иных обстоятельств (эта оговорка в законах всегда прелестна), «явно свидетельствующих о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию».
При таких формулировках (полностью см. здесь), на мой взгляд, возможно как жесткое применение закона, так и попустительское. Причем, на мой взгляд, порой трактовка закона Минсвязи и Роскомнадзора различаются (например, в части персональных данных работников иностранных фирм),
что сделает процесс правоприменения еще более увлекательным.
По данным Европейского центра международной политэкономии, попытки ряда стран защитить персональные данные в испуге от разоблачений Сноудена (возвращаемся к теории заговора) станут лишней нагрузкой на экономику. Изучив семь разных юрисдикций, где приняты законы, подобные российскому (наш жестче, о чем ниже), — Бразилии, Китая, ЕС, Индии, Индонезии, Южной Кореи и Вьетнама, — авторы соответствующего доклада подсчитали, что жестко и прямолинейно применяемая локализация данных окажет негативный эффект на любой связанный хоть как-то с интернетом бизнес. И приведет к сокращению ВВП — от 0,2% в Бразилии, 0,4% в ЕС, до 1,1% в КНР и 1,7% в Южной Корее и Вьетнаме.
Замедление темпов роста в Китае напрямую связывают в том числе с жестким регулированием интернета в стране и другие исследователи, называя примерно тот же размер ущерба — более 1% ВВП. Потери граждан этих стран (недополученные доходы) составят от $63 млрд в Китае до $193 млрд в ЕС. Для Индии потери в виде недополученного дохода составят 11% среднемесячной зарплаты в стране, для КНР – 13%, для Южной Кореи и Бразилии – до 20%. Возможно, именно поэтому бразильские власти отказались все же от применения закона о локализации.
Но главное даже не это. А то, что никто пока не доказал, что такие меры эффективны в защите персональных данных.
Разве, к примеру, локализация гарантирует защиту от утечки и целенаправленной передачи персональных данных за границу и от их там пресловутой обработки? Ничуть. ЕС в рамках готовящегося Трансатлантического партнерства с США официально пойдет на трансграничную передачу данных. Да и наш закон допускает (как неизбежность) создание «зеркальных» баз данных, смиряясь с тем, что персональные данные россиян могут обрабатываться и за рубежом тоже.
Что толку, если Microsoft доложит о локализации, если новая Windows-10 настроена на утечку?
Локализация данных в национальных дата-центрах сделает их более уязвимыми. С одной стороны, так удобнее национальным спецслужбам. С другой – и иностранным (вспомним десятки кибератак китайских хакеров на американские базы данных). Кстати, исходя из интересов спецслужб, кажется, неразумно блокировать в России Facebook. Где еще найдешь столь саморазоблачающие дневники самодоносительства?
Я не раз писал, что российский закон о локализации создали люди, не разбирающиеся, как устроено современное информационное пространство, воплотившие в этом законе свои дремучие представления о том, как оно должно быть по-средневековому отрегулировано.
Буквальное применение закона будет не только пустой тратой денег (никакие персональные данные он не защитит), но сработает в пользу изоляции России, исключения ее из мирового информпространства, уничтожения остатков ее инвестиционной привлекательности.
Эти люди не знают, как происходит анализ не столько по старинке понимаемых у нас персональных данных, сколько так называемых метаданных. Когда важнее не содержание телефонных разговоров (такой контент труднее оцифровать и обрабатывать), а метаданные о звонках – время, место, продолжительность, частота связи с тем или иным абонентом, анализ кластеров созванивающихся и т.д. Такие данные легко поддаются обработке, но они не рассматриваются – как и все метаданные – нашими регуляторами (и никакими другими тоже) как персональные.
Как обнаружили исследователи одного бельгийского университета (американцы не очень обнародуют данные о возможностях своей АНБ), лишь на основе анализа обезличенных метаданных можно с 95-процентной вероятностью установить личность человека, который их индуцировал.
Возможно, поэтому в ЕС, на который у нас ссылаются сторонники жесткой локализации, подходят к применению такого законодательства гибко, без фанатизма. И в отличие от российского закона (это к вопросу о его жесткости) закон ЕС регулирует только компании, работающие на европейском рынке, применяя в этом случае узкую трактовку.
Да, в ЕС идет диалог на эту тему с интернет- и не интернет-компаниями. Да, Apple построила дата-центры в Дании и в Ирландии. Ряд интернет-магазинов типа Amazon, идя навстречу немецким законам (в ФРГ один из самых жестких законов в ЕС о защите персональных данных), отчитались о локализации. Но Facebook этого не делал. И никто его не заблокировал. Как и других не подчинившихся.
То есть вопрос о локализации в европейских странах остается вопросом скорее маркетинга и пиара. Компании, работающие на потребительском рынке, откупаясь на создание дата-центров, повышают уровень доверия клиентов. Важна и приближенность центров обработки данных к потребителям, когда конкурентные преимущества могут давать выигранные миллисекунды в передаче информации. Не случайно самые дорогие офисы компаний-трейдеров в Нью-Йорке расположены как можно ближе к бирже. Чтобы расстояние от сервера до нее было короче. Выигрыш в ничтожные доли секунды дает огромное преимущество в интернет-торгах. Политики же, в свою очередь, на фоне «страшилок от Сноудена» отчитываются о заботе об избирателях.
Давление на интернет-компании с целью перенести дата-центры на территорию тех или иных стран имеет и сугубо экономический смысл: создаются рабочие места, возникает более прочная связка с национальным рынком. Однако это происходит не путем грубого нажима – подчинись или мы тебя заблокируем (о громких случаях блокировки по этим основаниям пока особо не слышно, в том числе в Китае, там скорее действует политическая цензура), а путем диалога. Интернет-компании склоняют заплатить определенный выкуп, пойдя на траты по строительству дата-центров. Что, еще раз повторим, никак не решает задачу охраны персональных данных. И такой диалог имеет смысл лишь в одном случае: если такая компания настолько заинтересована в национальном рынке, что готова потратиться на вполне бессмысленные пассы по охране персональных данных.
Но если рынок не столь масштабен, то смысл тратиться исчезает.
В этом случае такой рынок скорее сам зависит от того, придут ли на него обладатели современных информационных технологий или обойдут стороной, обрекая на отсталость и прозябание. К тому же применительно к государствам, считающимся на Западе авторитарными, там утвердилось мнение, что бессмысленно вообще пытаться угодить прихотям этих авторитариев. Мол, они в своем угаре все равно придумают такое, что работать будет невозможно. А небольшие объемы рынка снижают мотивацию подстраиваться. Хотят жить за Стеной? Пусть. Им же хуже.