Реклама на портале

Закон о хранении персональных данных простыми словами. Защита персональных данных в России. Стало известно, какие данные и как будут хранить операторы по "закону яровой" Что будут хранить интернет операторы

Депутата Ирины Яровой и сенатора Виктора Озёрова, предусматривающий хранение данных пользователей в течение полугода и выдачу властям ключей шифрования трафика. Об этом сообщил представитель главы государства Дмитрий Песков, передаёт «Интерфакс».

«Президент подписал пакет документов, поправки к закону о мерах по противодействию терроризму», - сказал Песков.

Также президент подписал перечень поручений правительству, согласно которым кабинету министров предстоит «очень четко мониторить ход имплементации этого закона», чтобы минимизировать возможные риски, связанные с финансовыми расходами, использованием отечественного оборудования для хранения информации и так далее. В случае необходимости правительству нужно будет принять акты, которые бы «эти риски минимизировали», добавил Песков.

«Проще говоря, правительство будет строго смотреть за тем, как будет реализовываться этот закон, и, если будут выявляться действительно какие-то нежелательные проявления, по поручению президента будет принимать соответствующие меры», - сказал представитель главы государства.

Документ вступает в силу 20 июля 2016 года. В частности, с этого момента провайдерам и интернет-компаниям предстоит предоставлять спецслужбам данные, необходимые для расшифровки пользовательского трафика. К 20 июля ФСБ должна найти способы передачи ключей шифрования и утвердить порядок их сертификации.

Путин также поручил правительству и ФСБ подготовить меры минимизации финансовых рисков, связанных с выполнением закона. Особое внимание он потребовал уделить применению нормативно-правовых актов, требующих «существенных финансовых ресурсов и модернизации технических средств». Поручение президента должно быть выполнено к 1 ноября 2016 года.

Помимо этого, Минпромторг совместно с Минкомсвязи до 1 сентября должны представить предложения по затратам на организацию производства отечественного оборудования и российского ПО для хранения и обработки информации.

«Антитеррористический» законопроект обязывает интернет-компании хранить информацию о фактах обмена данными между пользователями до одного года, а операторов связи - до трёх лет. Само содержание сообщений эти компании обязаны будут хранить до шести месяцев. Эти нормы вступают в силу 1 июля 2018 года. Также законопроект требует провайдеров и интернет-компаний предоставлять по требованию властей ключи для «декодирования» переданных пользователями данных.

На фоне новостей о подписании закона президентом упала стоимость акций операторов сотовой связи. Котировки МТС на Московской бирже к 15:00 на 2,3%, до 229 рублей. Акции «Мегафона» к тому же времени упали на 1,2%, до 699,5 рубля.

Против законопроекта выступали в лице РАЭК, и . «Большая четвёрка» операторов подсчитала, что на хранение нужных данных им понадобится свыше 2,2 трлн рублей, Mail.Ru Group о грядущих расходах из-за нового документа в размере $1,2-2 млрд (около трёх-четырёх годовых выручек холдинга). PR-директор «Мегафона» Пётр Лидов , что «законопроект Яровой приведёт к повышению цен на связь в два-три раза».

Глава Минкомсвязи Николай Никифоров , что парламентарии из-за спешки с принятием документа (Госдума документ в последний день работы созыва) не успели рассмотреть позицию министерства и предложил поправить документ - по данным «Ведомостей», министерство хочет отменить требование дешифровки трафика.

Совет Федерации также документ большинством голосов. В день обсуждения законопроекта его соавтор документа Виктор Озёров заявил, что оценки затрат операторов не совпадают с действительностью, а также признался, что об одном участнике «большой четвёрки» он слышит впервые. «Точных расчетов никто не представил. По Московскому региону: 183 дня, то есть шесть месяцев, МТС, «Билайн», «Мегафон», еще тут Tele2, я не знал, что есть такой, все это будет стоить 42 млрд [рублей]», - сказал он, отметив, что эти данные учитывают 11 млн абонентов (по данным AC&M Consulting, в Московском регионе сотовые операторы к концу первого квартала 2016 года обслуживали почти 43 млн SIM-карт).

Госдума во втором и третьем чтениях приняла антитеррористический законопроект депутата Ирины Яровой и сенатора Виктора Озерова. В числе прочего закон обязывает интернет-провайдеров, сотовых операторов и интернет-компании хранить переписку пользователей, а также раскрывать властям ключи для её расшифровки.

Во втором чтении документ поддержали 266 депутатов, против высказались 61 парламентария, один воздержался, в третьем« за» высказались 287, «против» — 147, один воздержался. Дмитрий Гудков предлагал отменить норму о хранении данных и раскрытии ключей шифрования, но Госдума отказалась(текст к третьему чтению, ).

Интернет-компании должны будут начать собирать информацию о фактах соединений за трехлетний и годичный периоды уже с 20 июля 2016 года, а содержание переговоров и переписки — с 1 июля 2018 года. Операторы связи и «организаторы распространения информации» в интернете должны будут хранить все переговоры и данные, которые пользователи передают друг другу до полугода(точный срок устанавливается Правительством) с момента передачи. Сам факт о передаче придётся хранить на протяжении трёх лет. В реестр« организаторов распространения» теперь будут включать любой ресурс, где можно обмениваться электронными сообщениями(т.е., любой форум, например). В сегодняшней версии реестра организаторов распространения информации(по статистике Роскомсвободы) меньше сотни записей и речи о «каждом форуме» вовсе не идёт.

Ключи к зашифрованной информации должны будут передаваться властям. Штраф за невыполнение составляет от 800 тысяч до 1 млн рублей для юридических лиц. Это теоретически поставит под угрозу запрета приложения с end-to-end шифрованием, так как ключи при таком типе шифрования хранятся у пользователей. End-to-end шифрование используется в мессенджерах — Telegram, Viber, WhatsApp(но причиной достижения популярности последними двумя, ).

Идея обязать операторов сохранять переписку интернет-пользователей еще зимой 2014 года наравне с другими антитеррористическими мерами, например ужесточением контроля над интернет-платежами. Уже тогда это предложение вызвало резкую критику. Так глава Mail.ru Group Дмитрий Гришин еще в апреле 2014 года , что принятие законопроекта нанесет непоправимый ущерб интернет отрасли. Примерно в том же ключе оценивали новацию и в «Яндексе».

В апреле 2016 года были внесены более конкретные поправки, уточнялось что хранить(переписку в мессенджерах, пересылаемые изображения и прочее). Также появилось требование относительно того, сколько нужно хранить информацию — три года, затем эту норму сократили до 6 месяцев. Также в законопроекте появилось требование предоставлять компетентным органам средства для расшифровки сообщений пользователей.

Несмотря на сопротивление отраслевых лоббистов, серьезных попыток как-то смягчить удар по индустрии депутаты даже не делали. В последний момент 20 июля 2016 года из законопроекта самые одиозные пункты — про лишение гражданства за «террористические статьи» и смягчили запрет на выезд из страны в случае получения гражданином официального предостережения« о недопустимости действий, создающих условия для совершения террористических преступлений».

Оставив в итоговой версии требования по хранению ключей для расшифровки переписки, Госдума, по мнению представителей отрасли, обрекла компании на неоправданные расходы. К примеру МТС их 2,2 триллиона рублей(только для себя), оценка« Вымпелкома» скромнее — 2 триллиона рублей на всех операторов. Из интернет-компаний свои потенциальные потери пока только Mail.ru Group — $2 млрд. Совокупный ущерб может составить, исходя из доступных оценок, около 5 млрд рублей. Стоимость акций компаний, которые должны пострадать от введения новых законов, на бирже пока не показали существенного падения кроме акций Mail.ru Group на LSE на 9,2% но его можно объяснить общим спадом на локальном рынке акций, связанным с референдумом о выходе Великобритании из ЕС.

Персональные данные - это сведения о том или ином физическом лице. Эту информацию пользователи вводят на различных интернет-серверах ежедневно. В 2015 году подписан закон о хранении персональных данных. Согласно этому акту информация о гражданах РФ может храниться лишь на территории России. Что это значит? И чем грозит несоблюдение

Предыстория

Еще в далеком 2006 году был принят ФЗ о персональных данных, призванный регулировать специфические отношения физических лиц с так называемыми операторами. Целью его было обеспечить защиту пользователей интернета от нежелаемой обработки и передачи личных данных третьему лицу.

Оператор - это понятие довольно широкое. Им может быть и государственный орган, и юридическое лицо, и физическое. Оператор - это тот, кто в каких-либо целях вносит личные данные о человеке в свою базу. Он, разумеется, не имеет права разглашать данные и использовать их в целях, которые неизвестны тому, кто их предоставил. Такие действия неэтичны, а последние десять лет они являются также и незаконными.

С 1 сентября 2015 года, после того как был подписан закон о хранении персональных данных на территории России, оператор больше не вправе пользоваться в своей работе иностранными серверами. Для того чтобы понять, кого в первую очередь касаются подобные изменения и какое они влияние оказывают, следует разобраться с основными понятиями.

Персональные данные

Существует ошибочное мнение, что это понятие означает информацию, которая содержится в паспорте и других важных документах. В действительности персональными данными являются различные сведения о человеке. Это не обязательно может быть номер или Такими данными являются имя, фамилия, дата рождения, адрес электронной почты. Таким образом, если владелец бизнеса создает корпоративный сайт, содержащий форму для регистрации посетителей, он становится оператором персональных данных. Пользоваться он полученной информацией может лишь для осуществления той деятельности, о которой известно тем, кто ее предоставил. Разглашение персональных данных предполагает административную или уголовную ответственность, в зависимости от тяжести преступления.

Конфиденциальность информации

Распространять данные о человеке оператор может лишь с его согласия. Подобные действия неправомерны. Неразглашение персональных данных - важное условие обработки информации. Основные ее принципы содержатся во второй главе закона. Распространять оператор имеет право только те сведения, которые содержатся в общедоступных источниках, например - адресных и телефонных книгах.

Персональные данные можно разделить на общие, биометрические и специальные. Общие содержатся в паспорте, дипломе, военном билете, трудовой книжке. К специальным относится информация о расовой, религиозной, политической принадлежности.

Биометрические данные - это биологические и физиологические особенности человека. К ним же и относятся фото и видеозаписи. Таким образом, передачу подобных файлов третьему лицу можно идентифицировать как разглашение личных данных. Исключением являются групповые фотографии.

Обработка

В встречаются словосочетания, смысл которых может быть не всегда ясен. Одно из них - обработка персональных данных. Под этим термином понимают действия, которые оператор производит над полученной информацией, а именно персональными данными. Он их накапливает, хранит, уточняет, использует, обезличивает, блокирует и уничтожает. На все это оператор имеет право. Преступает закон он лишь тогда, когда происходит разглашение персональных данных, то есть передача личной информации третьему лицу.

С 1 сентября 2015 г. введены существенные ограничения в этой сфере деятельности. Закон о хранении персональных данных не позволяет, например, владельцу интернет-сайта хранить полученные данные на иностранных серверах. Даже если он пользуется ими исключительно в благих целях.

Обезличивание

Это действие производится для того, чтобы скрыть принадлежность персональных данных того или иного человека (в законодательном акте он именуется субъектом). Это своего рода защита персональных данных. Способов обезличивания существует несколько:

  • замена части информации;
  • замена цифровых данных:
  • сокращение сведений;
  • распределение сведений на разных серверах.

Субъект

Человек вправе получить доступ к своим персональным данным. Права субъекта персональных данных предполагают возможность физического лица, чьи данные хранятся в базе, требовать от оператора, чтобы он их уточнил, изменил, при необходимости уничтожил. Каждый человек вправе требовать предоставление сведений в том случае, если они не содержат данных других субъектов.

Другие понятия

Все данные о человеке хранятся в базах. С помощью определенных средств они обрабатываются и используются оператором. Эта технология называется информационной системой персональных данных. Ею сегодня пользуются все, начиная от мелких коммерсантов, заканчивая государственными исполнительными органами. На них же и возложена защита персональных данных. Контроль соблюдения требований, предусмотренных законодательством, осуществляют Роскомнадзор, ФСБ и ФСТЭК.

Трансграничная передача данных - это передача информации физическому или юридическому лицу иностранного государства.

ФЗ о персональных данных обеспечивает неприкосновенность физического лица, его семейной и личной жизни. Новый закон преследует те же цели, однако создает определенные неудобства для многих операторов.

Хранение данных на территории России

В своей деятельности каждый оператор должен теперь использовать только те базы данных, которые хранятся на территории России. Для чего созданы такие ограничения? Закон, о котором говорилось выше, затрагивает прежде всего безопасность персональных данных. Но ничего не говорится о сфере его действия.

Все области деятельности на территории России должны осуществляться с соблюдением Законодательства РФ. Однако во Всемирной сети любые действия имеют трансграничный и виртуальный характер, что осложняет контроль над работой операторов. В то же время то, что интернет-сайт доступен жителям России, вовсе не говорит, что на него должно распространяться российское законодательство. Хранение баз данных на российских серверах облегчает контроль над деятельностью операторов.

Закон о хранении персональных данных предусматривает обработку персональных данных лишь на российских интернет-ресурсах. Но здесь существуют и исключения. Они касаются иностранных серверов, направленных на территорию РФ. На такую направленность может указывать русскоязычность сайта или доменное имя. Однако, поскольку русский язык довольно распространен и за пределами РФ, дополнительно рассматриваются следующие элементы: возможность расчета в российских рублях, заключение договоров на территории РФ. Таким образом, иностранные предприниматели включают в свою бизнес-стратегию российских потребителей. А действие закона о персональных данных при этом направлено и на их деятельность.

Иностранные серверы

Итак, хранение персональных данных закон теперь допускает лишь на российских серверах. Базы данных, находящиеся за пределами РФ, обрабатываться не могут. Госдума приняла закон об этом запрете. Однако документ этот порождает многие проблемы. И прежде всего трудности касаются предпринимательской деятельности.

Специалисты в области электронных коммуникаций полагают, что это может привести к уходу глобальных интернет-ресурсов, а он, в свою очередь, к существенным экономическим потерям. В первую очередь речь идет о сайтах по бронированию авиабилетов.

Неудобства для предпринимателей

Специалисты полагают, что новый закон негативно отразится на деятельности многих российских компаний. Каждый его нарушитель с 1 сентября 2016 года попадает в черный список Роскомнадзора. Этот перечень сегодня состоит из пиратских сайтов и сайтов, пропагандирующих незаконную деятельность либо действия, не соответствующие морально-этическим нормам (насилие, суицид, детское порно, экстремизм). Запрет на эти ресурсы вполне понятен. Но многие предприятия, которые осуществляют абсолютно законную деятельность, возможно, не смогут перенести свои базы на российские ресурсы к указанной дате.

Еще одна цель этого закона - обеспечение безопасности персональных данных от действий американских спецслужб. Этим государственным структурам иностранные ресурсы обязаны предоставлять всю имеющуюся информацию. Однако, обеспечив безопасность персональных данных от проникновения сотрудников зарубежных спецслужб, закон создает немало неудобств и проблем для мелких, средних и крупных российских предприятий.

Сервисы для хранения данных

Большинство компаний сегодня осуществляют продажи, прибегая к интернет-маркетингу. Один из основных инструментов - email-рассылка. Владельцы корпоративных сайтов пользуются онлайн-сервисами для информирования своих клиентов о различных мероприятиях, которые проводятся в их компаниях. Эта схема настолько распространена, что без нее сегодня сложно представить развитие какого бы то ни было бизнеса. Существует все же заблуждение, что владельцы сайтов не являются операторами, поскольку они не хранят персональные данные. Это за них делают специальные онлайн-сервисы. Но ведь обрабатывает и формирует данные о пользователях именно владелец сайта. А потому он является оператором и в ближайшее время обязан перенести всю имеющуюся у него информацию о пользователях интернета на российские ресурсы. Сделать это непросто, и подобные действия, прежде всего, сопряжены с немалыми финансовыми затратами.

Обратная сила закона

Устоявшиеся правовые принципы предполагают, что уже имеющиеся у операторов базы персональных данных, созданные до даты подписания закона, не являются нарушением. Однако использование персональных данных предполагает их обновление и изменение. Закон же гласит, что обрабатывать эту информацию оператор теперь вправе лишь на российском сервере.

Сбор информации

Оператор обязан осуществить локализацию всех данных на российском сервере. И эти действия, согласно формулировке в законе, тесно связаны со сбором персональных данных. Этот термин используется для обозначения целенаправленного получения информации о физических лицах. Ее, как правило, предоставляет сам пользователь интернета. Но нередко случается, что данные попадают случайно. Например, в результате получения различных писем. Сбором информации также не являются данные об одном юридическом лице, полученные другой организацией. Такая информация является контактной, и ее обработка необходима для осуществления совместной деятельности.

Передача данных за пределы РФ

Закон не затрагивает трансграничную передачу данных. Положения, которые были сформулированы еще в 2006 году, не утратили своей силы. А потому операторы, как и прежде, вправе передавать данные, внесенные в базу, созданную на территории РФ, в другие, находящиеся за рубежом. Однако такие действия требуют соблюдения определенных норм. Прежде всего, оператор должен убедиться в том, что страна, на территорию которой будет осуществляться передача данных, обладает адекватной защитой личной информации пользователей интернета.

Влияние нового закона на банковскую сферу

Многие покупки сегодня осуществляются через интернет. Покупатель часто оплачивает товары банковской картой. Сотовые компании и платежные системы находятся, как правило, на иностранных серверах. Российская платежная система пока отсутствует. И без нее соблюдать закон будет непросто.

Однако некоторые крупные компании все же хранят информацию на территории РФ. А обмениваясь данными с иностранными партнерами, они прибегают к обезличиванию.

Дата-центр

В настоящий момент в Московской области строится новый дата-центр, который станет самым крупным в России. В этот проект инвестируют средства крупные компании, поскольку они не могут недооценивать важность хранения персональных данных. Однако эти работы сопряжены с некоторыми трудностями. Построить быстро дата-центр невозможно.

Специалисты полагают, что новый закон необходимо дорабатывать. Иначе он не сможет действовать в полную силу. Главным его недостатком является очередной запрет, от которого особенно может пострадать малый и средний бизнес. А эта область сегодня и без того находится в довольно плачевном состоянии. Так или иначе, у нового закона немало противников, но есть и те, кому он не страшен.

Нет, правда были мысли, что они скажут «Банк не работает, потому что Жаров меряется пип облажался?»

Расчёт на то, что люди начнут жаловаться в банк, а банк уже понимает, что к чему, и теряет платежи / пользователей. Т.е. проблемы надо создать людям (как ни печально) и банку, а уже банк должен сделать вывод о том, кто облажался.
Инетом пользуется по разным подсчётам 50-70млн граждан. Как собираешься убедить «сделать массово», ну хотя бы треть?

Но даже с этим проблема - треть не верит, треть не хотят «как бы чего не вышло», треть хотят какого-то невнятного движа типа митингов.

Собственно в этом и был мой изначальный вопрос: а надо ли это реально людям? Если всем и так нормально, то ничего делать не надо.
Но вы правы в том смысле, что большинство простых пользователей могут просто не очень понимать, что это, зачем и как работает. Собственно, как убедить - так же, как и в маркетинге. Социальные сети (пока их не успели заблокировать), ютуб, мессенджеры. Но распространение должно сопровождаться интересным и доступным простому пользователю текстом и видеороликом о том, почему это плохо, и как программа помогает бороться. Это должен быть реально крутой пятиминутный ролик, который станет вирусным, в стиле новостных программ на тв, привычных гражданам.
Написать открытое письмо. Строго и сдержанно объяснить насколько серьёзно и опасно технически всё происходящее сейчас, доступным языком для тех кто далек от IT.
Подписать под это хотя бы 5-6 тысяч IT спецов. И направить президенту, директору ГБ, и ещё 3-4 представителям типа эконом развития итд.

Мне нравится, давайте подумаем, как реализовать. Не знаю, можно ли использовать что-то вроде change.org и ему подобные - я смотрю, там есть удачные кейсы.

P.S. Просто для сведения. Сейчас работаем с китайским клиентом, буквально вчера разворачивал приложение ему на сервер. Вроде всё поднял, а подключиться к серверу извне не могу, даже просто телнет на 80 порт с самого же сервера на его IP не проходит. Думал, там есть какая-то панель типа AWS, к которой мне не дали доступ и где настраиваются security groups, пишу письмо клиенту. Оказалось, у них, перед тем как провайдер разрешит подключение на сервер на 80 порт, надо купить домен и получить лицензию ICP (Internet Content Provider):

С вики

Лицензия была создана Положением о телекоммуникации в КНР (кит. 中华人民共和国电信条例) и обнародована в сентябре 2000. Следуя этому закону, все сайты, имеющие доменное имя и работающие в пределах КНР обязаны иметь эту лицензию, причём интернет-провайдеры обязуются блокировать сайты без этой лицензии. Лицензии выдаются на уровне провинций.

Работа сайта именно в КНР является необходимым условием для получения лицензии. Иностранные компании, например, Google, не могут получить лицензию ICP на своё имя, именно поэтому Google приходится пользоваться своими китайскими партнёрами.

Просто чтобы вы понимали, насколько это реально в современном мире во вполне себе экономически высокоразвитой стране. Если мы что-то не сделаем прямо сейчас, то скоро в России будет всё тоже самое.

Правительство РФ утвердило правила хранения данных пользователей операторами связи в соответствии с "законом Яровой". Соответствующее постановление подписал премьер-министр Дмитрий Медведев.

Предполагается, что операторы связи обязаны хранить данные пользователей на территории РФ на принадлежащих им (или, по согласованию с ФСБ, другому оператору) серверах. Операторы обязаны обеспечить безопасность хранящихся данных и исключить несанкционированный доступ к ним посторонних лиц.

С 1 июля нынешнего года операторы обязаны хранить аудиозаписи разговоров и смс-переписку пользователей. Записи телефонных разговоров (а также разговоров по радиотелефонной, спутниковой и другим видам связи) будут храниться 6 месяцев, после - автоматически удаляться.

Сообщения электронной почты, мессенджеров и других сервисов начнут собирать с 1 октября 2018 года. Ёмкость серверов для их хранения определена равной "объёму сообщений электросвязи", отправленных и полученных пользователями за предыдущие 30 суток. В течение следующих 5 лет она ежегодно должна увеличиваться на 15%.

Правила хранения данных для организаторов распространения информации (социальных сетей и мессенджеров) в постановлении не прописаны. При этом по закону они также должны с 1 июля собирать и хранить все данные пользователей.

Напомним, положения так называемого "закона Яровой" - пакета антитеррористических поправок, разработанных депутатом Ириной Яровой и сенатором Виктором Озеровым, - должны вступить в силу с 1 июля 2018 года. Они предусматривают для операторов связи обязанность хранить трафик и все данные о переговорах пользователей в течение 6 месяцев, информацию о фактах соединения (метаданные) — в течение 3 лет. Все данные операторы обязаны предоставлять по запросу правоохранительным органам. Президент Владимир Путин закон 7 июля 2016 года, часть его положений 20 июля 2016 года.

Затраты на реализацию новых норм о хранении информации первоначально оценивались в триллионы рублей, причём эти расходы возложить на пользователей. В Российском союзе промышленников и предпринимателей (РСПП) , что выполнение требований "закона Яровой" может привести к повышению тарифов на связь на 12-90% в зависимости от оператора. В Минкомсвязи , что никакого "драматического роста цен" не произойдёт.

В январе правительство правила хранения данных: операторы должны будут хранить фактически переданный трафик, за исключением голосовых данных, в течение 30 суток. Однако бизнес дальнейших уступок для снижения расходов.

В марте стало известно, что правительство и заинтересованные стороны : с 1 июля вводятся "минимальные" требования к хранению информации - то есть операторы будут обязаны хранить только аудиозаписи разговоров и смс-сообщения. Требования по остальным видам данных предполагается вводить постепенно, "по мере готовности".