Роскомнадзор меняет правила трансграничной передачи данных россиян

Изображение: recraft
Совет Федерации 17 июля одобрил поправки, которые лишают Конвенцию Совета Европы 1981 года статуса автоматического пропуска в перечень доверенных стран Роскомнадзора. Регулятор теперь оценивает не подписи под международными документами, а реальные действия зарубежных властей по защите сведений граждан России. Из нынешнего перечня в 89 государств часть участников может выпасть, а российским компаниям придётся заново проверять маршруты цифровой информации.
Изменения затрагивают напрямую любого пользователя в России. Персональные данные ежедневно уходят за рубеж через облачные сервисы, рекламные системы, мессенджеры, зарубежные приложения такси и доставки, кадровые платформы работодателей. Если страна размещения серверов покидает доверенный перечень, привычный сервис может начать работать с задержками либо вовсе прекратить обработку российских клиентов до получения разрешения регулятора. Это касается фотохранилищ, игровых аккаунтов, банковских уведомлений, программ лояльности и любых площадок, где хранятся паспортные сведения, номера телефонов, история покупок и переписка.
Международная конвенция уступает место фактической проверке
Трансграничной передачей закон считает отправку персональных сведений иностранным гражданам, компаниям и государственным структурам. Подобные операции стали обычной частью цифровой экономики. Облачные сервисы, зарубежные подрядчики, международные платформы и корпоративные программы ежедневно обрабатывают массивы информации, физически размещённые далеко за пределами страны.
Поправки подготовила группа депутатов и сенаторов во главе с председателем Комитета Совета Федерации по конституционному законодательству и государственному строительству Андреем Клишасом. Авторы инициативы считают, что прежняя модель доверия перестала соответствовать текущей обстановке в сфере кибербезопасности. Число атак растёт, базы пользователей регулярно попадают в продажу, а зарубежные органы не во всех случаях проявляют достаточную активность при расследовании инцидентов.
Отмечается, что формальное наличие закона о защите информации ещё не гарантирует, что государство действительно станет искать злоумышленников и добиваться удаления похищенных сведений.
Разработчики документа указали, что попавшие к иностранным получателям сведения россиян могут применяться для мошенничества, слежки, шантажа и взлома аккаунтов. Подобная обработка затрагивает конституционное право человека на неприкосновенность частной жизни. В пояснительной записке говорится, что зарубежные уполномоченные структуры порой не принимают мер для восстановления нарушенных прав, а в отдельных ситуациях относятся к преступным действиям чрезмерно снисходительно.
Роскомнадзор оценивает поведение стран, а не бумаги
До сих пор система во многом опиралась на Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятую в 1981 году. Если государство присоединялось к документу, предполагалось, что его законодательство соответствует установленным требованиям. Этого было достаточно для попадания в российский перечень территорий с адекватным уровнем защиты.
Цифровая практика оказалась заметно сложнее. Закон способен существовать на бумаге, а реакция властей на настоящий взлом может быть медленной, формальной либо отсутствующей вовсе. В киберпространстве разница между нормативным документом и работающей системой защиты нередко измеряется миллионами утёкших записей.
Первый заместитель председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству Артём Шейкин сообщил, что правила формирования перечня нуждаются в обновлении. По словам Артёма Шейкина, Роскомнадзор должен учитывать не одно наличие законодательства, соответствующего положениям Конвенции 1981 года, но и практические действия государства по защите информации.
Что изменится в оценке зарубежных стран Роскомнадзором:
- подпись под Конвенцией 1981 года перестаёт быть достаточным основанием для доверия;
- регулятор смотрит на реальные меры властей после утечек и атак;
- учитывается готовность зарубежных органов расследовать инциденты по обращениям из России;
- оценивается уровень защиты конфиденциальности при работе с чужими сведениями;
- страна вне международного соглашения сохраняет шанс попасть в перечень при хорошей практике.
Кто сейчас в перечне из 89 государств
Действующий список Роскомнадзор утвердил в августе 2022 года. В него вошли 55 государств, присоединившихся к европейской конвенции. Значительную часть группы составляют страны Совета Европы — Франция, Великобритания, Германия, прибалтийские государства.
Ещё 34 страны попали в перечень без членства в указанном международном соглашении. Их Роскомнадзор оценивал отдельно по уровню законодательства и практическим условиям обработки информации. В эту группу входят Китай, Индия, Белоруссия, Киргизия, Узбекистан, Таджикистан, Бразилия, Южно-Африканская Республика и ряд других государств. Авторы поправок считают, что доверие к некоторым из них с точки зрения сохранности сведений сейчас может быть выше, чем к отдельным формальным участникам европейской конвенции.
После изменения закона весь перечень, вероятно, придётся пересматривать по обновлённой системе. Точное число государств, которые останутся внутри списка, пока не называется. Сам текст поправок создаёт юридическую основу для сокращения перечня, если Роскомнадзор придёт к выводу, что зарубежная сторона не предпринимает достаточных мер.
Уведомительный порядок сохраняется для доверенных направлений
Текущий механизм разделяет зарубежные государства на две категории. Первая представлена странами, которые Роскомнадзор признаёт обеспечивающими адекватную защиту персональной информации. Если сведения отправляются в одно из подобных государств, российский оператор обязан заранее уведомить регулятора. После подачи уведомления отдельное разрешение не требуется.
Под оператором понимается организация, предприниматель либо иной субъект, определяющий цели обработки информации, состав данных и порядок действий с ними. Это может быть интернет-магазин, банк, онлайн-сервис, разработчик приложения, туристическая компания, медицинская организация или работодатель, использующий зарубежное программное обеспечение.
Для остальных стран потребуется решение регулятора. Оператор обязан дождаться ответа ведомства до начала передачи. На рассмотрение отводится 10 рабочих дней. Роскомнадзор вправе разрешить отправку, ограничить её либо запретить.
Что ждёт российский бизнес при работе с зарубежными сервисами:
- составление карты фактического движения сведений внутри цифровых продуктов;
- проверка географии серверов у подрядчиков и субподрядчиков;
- пересмотр договоров с иностранными поставщиками облачных решений;
- ожидание решения регулятора при попадании страны в закрытую категорию;
- риск административных штрафов до 3 миллионов рублей за нарушение порядка.
Чем поправки грозят обычному пользователю в России
Потеря страной статуса доверенной способна отразиться на повседневных сервисах. Если зарубежная площадка обрабатывает сведения россиян, а её государство выпадает из перечня Роскомнадзора, оператору потребуется приостановить передачу либо получить отдельное решение регулятора. Часть международных приложений может ограничить функциональность для российских аккаунтов, а некоторые сервисы вовсе уйдут с рынка, если ждать разрешения окажется невыгодно.
Опасность сохраняется и с другой стороны. Персональные сведения россиян, уже осевшие на зарубежных серверах, продолжают представлять интерес для мошенников. Утечки из иностранных сервисов регулярно всплывают в даркнете, а собранные оттуда номера телефонов и электронных адресов идут на фишинговые рассылки, поддельные звонки от банков и взломы аккаунтов на маркетплейсах.
Стоит обратить внимание, что даже привычный иностранный облачный продукт способен превратиться в юридическую головоломку, если его инфраструктура распределена между несколькими регионами.
Локальные центры обработки данных и отечественные облачные решения становятся привлекательнее. Чем сложнее зарубежная передача, тем чаще компании выбирают инфраструктуру, где сведения не пересекают границу.
Штрафы и уголовная ответственность
Несоблюдение порядка трансграничной передачи ведёт к административной ответственности. Для организаций и индивидуальных предпринимателей штраф достигает 3 миллионов рублей. Нарушением считается отправка сведений без уведомления, начало передачи до получения решения Роскомнадзора либо продолжение операции после запрета регулятора.
Если действия содержат признаки уголовного преступления, наказание становится суровее. Виновным физическим лицам может грозить лишение свободы на срок до 10 лет. Подобные меры превращают контроль зарубежных потоков в задачу не одной юридической службы — в процесс вовлекаются ИТ-отделы, специалисты по кибербезопасности, разработчики и руководители цифровых проектов.
Персональные сведения покидают Россию не через очевидную кнопку отправки, а через встроенный модуль статистики, систему техподдержки, зарубежный инструмент рассылки или рекламный SDK внутри мобильного приложения.
Экспертная редакция CISOCLUB оценивает принятые поправки как логичный шаг в сторону практической защиты сведений россиян. Формальная подпись под международным договором давно перестала гарантировать реальную безопасность цифровой информации в эпоху массовых утечек и торговли базами. Новый подход Роскомнадзора смещает акцент с бюрократической проверки на оценку фактических действий зарубежных властей, что должно повысить ответственность иностранных площадок за судьбу российских данных. Одновременно у бизнеса появляется серьёзная задача по инвентаризации цифровых маршрутов и пересмотру договорной базы с зарубежными подрядчиками.
Российским пользователям стоит внимательнее относиться к тому, каким международным сервисам они доверяют свои паспортные сведения, номера телефонов и платёжные данные. Развитие отечественной инфраструктуры хранения информации в подобных условиях становится не идеологическим, а практическим приоритетом рынка.



