«Как вы собираетесь противостоять прогрессу?» Закон о персональных данных: интернет-омбудсмен против депутата Госдумы
В конце мая в Петербурге прошел международный юридический форум, одна из секций которого была посвящена закону о переносе персональных данных россиян на серверы внутри страны. Проект «Роскомсвобода» обратил внимание на два важных выступления в рамках этой секции — депутата Вадима Деньгина, защищающего закон, и интернет-омбудсмена Дмитрия Мариничева, который документ критиковал.
Мариничев, чья основная деятельность связана с проектированием и обслуживанием дата-центров, ругал законопроект о переносе данных в Россию с момента своего назначения на должность в июле 2014 года. Однако его выступление на юридическом форуме получилось особенно ярким — уполномоченный по делам интернета напрямую называет предложенный государством подход консервативным и архаичным, идущим вразрез с технологическим развитием. «Медуза» публикует выступления Деньгина и Мариничева с незначительными сокращениями.
Вадим Деньгин
Первый заместитель председателя комитета Госдумы по информационной политике, информационным технологиям и связи
Я депутат Государственной Думы и должен, в первую очередь, ориентироваться на запросы граждан, простых граждан. И для простых граждан понятие «персональные данные» сильно разнится с тем, как их понимаем мы, здесь сидящие. Давайте просто разберем, что думают наши граждане в простой деревне, в поселке городского типа, в городе, в региональном центре, даже в Москве? Что для них «персональные данные»? Телефон, может быть, какая-то карточка. А хранение персональных данных на каких-то серверах, какие-то дата-центры — [слишком сложно]. Мы привыкли для них все это усложнять. Но когда мы переходим в плоскость принятия закона о персональных данных, я, как один из соавторов данного закона, говорю, что мы, прежде всего, как государство должны заботиться о безопасности.
Для государства безопасность — первична, бизнес — вторичен. Государство в данной ситуации не интересует, как бизнес будет плавать в этом законе. Как мы знаем, люди стали хранить данные на облачных хранилищах. А где там безопасность? В любой момент такие хранилища можно вскрыть. Звезды шоу-бизнеса вскрывают эти данные для того, чтобы себя пропиарить, а граждане боятся, что кто-то узнает об их личной жизни. Мы с вами здесь сидим — такие же простые граждане, я уже не как депутат рассуждаю. Я бы не хотел, чтобы кто-то копался в моей личной жизни. Я бы не хотел, чтобы кто-то забрал мои персональные медицинские данные за границу, а из-за заграницы мне бы пообещали как гражданину России отрубить интернет. О чем нам активно говорят иностранные коллеги: «Мы вам отключим интернет, мы вам отключим SWIFT».
И что должна делать в этой ситуации Российская Федерация? Мы должны обезопасить себя. И появляется закон о персональных данных. Причем многие те, кто критиковал этот закон, говорили, что нет конструктивного диалога с комитетом по информационной политике, все это делается закрыто, ни с кем не ведется никакое общение, не выслушивают технические данные. Ну все это чушь, поверьте мне. Я сегодня о персональных данных начал думать в четыре часа утра, когда поднял себя, встал с будильником, пошел на самолет, прилетел сюда — и я уже думаю о персональных данных. Конечно, мне бы хотелось, чтобы так думали все, но будем надеяться, что у каждого свои биологические часы.
Мы переходим к вопросу о ненадежности. Где та грань, которую должны преследовать компании, которые агрегируют личные данные? Где та грань, за которой они должны вкладывать достаточно серьезные деньги и постоянно развивать систему безопасности? Пока мы этого не слышим, на территории комитета нет огромной толпы представителей интернет-отрасли или агрегаторов, обладающих персональными данными, которые выступают с предложениями: возьмите наши механизмы, возьмите нашу систему безопасности. Тишина! Причем комитет здесь перед вами сидит, в данном случая я, как первый заместитель председателя комитета, смотрю открыто вам, представителям отрасли, в глаза. Но как обычно отрасль по-тихому где-то отсиживается, предложений мало каких появляется и, соответственно, мы как депутаты делаем все своими руками. Приходится делать. Поэтому я, прежде всего, хочу призвать вас к конструктивному диалогу, найти контакт с депутатом Государственной Думы — в данном случае комитетом по информационным технологиям, проблем никаких не составляет.
Когда этот законопроект шел к своему пику, мы столкнулись с разными техническими проблемами. Одна большая корпорация пришла к нам и сказала, что у нее бьется ее собственная система безопасности дата-центров, в которую она вкладывалась. Мы готовы обсуждать этот вопрос. У многих другие технические проблемы, но это ситуация для обсуждения. Но когда нам говорят: пожалуйста, отсрочьте действие данного законопроекта на год, на два, на три… Этот закон вышел, чтобы обеспечить безопасность личных данных граждан Российской Федерации, поэтому чем больше мы будем откладывать его, тем уязвленнее становятся данные наших граждан.
Особенно в эпоху того, как с Запада активно говорят: мы вам отключим интернет. Будем надеяться, что такой ситуации не произойдет, никто не опустится на дно моря, не отрубит большой кабель и Российская Федерация у нас будет продолжать активно получать интернет.
Некоторые компании заявляли, что они готовы уже за три месяца наладить организацию хранения персональных данных на территории Российской Федерации. Три месяца. Об этом говорили компании из Китая, из Европы, поэтому, на мой взгляд, говорить о том, что компании не могут надлежащим образом сформировать подход к этому вопросу за год, за два, за три, за четыре — для нас это, честно говоря, удивительно. Испокон веков сложилось, что в России не хранились персональные данные, они хранились в Америке, в Европе, но только не в России. Как только в Российской федерации мы задались этой темой, полетела критика: да с чего? Да зачем вам их хранить?
Но, в конце концов, диалог между депутатами и рынком пришел к хорошему консенсусу. Мы договорились о том, что действительно данные хранить надо. Но технические вопросы, я думаю, мы будем решать в процессе обсуждения. Если будут какие-то конкретные вопросы, я готов ответить, но еще раз скажу: для нас, для государства, безопасность — первична, бизнес — вторичен. Когда вас беда еще не коснулась, я говорю всем присутствующим здесь и гражданам Российской Федерации: пока у вас не своровали ваши личные данные, пока они не утекли в чьи-то чужие руки и пока вашими кредитными карточками кто-то не воспользовался — вы об этом не думаете, далеко не думаете, вы готовы обсуждать все, критиковать все. Но как только у вас своруют эти данные и это станет общественным достоянием — вот тут вы все, я вас уверяю, станете согласны с тем, чтобы государство активно вмешивалось, хранило персональные и осуществляло за этим определенный надзор.
Дмитрий Мариничев
Уполномоченный по делам предпринимателей при президенте России, генеральный директор компании RadiusGroup
Признаюсь, когда меня попросили выступить на этой площадке, я немного переживал, потому что я не юрист ни разу — и в первый раз о персональных данных услышал ровно год назад. До этого они меня не интересовали как класс вообще. Но то, что я сегодня слышу, — большего цифрового мракобесия в одно и то же время от разных людей в своей жизни я не слышал.
Вероятно, я единственный человек здесь, который просто представляет бизнес, и тот человек, который реально строит дата-центры в России и не только в России. И, наверное, единственный человек, который к юридической сущности не имеет никакого отношения. Я, в первую очередь, инженер, во вторую — бизнесмен. Могу сказать с уверенностью: все, что мы сейчас обсуждаем — это, конечно, несерьезно. Это все равно что противостоять технологическому прогрессу, который все сметает на своем пути.
Когда появились первые автомобили, в некоторых странах люди настолько их боялись, что были изданы законы, чтобы перед автомобилем шел человек с фонариком и предупреждал о его езде. Понимаете? На сегодняшний день мы имеем международные правила дорожного движения, которые так или иначе разнятся, но удовлетворяют самой сущности перемещения и движения на автомобиле. Можно ограничить скорость — 110, 130 километров в час. Каждая страна вольна принимать свой лимит по скорости, но она принимает его относительно своего технологического развития. Германия говорит: у нас хорошие дороги и отличные автомобили, мы не ограничиваем скорость. Франция себе этого позволить не может. Когда-нибудь у них тоже будут хорошие дороги и хорошие машины и они тоже снимут лимит по скорости.
В то же время, есть существенные ограничения — такие, как зебры, пешеходные переходы, есть технологические особенности, которые позволяют сохранять жизни граждан. Есть новшества — подушки безопасности, ремни — то, что заставляет внедрять государство, чтобы сохранить жизнь гражданина. Это его единственная задача — развитие и сохранность жизней его граждан.
Что такое персональные данные и где их хранить? В России, не в России. Конечно, я строю дата-центры, мне интересно, чтобы ко мне сюда приходили все компании, арендовали у меня по одной-две стойки, это для меня бизнес. Но бизнес тут существовать не будет. Ни одна компания не придет в Россию. Нет смысла делать сервис там, где законами регулируется технологическое отставание.
Хранить цифровые данные в одном месте — это чушь. Скорость их трансляции в любую точку мира — ноль миллисекунд. Цена этого вопроса — ноль центов. Мы можем хранить копии этих данных.
Против кого страны принимают эти законы? И в Европе, и в России. Против своих граждан. Почему? Потому что они боятся потерять власть над своими гражданами, они ограничивают права людей в угоду своего правовластия. Это нормальное явление разделения интернета в сегодняшнем дне. Как Римская империя рассыпается на части, возникают феодальные сообщества, которые разрозненны — и каждое строит свою крепость. Точно так же мы пытаемся сохранить персональные данные людей на конкретно взятой территории в конкретном дата-центре.
Ничего не выйдет.
Интернет — это не колодец, не нефтепровод, откуда чего-то кому-то течет. Так не бывает. Это сообщество большого количества сетей, которые [не] могут существовать отдельно друг от друга. Когда вы покупаете Wi-Fi роутер и ставите у себя в квартире [сетевое хранилище данных] Time Capsule от Apple, вы уже создали интернет внутри своей квартиры, который подключился к интернету чуть выше, а тот еще выше и еще выше, а в результате получается большое количество соединений в одну общую сеть.
Как вы собираетесь противостоять технологическому прогрессу, который работает на людей? Что есть государство? Это то, когда вы свои некоторые права отдаете на благо общественных с целью получения защиты от общества. Это закон коллективного выживания в природе. Мы ущемляем свои личные права, мы исповедуем десять заповедей, федеральные законы. Точно так же, отдавая какому-то сервису свои персональные данные, мы ущемляем свои интересы, но мы получаем общественно значимое относительно себя.
У нас «Яндекс.Такси» ездит со смартфонами и определяет, кто где находится и когда. Вам присылают персональные данные водителя — вас встречает такой-то человек, с такой-то фамилией. Он уже присылает персональные данные. Мы уже с водителем познакомились заочно. Это уже везде вокруг нас. И кто из таксистов не передаст свои персональные данные в это общественное достояние? Только тот, кто не хочет заработать денег и не хочет прокормить свою семью. Другими словами, он передает в общественное пользование нечто свое, чтобы получить общественные блага для себя. В этом смысл этого действа.
Я считаю, что закреплять законодательными инициативами управление персональными данными в том формате, который мы обсуждаем сегодня — это все равно, что консервировать средневековое цифровое общество на сегодняшний день. Нельзя так думать, это бред, простите меня. Но я просто инженер и имею право высказываться относительно того, что будет через 20 лет. Я этим занимаюсь.
Кто бы как ни тормозил развитие, но если аэроплан один раз взлетел, хоть ты стреляй с земли в него, хоть не стреляй, хоть молись, хоть в колокол бей, все равно авиации быть. И так или иначе, это изменит структуру нашего общества, однозначно изменит. Но на сегодняшний день непонимание фундаментальных технологических ценностей, фундаментальных ценностей интернета, сервисов, которые предоставляют компании, приводит к тому, что мы пытаемся консервировать общество в формате того мировоззрения, которое существует.
А по факту гражданину, избирателю, в деревне и где бы то ни было, глубоко все равно, что такое персональные данные и как с ними живут и зачем они нужны. Потому что в этой деревне — городского типа — где он живет, все вокруг знают, кто он такой и по походке за 200 метров могут определить, идет он к соседке или за хлебом в соседнюю булочную. И это ни разу никого из граждан не пугает.
Давайте подумаем с другой стороны — у нас достаточно много линз с микропроцессорами, которые позволяют не только подключаться к интернету, но и транслировать видео непосредственно в облачные дата-центры. Другими словами, я сижу смотрю на вас — и я уже сохранил коллекцию ваших лиц у себя дома на Time Capsule в моем сегменте интернета. Вопрос: я имею на это право или я должен получить у вас согласие по обработке ваших персональных данных для сохранения в своих личных целях? Я вас всех могу идентифицировать, потому что с вероятностью в 99% вы так или иначе заполнили профили в социальных сетях, так или иначе представились, так или иначе кому-то написали где-то на каком-то сайте. Я всегда узнаю, кто из вас кто и чем занимается, и смогу с вами связаться.
Разве не для этого существовали записные книжки в телефонных будках, которые на сегодняшний день убрали? 50 лет назад — посмотрите, во всех фильмах, советских и американских — можно было взять телефонную книгу и посмотреть, кто где живет, фамилию, имя и отчество и номер телефона и позвонить человеку. Почему мы не можем сделать это сейчас? Почему мы должны что-то регулировать и кого-то от чего-то защищать?
Если я не хочу, чтобы мои персональные данные существовали в мире, значит я не хочу пользоваться благами того технологического общества, в котором живу. Если я не хочу этого делать, я поеду — у нас Сибирь большая, буду ловить рыбу и охотиться. И это, вероятно, тоже стиль жизни. Никто запретить не может. Но если мы выбираем технологический путь, если мы выбираем государственный строй, который комфортен нам, то мы должны это сделать. И отсюда может напрашиваться только один вывод: законодательное регулирование персональных данных и управление ими — это ничто иное как неосознание того, как это вообще работает. Сущности записи, носителя, хранения информации на носителе и смысла записи. Если вы начинаете регулировать смысл записи, то это и есть единственная задача государства.
Другими словами, персональными данными, которые однозначно идентифицируют в системе гражданина, может обладать только государство. Больше — ни одна компания. И вопрос регулирования на законодательном уровне и обеспечения безопасности с точки зрения управления бизнесами, гражданами и всем остальным отпадает само собой. Посчитайте своих граждан и храните наши персональные данные. Все остальное мы сделаем сами. Для этого мы делегируем государству наши полномочия. И если государство не хочет думать о бизнесе, а думать хочет о гражданах, то думать оно об этом будет в другом месте. (Из зала: «В Сибири?») Вероятнее всего.
Поэтому я еще раз говорю — чтобы обсуждать что-то, нужно сначала понимать что-то. Чтобы понимать что-то, нужно четко воспринимать это и уметь это делать. Лично я как интернет-омбудсмен и как человек с инженерным образованием и человек, умеющий строить информационные системы, знающий о них все и умеющий строить дата-центры, имеющий отношение непосредственно к телекому, я понимаю, какими будут технологии через десять лет и что нужно регулировать через десять лет.
Я не понимаю, почему нужно обсуждать и регулировать архаичные темы, это все равно что запретить строить небоскребы. Больше пяти этажей строить нельзя, потому что здание развалится. Не развалится. И технология, и инженерная мысль не дремлют — мы можем построить нечто новое, нечто большое и нечто другое. И оно изменит мир. И бояться этого не стоит. Это моя простая человеческая позиция, спасибо.