Локализация данных
Локализация данных — это правовой и технический режим, обязывающий операторов персональных данных и иных субъектов, осуществляющих обработку информации о гражданах, хранить и обрабатывать такие данные на серверах, физически расположенных на территории государства, гражданами которого являются эти субъекты. Данное требование, как правило, закрепляется в национальном законодательстве и является инструментом государственного суверенитета в цифровой сфере, направленным на защиту персональных данных граждан, обеспечение национальной безопасности и создание условий для юрисдикционного контроля над информацией.
История возникновения и развития
Концепция локализации данных возникла как реакция на глобализацию интернета и трансграничный поток информации. Первоначально данные обрабатывались преимущественно в стране происхождения, однако с развитием облачных технологий и транснациональных корпораций возникла практика хранения информации в юрисдикциях с наименьшими правовыми и налоговыми издержками.
Одним из первых и наиболее значимых актов в этой сфере стало принятие в России Федерального закона № 242-ФЗ от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Закон, вступивший в силу 1 сентября 2015 года, обязал операторов при сборе персональных данных граждан Российской Федерации обеспечивать их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение с использованием баз данных, находящихся на территории России.
Данный закон стал частью более широкого пакета поправок к Федеральному закону «О персональных данных» (№ 152-ФЗ) и вызвал широкий резонанс как в России, так и за рубежом. Критики утверждали, что он создает барьеры для международной торговли и инноваций, в то время как сторонники подчеркивали его необходимость для защиты прав граждан и суверенитета государства.
В последующие годы аналогичные требования были введены в ряде других стран, включая Китай (Закон о кибербезопасности 2017 года), Индию (проект Закона о защите персональных данных), страны Европейского союза (в рамках Общего регламента по защите данных, GDPR, хотя он не требует обязательной локализации, но накладывает строгие ограничения на передачу данных в третьи страны), а также в Бразилии, Вьетнаме, Индонезии и Турции.
Правовое регулирование в России
Основным нормативным актом, регулирующим локализацию данных в России, является Федеральный закон «О персональных данных» (№ 152-ФЗ). Статья 18.1 данного закона прямо устанавливает обязанность оператора при сборе персональных данных, в том числе посредством сети «Интернет», обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Контроль за исполнением данного требования осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Ведомство ведет реестр нарушителей прав субъектов персональных данных. В случае выявления нарушения оператору выдается предписание об устранении нарушения. При невыполнении предписания в установленный срок Роскомнадзор вправе обратиться в суд с требованием об ограничении доступа к информационному ресурсу оператора на территории Российской Федерации.
Существенную роль в правоприменении сыграла практика блокировки ряда крупных международных сервисов, таких как профессиональная социальная сеть LinkedIn (заблокирована в 2016 году за отказ локализовать данные российских пользователей), а также привлечение к административной ответственности таких компаний, как Facebook (организация признана экстремистской и запрещена в РФ) и Twitter (социальная сеть заблокирована на территории РФ). В 2021-2022 годах Роскомнадзор составил протоколы об административных правонарушениях в отношении ряда иностранных интернет-компаний за несоблюдение требований о локализации данных.
Исключения и особенности
Закон предусматривает ряд исключений. В частности, требование о локализации не распространяется на обработку персональных данных, осуществляемую исключительно для:
- Перевозки пассажиров и багажа (в рамках договоров перевозки);
- Осуществления пропуска через государственную границу;
- Выполнения обязательств по международным договорам Российской Федерации.
Также не требуется локализация данных, обрабатываемых в целях, не связанных с персональными данными (например, обезличенные данные, статистика).
Технические аспекты реализации
Для выполнения требований о локализации данных операторам необходимо реализовать комплекс технических и организационных мер. Основные подходы включают:
- Размещение серверного оборудования: Аренда или покупка серверов, расположенных в дата-центрах на территории Российской Федерации. Крупные компании часто используют услуги российских облачных провайдеров (например, Яндекс.Облако, VK Cloud, Selectel) или строят собственные центры обработки данных (ЦОД).
- Архитектурные решения: Разработка или адаптация информационных систем таким образом, чтобы первичная запись и хранение персональных данных российских пользователей осуществлялись исключительно на серверах в РФ. При этом данные могут дублироваться или реплицироваться на зарубежные серверы для целей резервного копирования или глобальной синхронизации, но основная база данных должна находиться в России.
- Идентификация пользователей: Внедрение механизмов определения гражданства или места жительства пользователя (например, по IP-адресу, данным документов, номеру телефона с кодом страны) для корректной маршрутизации его данных.
- Шифрование и защита: Обеспечение безопасности данных на всех этапах обработки в соответствии с требованиями Федерального закона «О персональных данных» и подзаконных актов (например, Приказ ФСТЭК России № 21).
Классификация подходов к локализации
Подходы к локализации данных в разных странах можно условно классифицировать по степени жесткости:
- Жесткая локализация: Требование обязательного хранения и обработки всех персональных данных граждан на территории страны. Примеры: Россия, Китай, Вьетнам, Казахстан.
- Условная локализация: Требование локализации для определенных категорий данных (например, медицинских, финансовых, государственных) или при определенных условиях (например, при превышении порога по количеству обрабатываемых записей). Примеры: Индия (проект закона), Турция.
- Ограничения на передачу: Отсутствие прямого требования о хранении данных внутри страны, но установление строгих правил для трансграничной передачи данных, которые фактически делают локализацию наиболее простым способом соблюдения закона. Примеры: Европейский союз (GDPR), Бразилия (LGPD).
Критика и аргументы сторон
Дебаты вокруг локализации данных носят острый характер и затрагивают интересы бизнеса, государства и граждан.
Аргументы сторонников локализации
- Защита прав граждан: Обеспечивает возможность применения национального законодательства к процессам обработки данных, упрощает доступ граждан к правовой защите в случае нарушений.
- Национальная безопасность: Предотвращает несанкционированный доступ иностранных спецслужб к данным граждан, снижает риски утечки информации, имеющей стратегическое значение.
- Экономический суверенитет: Стимулирует развитие национальной IT-инфраструктуры, дата-центров, облачных сервисов и создание рабочих мест в сфере информационных технологий.
- Правоприменение: Облегчает работу правоохранительных органов по расследованию преступлений, так как данные находятся под юрисдикцией страны.
Аргументы критиков локализации
- Барьеры для бизнеса: Увеличивает издержки для международных компаний, вынуждая их создавать и поддерживать избыточную инфраструктуру в каждой стране присутствия. Это особенно тяжело для малого и среднего бизнеса.
- Фрагментация интернета: Способствует созданию «национальных сегментов» интернета, что противоречит принципу глобального свободного потока информации и может привести к «балканизации» сети.
- Снижение качества услуг: Может привести к ухудшению качества сервисов для пользователей из-за необходимости синхронизации данных между географически распределенными центрами обработки данных.
- Риски для конфиденциальности: В некоторых странах локализация может облегчить доступ государственных органов к данным в рамках массовой слежки, что создает угрозу для приватности.
- Техническая сложность: Реализация требований для глобальных платформ с миллиардами пользователей технически сложна и дорогостояща.
Значение и влияние
Локализация данных стала одним из ключевых элементов современной цифровой политики многих государств. Она отражает стремление национальных правительств вернуть контроль над информационными потоками, которые в эпоху глобального интернета оказались вне юрисдикции отдельных стран. Этот процесс является частью более широкой тенденции к цифровому суверенитету и деглобализации интернета.
Для международного бизнеса соблюдение требований локализации стало обязательным условием работы на многих развивающихся и крупных рынках. Это привело к росту инвестиций в строительство дата-центров по всему миру и развитию локальных облачных платформ. Одновременно с этим усилились риски фрагментации единого цифрового пространства, что может замедлить инновации и усложнить международное сотрудничество.
В России требования о локализации данных являются одним из центральных элементов государственной политики в области информационной безопасности и защиты персональных данных. Их соблюдение контролируется Роскомнадзором, а нарушения влекут за собой административную ответственность и блокировку ресурсов. Несмотря на критику со стороны бизнеса и правозащитников, законодательство продолжает развиваться и ужесточаться, что свидетельствует о приверженности российских властей данному курсу.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
- Разъяснения и практика Роскомнадзора по вопросам локализации персональных данных.
- Аналитические доклады и исследования российских и международных организаций в области защиты данных (например, Институт исследования интернета, РАЭК).
- Материалы судебной практики по делам о нарушении требований локализации данных (в частности, дела в отношении LinkedIn, Facebook, Twitter).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →