Открыть сервис

Локализация данных

Локализация данных — это правовой и технический режим, обязывающий операторов персональных данных и иных субъектов, осуществляющих обработку информации о гражданах, хранить и обрабатывать такие данные на серверах, физически расположенных на территории государства, гражданами которого являются эти субъекты. Данное требование, как правило, закрепляется в национальном законодательстве и является инструментом государственного суверенитета в цифровой сфере, направленным на защиту персональных данных граждан, обеспечение национальной безопасности и создание условий для юрисдикционного контроля над информацией.

История возникновения и развития

Концепция локализации данных возникла как реакция на глобализацию интернета и трансграничный поток информации. Первоначально данные обрабатывались преимущественно в стране происхождения, однако с развитием облачных технологий и транснациональных корпораций возникла практика хранения информации в юрисдикциях с наименьшими правовыми и налоговыми издержками.

Одним из первых и наиболее значимых актов в этой сфере стало принятие в России Федерального закона № 242-ФЗ от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Закон, вступивший в силу 1 сентября 2015 года, обязал операторов при сборе персональных данных граждан Российской Федерации обеспечивать их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение с использованием баз данных, находящихся на территории России.

Данный закон стал частью более широкого пакета поправок к Федеральному закону «О персональных данных» (№ 152-ФЗ) и вызвал широкий резонанс как в России, так и за рубежом. Критики утверждали, что он создает барьеры для международной торговли и инноваций, в то время как сторонники подчеркивали его необходимость для защиты прав граждан и суверенитета государства.

В последующие годы аналогичные требования были введены в ряде других стран, включая Китай (Закон о кибербезопасности 2017 года), Индию (проект Закона о защите персональных данных), страны Европейского союза (в рамках Общего регламента по защите данных, GDPR, хотя он не требует обязательной локализации, но накладывает строгие ограничения на передачу данных в третьи страны), а также в Бразилии, Вьетнаме, Индонезии и Турции.

Правовое регулирование в России

Основным нормативным актом, регулирующим локализацию данных в России, является Федеральный закон «О персональных данных» (№ 152-ФЗ). Статья 18.1 данного закона прямо устанавливает обязанность оператора при сборе персональных данных, в том числе посредством сети «Интернет», обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Контроль за исполнением данного требования осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Ведомство ведет реестр нарушителей прав субъектов персональных данных. В случае выявления нарушения оператору выдается предписание об устранении нарушения. При невыполнении предписания в установленный срок Роскомнадзор вправе обратиться в суд с требованием об ограничении доступа к информационному ресурсу оператора на территории Российской Федерации.

Существенную роль в правоприменении сыграла практика блокировки ряда крупных международных сервисов, таких как профессиональная социальная сеть LinkedIn (заблокирована в 2016 году за отказ локализовать данные российских пользователей), а также привлечение к административной ответственности таких компаний, как Facebook (организация признана экстремистской и запрещена в РФ) и Twitter (социальная сеть заблокирована на территории РФ). В 2021-2022 годах Роскомнадзор составил протоколы об административных правонарушениях в отношении ряда иностранных интернет-компаний за несоблюдение требований о локализации данных.

Исключения и особенности

Закон предусматривает ряд исключений. В частности, требование о локализации не распространяется на обработку персональных данных, осуществляемую исключительно для:

Также не требуется локализация данных, обрабатываемых в целях, не связанных с персональными данными (например, обезличенные данные, статистика).

Технические аспекты реализации

Для выполнения требований о локализации данных операторам необходимо реализовать комплекс технических и организационных мер. Основные подходы включают:

  1. Размещение серверного оборудования: Аренда или покупка серверов, расположенных в дата-центрах на территории Российской Федерации. Крупные компании часто используют услуги российских облачных провайдеров (например, Яндекс.Облако, VK Cloud, Selectel) или строят собственные центры обработки данных (ЦОД).
  1. Архитектурные решения: Разработка или адаптация информационных систем таким образом, чтобы первичная запись и хранение персональных данных российских пользователей осуществлялись исключительно на серверах в РФ. При этом данные могут дублироваться или реплицироваться на зарубежные серверы для целей резервного копирования или глобальной синхронизации, но основная база данных должна находиться в России.
  1. Идентификация пользователей: Внедрение механизмов определения гражданства или места жительства пользователя (например, по IP-адресу, данным документов, номеру телефона с кодом страны) для корректной маршрутизации его данных.
  1. Шифрование и защита: Обеспечение безопасности данных на всех этапах обработки в соответствии с требованиями Федерального закона «О персональных данных» и подзаконных актов (например, Приказ ФСТЭК России № 21).

Классификация подходов к локализации

Подходы к локализации данных в разных странах можно условно классифицировать по степени жесткости:

Критика и аргументы сторон

Дебаты вокруг локализации данных носят острый характер и затрагивают интересы бизнеса, государства и граждан.

Аргументы сторонников локализации

Аргументы критиков локализации

Значение и влияние

Локализация данных стала одним из ключевых элементов современной цифровой политики многих государств. Она отражает стремление национальных правительств вернуть контроль над информационными потоками, которые в эпоху глобального интернета оказались вне юрисдикции отдельных стран. Этот процесс является частью более широкой тенденции к цифровому суверенитету и деглобализации интернета.

Для международного бизнеса соблюдение требований локализации стало обязательным условием работы на многих развивающихся и крупных рынках. Это привело к росту инвестиций в строительство дата-центров по всему миру и развитию локальных облачных платформ. Одновременно с этим усилились риски фрагментации единого цифрового пространства, что может замедлить инновации и усложнить международное сотрудничество.

В России требования о локализации данных являются одним из центральных элементов государственной политики в области информационной безопасности и защиты персональных данных. Их соблюдение контролируется Роскомнадзором, а нарушения влекут за собой административную ответственность и блокировку ресурсов. Несмотря на критику со стороны бизнеса и правозащитников, законодательство продолжает развиваться и ужесточаться, что свидетельствует о приверженности российских властей данному курсу.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →