Локализация персональных данных
Локализация персональных данных — это правовое и техническое требование, обязывающее операторов персональных данных (организации или физических лиц) обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан с использованием баз данных, находящихся на территории страны, гражданами которой эти данные являются. В контексте Российской Федерации локализация означает, что при сборе персональных данных россиян их обработка должна осуществляться с использованием серверов, физически расположенных на территории России.
История и правовое регулирование
Международный контекст
Требования к локализации персональных данных не являются исключительно российской практикой. Подобные нормы существуют в законодательстве ряда стран, включая Китай (Закон о кибербезопасности КНР), Индию (Закон о защите персональных данных, 2019 год), Бразилию (Закон о защите персональных данных, LGPD), а также в странах Европейского союза (Общий регламент по защите данных, GDPR), где, однако, локализация не является обязательной, но передача данных в третьи страны возможна только при обеспечении «адекватного уровня защиты».
Россия
В Российской Федерации основным нормативным актом, регулирующим локализацию, является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Поправки, вводящие требование об обязательном использовании баз данных на территории РФ, были внесены Федеральным законом от 21 июля 2014 года № 242-ФЗ и вступили в силу 1 сентября 2015 года.
Согласно части 5 статьи 18 закона № 152-ФЗ, оператор при сборе персональных данных граждан РФ обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение с использованием баз данных, находящихся на территории Российской Федерации. Исключения составляют случаи, прямо предусмотренные федеральными законами.
Контроль за соблюдением требований осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Ведомство ведет реестр нарушителей прав субъектов персональных данных и имеет право блокировать доступ к информационным ресурсам, не выполняющим требования локализации.
Основные положения закона
Субъекты и объекты регулирования
Требование распространяется на всех операторов — юридических и физических лиц, осуществляющих обработку персональных данных граждан РФ. Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных): фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, сведения об образовании, профессии, доходах, номера телефонов, адреса электронной почты, IP-адреса, cookie-файлы, данные геолокации и т.д.
Обязанности оператора
Оператор обязан:
- Уведомить Роскомнадзор о намерении осуществлять обработку персональных данных (за исключением ряда случаев, предусмотренных законом).
- Обеспечить использование баз данных, физически расположенных на территории РФ, для первичной записи и последующей обработки персональных данных граждан России.
- Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
- Предоставлять субъекту персональных данных информацию об обработке его данных по запросу.
Исключения
Закон предусматривает исключения, когда требование локализации не применяется. К ним относятся случаи:
- Обработка персональных данных для исполнения международных договоров РФ.
- Обработка для осуществления правосудия.
- Обработка для обеспечения обороны страны и безопасности государства.
- Обработка для осуществления профессиональной деятельности журналиста или в целях научных, литературных или иных творческих достижений (при условии, что это не нарушает права субъектов).
- Обработка для статистических или иных исследовательских целей (с обезличиванием данных).
Техническая реализация
Архитектура решений
Для выполнения требований локализации компании применяют несколько архитектурных подходов:
- Размещение серверов на территории РФ: Компании арендуют стойки или выделенные серверы в российских дата-центрах (например, DataLine, Selectel, Ростелеком-ЦОД). Все первичные записи и операции с данными граждан РФ выполняются на этих серверах.
- Гибридные облачные решения: Часть инфраструктуры (для данных граждан РФ) размещается в российском облаке, а остальная (для данных иностранных граждан или обезличенных данных) — в зарубежном.
- Синхронизация данных: Данные, собранные на российских серверах, могут дублироваться (реплицироваться) на зарубежные серверы для резервного копирования или аналитики, но первичная запись и основные операции должны оставаться в РФ.
Сложности
- Трансграничная передача: После локализации оператор может передавать данные за рубеж, но только при условии обеспечения адекватной защиты прав субъектов (например, на основании договора с иностранным лицом, типовых условий или при наличии сертификации).
- Латентность: Для глобальных сервисов, использующих единую базу данных, размещение части данных в РФ может увеличить задержки при обращении к ним из других стран.
- Стоимость: Создание и поддержание инфраструктуры в РФ требует дополнительных затрат на аренду, оборудование, персонал и соответствие локальным стандартам (например, сертификация ФСТЭК).
Применение и примеры
Крупные IT-компании
Требование локализации затронуло многие международные компании, работающие в России. Например:
- **Meta (организация признана экстремистской, деятельность запрещена в РФ)** (организация признана экстремистской и запрещена в РФ) после вступления закона в силу не выполнила требования и была оштрафована, а её деятельность (включая Facebook и Instagram) была признана экстремистской и запрещена в РФ.
- Google в 2018 году объявила о начале переноса данных российских пользователей на серверы в РФ, что позволило ей продолжить работу.
- Apple локализовала данные пользователей из России, разместив их в дата-центрах на территории страны.
- AliExpress и другие китайские платформы также выполнили требования, создав локальные серверы.
Российские компании
Отечественные компании, такие как «Яндекс», «Сбер», «VK», «Ozon», «Wildberries», изначально обрабатывали данные в РФ, поэтому для них требование не повлекло кардинальных изменений.
Ответственность за нарушение
Административная ответственность
За неисполнение требования о локализации предусмотрена административная ответственность по статье 13.11 Кодекса об административных правонарушениях РФ (КоАП РФ). Санкции для юридических лиц составляют:
- Первичное нарушение: штраф от 100 000 до 500 000 рублей.
- Повторное нарушение: штраф от 500 000 до 1 500 000 рублей.
Кроме того, Роскомнадзор может принять меры по ограничению доступа к информационному ресурсу нарушителя на территории РФ. Например, в 2021–2022 годах были замедлены или заблокированы сервисы Twitter (заблокирован в РФ) и некоторых других платформ.
Уголовная ответственность
В отдельных случаях, если нарушение привело к крупному ущербу или тяжким последствиям, может наступать уголовная ответственность (например, по статье 137 УК РФ — нарушение неприкосновенности частной жизни).
Критика и обсуждение
Аргументы сторонников
- Защита прав граждан: Локализация позволяет государству эффективнее контролировать обработку данных и защищать их от несанкционированного доступа со стороны иностранных спецслужб.
- Экономическая безопасность: Стимулирует развитие отечественной IT-инфраструктуры, дата-центров и облачных сервисов.
- Суверенитет: Обеспечивает независимость от иностранных юрисдикций при доступе к данным граждан.
Аргументы критиков
- Барьеры для бизнеса: Требование увеличивает издержки для международных компаний, что может привести к уходу с рынка или сокращению инвестиций.
- Технические ограничения: Сложность синхронизации данных между разными юрисдикциями, рост задержек и снижение производительности глобальных сервисов.
- Риск изоляции: Чрезмерная локализация может способствовать фрагментации интернета («цифровой суверенитет») и ограничению доступа к глобальным информационным потокам.
Международная практика
Европейский союз
GDPR не требует обязательной локализации, но устанавливает строгие правила трансграничной передачи данных. Передача в страны, не обеспечивающие «адекватный уровень защиты», возможна только при наличии специальных механизмов (например, Standard Contractual Clauses или Binding Corporate Rules).
Китай
Закон о кибербезопасности КНР (2017 год) и Закон о защите персональных данных (2021 год) обязывают операторов хранить критически важные данные и персональные данные граждан Китая на серверах, расположенных в стране. Передача за рубеж возможна только после прохождения оценки безопасности.
Индия
Закон о защите персональных данных (2019 год, проект) также вводит требование о хранении «чувствительных» персональных данных на территории Индии, с возможностью трансграничной передачи только при соблюдении определенных условий.
Перспективы развития
В условиях цифровой трансформации и роста значимости данных требования локализации, вероятно, будут ужесточаться. В России обсуждается расширение перечня данных, подлежащих обязательному хранению на территории страны, а также введение дополнительных мер контроля (например, обязательное использование отечественных криптографических алгоритмов). Одновременно развиваются технологии, позволяющие обеспечить соответствие требованиям без существенного ущерба для бизнеса (например, распределенные реестры, гомоморфное шифрование).
Источники
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями).
- Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
- Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
- Разъяснения Роскомнадзора по вопросам локализации баз данных (официальный сайт ведомства).
- Материалы конференций и публикации экспертов в области защиты персональных данных (например, «Data Protection in Russia: Legal and Practical Aspects»).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →