Суверенитет данных
Суверенитет данных — это концепция, согласно которой данные, генерируемые или обрабатываемые на территории определённого государства, подчиняются законам и юрисдикции этого государства, независимо от физического местонахождения серверов или облачных провайдеров. В более широком смысле термин обозначает право государства, организации или индивида на контроль над сбором, хранением, обработкой и передачей своих данных, а также на защиту их от несанкционированного доступа со стороны иностранных субъектов.
История и предпосылки возникновения
Концепция суверенитета данных возникла как ответ на глобализацию интернета и трансграничный поток информации. В первые десятилетия существования Всемирной сети данные часто обрабатывались и хранились в странах с наиболее развитой инфраструктурой (прежде всего в США), что создавало юридические коллизии. Например, американские компании, такие как Google, Microsoft и Meta (организация признана экстремистской и запрещена в РФ), могли передавать данные пользователей из других стран по запросу американских властей в соответствии с Законом CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018).
Ключевым фактором, подтолкнувшим развитие суверенитета данных, стало решение Европейского суда в 2015 году по делу «Schrems I», которое признало недействительным соглашение Safe Harbor между США и ЕС из-за недостаточной защиты данных европейских граждан. Это привело к ужесточению регулирования и принятию Общего регламента по защите данных (GDPR) в 2018 году, который закрепил принцип территориальной привязки обработки данных.
В России развитие концепции связано с принятием Федерального закона № 152-ФЗ «О персональных данных» (2006) и последующих поправок, в частности, требования о локализации персональных данных граждан РФ (вступило в силу в 2015 году). Согласно этому закону, операторы обязаны обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных россиян с использованием баз данных, находящихся на территории Российской Федерации.
Правовые основы и регулирование
Международный уровень
На международном уровне не существует единого договора, устанавливающего суверенитет данных. Основные механизмы регулирования включают:
- GDPR (Европейский союз) — устанавливает жёсткие ограничения на передачу данных за пределы ЕС, требуя адекватного уровня защиты в стране-получателе.
- Закон о защите личной информации (PIPL, Китай, 2021) — требует локализации «важных данных» и персональных данных, а также получения разрешения от китайских властей на их передачу за границу.
- Закон о защите персональных данных (PDPA, Индия, 2023) — вводит категории «критически важных» и «чувствительных» персональных данных, которые должны храниться исключительно в Индии.
- Соглашения о свободной передаче данных (Data Free Flow with Trust, DFFT) — концепция, продвигаемая Японией и странами G7, предполагающая снижение барьеров при условии соблюдения доверенных стандартов.
Национальный уровень (на примере России)
В Российской Федерации правовую базу суверенитета данных составляют:
- Федеральный закон № 152-ФЗ «О персональных данных» (с изменениями).
- Федеральный закон № 242-ФЗ (2015) — ввёл требование о локализации баз данных персональных данных граждан РФ.
- Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (2017) — устанавливает требования к обработке данных в государственных и стратегических системах.
- Федеральный закон № 519-ФЗ (2023) — вводит понятие «суверенитет данных» в контексте обеспечения технологической независимости и защиты от иностранного влияния. Закон обязывает операторов государственных информационных систем использовать исключительно российские центры обработки данных (ЦОД) и сертифицированное оборудование.
Классификация и виды суверенитета данных
Суверенитет данных может быть классифицирован по нескольким основаниям:
По субъекту контроля
- Государственный суверенитет — право государства устанавливать правила сбора, хранения и передачи данных на своей территории. Пример: требование локализации данных в России, Китае, Индии.
- Корпоративный суверенитет — политика компании, направленная на контроль над данными, принадлежащими ей или её клиентам, независимо от юрисдикции. Часто реализуется через контрактные соглашения и технические средства (шифрование, приватные облака).
- Индивидуальный суверенитет — право человека на контроль над своими персональными данными, включая возможность их удаления, исправления и ограничения обработки (право на забвение, право на переносимость данных).
По типу данных
- Персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту данных). Регулируется наиболее строго.
- Корпоративные данные — коммерческая, технологическая, финансовая информация, которая может составлять коммерческую тайну или ноу-хау.
- Государственные данные — информация, относящаяся к деятельности государственных органов, оборонной, экономической и социальной сферам. Часто имеет статус государственной тайны.
- Критически важные данные — данные, нарушение целостности или конфиденциальности которых может нанести ущерб национальной безопасности (например, данные о месторождениях полезных ископаемых, демографические данные, данные о транспортной инфраструктуре).
По степени локализации
- Полная локализация — все данные должны храниться и обрабатываться исключительно в пределах территории государства. Пример: Китай для «важных данных».
- Частичная локализация — обязательное хранение копии данных на территории страны, при этом допускается обработка за рубежом при соблюдении определённых условий. Пример: Россия (требование к первичной записи данных в базах на территории РФ).
- Экстерриториальная юрисдикция — государство распространяет свои законы на данные, обрабатываемые за рубежом, если они касаются его граждан или резидентов. Пример: GDPR (действует в отношении всех компаний, обрабатывающих данные граждан ЕС, независимо от их местонахождения).
Технические аспекты реализации
Реализация суверенитета данных требует сочетания правовых, организационных и технических мер. Ключевые технические решения включают:
- Локализация центров обработки данных (ЦОД) — строительство или аренда серверных мощностей на территории страны. В России действуют требования к использованию сертифицированных ЦОД для государственных информационных систем.
- Шифрование данных — использование криптографических алгоритмов для защиты данных при передаче и хранении. Ключи шифрования могут храниться на территории страны, что предотвращает несанкционированный доступ иностранных государств.
- Технологии приватных вычислений (Confidential Computing) — выполнение вычислений в изолированном аппаратном окружении (Trusted Execution Environment, TEE), что позволяет обрабатывать данные без их расшифровки в памяти сервера.
- Системы управления идентификацией и доступом (IAM) — обеспечивают контроль над тем, кто и при каких условиях может получить доступ к данным.
- Резервирование и аварийное восстановление — создание географически распределённых копий данных в пределах одной юрисдикции для обеспечения отказоустойчивости.
Применение и значение
Для государства
- Обеспечение национальной безопасности — предотвращение утечки данных, которые могут быть использованы иностранными разведками или враждебными государствами.
- Защита экономического суверенитета — контроль над данными о налогоплательщиках, финансовых потоках, природных ресурсах.
- Противодействие экстерриториальному применению иностранного права — например, защита от запросов по CLOUD Act или санкционных ограничений.
Для бизнеса
- Соблюдение законодательства — избежание штрафов и блокировок за нарушение требований о локализации данных.
- Управление репутационными рисками — демонстрация клиентам и партнёрам ответственного отношения к данным.
- Контроль над интеллектуальной собственностью — защита коммерческой тайны и технологических разработок.
Для граждан
- Защита приватности — снижение риска несанкционированного доступа к персональным данным со стороны иностранных корпораций или государств.
- Реализация прав субъекта данных — возможность требовать удаления, исправления или ограничения обработки данных в соответствии с национальным законодательством.
Критика и ограничения
Концепция суверенитета данных подвергается критике по нескольким направлениям:
- Фрагментация интернета — локализация данных может привести к созданию «национальных сегментов» сети, что противоречит принципу глобального интернета и затрудняет трансграничную торговлю и научное сотрудничество.
- Экономические издержки — строительство и обслуживание локальных ЦОД требует значительных инвестиций, что может быть непосильно для малого и среднего бизнеса. Кроме того, дублирование данных в нескольких юрисдикциях увеличивает затраты на хранение и передачу.
- Снижение качества услуг — ограничение на использование глобальных облачных платформ (AWS, Azure, Google Cloud) может привести к снижению производительности, доступности и инновационности сервисов.
- Риск злоупотреблений — государственный контроль над данными может быть использован для цензуры, слежки и подавления гражданских свобод. Критики указывают на примеры Китая и России, где законы о локализации данных сочетаются с расширенными полномочиями спецслужб.
- Техническая сложность — обеспечение полного суверенитета данных в условиях глобальных цепочек поставок и облачных вычислений технически сложно и часто требует компромиссов.
Примеры и конфликты
- Дело Microsoft против США (2014–2018) — американское правительство потребовало от Microsoft предоставить данные, хранящиеся на сервере в Ирландии. Компания оспорила ордер, ссылаясь на то, что данные находятся под юрисдикцией Ирландии. В итоге Конгресс США принял CLOUD Act, который разрешил американским властям требовать данные от американских компаний независимо от места их хранения.
- Спор между ЕС и США о передаче данных (Schrems II, 2020) — Европейский суд признал недействительным Privacy Shield (механизм передачи данных между ЕС и США) из-за недостаточной защиты от американской массовой слежки. Это привело к необходимости для тысяч компаний пересмотреть свои договоры и использовать стандартные контрактные оговорки (SCC) с дополнительными мерами.
- Блокировка LinkedIn в России (2016) — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) заблокировала социальную сеть LinkedIn за нарушение требования о локализации персональных данных граждан РФ. Компания не выполнила предписание о переносе серверов на территорию России.
- Закон о «суверенном интернете» в России (2019) — Федеральный закон № 90-ФЗ «О внесении изменений в Федеральный закон "О связи" и Федеральный закон "Об информации, информационных технологиях и о защите информации"» предусматривает создание технических средств для централизованного управления российским сегментом интернета в случае отключения от глобальной сети. Это включает установку на сетях операторов связи оборудования для фильтрации трафика (Deep Packet Inspection, DPI) и использования национальной системы доменных имён (DNS).
Перспективы развития
В ближайшие годы ожидается дальнейшее ужесточение требований к суверенитету данных, особенно в странах БРИКС и других развивающихся экономиках. Одновременно развиваются технологии, позволяющие балансировать между локализацией и глобализацией: федеративное обучение (federated learning), гомоморфное шифрование, многосторонние вычисления (secure multi-party computation). Международные организации, такие как ОЭСР и Всемирный банк, работают над созданием рамочных соглашений, которые позволили бы обеспечить «доверенный поток данных» (trusted data flow) без ущерба для национального суверенитета.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями).
- Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Федеральный закон от 01.05.2019 № 90-ФЗ «О внесении изменений в Федеральный закон "О связи" и Федеральный закон "Об информации, информационных технологиях и о защите информации"».
- Регламент Европейского парламента и Совета Европейского союза 2016/679 от 27 апреля 2016 г. (GDPR).
- Решение Европейского суда по делу C-311/18 (Schrems II) от 16 июля 2020 г.
- Закон Китайской Народной Республики о защите личной информации (PIPL), 2021.
- Закон Индии о защите персональных данных (PDPA), 2023.
- CLOUD Act (Clarifying Lawful Overseas Use of Data Act), США, 2018.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →