Открыть сервис

Суверенитет данных

Суверенитет данных — это концепция, согласно которой данные, генерируемые или обрабатываемые на территории определённого государства, подчиняются законам и юрисдикции этого государства, независимо от физического местонахождения серверов или облачных провайдеров. В более широком смысле термин обозначает право государства, организации или индивида на контроль над сбором, хранением, обработкой и передачей своих данных, а также на защиту их от несанкционированного доступа со стороны иностранных субъектов.

История и предпосылки возникновения

Концепция суверенитета данных возникла как ответ на глобализацию интернета и трансграничный поток информации. В первые десятилетия существования Всемирной сети данные часто обрабатывались и хранились в странах с наиболее развитой инфраструктурой (прежде всего в США), что создавало юридические коллизии. Например, американские компании, такие как Google, Microsoft и Meta (организация признана экстремистской и запрещена в РФ), могли передавать данные пользователей из других стран по запросу американских властей в соответствии с Законом CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018).

Ключевым фактором, подтолкнувшим развитие суверенитета данных, стало решение Европейского суда в 2015 году по делу «Schrems I», которое признало недействительным соглашение Safe Harbor между США и ЕС из-за недостаточной защиты данных европейских граждан. Это привело к ужесточению регулирования и принятию Общего регламента по защите данных (GDPR) в 2018 году, который закрепил принцип территориальной привязки обработки данных.

В России развитие концепции связано с принятием Федерального закона № 152-ФЗ «О персональных данных» (2006) и последующих поправок, в частности, требования о локализации персональных данных граждан РФ (вступило в силу в 2015 году). Согласно этому закону, операторы обязаны обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных россиян с использованием баз данных, находящихся на территории Российской Федерации.

Правовые основы и регулирование

Международный уровень

На международном уровне не существует единого договора, устанавливающего суверенитет данных. Основные механизмы регулирования включают:

  • GDPR (Европейский союз) — устанавливает жёсткие ограничения на передачу данных за пределы ЕС, требуя адекватного уровня защиты в стране-получателе.
  • Закон о защите личной информации (PIPL, Китай, 2021) — требует локализации «важных данных» и персональных данных, а также получения разрешения от китайских властей на их передачу за границу.
  • Закон о защите персональных данных (PDPA, Индия, 2023) — вводит категории «критически важных» и «чувствительных» персональных данных, которые должны храниться исключительно в Индии.
  • Соглашения о свободной передаче данных (Data Free Flow with Trust, DFFT) — концепция, продвигаемая Японией и странами G7, предполагающая снижение барьеров при условии соблюдения доверенных стандартов.

Национальный уровень (на примере России)

В Российской Федерации правовую базу суверенитета данных составляют:

  • Федеральный закон № 152-ФЗ «О персональных данных» (с изменениями).
  • Федеральный закон № 242-ФЗ (2015) — ввёл требование о локализации баз данных персональных данных граждан РФ.
  • Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (2017) — устанавливает требования к обработке данных в государственных и стратегических системах.
  • Федеральный закон № 519-ФЗ (2023) — вводит понятие «суверенитет данных» в контексте обеспечения технологической независимости и защиты от иностранного влияния. Закон обязывает операторов государственных информационных систем использовать исключительно российские центры обработки данных (ЦОД) и сертифицированное оборудование.

Классификация и виды суверенитета данных

Суверенитет данных может быть классифицирован по нескольким основаниям:

По субъекту контроля

  • Государственный суверенитет — право государства устанавливать правила сбора, хранения и передачи данных на своей территории. Пример: требование локализации данных в России, Китае, Индии.
  • Корпоративный суверенитет — политика компании, направленная на контроль над данными, принадлежащими ей или её клиентам, независимо от юрисдикции. Часто реализуется через контрактные соглашения и технические средства (шифрование, приватные облака).
  • Индивидуальный суверенитет — право человека на контроль над своими персональными данными, включая возможность их удаления, исправления и ограничения обработки (право на забвение, право на переносимость данных).

По типу данных

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту данных). Регулируется наиболее строго.
  • Корпоративные данные — коммерческая, технологическая, финансовая информация, которая может составлять коммерческую тайну или ноу-хау.
  • Государственные данные — информация, относящаяся к деятельности государственных органов, оборонной, экономической и социальной сферам. Часто имеет статус государственной тайны.
  • Критически важные данные — данные, нарушение целостности или конфиденциальности которых может нанести ущерб национальной безопасности (например, данные о месторождениях полезных ископаемых, демографические данные, данные о транспортной инфраструктуре).

По степени локализации

  • Полная локализация — все данные должны храниться и обрабатываться исключительно в пределах территории государства. Пример: Китай для «важных данных».
  • Частичная локализация — обязательное хранение копии данных на территории страны, при этом допускается обработка за рубежом при соблюдении определённых условий. Пример: Россия (требование к первичной записи данных в базах на территории РФ).
  • Экстерриториальная юрисдикция — государство распространяет свои законы на данные, обрабатываемые за рубежом, если они касаются его граждан или резидентов. Пример: GDPR (действует в отношении всех компаний, обрабатывающих данные граждан ЕС, независимо от их местонахождения).

Технические аспекты реализации

Реализация суверенитета данных требует сочетания правовых, организационных и технических мер. Ключевые технические решения включают:

  • Локализация центров обработки данных (ЦОД)строительство или аренда серверных мощностей на территории страны. В России действуют требования к использованию сертифицированных ЦОД для государственных информационных систем.
  • Шифрование данных — использование криптографических алгоритмов для защиты данных при передаче и хранении. Ключи шифрования могут храниться на территории страны, что предотвращает несанкционированный доступ иностранных государств.
  • Технологии приватных вычислений (Confidential Computing) — выполнение вычислений в изолированном аппаратном окружении (Trusted Execution Environment, TEE), что позволяет обрабатывать данные без их расшифровки в памяти сервера.
  • Системы управления идентификацией и доступом (IAM) — обеспечивают контроль над тем, кто и при каких условиях может получить доступ к данным.
  • Резервирование и аварийное восстановление — создание географически распределённых копий данных в пределах одной юрисдикции для обеспечения отказоустойчивости.

Применение и значение

Для государства

  • Обеспечение национальной безопасности — предотвращение утечки данных, которые могут быть использованы иностранными разведками или враждебными государствами.
  • Защита экономического суверенитета — контроль над данными о налогоплательщиках, финансовых потоках, природных ресурсах.
  • Противодействие экстерриториальному применению иностранного права — например, защита от запросов по CLOUD Act или санкционных ограничений.

Для бизнеса

  • Соблюдение законодательства — избежание штрафов и блокировок за нарушение требований о локализации данных.
  • Управление репутационными рисками — демонстрация клиентам и партнёрам ответственного отношения к данным.
  • Контроль над интеллектуальной собственностью — защита коммерческой тайны и технологических разработок.

Для граждан

  • Защита приватности — снижение риска несанкционированного доступа к персональным данным со стороны иностранных корпораций или государств.
  • Реализация прав субъекта данных — возможность требовать удаления, исправления или ограничения обработки данных в соответствии с национальным законодательством.

Критика и ограничения

Концепция суверенитета данных подвергается критике по нескольким направлениям:

  • Фрагментация интернета — локализация данных может привести к созданию «национальных сегментов» сети, что противоречит принципу глобального интернета и затрудняет трансграничную торговлю и научное сотрудничество.
  • Экономические издержки — строительство и обслуживание локальных ЦОД требует значительных инвестиций, что может быть непосильно для малого и среднего бизнеса. Кроме того, дублирование данных в нескольких юрисдикциях увеличивает затраты на хранение и передачу.
  • Снижение качества услуг — ограничение на использование глобальных облачных платформ (AWS, Azure, Google Cloud) может привести к снижению производительности, доступности и инновационности сервисов.
  • Риск злоупотреблений — государственный контроль над данными может быть использован для цензуры, слежки и подавления гражданских свобод. Критики указывают на примеры Китая и России, где законы о локализации данных сочетаются с расширенными полномочиями спецслужб.
  • Техническая сложность — обеспечение полного суверенитета данных в условиях глобальных цепочек поставок и облачных вычислений технически сложно и часто требует компромиссов.

Примеры и конфликты

  • Дело Microsoft против США (2014–2018) — американское правительство потребовало от Microsoft предоставить данные, хранящиеся на сервере в Ирландии. Компания оспорила ордер, ссылаясь на то, что данные находятся под юрисдикцией Ирландии. В итоге Конгресс США принял CLOUD Act, который разрешил американским властям требовать данные от американских компаний независимо от места их хранения.
  • Спор между ЕС и США о передаче данных (Schrems II, 2020) — Европейский суд признал недействительным Privacy Shield (механизм передачи данных между ЕС и США) из-за недостаточной защиты от американской массовой слежки. Это привело к необходимости для тысяч компаний пересмотреть свои договоры и использовать стандартные контрактные оговорки (SCC) с дополнительными мерами.
  • Блокировка LinkedIn в России (2016) — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) заблокировала социальную сеть LinkedIn за нарушение требования о локализации персональных данных граждан РФ. Компания не выполнила предписание о переносе серверов на территорию России.
  • Закон о «суверенном интернете» в России (2019) — Федеральный закон № 90-ФЗ «О внесении изменений в Федеральный закон "О связи" и Федеральный закон "Об информации, информационных технологиях и о защите информации"» предусматривает создание технических средств для централизованного управления российским сегментом интернета в случае отключения от глобальной сети. Это включает установку на сетях операторов связи оборудования для фильтрации трафика (Deep Packet Inspection, DPI) и использования национальной системы доменных имён (DNS).

Перспективы развития

В ближайшие годы ожидается дальнейшее ужесточение требований к суверенитету данных, особенно в странах БРИКС и других развивающихся экономиках. Одновременно развиваются технологии, позволяющие балансировать между локализацией и глобализацией: федеративное обучение (federated learning), гомоморфное шифрование, многосторонние вычисления (secure multi-party computation). Международные организации, такие как ОЭСР и Всемирный банк, работают над созданием рамочных соглашений, которые позволили бы обеспечить «доверенный поток данных» (trusted data flow) без ущерба для национального суверенитета.

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями).
  2. Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
  3. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  4. Федеральный закон от 01.05.2019 № 90-ФЗ «О внесении изменений в Федеральный закон "О связи" и Федеральный закон "Об информации, информационных технологиях и о защите информации"».
  5. Регламент Европейского парламента и Совета Европейского союза 2016/679 от 27 апреля 2016 г. (GDPR).
  6. Решение Европейского суда по делу C-311/18 (Schrems II) от 16 июля 2020 г.
  7. Закон Китайской Народной Республики о защите личной информации (PIPL), 2021.
  8. Закон Индии о защите персональных данных (PDPA), 2023.
  9. CLOUD Act (Clarifying Lawful Overseas Use of Data Act), США, 2018.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →