27 июля исполнилось 10 лет со дня вступления в силу закона «О персональных данных», а 1 августа — три года антипиратскому закону. Глава Роскомнадзора Александр Жаров в интервью корреспонденту «Известий» Владимиру Зыкову рассказал о том, кто и как часто нарушает законы, о разработке законопроекта по Big Data, создании национального оператора в этой сфере и о цензуре в Facebook.
— Закону «О персональных данных» исполняется 10 лет. До 2006 года вопросы защиты персональных данных практически не регулировались. Хотя в то время интернету, например, было уже более 10 лет. Изменилась ли за прошедшее десятилетие сама культура обращения с персональными данными, как вы считаете?
— Во всем мире вопрос о законодательном регулировании защиты персональных данных встал довольно остро как раз в середине нулевых. Это было связано именно с развитием интернета. 27 июля 2006 года в России президент подписал федеральный закон «О защите персональных данных», которым был определен независимый уполномоченный орган по защите прав российских граждан в этой сфере — с начала действия закона таким органом является Роскомнадзор. Были выработаны принципы контроля за оборотом персональных данных, выявления нарушений и наказания за эти нарушения.
Сейчас в связи с взрывным развитием интернета и информационных технологий во всем мире происходит реформирование систем регулирования защиты персональных данных. Остро стоит вопрос о правилах трансграничной передачи личной информации.
Важное достижение российской правовой системы в области защиты персональных данных — 242-й федеральный закон о локализации баз данных на территории РФ. Россия здесь является начинателем и лидером, это наше ноу-хау. Этот законопроект был причиной апокалиптических прогнозов, которые не оправдались. Сейчас можно с уверенностью сказать, что этот закон дал толчок развитию новой сферы экономики — индустрии дата-центров и IT-отрасли в целом. Локализация баз данных на территории нашей страны должна соответствовать потребностям бизнеса. Таким образом, перед IT-компаниями возникают новые задачи, решение которых лежит в области развития гибридных «облаков» и других высоких информационных технологий.
Сегодня многие страны консультируются с нами и с российским МИДом по поводу этого закона и думают над тем, чтобы ввести аналогичные позиции в свое законодательство.
Другое важное обстоятельство: за 10 лет наши граждане и миллионы организаций, которые обрабатывают персональные данные, стали более квалифицированными. Если в 2009–2010 годах при проверках на предмет соблюдения правил обращения с персональными данными мы выявляли нарушения в 50% случаев, то на сегодняшний день количество таких нарушений не превышает 7%. Это говорит о том, что бизнес всё более внимательно подходит к обработке данных. Но и наши граждане активнее отстаивают свои права. Ежегодно количество обращений, когда гражданин подозревает, что его персональные данные обрабатываются некорректно, увеличивается, а количество выявленных нарушений уменьшается. Считаю, что это серьезное достижение.
— На сколько лет вперед у вас распланирован график проверки всех IT-компаний, которые должны локализовать персональные данные?
— На сегодняшний день мы получили уведомления о локализации персональных данных наших граждан от более чем 45 тыс. компаний и организаций. Количество компаний, которые обрабатывают персональные данные, исчисляется миллионами, и их становится всё больше. По сути, любая организация, где работает хотя бы один сотрудник, является оператором персональных данных этого сотрудника.
Объять необъятное невозможно. Поэтому при планировании проверок мы действуем по кластерному принципу в зависимости от объема и чувствительности обрабатываемой персональной информации. Например, в начале этого года мы проверили компании из сферы электронной торговли. Затем мы проверяли компании, которые предоставляют услуги по резервированию гостиниц за границей, осуществляют подбор персонала, предоставляют страховые и финансовые услуги и многие другие.
С момента вступления в силу закона мы проверили 959 компаний. До конца 2016 года мы намерены проверить еще более 700 компаний. Таким образом, совокупный итог к концу 2016 года составит порядка 1,6–1,7 тыс. компаний. Как я уже сказал, мы не стремимся проверить всех поголовно. В России действует презумпция невиновности, и мы считаем, что реагировать нужно прежде всего на жалобы наших граждан.
Следует отметить, что бизнес при реализации закона о защите персональных данных действует компетентно. Мы проверили почти 1 тыс. компаний и выявили всего четыре нарушения. Предваряя вопрос, скажу, что нарушения типичны. Это не злой умысел, это следствие недопонимания тех или иных норм. Мы предоставляем компаниям возможность исправить выявленные ошибки в достаточный для этого срок. Наша цель — не наказать бизнес, а обеспечить эффективную защиту персональной информации россиян за счет комплексного аудита корпоративных систем хранения и обработки персональных данных.
— На сентябрь у Роскомнадзора запланирована проверка соцсети «ВКонтакте». Возникает логичный вопрос — будет ли проверен Facebook с учетом того, что в СМИ периодически появляется информация об отказе владельцев крупнейшей соцсети в мире локализовать персональные данные на территории РФ?
— Мы не получали от Facebook прямого отказа переносить в Россию персональные данные российских граждан. Мы находимся в постоянном контакте со всеми крупными социальными сетями. С представителями Facebook, Twitter, Google мы встречаемся минимум два раза в год и обсуждаем различные аспекты исполнения российского законодательства. Безусловно, в ходе наших встреч мы обсуждаем и 242-ФЗ о локализации баз персональных данных. Могу сказать, что перечисленные компании предпринимают практические шаги по локализации баз данных на территории России. Темп их действий нас в целом удовлетворяет. Мы не намерены действовать резко и необдуманно. Мы прекрасно понимаем, что пользователями данных соцсетей являются миллионы наших граждан. Продолжающийся диалог с этими компаниями позволяет нам предположить, что рано или поздно требования российского закона будут каждой из этих компаний выполнены в полном объеме.
В 2016, 2017 годах или в последующие годы мы проверим не только «ВКонтакте», но и другие соцсети, в том числе иностранные. Нами разработаны алгоритмы контрольных действий как в отношении компаний, локализовавших свой бизнес в России, так и не имеющих официальных юридических представительств в нашей стране. Эти методики опубликованы на сайте Роскомнадзора в сентябре прошлого года. Закон наделяет Роскомнадзор довольно широким спектром полномочий — от запроса информации до права обратиться в суд с требованием об ограничении доступа к интернет-ресурсам компаний, не исполнивших закон. Однако в случае выявления нарушений мы, как правило, выписываем предписания и даем достаточный срок в пределах 6–8 месяцев на устранение нарушений.
— В прошлом году активно шли проверки сайтов школ. Проверяете ли вы сайты муниципальных образовательных учреждений на предмет соблюдения закона о персональных данных? Есть ли нарушения?
— Мы действительно системно работаем с образовательными учреждениями, ведь они обрабатывают персональные данные, пожалуй, самой чувствительной категории граждан — детей. Школы оказывают услуги по ведению электронных дневников и запрашивают у детей, родителей и учителей значительные объемы персональной информации. Помимо ФИО, это может быть дата рождения, адреса и телефоны, электронная почта, состав семьи, данные о профессиональной деятельности родителей, сведения о состоянии здоровья, наличии судимости и многое другое. К сожалению, часто образовательные учреждения превышают допустимые по закону объемы персональной информации. Нам сообщают об этом граждане. Должен констатировать, что количество обращений по поводу некорректной обработки персональных данных школами увеличивается. В 2016 году к нам поступило 97 жалоб от граждан, которые предполагали, что их данные собирались образовательными учреждениями в избыточном объеме. И в результате реагирования на эти обращения наши территориальные органы выявили нарушения в 63 случаях. При проведении плановых проверок муниципальных учреждений образования доля нарушений ниже: из 169 проверок нарушения выявлены в 79 случаях. Но и это достаточно высокий процент.
Типичные нарушения, которыми грешат большинство организаций в сфере образования, — это отсутствие пользовательских соглашений и политик конфиденциальности. Я призываю всех директоров российских школ публиковать на своих сайтах декларацию о конфиденциальности и заключать пользовательские соглашения в электронном виде.
— Антипиратскому закону 1 августа исполняется три года. Считаете ли вы своей победой то, что «ВКонтакте» подписала договоры с музыкальными правообладателями по легализации музыки? Вы же активно принимали участие в этом процессе.
— Это прежде всего победа здравого смысла. Роскомнадзор внес в этот результат определенную лепту — на протяжении всех трех лет действия закона мы предоставляли площадку для общения соцсети и правообладателей. Но основная заслуга принадлежит гендиректору «ВКонтакте» Борису Добродееву, который провел огромную работу, превратив абсолютно пиратскую соцсеть в прозрачную и легальную площадку. «ВКонтакте» — пример положительного решения интернет-бизнесом проблемы легализации распространения цифрового контента, защищенного авторскими правами.
Есть и не менее яркий отрицательный пример. Имею в виду RuTracker, который выбрал путь отказа от легализации и правообладатели добились его постоянной блокировки. В итоге ресурс лишился значительной части аудитории. Да, сразу после блокировки они проводили кампанию, цель которой была показать, что RuTracker всё равно жив. За первую неделю после блокировки сайта, когда действовал «эффект Стрейзанд», аудитория даже возросла на 7%. Но по итогам первого месяца после блокировки их аудитория просела на 48%. На сегодняшний день потери аудитории у них составляют 71%. Очевидно, что для пиратского ресурса это критичные потери, так как они зарабатывают деньги за счет рекламы.
— Антипиратское законодательство находится в процессе развития. Отраслевые ассоциации и Минкомсвязи говорили, что собираются решить вопрос с рекламодателями, финансирующими пиратские сайты. Правообладатели лоббируют поправки в законодательство, позволяющие блокировать «зеркала» и исключать из поисковой выдачи заблокированные ресурсы. Как вы участвуете в этом процессе?
— Предложение об ужесточении режима размещения рекламы на сайтах пиратов мы поддерживаем, но не принимаем участия в его разработке.
Другие же направления совершенствования антипиратского законодательства нами прорабатываются. Например, юристы правообладателей на площадке Роскомнадзора разработали законопроект, который определил ответственность операторов связи за неблокировку запрещенного ресурса — сейчас такая ответственность отсутствует. В настоящий момент наша рабочая группа направила законопроект в Минкомсвязи. Проект прошел согласование министерствами и ведомствами и уже внесен в Госдуму. В осеннюю сессию, я очень надеюсь, он будет рассмотрен.
Второй законопроект касается блокировки «зеркал» сайтов на основании базового судебного акта. Это очень важный инструмент повышения оперативности и эффективности при борьбе с противоправными ресурсами. Что делает пират, когда его блокируют? Он массово начинает создавать «зеркала». Причем готовит их заранее на случай блокировки основного ресурса. Так вот, законопроект, разработанный на нашей площадке, предполагает блокировку «зеркал» на основании судебного приказа. То есть правообладателям не нужно будет инициировать в отношении каждого «зеркала» новый судебный процесс. Достаточно будет при выявлении «зеркал» обратиться в суд за судебным приказом, который может быть выдан в короткие сроки на основании судебного решения, которое уже действует в отношении основного сайта. Это значительно повысит скорость блокировки «зеркал».
Кроме того, законопроект предполагает удаление из выдачи поисковых систем сайтов, попавших под вечную блокировку. Этот документ также заканчивает процедуру межведомственого согласования и в начале осени поступит в Госдуму. Этот закон многократно усилит эффективность наших действий.
Третье предложение направлено на то, чтобы на площадке профильного комитета Госдумы совместно с правообладателями рассмотреть идею законопроекта о способах блокировки запрещенного контента. Поясню: операторы связи по закону могут выбирать, как блокировать: отдельную страницу, доменное имя или IP-адрес сайта. Естественно, они ищут наименее затратный для них способ блокировки. Но он может быть травматичным для других законопослушных сайтов. Например, если осуществляется блокировка по IP, то вместе с запрещенной страницей ресурса могут быть заблокированы другие сайты, которые находятся у хостинг-провайдера на этом же IP. Я полагаю, будет правильнее, если способ блокировки будет определять Роскомнадзор как орган, отвечающий за контроль блокировок. Но могут быть рассмотрены и другие варианты. Не исключаю, что полномочиями по определению способа блокировки может быть наделено отраслевое объединение операторов связи, например Медиакоммуникационный союз. Но в любом случае должны быть выработаны единые правила для всех операторов без ущерба для эффективности блокировки.
— Задам пару вопросов от пользователей интернета, которые прислали в сообщества «Известий» в социальных сетях. Как вы относитесь к онлайн-играм и в частности Pokemon Go? Играли? Может, собираете покемонов?
— К интернет-играм я отношусь спокойно. Лично у меня времени на интернет-игры нет. Но у меня есть дети, и они играют. В Pokemon Go они пока не играли, поскольку в России официального релиза этой игры не было.
Если говорить о Pokemon Go, то это не единственная игра, которая использует геопозиционирование, подключается к камере смартфона и создает эффект дополненной реальности. Таких игр сотни, но Pokemon Go, что называется, выстрелила. Я не думаю, что разработчики этой игры преследовали какие-то шпионские цели по поводу обновления карт местности, сбора баз данных и так далее. Думаю, основная их задача — заработать деньги. И как показывает открытая информация, деньги они зарабатывают, и немалые.
В тот момент, когда Россия будет открыта для игры Pokemon Go, мы, безусловно, проанализируем пользовательское соглашение для пользователей из РФ. Сделаем выводы, обрабатываются ли персональные данные и в каком объеме. Если обрабатываются, то мы свяжемся с компанией — владельцем игры и вступим с ней в диалог по поводу исполнения законодательства России.
— Другой вопрос от пользователя, который возмущен цензурой в Facebook. В частности, они «банят» за слова типа «хохол». Как такие меры оценивает Роскомнадзор, который пользователи часто называют главным цензором Рунета?
— К цензуре я отношусь плохо. Российским основным законом цензура запрещена. Пользователи, которые называют Роскомнадзор главным цензором Рунета, думаю, не очень хорошо понимают, что это такое. Цензура предполагает анализ материала до его опубликования и запрет на публикацию. Мы занимается точечной блокировкой информации, распространение которой имеет негативные социальные последствия и поэтому запрещено законом. Напомню, это детская порнография, информация о наркотиках, азартных играх, способах самоубийства и экстремистские материалы.
То, что делает Facebook в отношении названных выше слов, на мой взгляд, неправильно и неприемлемо. Видимо, это связано с теми алгоритмами редактирования, которые работают в русскоязычном сегменте. Я предполагаю, что в данном случае работают не люди, а робот. Например, Максим Кононенко опубликовал стихотворение Пушкина, в котором такое слово («хохол». — «Известия») присутствовало, после чего он был заблокирован. Мы на встречах с Facebook эту тему поднимали. Они обещали разобраться.
— А вы сами как относитесь к соцсетям?
— К соцсетям я отношусь с большим вниманием. Сам я не являюсь участником соцсетей, исходя только из одного соображения. Поскольку мы являемся правоприменителями по отношению к этим площадкам, я считаю, что я не имею права там присутствовать. Ведомство там присутствует. И я как глава Роскомнадзора могу высказывать только официальную позицию и распространять ее в официальных сообществах ведомства в социальных сетях.
— Пользователи также спрашивали про «большие данные» (Big Data). У вас уже есть представление, как регулировать оборот «больших данных» и нужно ли вообще это делать?
— «Большие данные» — это будущее общества и экономики, основанных на информационных технологиях. Полагаю, что инструменты аккумулирования, анализа и использования «больших данных» в будущем станут ключом к решению многих глобальных проблем человечества. «Большие данные» сравнивают с полезными ископаемыми — их ценность невысока в необработанном виде, но резко возрастает после обработки. Поэтому крупнейшие мировые компании сегодня заняты разработкой эффективных алгоритмов обработки «больших данных».
«Большие данные» открывают новые возможности для человека, общества, бизнеса, государства. Но и содержат значительные риски. Поэтому необходимо определить общие подходы к регулированию их использования. Мы находимся сейчас в диалоге с бизнес-сообществом по этому вопросу. В начале сентября по инициативе ряда компаний мы надеемся на площадке Роскомндазора провести большое совещание с заинтересованными бизнес-структурами. Это операторы связи, крупные интернет-компании (такие как Mail.Ru Group, «Яндекс» и др.), банковские структуры, госорганы. Наконец, общественные организации. Общество не может находиться вне этого процесса.
Кроме того, на Петербургском международном экономическом форуме я рассказал об инициативе под названием «Цифровой дом». Проект предполагает создание платформы межотраслевого взаимодействия с общей идеей — создать условия для безопасного и комфортного существования личности, человека, его семьи в цифровой среде. Мы намерены первое заседание рабочей группы «Цифровой дом» провести в Санкт-Петербурге в рамках форума «Спектр-2016» 20 сентября 2016 года.
Таким образом, сейчас мы находимся в многостороннем диалоге, чтобы решить, что делать с «большими данными». Мое мнение — нужно писать закон, который определит зоны ответственности государства, бизнеса и общества при аккумулировании «больших данных».
— Глава группы «Интернет+Суверенитет» при администрации президента Илья Массух склоняется к тому, что необходимо создать единый портал, на котором компании будут указывать, какую информацию о пользователе они используют. И пользователь, зайдя на этот портал, сможет отказать компаниям в использовании любой информации о нем. Как относитесь к такой инициативе?
— В моем понимании имеет право на жизнь концепция национального оператора «больших данных». Это тема дискуссионная. Основной вопрос: кто его создаст, государство или бизнес? Или государство и бизнес вместе? Но в любом случае границы пространства возможного и дозволенного при обработке «больших данных» должны быть определены — для меня это очевидно.
Владимир Зыков
Источник: Известия
Оригинальный заголовок: «То, что делает Facebook, неправильно и неприемлемо»
Похожие новости: Роскомнадзор планирует взяться за big data