Президент Путин предупрежден о грядущем параличе пассажирских авиаперевозок из-за принятых им поправок в закон «О персональных данных». Да и лететь будет некуда – бронирование отелей за пределами РФ также не осуществить без его нарушения. Разговоры о полном прекращении полетов за рубеж подсветили риск глобальной изоляции России. Фактически Роскомнадзор наделяется полномочиями по блокировке доступа пользователей к международному Интернету.
Ассоциация эксплуатантов воздушного транспорта (АЭВТ) заявила, что к осени 2015 года гражданскую авиацию России может хватить паралич. Причиной тому – поправки в законы о персональных данных и защите информации, требующие хранить сведения о россиянах внутри страны.
Как следует из письма АЭВТ бизнес-омбудсмену Борису Титову, гражданская авиация для обработки персональных данных (ПД), бронирования и продажи билетов повсеместно использует зарубежные распределительные системы GDS (Global Distribution System), позволяющие продавать рейсы российских авиакомпаний в различных странах. То есть отечественные перевозчики зависимы от внешних информационных систем. Интеграция авиакомпаний в отечественную GDS займет годы. Притом что наша система уже существует, называется она «Сирена-Трэвел». Но ее обходят стороной за версту из-за глубокого несовершенства и необходимости серьезной доработки.
«Применение закона может привести к остановке с 1 сентября 2015 года продажи и выполнения воздушных перевозок, поскольку закон устанавливает заведомо невыполнимые требования», – добавляют участники АЭВТ.
Бизнес-омбудсмен Титов, как сказали «Фонтанке» в его пресс-службе, согласился с тревогами и готовит обращение к президенту Путину и премьеру Медведеву для возможного исправления требований к гражданской авиации. По данным СМИ, первые лица государства о возможном коллапсе перелетов уже уведомлены.
Дьявол вырос из деталей 4-статейного ФЗ № 242 от 23 июля 2014 года, инициаторами которого стали депутаты Госдумы Вадим Деньгин (автор закона о досудебной блокировке сайтов), Александр Ющенко (ходил войной против астрологов, гадалок и колдунов) и Андрей Луговой (8 марта 2015-го получил от президента медаль ордена "За заслуги перед Отечеством" II степени за активную законотворческую деятельность).
Сайт Госдумы хранит следы иезуитского лукавства, с которым поправки преподносились общественности. В пояснительной записке необходимость дополнения законов депутаты мотивировали статьей 24 Конституции, в соответствии с которой сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Однако суть поправок вовсе не в этом, а в обязании организаций, работающих с ПД, обеспечить их нахождение в базах данных на территории России, и наделении Роскомнадзора полномочиями по ограничению доступа к интернет-информации, обрабатываемой с нарушением законодательства РФ в области ПД (в том числе, соответственно, если будет установлено, что ресурс с данными россиян не имеет хранилища в стране).
Широчайшую зону риска, в которую попадает большинство россиян, обрисовал «Фонтанке» туристический сервис Aviasales, предоставляющий пользователям предложения от 728 мировых авиакомпаний, 45 агентств и 5 GDS. PR-директор компании Янис Дзенис объяснил ныне действующий обмен данными:
«Допустим, пассажир сравнил у нас билеты из Петербурга в Милан, выбрал вариант компании Alitalia, перешел на сайт билетного агентства, предложившего наиболее приемлемую цену, и внес свои ПД. Эта информация поступает также в GDS и авиакомпанию. Таким образом, идентифицирующие пассажира сведения «оседают» на серверах как минимум трех зарубежных фирм».
По словам Дзениса, иностранные перевозчики не заинтересованы в переносе своих дата-центров в Россию. Во избежание проблем с российским законом им проще поставить заглушку на отечественные IP-адреса и не пускать пассажиров или ждать, когда Роскомнадзор сам найдет мощности для автоматического сканирования и закрытия всех ресурсов, позволяющих россиянам отправлять свои ПД. Кроме того, отечественные компании также используют зарубежные серверы для хранения информации о пассажирах, поэтому отказ от иностранных монстров-GDS в угоду «Сирене-Трэвел» все равно не спасет гражданскую авиацию.
«Одно из двух – либо закон при такой формулировке останется неисполним, либо россиян отключат от Интернета», – резюмирует Янис Дзенис.
Озвученная АЭВТ ситуация парадоксальна и в обозримом будущем точно исправлению не подлежит, считает основатель Aviasales Константин Калинов:
«Почти все российские авиакомпании используют системы бронирования за пределами страны. "Аэрофлот" – американскую Sabre, "Трансаэро" – европейскую Altea Amadeus.
Данные о пассажирах и их билетах хранятся в этих системах. Миграция их (данных. – Ред.) в Россию займет несколько лет. Она должна происходить плавно, дабы не возникло ошибок, задержек и простоя баз данных, иначе авиакомпании просто не смогут летать. Но это про российских перевозчиков. А что делать с зарубежными? Реплицировать данные и хранить их параллельно? Это очень непростое и крайне дорогое технологическое решение. Не забываем, что пассажир летит не только туда, но и обратно. Как в таком случае в аэропорту Амстердама удостовериться, тот ли пассажир пришел на регистрацию? А есть еще и пересадки, где второе плечо может выполнять авиакомпания, которая вообще не летает в Россию».
По словам Калинова, проблема гораздо шире, чем авиаперевозки. Она затрагивает все области предзаказа услуг:
«Каким образом на ресепшене проверить бронь? Каждому из 600 тысяч отелей разместить сервер в России? Но зачастую в гостиницах даже компьютера нет, брони приходят по факсу. При неукоснительном исполнении закона туриндустрия встанет».
Все вышеозвученное в большей степени касается бизнеса, так как доступ к GDS (системы Amadeus, Gabriel, Sabre, Galileo) имеют агенты 10 тысяч авиакомпаний и более 500 тысяч турфирм. Эти ресурсы представляют собой огромные котлы с информационным варевом из рейсов самолетов и поездов, цен, списка гостиниц, круизов, прокатных авто, экскурсий.
Самостоятельным путешественникам, предпочитающим планировать поездки без посредников, не слаще. На них ориентирована другая зарубежная система, IDS (Internet Distribution Systems). Ее самые известные представители, доступные частным клиентам – Booking.com, Hotels.com, Expedia.com. Кроме того, под формальный запрет для россиян попадают все лоукостеры, не считая, конечно, нашу «Победу», дальше Сургута и Геленджика не летающую. Ирландский Ryanair, например, сам реализует билеты, и достаточно одного судебного решения для внесения в реестр нарушителей прав субъектов персональных данных и блокировки сайта. Вряд ли экономящий на всем и потому конкурентоспособный крупнейший бюджетный перевозчик Европы озадачится созданием или центром обработки данных в России.
Да и в принципе поправки в ФЗ создадут крупные препятствия к услугам заграничного свойства. В той же Финляндии театры, концертные площадки, ледовые арены и прочие места массового пребывания сами билетами не торгуют, они поделены между считаным числом местных систем бронирования. Клуб «Йокерит», например, сотрудничает с агентством Lippupiste Oy (lippu.fi), составляющим клиентские базы данных с хранением имени-фамилии, даты рождения, адреса, телефона. «Персоналка» содержится на сервере Lippupiste Oy для удобства при будущих заказах. Агентство реализует билеты на массу зрелищ в Финляндии в том числе и россиянам, но с 1 сентября 2015-го, получается, обязано иметь дата-центр в России.
Для выезда в Финляндию автомобильным транспортом, кажется, тоже нужна противозаконная сноровка. Пересечение границы неизменно связано со считыванием иностранной автоматизированной системой государственного регистрационного знака автомобиля, а он по российским законам наравне с фамилией, возрастом, адресом проживания тоже относится к персональным данным (позволяет идентифицировать владельца транспортного средства).
Столь апокалиптичная картина стала возможна благодаря двойному удару закона № 242. Наименьший ущерб нанесет его часть, посвященная поправкам в ФЗ «О персональных данных» и операторам этих самых данных. Под это определение подходят российские организации и представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке ПД. По состоянию на 11 марта 2015 года в Реестре операторов персональных данных, который ведет Роскомнадзор, числятся 319 тысяч 137 компаний. Все они должны после 1 сентября сообщить регулятору о месте нахождения баз данных информации с персональными данными россиян. Социальная сеть «В Контакте», кстати, в реестре отсутствует. Зато довольно много банков (но не все). Пресс-секретарь ВТБ24 по Северо-Западу Иван Макаров сообщил «Фонтанке»:
«Банк хранит все свои базы данных на территории России, и безусловно выполняет и будет выполнять все обязательства операторов ПД, в том числе касающиеся извещения государственных структур о месте нахождения баз данных».
Судя по реестру, ВТБ24 не просто использует российские дата-центры, но и не пользуется трансграничной передачей данных. Другими эта функция используется. Альфа-банк отправляет ПД клиентов и работников в Казахстан и Голландию, Райффайзенбанк – в Австрию, ЗАО «Ютэйр» – в Мали (вероятно, это связано с участием персонала компании в миротворческих миссиях ООН. – Ред.), «Тойота Мотор» – в Бельгию. «Фольксваген Груп Рус» за прошлый год собрал досье на 260 тысяч покупателей автомобилей в России. Он хранит детальнейшее описание работников, контрагентов, посетителей, фактических и потенциальных клиентов – ФИО, реквизиты документов, отношение к воинской службе, сведения о ближайших родственниках, телефоны, трудовой стаж, данные о банке-кредиторе, сведения о проведении свободного времени, хобби, предпочитаемых журналах, радиостанциях, сайтах и телеканалах, информацию о шенгенских визах за последние 3 года. ПД передаются в Чехию и Германию.
Трансграничное перемещение персональной информации клиентов поправкам не противоречит. Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПД россиян с использованием баз данных на территории РФ. Но это вовсе не значит, что он не может иметь за рубежом альтернативное хранилище и проводить там манипуляции с «персоналкой».
В общем, для оператора (который, напомним, имеет отечественную «прописку») поправка короткая – иметь дата-центр в России или заиметь до сентября и оповестить Роскомнадзор о его местонахождении.
«Очень многие российские авиаперевозчики и компании иного профиля хранят данные за рубежом, – считает IT-специалист Дмитрий Олейник. – Это логично. Клиентскую информацию удобнее и надежнее держать ближе к местам обработки операций по пластиковым картам. Вряд ли к сентябрю наметится массовый переезд в Россию. Скорее всего, здесь будут созданы хранилища-призраки, для отчетности».
А вот вторая часть 242-го закона посвящена дополнению ФЗ-149 от 27 июля 2006 года «Об информации, информационных технологиях и защите информации». Она регламентирует действия обладателей информации и операторов информационных систем (ОИС). В свое время Роскомнадзор разъяснил, что любой веб-сайт считается информационной системой, если содержит в своей базе персональные данные, информационные технологии и техсредства, позволяющие обрабатывать ПД.
В крупнейшей мировой системе бронирования гостиниц Booking.com, наверняка попадающей под признаки ОИС, признали, что своих серверов в России не имеют, и поправки в ФЗ либо серьезно усложнят бизнес, либо ликвидируют работу с россиянами.
«Необходимо понимать, что без передачи информации о вашей личности бронирование невозможно. Если вы делаете резервацию через Booking.com, ваши данные должны быть известны отелю. Мы гарантируем сохранение ПД. Однако, если российским властям этого недостаточно, необходимы разъяснения и инструкции. Мы очень уважаем законодательство государств, в которых присутствуем. Пока затрудняемся сказать, создадим дата-центр или уйдем из страны. Но, нам кажется, Россия не может быть изолирована от всего мира», – отметили в компании.
Под пятой Роскомнадзора могут оказаться также иностранные работодатели. За рубежом трудятся миллионы россиян. Роман Михайлов, работающий в немецкой судоходной компании старшим помощником капитана, пояснил «Фонтанке»:
«Трудоустройство лишено формальностей. Мне присылают договор, я его подписываю, сканирую и с пакетом документов отправляю по электронной почте в немецкий офис. Контора вбивает мои ПД в свой компьютер, я прилетаю и выхожу в море. И кому вредит информационная система моего работодателя?»
Известный консультант по информационной безопасности Алексей Лукацкий в своем блоге выразил мнение, что поправки не станут смертельными для авиаперевозок. Они не распространяются на несколько случаев, в частности, если обработка и хранение ПД за рубежом необходимы для исполнения Россией международных договоров. РФ, отмечает специалист, ратифицировала конвенции о правилах международных воздушных перевозок (Варшавская) и международной гражданской авиации (Чикагская). В их рамках определены требования к паспортам, безопасности (таможенный, пограничный, иммиграционный контроль), авиабилетам и информации, которая должна быть обязательно отражена.
«Среди прочего это фамилия и имя пассажира, реквизиты удостоверения личности, дата рождения. Есть еще и ряд дополнительных сведений (Advance Passenger Information), который сейчас требуют 39 и будут еще требовать 32 страны мира. Обработка этих сведений при оформлении билетов является вполне законной, – уверен Лукацкий. – Упомянутые конвенции – те самые международные договоры, позволяющие хранить ПД россиян за пределами страны. По крайней мере, такой вывод напрашивается, если посмотреть, как регулируется вопрос авиаперевозок».
Впрочем, позиция эксперта пока не подкреплена разъяснениями Роскомнадзора и законодателя, а устройство мировых систем бронирования оставляет мало шансов на то, что к сентябрю появятся разумные «поправки к поправкам». Большинство эксплуатантов GDS на основании вносимых в билетную форму персональных данных предлагает пассажиру аренду автомобиля, гостиничный номер, такси от аэропорта до пункта назначения. Кроме того, защищая права субъекта ПД, закон ставит под сомнение комфортность зарубежной поездки. За границей с сентября 2015-го либо ничего нельзя приобретать по пластиковой карте, ведь данные отправляются в зарубежную платежную систему, обладающую всеми функциями ОИС, либо по возвращении в Россию турист как законопослушный гражданин должен уточнить в Роскомнадзоре, а имеется ли у оператора база данных на территории РФ.
Напомним, что мысли ужесточить ФЗ «О персональных данных» родились на волне шпиономании, вызванной разговорами о тотальной слежке американцев за мировым сообществом. Причем нынешняя патовая ситуация выросла из выступления Владимира Путина на медиафоруме в Петербурге в апреле 2014 года. Он заявил, что Интернет развивается как проект ЦРУ, и что США контролируют Всемирную паутину. И дал понять, что серверы национальных интернет-ресурсов (таких, как "Яндекс" и "ВКонтакте") должны располагаться в России.
Как эту тему развила Госдума, стало ясно уже к лету 2014-го. Апологетом борьбы с зарубежными хранилищами информации выступил Вадим Деньгин, перейдя к рассуждениям о вреде иностранных соцсетей и поисковиков. При этом риски, с которыми страна столкнулась сейчас, публично не афишировались, а обсуждались только экспертным сообществом. В частности, тревогу била Российская ассоциация электронных коммуникаций (РАЭК). Она предлагала снимать с операторов обязанность по хранению ПД в России в случае согласия гражданина хранить информацию за пределами РФ.
Сегодня, 11 марта, стало известно, что интернет-омбудсмен Дмитрий Мариничев предложил что-то похожее. Как сообщают «Известия», он написал премьеру Дмитрию Медведеву письмо с предложением разрешить россиянам давать согласие на размещение ПД на территории любой из 46 стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (США в список не входят. – Ред.).
Также весьма спорным выглядит полномочие Роскомнадзора блокировать сайты, которые хранят информацию о россиянах, не зная, что они россияне.
«Персональные данные могут быть любого состава и необязательно включают в себя гражданство, что делает соблюдение закона крайне затруднительным», – уточнили в ассоциации. На ее предложение разъяснить, что ФЗ применяется только в том случае, если обрабатываемые данные включают в себя гражданство (например, если пользователь специально его указал), власть тоже никак не отреагировала.
Но и без заграничных вояжей и покупок 1 сентября 2015 года обещает россиянам весьма яркую перспективу. Например, закрытие Facebook. Общеизвестно, что соцсеть не имеет дата-центров в России. Ближайший находится в шведской Лапландии, куда стекается информация о пользователях из Европы и Азии. Любой гражданин (провокатор, враг всего западного, патриот – кому как нравится), создав страницу от своего имени, легко выиграет суд за нарушение установленного законом порядка сбора, хранения, использования или распространения информации. После этого в дело вступает Роскомнадзор. Да и само ведомство, заручившись требованием хранить информацию в России, может через суд внести Facebook в реестр нарушителей и обязать провайдеров ограничить доступ россиян к социальной сети.
Год назад, 13 марта 2014-го, Роскомнадзор массировано опробовал закон о досудебной блокировке сайтов, закрыв оппозиционные ресурсы и журнал Навального. Впрочем, новые полномочия регулятора имеют формальную фильтрацию – через судебные решения.