Несколько слов о локализации данных

Обсуждаем последние споры о локализации данных, истоки данного института и его цели в нашем новом лонгриде.

Каждый из вас, наверное, слышал о многомилионных штрафах Google, WhatsApp и Twitter за отказ от так называемой локализации. Суммарно размер штрафов за несоблюдение требований к локализации уже превышает 70 миллионов рублей.
Новые судебные споры с назначением всё больших размеров штрафов дают нам повод задуматься об эффективности штрафа как меры ответственности за нарушения требований о локализации.


Попробуем вместе разобраться и выяснить:
✖️ что такое "локализация"?
✖️ какие цели преследовал законодатель при введении требования о локализации в российское право?
✖️ какие есть аналоги у требования к локализации за рубежом?
✖️ что такое target test, и как он применяется на практике?

Локализация – процесс сбора, записи и хранения информации в базе данных любого устройства, расположенного в пределах границ конкретного государства.
1
С чего всё начиналось?

На дворе 2015-ый год. В законодательство о персональных данных вносятся многочисленные поправки. Одно из новшеств – норма, которая предписывает, что при сборе персональных данных российских граждан их запись, хранение, актуализация, изменение и извлечение должны осуществляться с использованием баз данных на территории России.


Цель введения требования к локализации – обеспечить защиту личной информации соотечественников, предотвратив её накопление и утечки за границей.

2
Требования к локализации – российский эксперимент или широко распространенный инструмент защиты данных?
Правила о локализации данных — не российское новшество. Аналогичные требования реализованы во многих юрисдикциях – Европейском союзе (ЕС), Вьетнаме, Индии, ОАЭ, Саудовской Аравии.

Несмотря на то, что требования к локализации и объем локализуемых данных разнятся в перечисленных странах, общим остаётся снижение активности бизнеса, которому приходится нести дополнительные издержки на создание инфраструктуры для хранения данных пользователей. Так, жесткие требования ЕС к передаче данных в третьи страны, например, США, где располагается большая часть мировых серверов и головных компаний, фактически препятствуют тому, чтобы данные покидали Европейский Союз.

Поэтому некоторые страны прямо отрицают эффективность введения территориальных ограничений и выступают за мобильность данных (data mobility).
3
Локализация: проблемы на практике
Введенная в российское право норма о локализации буквально всполошила рынок. Мало того, что иностранным компаниям пришлось перестроить процессы и обзавестись дорогостоящим оборудованием, неочевидными оставались требования к локализации.
Как понять, что случайный пользователь сайта – российский гражданин? Просить его предоставить данные паспорта?
Эта процедура представляется не только затратной, но и длительной. Её внедрение со всей очевидностью повлечет за собой снижение конверсии.

— Определять пользователя по IP-адресу?
В теории этот механизм может сработать. На практике же потребует дополнительных затрат, причём не всегда оправданных с учётом динамических IP-адресов и VPN-сервисов, позволяющих обходить средства определения IP-адресов.

Чтобы как-то привести участников рынка в чувство государство ввело так называемый target test — критерии, по которым можно определить, что компания должна задуматься о локализации российских данных.

Какие критерии составляют target test?


  • Доменное имя (.ru, .рф, .su);
  • Доступ к функционалу сайта на русском языке;
  • Возможность оплаты рублями;
  • Реклама ориентированная на российских пользователей;
  • Возможность оказания услуг на территории России.

Тем самым презюмируется, что компания, целенаправленно ведущая свою активность в России, обрабатывает изрядное число персональных данных россиян.

4
Target test в действии
Первый громкий спор о локализации данных относится к 2016 году. По результатам проверки выяснилось, что LinkedIn собирала персональные данные российских пользователей в нарушение требований о локализации. Как результат, LinkedIn был заблокирован в России по требованию Роскомнадзора. За ним последовали Google, Twitter и Meta.

Очевидно, что для IT-гигантов миллионные штрафы – мелочь. С другой стороны, запрет сервисов из-за требований к локализации – четкий и недвусмысленный сигнал потенциальным нарушителям: "мы придём за вами, вы следующие на очереди".
Очередь-таки пришла в этом году, когда IT-компании начали привлекать к ответственности пачками. При этом доводы и реплики в поддержку несоблюдения требований к локализации вызывают все больше удивления.
В деле Ookla суд посчитал, что target test не применим в делах о локализации (!), поскольку обязанность локализовывать данные ложится на каждую компанию, на сайте которой гипотетически могут зарегистрироваться российские пользователи.

По делу Spotify суд вообще высказался о том, что локализация данных предполагает запрет на какую-либо обработку таких данных в других странах (ох, если бы суд знал, что 99% его данных так или иначе передаются за рубеж, иначе он бы не смог пользоваться самыми простыми вещами, электронной почтой, например…).

Задает тон и Роскомнадзор — теперь ведомству надо не только предоставить договор аренды российских серверов, но и указать, какие конкретно данные российских пользователей по договору обрабатываются.

Вместо выводов
Как высказался представитель Spotify в суде, закручивание гаек однажды просто приведет к тому, что все иностранные сервисы, даже те, кто как Spotify изначально делал все, чтобы соблюдать российские законы, соберутся и уйдут.

В конечном счёте, из-за ограничений больше всего теряет российский пользователь – ему приходится переходить на другие площадки, платить за VPN-сервисы, открывать счета за рубежом, чтобы и дальше слушать музыку, покупать приложения, смотреть фильмы. Но такова реальность, и к ней с неизбежностью приходится адаптироваться. Будучи с вами в одной лодке, мы постараемся сделать ваш путь хоть чуточке приятнее.
В наших следующих постах и лонгридах мы расскажем вам, как можно обходить ограничения, переносить плейлисты, историю покупок, рекомендаций и предпочтений из одного приложения в другое, а также о многом-многом другом.