И снова о локализации персональных данных в новой редакции

3 марта выложил пост о локализации персональных данных россиян в период их сбора. Поскольку споры в профессиональной среде продолжаются, предлагаю прочесть новую редакцию статьи 18 152-ФЗ «О персональных данных» буквально.

С 1 июля 2025 года пятая часть этой статьи будет выглядеть следующим образом: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Жирным выделены те слова в законе, смысл которых я хочу пояснить.

В первом посте на эту тему я уже писал, что запрет размещать вне России базы с собранными персональными граждан Российской Федерации распространяется только на сбор персональных данных и никоим образом не затрагивает дальнейшую их обработку.

Ряд же коллег рассуждает примерно так: сбор предполагает его соответствие определенной цели, и дальнейшая обработка с этой целью исключает любые действия, перечисленные в запрете. Поэтому, собрав персональные данные, оператор должен все дальнейшие действия с ними выполнять только в рамках запрета, т.е. в том числе не хранить и не накапливать полученные данные в зарубежных базах, что делает полностью невозможной трансграничную передачу данных россиян операторами, подпадающими под действие российского закона, в том числе иностранными. При этом изначальная цель сбора данных, например, оказание туристических услуг за пределами России, никакого значения не имеет, а, значит, ее достижение становится изначально невозможным.

Конечно, возможно и такое, но для этого надо полностью сменить парадигму закона и для начала запретить трансграничную передачу вообще, а не городить сложную и трудно понимаемую конструкцию. 

Теперь по существу. Главная проблема прочтения закона и его однозначного понимания кроется в его понятийном аппарате, а если говорить прямо – фактически в его отсутствии. Ни один из способов обработки персональных данных, выделенных мною жирным шрифтом в цитате из закона выше, в законе не определяется. А как можно спорить о том, что написано в законе, если точного определения предмета спора в нем просто нет?     

Я готов пойти значительно дальше Минцифры и Роскомнадзора, определивших  в 2015 году сбор персональных данных как получение данных непосредственно от субъекта, хотя бы потому, что в этом случае формирование новой базы данных из ранее собранных сведений путем исключения части собранных данных и (или) добавления новых сведений, например, созданных о субъекте самим оператором персональных данных, (перспективный/не перспективный, целевая аудитория сбора/ не целевая и т.д.) вообще под часть 5 статьи 18 не подпадает и на такие действия с последующим переносом данных за рубеж императивный запрет не распространятся.

Сбором является получение любых сведений о новом субъекте персональных данных, ранее не включенном в базы оператора или получение новых сведений об уже установленном субъекте, и источник получения в данном случае значения не имеет. Это может быть сам субъект, система оператора (СКУД, система учета рабочего времени, бухгалтерская система) или персонал оператора (аттестация, формирование грида работника и т.п.) или внешний источник (общедоступный ресурс, например, сайт другого оператора с опубликованными персональными данными или одна из многочисленных ГИС, таких как ЕГРЮЛ, банк должников или картотека судебных дел). 

Итак, запрет вводится на действия при сборе персональных данных, т.е. при их получении оператором. Про дальнейшую обработку, после сбора, запрет молчит. Тут надо учитывать, что сбор данных о субъекте – очень часто процесс, во времени не ограниченный. Например, данные о работнике работодатель накапливает в течение всего периода длящихся трудовых отношений, а продавец о покупателе – в течение всего периода действия программы лояльности, например.

Значит, говорить можно о процессе сбора в отношении конкретного субъекта, а не достижения цели в целом.

В этом контексте рассмотрим указанные и не указанные в запрете способы обработки.

Самый простой вопрос с записью. Собранные данные (полученные впервые)  записать сразу в зарубежную базу нельзя, только в российскую. Все ясно и просто.

Аналогично с уточнением, обновлением и изменением – все это следствие получения каких-то новых данных, внести их можно изначально только в российскую базу данных.

С систематизацией тоже более-менее понятно. Если полученные при сборе данные требует изменения систематизации записей в базе, это надо сделать в российской базе, куда данные и вносятся. 

Как можно извлечь данные из зарубежной базы при сборе, вообще не понятно, просится вариант с получением данных о россиянине из зарубежного источника, но такой запрет выглядит довольно бессмысленным, если данные о нем в зарубежной базе уже есть.

Остается самое сложное – накопление и хранение. Тут самое важное – ограничение запрета сбором персональных данных. Значит, полученные при сборе данные россиян надо накапливать и хранить именно в российской базе. ОК.

Очень важно, какие действия в запрете не упоминаются. А они ключевые в данном аспекте. Нет запрета на использование полученные при сборе и зафиксированных в российской базе персональных данных с использованием зарубежных баз после их сбора, на передачу, в том числе трансграничную, и предоставление. Нет.

Поэтому в новой редакции статьи 18 закона нет никаких ограничений на передачу полученных при сборе данных в зарубежные системы для их последующей обработки как российским оператором (в какой-нибудь условной Salesforce или корпоративной системе кадрового администрирования иностранной компании с дочкой, филиалом или представительством в России), так и зарубежным партнером российского оператора, той же турфирмой в Танзании или на Мальдивах.

Иное ведет к остановке всех зарубежных платежей даже в самые что ни на есть дружественные страны, зарубежного туризма, роуминга сотовой связи, исполнения контрактов с зарубежными поставщиками и покупателями, и т.п.

О локализации персональных данных в новой редакции

 

1 июля 2025 года вступает в силу закон от 28.02.2025 № 23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации». Вообще-то он не про 152-ФЗ, ему посвящена в новом законе всего одна статья из 9 вносящих изменения в законодательство, но нас, простых субъектов и представителей обычных операторов, интересует именно она, и даже не вся, а лишь одно изменение, поскольку остальные касаются исключительно персональных данных сотрудников спецслужб.

Приснопамятная часть 5 статьи 18, вступившая в силу 1 сентября 2015 года, получила новую редакцию в полном соответствии с правилом «матрешек Хинштейна» и в его же авторстве ко второму чтению закона, написанного совсем о другом.

Вот как эта часть статьи теперь выглядит в наглядном сравнении:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизациюя, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».

Жирным выделены новые слова в законе.

Что изменилось с точки зрения выполнения обязанности о локализации персональных данных россиян в период их сбора?

На мой взгляд, ровно ничего, кроме исключения из текста упоминания об операторе и распространения правила на любых лиц, выполняющих сбор персональных данных (а фактически – еще и обработчиков, которым это было вменено в обязанность с 1 сентября 2022 года в новой редакции части 3 статьи 6, но не более). Да, как пишут коллеги по цеху (см., например, прекрасную презентацию Алексея Мунтяна, и он не одинок, и я с этим утверждением категорически согласен, но с одной оговоркой), позитивная обязанность, позволяющая размещать такие базы данных за рубежом после первичной локализации ранее собранных персональных данных, трансформировалась в императивный запрет размещать вне России базы с собранными персональными граждан Российской Федерации.

Но! Оговорка: этот запрет, как и ранее обязанность, распространяется только на сбор персональных данных и никоим образом не затрагивает дальнейшую их обработку. Нет в тексте закона слов о запрете последующей трансграничной передаче собранных данных.

А законы надо читать буквально, как учит нас право и Роскомнадзор (например, в Научно-практическом комментарии к закону: «При буквальном толковании (применяемом в правоприменительной практике «по умолчанию»)). Нет там запрета. И быть не может. Данные, собираемые туристическими компаниями или международными перевозчиками, не могут не подвергаться трансграничной передаче иначе как наложением полного запрета на ее осуществление в принципе. А это совсем другая реальность.

Вопрос может быть поставлен о полном переносе собранной базы данных за рубеж, но и это из области домыслов. Сбор оператором никогда не прекращается. Принимаются и увольняются работники, заключаются и прекращают действие договоры с клиентами, начинаются и заканчиваются промоакции и так далее. Какая база и в какой момент полная? Но и этого в новой редакции тоже нет.

При этом многие из коллег ссылаются на два комментария к закону – аппарата вице-премьера Дмитрия Григоренко, сенатора Артема Шейкина, депутата Сергея Боярского и других высокопоставленных чиновников и избранников:

«В аппарате Григоренко пояснили, что поправки уточняют «обязанности операторов связи осуществлять обработку персональных данных граждан РФ с использованием различных баз данных исключительно на территории РФ»»,

«Сенатор Артем Шейкин сообщил ТАСС, что теперь за рубежом не должно быть даже копий баз с данными россиян. Те компании, которые вели запись, систематизацию, накопление, хранение данных в зарубежных базах, должны использовать инфраструктуру, расположенную в РФ»,

«Смысл поправки в том, что базы с содержанием ПД наших граждан должны находиться на территории исключительно нашей страны и не иметь копий вне ее территории, за исключением данных дипломатических работников и сотрудников российских СМИ, которые работают за рубежом», — сообщил Forbes глава комитета Госдумы по информполитике Сергей Боярский. 

Вы видели в тексте закона слово «копия»? Требование об обработке исключительно не территории России? Я – нет. Наверно, мы читали разные законы. Но я другого не знаю. При всем глубоком уважение к цитируемым выше лицам они источником права не являются. И не являются ни представителями регуляторов в сфере персональных данных, ни представителями правоприменителей. А свое частное мнение, безусловно, может высказывать каждый. Как и я в этом посте, например.

И еще два вопроса в связи с принятием новой редакции закона.

Первый. Определения сбора в законе по-прежнему нет (и это очень плохо). И регулятор (Минцифры), и правоприменитель (Роскомнадзор) еще в 2015 году, комментируя новшество о локализации, высказывали мнение (письменно, на своих официальных сайтах), что сбор персональных данных – это получение данных непосредственно от субъекта (при большом желании найти эти комментарии на сайтах еще можно, но не очень просто). Утверждение более чем спорное (снова отправляю жаждущих знаний к презентации А. Мунтяна, там про сбор очень подробно и доходчиво), но если жить в этой парадигме, то компиляция новой базы из ранее собранных данных вообще сбором не является, и на нее требования новой редакции части 5 статьи 18 вообще не распространяется. И возможности оператора использовать зарубежные ресурсы для обработки персональных данных ограничены только возможными последствиями уведомления Роскомнадзора (а заодно ФСБ, Минобороны и МИДа) о трансграничной передаче.   

И второй. Требования о локализации по-прежнему не распространяется на сбор данных с целями, предусмотренными законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (т.е. сбор данных для кадрового, бухгалтерского, налогового, воинского учета можно вести сразу в зарубежную базу данных), участия в судопроизводстве, оказания государственных и муниципальных услуг (т.е. собирать данные в ЕСИА через Google Forms) и для профессиональной деятельности СМИ и журналистов. Это было и 10 лет назад за гранью моего понимания (я писал об этом в своем блоге здесь и здесь, например, и не только), остается там же и теперь . Про госуслуги особенно удивительно, поскольку с того же 2015 года (но с 1 июля, а не сентября) действует норма части 2.1 статьи 13 закона «Об информации, информационных технологиях и о защите информации», в соответствии с которой все технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации. Почти десять лет это полное противоречие живет в российских законах, и, похоже, исправлять его никто не собирается.

Грустно все это…

Отнесение данных к биометрии, или история одной измены

 «Несмотря на то, что законодатель закрепил понятие биометрических данных в комментируемом законе, до настоящего времени отсутствует единообразное толкование данного термина, а, соответственно, и понимание, какие данные о человеке могут являться его биометрией».     Федеральный закон «О персональных данных»: научно-практический комментарий, М., 2015

Дискуссия об отнесении персональных данных к биометрическим, в первую очередь – изображения лица человека, с той или иной периодичностью, но постоянно, вспыхивает в профессиональном сообществе. Как один из авторов дезавуированного Роскомнадзором и не подлежащего применению разъяснения 2013 года относительно биометрических данных, предлагаю свое разъяснение и одно из пояснений, почему за все время действия закона 152-ФЗ (а 17,5 лет для этого более чем достаточно) этот вопрос так и не решился.

Первое и главное. Вопрос отнесения к биометрии – вопрос не правовой и не юридический. Юристы к этой проблеме вообще никакого отношения не имеют.

Это проблема чисто математическая, а вся биометрия построена исключительно как прикладная математическая дисциплина. Обработка биометрии предполагает наличие образцов идентификаторов (изображение лица, слепок голоса, рисунок папиллярного узора пальца или радужной оболочки глаза и т.д.), переведенных в цифровую форму (математический шаблон, вектор ЕБС и т.п.) с последующим сравнением их с предъявленным идентификатором, переведенным в цифровую форму по тем же правилам. Этот процесс позволяет установить личность владельца идентификатора без участия человека или принять решение, что физическим лицам, чьи данные есть в системе, этот идентификатор не принадлежит (с определенной вероятностью) и полностью соответствует определению ч.1 ст.11 152-ФЗ.

Вывод о том, что проблема отнесения – математическая, а не правовая, также соответствуют позиции Роскомнадзора, изложенной в Научно-практическом комментарии 2015 года: «Законодательное понятие биометрических данных предполагает не только наличие определенных сведений, содержащих информацию о физиологических и биологических особенностях человека, но также использование биометрических методов идентификации личности».

Разработкой международных стандартов обработки биометрических данных с 2002 года занимаются вовсе не юристы из EDPB, органов, надзирающих за соблюдением GDPR или Рабочей группы WP29, а специальный подкомитет ISO/IEC JTC 1/SC 37 Biometrics.

В России нормативным регулированием биометрии занимается Технический комитет по стандартизации ТК 098 «Биометрия и биомониторинг» Федерального агентства по техническому регулированию и метрологии, в состав которого входят четыре (!) подкомитета. С 2005 года разработано и введено в действие более 70 национальных стандартов.

Наиболее интересным для рассматриваемого вопроса является межнациональный терминологический стандарт биометрии – ГОСТ ISO/IEC 2382-37-2016 «Информационные технологии. Словарь. Часть 37. Биометрия», принятый восемью странами СНГ.

В соответствии с этим ГОСТом:

·         биометрическая характеристика: биологические и поведенческие характеристики индивида, которые могут быть зарегистрированы и использованы в качестве отличительных, повторяющихся биометрических признаков для автоматического распознавания индивидов. Примерами биометрических характеристик являются: папиллярная структура Гальтона, топография лица, текстура кожи лица, топография кисти руки, топография пальца, структура радужной оболочки глаза, структура сосудов кисти руки, папиллярная структура ладони, изображение сетчатки глаза, динамика рукописной подписи и голос;

·         биометрическое распознавание/биометрия: автоматическое распознавание индивидов, основанное на их поведенческих и биологических характеристиках. Термин «индивид» относится только к человеку. Общее значение биометрии включает в себя подсчет, измерение и статистический анализ любого типа данных из области биологических наук, включая родственные медицинские науки. Автоматическое распознавание подразумевает, что биометрическая система может быть использована для распознавания как автоматически, так и при участии человека, но в любом случае наличие биометрической системы является обязательным;

·         биометрическая система: система, предназначенная для биометрического распознавания индивидов, основанного на их поведенческих и биологических характеристиках.

Межгосударственный ГОСТ ISO/IEC 24713-1-2013 «Информационные технологии. Биометрические профили для взаимодействия и обмена данными. Часть 1. Общая архитектура биометрической системы и биометрические профили» дает следующие определения:

·         биометрия: автоматизированное распознавание личности человека, основанное на его поведенческих или биологических характеристиках;

·         биометрические данные: информация, извлеченная из биометрического образца и используемая для построения шаблона, с которым сравнивается ранее полученный шаблон;

·         биометрические функции: процедуры или действия по биометрической регистрации, верификации и/или идентификации внутри биометрической системы.

Как видите, речь идет об автоматизированном установлении принадлежности биометрических идентификаторов конкретной личности, то есть идентификации человека, а все эти придумки с охранниками, внутренними порталами, досками почета, фото на сайте и стриминговым видео никакого отношения к теме не имеют. Наносное.

А вот, если внутренний портал организации с фотографиями подключен к ЕБС (зачем????), это точно биометрия, и, если у организации нет аккредитации для проведения биометрической аутентификации, можно смело выдвигаться с вещами на выход.

А при чем здесь измена в заголовке? Я математик по образованию. В 2013 году при подготовке разъяснения я, увлеченный новой и такой завлекательной темой правового регулирования оборота персональных данных, изменил математике, с которой прожил большую часть своей жизни, и попытался совместить нормы закона «О персональных данных» с четкими и строгими формулировками математических понятий, основанных на теории информации (в первую очередь – теории кодирования в части физического кодирования, перевода биометрических данных в шаблоны (теперь вот – векторы) и определения точек контроля), теорией вероятности и математической статистике (в части расчета математического ожидания, вероятностей совпадения контрольных точек и порядка принятия решения о принадлежности биометрических идентификаторов конкретному лицу, оценка ошибок первого и второго рода о принадлежности или не принадлежности идентификатора конкретному субъекту). Но, как писал наш классик в поэме «Полтава», «В одну телегу впрячь не можно коня и трепетную лань».

Каюсь. Допущение о возможности прямого вовлечения человека в принятие решения о принадлежности идентификаторов субъекту без использования биометрических методов верификации личности при отнесении данных к биометрическим было глубоко ошибочным.

Исправить все можно достаточно просто. Еще в декабре 2013 года группой сенаторов во главе с В.И. Матвиенко в Госдуму был внесен законопроект № 416052-6, который, в том числе, предусматривал корректировку части 1 статьи 11 закона «О персональных данных» в части определения биометрии, добавив в него всего одно слово и перенеся скобки: «Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для автоматической идентификации субъекта персональных данных (биометрические персональные данные)». В подготовке этого документа я принимал активное участие в составе рабочей группы, и эта была для меня некая форма покаяния за измену. Но законопроект был принят в первом чтении спустя почти 4 года, в мае 2016, перед вторым чтением его завернули и с тех пор он где-то тихо лежит под сукном.

Вот такая история.

И из неожиданного. В результате вмешательства правоведов в чуждую им область деятельности в 572-ФЗ решили исключить из биометрии векторы (т.е. шаблоны), которые как раз и являются биометрическими данными при проведении идентификации аутентификации (верификации) в понимании всех международных ГОСТов по этой тематике. И это уже совсем за гранью понимания.