Виталий Казанцев, IT-Law: отдельный закон по «облакам» делать нет смысла

— Виталий, вопрос «облаков» (т.н. облачных технологий), точнее законодательства вокруг них — тема довольно острая, и часто является предметом дискуссий в ИТ-сообществе. Неоднократно я слышал и своего рода воззвание — нужен специалист, который раз и навсегда разъяснит ситуацию для участников рынка. Понимают ли сегодня, например, в финансовом секторе все законодательные нюансы в вопросе облаков, хранения персональных данных?

— В условиях, когда отсутствует отдельный профильный закон, который регулировал бы «облака» (взяты в кавычки, т.к. законодательно определенного термина в РК пока не существует), мы применяем либо части отдельных правовых актов, регулирующих «облака» в той или иной мере, а в случае отсутствия прямого регулирования этой части — аналогию закона или аналогию права. Особенностью «облаков» в данном случае является их сущность — это, в большинстве случаев, услуга виртуального хранения информации третьими лицами. То есть, кроме собственно хранения, речь идет еще и о передаче/получении такой информации к/от третьего лица.

И здесь сформировались два пути регулирования таких действий — государство устанавливает определенные требования к контенту — то есть, что передается, обрабатывается и хранится и так далее, а также устанавливает требования к организации такой работы — как это все передается, обрабатывается и хранится и т.д. При этом, когда у нас отсутствует самостоятельный отдельный профильный правовой акт, это не означает, что у нас вообще нет правовой базы, регламентирующей эту деятельность. Правовое регулирование было и есть в той или иной степени. Ведь пускать на самотек такой процесс — это очень опасно. И с позиции информационной, я уже не говорю о национальной безопасности. Интернет и социальные сети, например, пестрят историями об утечке данных о кредитных картах физических лиц. Задача государства в этой части — обеспечить безопасное функционирование финансовой системы, в том числе, правовым регулированием отдельных частей данной деятельности, например, той, о которой мы и говорим — «облаков». С позиции персональных данных, с позиции банковской тайны, с позиции организации работы корпоративных сетей передачи данных и т.д. То есть, с каждой стороны есть некие регламентирующие правовые акты, которые и регулируют этот собирательный образ «облака».

Но, с другой стороны, когда у нас отсутствует отдельный самостоятельный профильный закон или иной правовой акт, который был бы понятен для всех участников рынка, довольно тяжело проанализировать все аспекты использования «облаков». И в этом деле очень важно понимать суть процессов, происходящих как внутри «облака», так и снаружи него.

Я повторю еще раз, когда есть отдельный самостоятельный профильный закон — конечно, все понятно, все описано и вот это и есть основной путь анализа возможностей «облака» — да, так можно, или нет, так нельзя. Система законодательства Казахстана в части регулирования «облаков» представлена целым пулом правовых актов как одного уровня — «О персональных данных и их защите», «Об информатизации», «О связи», есть закон «О национальной безопасности РК», есть закон «О банках и банковской деятельности в РК» и так далее, — так и довольно большим количеством подзаконных актов. Трудно сказать, есть ли некая конкуренция между нормами, которые изложены в этих законах, так как они прямо не противоречат друг другу, но в каждом конкретном случае, как правило, применяется та норма, которая более четко и точно регулирует ту часть, где возникает конкретный спорный вопрос.

— То есть, вы за то, что нужен профильный закон?

— Отдельного профильного закона по «облакам» нет, как я уже говорил, но и создавать его в статусе самостоятельного закона не имеет смысла. Ну, давайте сделаем закон о мебели, или о серверах, или еще что-либо подобное — это неэффективно в рамках текущего развития страны, так как в любом случае наряду с основным таким законом потребуется корректировка и внесение изменений в существующую правовую базу. Начинать надо с небольшого — нельзя охватить необъятное. Поэтому речь изначально надо вести о неких дополнениях и изменениях, которые могут выразиться в законе об изменениях и дополнениях в существующие правовые акты. Чтобы, благодаря этим изменениям, было понятно, с позиции какого закона будет регулироваться та или иная часть «облаков»: цель, какой подход и какую позицию ставит государство в вопросе регулирования «облаков», пределы, права и обязанности субъектов рынка — организаторов «облаков», пользователей их услуг, самого государства.

Сейчас на рынке есть игроки как локальные, так и зарубежные. С местными более-менее все понятно — они, надеюсь, соблюдают все нормативно-правовые акты Казахстана — они и созданы, и работают в рамках юрисдикции Республики Казахстан. А вот с иностранными все сложнее, так как вопрос территориальности, точнее территориальной юрисдикции государства в том же интернете до сих пор неоднозначно решается во всем мире. Хотя, пользуясь аналогией и тут можно сказать об опыте регулирования, как, например, это происходило с иностранными телеканалами — хочешь работать на территории Казахстана и для граждан Казахстана — выполни определенные формальности, покажи серьезность своих намерений, соблюдай местное законодательство, если, конечно, дополнительно нет отдельных международных договоров. Чтобы завтра ты мог ответить за свои действия, причем, не только с позиции неких претензий к твоей работе, но и своей же защиты от недобросовестных нападок. То есть, если очень банально — должна быть точка входа для работы с оператором/владельцем «облака» — место, где можно получить ответы на вопросы, обязанность оператора по таким ответам, гарантии для пользователей, наконец, возможность судебной защиты прав граждан и юридических лиц с таким зарубежным игроком на территории РК — навряд-ли небольшой стартап-проект будет инициировать судебные иски за рубежом по месту нахождения оператора «облака» — себестоимость услуг «облака» и себестоимость судебных расходов могут быть несопоставимы. И это, кстати, на мой взгляд юриста, в том числе, одна из причин относительно небольшого распространения «облаков» в РК — это не только судебные расходы, но и некое недоверие к возможности эффективной защиты своих прав за пределами Казахстана.

— Виталий, очевидно, что все не так просто. Возможно, все-таки игрокам был бы более понятен конкретный документ, предельно ясный и не вызывающий разночтений?

— Повторюсь — на мой взгляд — отдельный самостоятельный закон не нужен. «Облака» уже работают — хорошо или плохо — но работают и без профильного самостоятельного закона. Нужен закон о внесении изменений и дополнений в действующие нормативные правовые акты. Почему? Да потому, что проработка отдельного закона займет большее количество времени и не факт, что закон получится идеальным — где-то может быть существенно изменен подход к уже сложившейся правовой и судебной практике в рамках действующего законодательства, а с учетом положений законодательства о том, что при наличии противоречий в нормах нормативных правовых актов одного уровня необходимо руководствоваться нормами акта, позднее введенного в действие, то очевидно, что явно невидимые в момент принятия такого закона нестыковки в процессе практики его реализации могут вызвать вообще глобальное изменение подходов в этом вопросе. Иными словами, возникнет так называемое «непонятное время», когда практики реализации закона еще нет, а старым в силу противоречия пользоваться уже нельзя. В результате чего принцип единообразия в понимании данного вопроса попросту будет нарушен. Поэтому внесение изменений как раз и продемонстрирует, какими аспектами работы «облаков» интересуется государство, какие хочет регулировать.

— Мне понятна ваша позиция. А что сегодня можно делать в «облаках» учреждениям финсектора, а чего нельзя?

— Особенность финсектора — наличие отдельного регулятора, однако, на мой взгляд, подход должен быть одинаков для всех участников, с допущением, конечно, отдельных особых прав и обязанностей, связанных с необходимостью стабильности работы финсектора. Например, сейчас если смотреть профильный закон о персональных данных, то основное ограничение — это хранение персональных данных на территории Казахстана. Запрета на резервирование данных за рубежом в данном законе нет. Будет ли регулятор сопоставлять банковскую тайну и персональные данные, ужесточать их правовой режим для работы в «облаках» или наоборот — этот вопрос требует серьезного анализа и обсуждения с участием представителей обеих сторон. К сожалению, принцип права «разрешено все, что не запрещено» для бизнеса трансформируется в принцип «все что прописано — разрешено, остальное — запрещено» для государственных органов. И это серьезная проблема, требующая совместных подходов и компромисса, при этом, обе стороны по-своему правы — и у той, и у той есть своя регуляторика, отчетность, показатели. То есть, известное выражение «два юриста — три мнения» в данном случае не просто фраза, каждая из сторон может обосновать правоту своей позиции на довольно высоком и профессиональном уровне. Точку, конечно, может поставить только суд, но в Казахстане не прецедентное право.

А начать нужно с маленького — с терминологии. Нужно для начала сформулировать и закрепить в законодательстве понятие «облака» — иначе мы будем «плавать» в формулировках и видеть «черное» вместо «белого» в зависимости от того, на чьей стороне мы оказались.

— Представим себе гипотетическую ситуацию — есть некий БВУ, который активно пользуется облачными услугами. Может ли он хранить персональные данные в той же Российской Федерации? Которая, в свою очередь: а) является партнером Казахстан по ЕАЭС; б) на территории РФ есть аналогичный закон о персональных данных. Это законно?

— Если в рамках исключительно законодательства Казахстана о персональных данных, то предусмотрены условия для трансграничной передачи персональных данных и к хранению. Есть норма об обязательности хранения персональных данных в базе на территории Республики Казахстан. Но и прямого запрета в этом законе на хранение резервной/дублирующей базы данных с персональными данными в «облаке» за пределами Казахстана тоже нет. Но дьявол кроется в деталях — от того, как организована сеть до того, для каких целей и как получено согласие от клиента на обработку и хранение его персональных данных и т.д. Вопросов сразу возникает очень много. В каждой ситуации необходим хороший юридический анализ.

— Виталий, на конференции Profit Finance Day вы говорили о неких коллизиях, которые существуют в нормативно-правовых документах в части сетей передач данных. Что это за коллизии?

— Скорее это не коллизии, а отставание законодательства от тех веяний ИТ-рынка и новшествах, усиленно применяющихся на рынке. Все упирается как всегда в основу — терминологию, не всегда у нас есть четко описанные определения терминов, однако, регулирование, тем не менее, есть. Например, взять то же «облако», о котором мы с вами говорили все это время. Что это? На первый взгляд — это что-то виртуальное, услуга, например, как хостинг, понятия которого, кстати, тоже в законодательстве РК как такового не существует. Создавая VPN с сервером, где размещено физически «облако» я создал корпоративную сеть? Да, так как сеть связи — это в том числе и линии передачи. С другой стороны, сигнал передается по физической инфраструктуре оператора связи, для которого в отличие от нас, «виртуальных сетей», все приземленно — это либо наземный, либо беспроводной, либо спутниковый канал связи. С третьей стороны владелец «облака», можно сказать, частично контролирует трафик, он решает, что отправлять по этой сети нам, а что нет, т.е. он частично управляет нашей «виртуальной» корпоративной сетью. И каждый участник видит ситуацию со своей стороны, не говоря уже о государстве. В связи с чем возникает резонный вопрос — а что делать нам, чьими глазами смотреть на ситуацию? И таких вопросов довольно много.

— Были ли прецеденты, когда казахстанских субъектов наказывали за нарушение нормативно-правовых актов в части хранения персональных данных?

— Подзаконная база пока еще в стадии формирования, равно как и практика применения этого закона. В связи с чем, о таких случаях применительно именно к БВУ мне не известно, возможно, их и нет. Банки осведомлены об основных рисках и стараются не допускать даже малейших возможностей трактовки их действий как нарушения. С другой стороны, юристов редко привлекают к анализу более глубоких и не лежащих на поверхности рисков в ИТ-департаментах. Я считаю это относительно порочной практикой, я за проектный подход, который бы нивелировал возможность их (рисков) материализации.