Политика конфиденциальности персональных данных: истоки законодательства и мировое влияние

Международные истоки защиты персональных данных

Идея защиты персональной информации коренится в общем праве на неприкосновенность частной жизни, закрепленном в фундаментальных международных документах. Так, Всеобщая декларация прав человека 1948 года и Европейская конвенция о защите прав человека 1950 года провозгласили право каждого на личную и семейную тайну [1]. Однако вплоть до 1970-х годов национальные законодательства практически не регулировали вопросы обработки персональных данных [2]. Ситуация стала меняться с развитием вычислительной техники: в 1970-х появились первые законы, направленные на защиту данных.

Пионерами здесь стали некоторые европейские страны. Например, в немецкой земле Гессен еще в 1970 году был принят первый региональный закон о защите данных [3], а в Швеции в 1973 году вступил в силу первый национальный закон о персональных данных – Data Act (Datalagen) [5]. Шведский закон обязывал компании получать специальную лицензию у инспекции по защите данных для хранения персональной информации и предусматривал санкции за нарушения – штрафы, конфискацию данных и даже тюремные сроки [6]. В США в этот период также появились отдельные акты: например, федеральный Privacy Act 1974 года, установивший правила обработки данных в федеральных ведомствах и давший гражданам право доступа к своим досье [7].

Тем не менее, американская модель пошла по пути секторального регулирования: разные отрасли получили свои законы (например, о кредитной истории – FCRA 1970, о медицинской тайне – HIPAA 1996, о детской онлайн-приватности – COPPA 1998), а надзор за недобросовестными практиками взяла на себя Федеральная торговая комиссия США [8] [9]. Таким образом, к началу 1980-х назрела потребность в выработке единых международных подходов к приватности данных.

Конвенция Совета Европы 1981 года – первый международный договор

Историческим шагом к унификации стал Совет Европы, принявший 28 января 1981 года Конвенцию № 108 «О защите физических лиц при автоматизированной обработке персональных данных». Это был первый в мире международный договор, посвященный принципам обработки и защиты персональных данных [10]. Конвенция ввела ключевые определения (например, что считать персональными данными и автоматизированной обработкой) и установила основополагающие принципы: данные должны собираться на законной и справедливой основе, для конкретных целей, быть адекватными и не избыточными, точными и храниться не дольше необходимого [11]. Особо оговаривалась защита специальных категорий данных (о расовом происхождении, политических взглядах, здоровье, сексуальной жизни и т.п.) – их автоматизированная обработка запрещалась без специальных гарантий в национальном законодательстве [12].

Важным новшеством Конвенции стали положения о трансграничной передаче данных. Согласно статье 12, государствам не следует запрещать свободный поток персональных данных за границу исключительно в целях защиты приватности – исключение делалось только если страна-получатель не обеспечивает адекватной защиты [13]. По сути, уже тогда зародился принцип, аналогичный современному механизму «адекватности» в европейском праве: данные можно передавать за рубеж, если там гарантирован сопоставимый уровень охраны приватности.

Конвенция 108 быстро стала глобальным ориентиром. Ее ратифицировали все страны Совета Европы, а также присоединились некоторые государства за пределами Европы (например, Мексика, Уругвай, Марокко и др.) [14]. СССР и Россия изначально в этом не участвовали, но с течением времени Конвенция косвенно повлияла и на наше законодательство (об этом ниже). Хотя документ носил рамочный характер и оставлял детализацию мер защиты на усмотрение национальных законодателей [16], он закрепил право граждан знать, какие персональные сведения о них собираются и обрабатываются, и предусматривал судебную защиту этих прав. Эти положения легли в основу многих решений Европейского суда по правам человека, касающихся права на приватность [18].

Помимо Совета Европы, параллельно были выработаны и другие международные стандарты. В 1980 году Организация экономического сотрудничества и развития (ОЭСР) издала Руководящие принципы по защите конфиденциальности и трансграничных потоков персональных данных. Они содержали восемь базовых принципов (ограничение целей, качество данных, меры безопасности, ответственность и т.д.) и стали первым глобально согласованным набором рекомендаций по приватности [19]. А в 1990 году Генеральная Ассамблея ООН одобрила Руководящие принципы для регулирования компьютеризированных персональных данных, призванные ориентировать государства при создании законов о персональных данных. Все эти документы свидетельствовали о формировании единых подходов: личная информация признается ценностью, требующей защиты, а частная жизнь – правом, которое необходимо соблюдать при любых обработках данных.

Европейский путь: от Директивы 95/46/EC до GDPR

Европейский Союз пошел дальше рамочных рекомендаций и создал жесткую нормативную базу, обязательную для всех стран-членов. К началу 1990-х стало понятно, что цифровая эпоха требует единых правил обращения с данными во всем ЕС. В 1995 году была принята Директива ЕС 95/46/EC «О защите физических лиц при обработке персональных данных и свободном обращении этих данных». Этот документ обязал каждое государство ЕС внедрить национальный закон о персональных данных по единым стандартам. Принципы директивы во многом повторяли Конвенцию 108, но она конкретизировала требования: например, закрепила, что до начала обработки необходимо получить согласие субъекта данных и обосновать ее законные цели [20]. Директива распространялась на все операции с данными, автоматизированные и нет, и действовала более 20 лет – до тех пор, пока не была заменена новым регламентом.

Отдельного упоминания заслуживает и Директива 2002/58/EC (также известна как директива об электронной приватности), принятая ЕС в 2002 году. Она сфокусировалась на данных в сфере электросвязи и интернет-сервисов. Впервые на уровне ЕС провайдерам телеком-услуг предписали конкретные обязанности по безопасности данных: предпринимать технические и организационные меры для защиты информации абонентов, предотвращать несанкционированный доступ и утечки, а при возникновении угроз безопасности сети – информировать пользователей [21] [22]. Таким образом, еще в 2000-х ЕС формировал практику обязательного уведомления о нарушениях и ответственности операторов за сохранность пользовательских данных.

К середине 2010-х стало очевидно, что разброс национальных законов (хоть и основанных на директиве) создает сложности, а бурное развитие технологий (социальные сети, облака, big data) опережает старые нормы [23]. Ответом ЕС стал Общий регламент по защите данных (GDPR) – комплексный регламент, принятый в 2016 году и вступивший в силу 25 мая 2018 года [24]. GDPR заменил собой директиву 95/46/EC, став единым законом, непосредственно применимым во всех государствах ЕС. Его цели – гармонизация правил, усиление контроля граждан над своими данными и выработка единых стандартов передачи данных за пределы ЕС [25].

Регламент GDPR привнес множество новаций, которые повлияли и на мировую практику, и косвенно на Россию. Во-первых, он ввел принцип экстерриториальности: действие регламента распространяется на любые компании в мире, если они обрабатывают данные граждан ЕС – например, предлагают им товары/услуги или отслеживают поведение (в том числе через интернет) [26] [27]. Это подтолкнуло и российские компании, работающие с европейцами, к добровольному соблюдению GDPR. Во-вторых, GDPR подробно регламентировал права субъектов данных (право на доступ, исправление, удаление – «право быть забытым», переносимость данных, возражение против обработки и др.) и обязанности компаний (например, проводить оценку воздействия на приватность, назначать ответственных за защиту данных – Data Protection Officer) [28] [29] [30]. В-третьих, установлены беспрецедентно высокие штрафы за нарушения – до 20 млн евро или до 4% мирового годового оборота компании [31], что показало серьезность намерений. Регламент также обязал уведомлять надзорные органы о любых утечках данных не позднее 72 часов [32] [33] – эта норма впоследствии нашла отражение и в российских инициативах.

GDPR фактически стал золотым стандартом защиты данных, и его влияние ощущается повсеместно. Многие страны вне ЕС скорректировали свои законы в духе GDPR, а некоторые напрямую заимствовали его положения. Например, Бразилия приняла в 2018 году закон LGPD, во многом аналогичный европейскому регламенту, Индия и Таиланд разработали новые законы, а Китай в 2021 году ввел Закон о защите персональной информации (PIPL), который также содержит экстерриториальные нормы и крупные штрафы. Таким образом, к концу 2010-х — началу 2020-х сформировалась глобальная тенденция: государства признают важность единых строгих требований к обработке персональных данных, особенно в онлайне, и перенимают передовой опыт друг друга.

Практика защиты данных в США и других странах

Для полноты картины рассмотрим вкратце подходы за пределами Европы, где защита персональных данных также эволюционировала, хотя и иным путем.

США, как упоминалось, не имеют единого всеобъемлющего федерального закона, подобного GDPR. Вместо этого действует сочетание отраслевых законов и регулирования через правоприменение. С 1970-х по 1990-е были приняты законы, охватывающие отдельные сферы: закон о кредитной отчетности (FCRA, 1970), Закон о конфиденциальности в виде электронных коммуникаций (ECPA, 1986), Закон о переносимости и ответственности медицинского страхования (HIPAA, 1996), Закон Грэмма–Лич–Блайли о финансовой информации (GLBA, 1999) и др. [34]. Для интернета важной вехой сталChildren’s Online Privacy Protection Act (COPPA, 1998) – он запретил сбор личных данных детей до 13 лет без подтвержденного согласия родителей [9]. Таким образом, защита данных в США складывается из множества фрагментов.

Тем не менее, крупные компании несут реальную ответственность: Федеральная торговая комиссия (FTC) следит за соблюдением заявленных политик конфиденциальности и может привлекать компании за обман потребителей или утечки данных. Известны случаи многомиллионных штрафов и мировых соглашений – например, штраф $5 млрд против Facebook в 2019 году за нарушения приватности. Кроме того, ряд штатов, прежде всего Калифорния, заполняют пробелы: в Калифорнии действует закон California Consumer Privacy Act (CCPA, с 2020 г.), дающий жителям права знать, как их данные используются, и запрещающий продажу данных без возможности отказа. Штаты Колорадо, Вирджиния и другие также приняли свои варианты законов о персональных данных. Таким образом, американская система постепенно движется к более целостной защите, хотя пока и отличается от европейской концепцией «через призму прав потребителей».

Другие страны давно ведут схожую политику. В Канаде с 2000 года действует федеральный закон PIPEDA, обязывающий компании получать информированное согласие на сбор личных данных и соблюдающий принципы, подобные OECD и ЕС. В Азии одними из первых были приняты законы в Японии (2003) и Южной Корее (2011) – последний считается одним из самых строгих, с предусмотренной уголовной ответственностью за утечки данных. Австралия и Новая Зеландия еще в 1980–90-х внедрили акты о приватности, основываясь на тех же международных принципах. В целом, более 130 стран мира сегодня имеют специализированные законы о защите персональной информации, и большинство из них так или иначе восприняли базовые идеи, заложенные еще в Конвенции 108 Совета Европы или Руководящих принципах ОЭСР [19]. Это подтверждает: практика защиты персональных данных давно стала глобальной, а бизнесу, работающему онлайн, приходится учитывать требования сразу нескольких юрисдикций.

Санкции и ответственность в мировом опыте

Привлечение к ответственности за нарушение конфиденциальности данных сильно варьируется от страны к стране, но тренд однозначен – санкции ужесточаются. В ЕС с введением GDPR максимальные штрафы составляют до 20 млн евро или 4% годового оборота компании, в зависимости от того, что больше [31]. На практике уже были применены штрафы в десятки миллионов евро к технологическим гигантам за недостаточную прозрачность и утечки. В некоторых государствах Европы возможно и уголовное наказание: например, в Германии за коммерческое использование незаконно собранных персональных данных грозит лишение свободы (в особо тяжких случаях). В Азии также встречаются жесткие меры: южнокорейские регуляторы накладывали многомиллионные штрафы на местные компании, а Китай в 2021 году оштрафовал крупную компанию Didi на $1,2 млрд за нарушение кибербезопасностных требований (включая защиту данных).

В США механизм иной: как правило, штрафы налагаются регуляторами (FTC, Генпрокурорами штатов) на основании законов о защите прав потребителей или отраслевых норм. Тем не менее, их размер тоже заметно вырос – от сотен миллионов до миллиардов долларов в случае систематических нарушений. К тому же, ответственность часто не ограничивается денежными санкциями: компании могут обязывать изменить бизнес-практики, пройти внешние аудиты, а репутационные потери от скандала с утечкой данных порой бьют не меньше штрафа.

Для бизнеса эти тенденции означают, что несоблюдение политики конфиденциальности и требований законов о данных несет значительные риски по всему миру. Именно понимание этого подтолкнуло многие компании и правительства, в том числе российские, к усилению внимания к персональным данным.

Федеральный закон 152-ФЗ: появление и основы в России

В России конституционное право на неприкосновенность частной жизни (ст. 23 Конституции РФ) и тайну переписки (ст. 24) создали общую основу для защиты личных сведений. Однако вплоть до 2000-х специального закона о персональных данных не существовало. Импульс к его появлению имел как внутренние причины (развитие интернета, рост онлайн-бизнеса, необходимость защитить граждан от злоупотреблений), так и международные обязательства страны.

Еще в 1990-х Россия присоединилась к Совету Европы и ратифицировала Европейскую конвенцию по правам человека, что подразумевало уважение права на частную жизнь. А в 2001 году, в ходе длительных переговоров о вступлении России во Всемирную торговую организацию (ВТО), одной из поставленных условий стало присоединение к Конвенции Совета Европы № 108 [35]. Действительно, 7 ноября 2001 года Россия подписала эту Конвенцию, формально взяв на себя обязательство внедрить ее принципы [36]. Полноценная ратификация состоялась несколько лет спустя: Федеральным законом № 160-ФЗ от 19.12.2005 Конвенция была ратифицирована, хотя фактически она вступила в силу для России лишь с 1 сентября 2013 года (с существенными оговорками) [14] [37]. Тем не менее, уже к середине 2000-х стало ясно, что для исполнения международных требований стране нужен собственный закон о персональных данных.

27 июля 2006 года был принят Федеральный закон № 152-ФЗ «О персональных данных». Он вступил в силу с 26 января 2007 года [38]. Этот закон впервые в российском праве дал определение персональным данным, ввел термин «оператор персональных данных» (аналог понятия контролера/обработчика) и установил принципы обработки. При разработке закона явно учитывались положения Конвенции 108 и европейской директивы: так, принципы законности, целевой обусловленности, минимизации и точности данных были восприняты практически дословно [39]. Закон провозгласил целью защиту прав и свобод человека при обработке его данных, а надзор за соблюдением возложил на федеральные органы. К числу ответственных ведомств определили Роскомнадзор (службу по надзору в сфере связи и ИТ) – за организационные меры, а также ФСТЭК и ФСБ – за техническую защиту данных [40]. Это интересная особенность: контроль над персональными данными в РФ изначально имел оттенок информационной безопасности, вовлекая силовые структуры.

Первоначальная редакция закона 152-ФЗ была очень строгой по ряду требований. Например, она обязывала получать письменное согласие субъекта на любую обработку его персональных данных – притом именно собственноручной подписью [41]. Также предусматривалось уничтожение данных по первому требованию субъекта (в течение трех дней) и обязательное обоснование каждой цели обработки конкретного набора данных [41]. По сути, закон давал гражданину максимальные права контроля над своими данными, чего на практике оказалось трудно достичь. Помимо этого, закон требовал, чтобы все организации-операторы выполнили целый комплекс мер: назначили ответственного за персональные данные, разработали внутренние положения (политику конфиденциальности, положение о защите данных и пр.), а также зарегистрировались в реестре операторов Роскомнадзора [40]. Эти нормы во многом перекликались с европейской практикой (в ЕС раньше тоже существовала обязанность регистрировать базы данных в надзорных органах).

Важнейшим блоком требований стали технические меры защиты. Здесь российский закон пошел даже дальше западных аналогов: он делегировал ФСТЭК и ФСБ разработку подробных подзаконных актов по обеспечению безопасности персональных данных. В итоге появились жёсткие нормативы: например, требование сертифицировать все средства защиты информации в базах данных и проводить аттестацию помещений, где обрабатываются данные [42] [43]. Особо высокие стандарты предписывались для «специальных» категорий данных (о здоровье, политических взглядах, религии, интимной сфере) – вплоть до защиты от побочных электромагнитных излучений и визуального контроля в помещениях [44] [45]. Эти меры были настолько сложными и затратными, что фактически невыполнимыми для большинства компаний (под них попадали, например, все медучреждения, пенсионные фонды и т.п., которые должны были ставить системы защиты гостайны) [43].

Неудивительно, что реализация нового закона встретила трудности. Правительство несколько раз откладывало сроки полного вступления требований в силу. Изначально планировалось, что все существующие ИТ-системы должны быть приведены в соответствие к 1 января 2010 года, иначе после этой даты возможны проверки и санкции [46]. Но дедлайн переносился: сначала на 2011 год, затем еще на полгода. В итоге полноценное применение закона началось только с 1 июля 2011 года – почти через 5 лет после его принятия [47]. Это дает понять, насколько неподготовленным был бизнес и госструктуры к новым правилам.

Эволюция российского законодательства о персональных данных

После вступления 152-ФЗ в силу законодатель продолжил дорабатывать и уточнять правила – отчасти смягчая самые обременительные требования, отчасти добавляя новые нормы по мере развития технологий и мировой повестки. Рассмотрим ключевые этапы реформы законодательства о персональных данных в РФ и связанные с ними причины.

Поправки 2011 года: облегчение требований и новые термины

Едва только истек переходный период для 152-ФЗ (летом 2011 года), как стало ясно, что ряд положений требует изменения. По инициативе тогдашнего президента Дмитрия Медведева был подготовлен пакет поправок, призванный снять излишние обременения с операторов персональных данных [48]. Государственная Дума в рекордные сроки приняла Федеральный закон № 261-ФЗ от 25.07.2011, вступивший в силу 27 июля 2011 года (ровно через 5 лет после исходного закона) [49].

Этими поправками: — Отменили обязательность письменного согласия во всех случаях – появились альтернативные основания для обработки (в соответствии с европейской логикой, например необходимость для договора, выполнения закона и др.). Обязанность обосновывать цель обработки каждого набора данных также убрали или смягчили [50]. — Были узаконены некоторые ранее сугубо подзаконные требования: в текст закона ввели понятия «уровни защищенности» персональных данных, «оценка соответствия защиты данных угрозам» и т.п. [51]. Предполагалось, что так будет понятнее, однако парадоксально это создало новые неясности – уровни защищенности не были еще толком прописаны в регламентах. — Уточнили сферу действия закона и ряд дефиниций, привели терминологию в большее соответствие с международной. Например, конкретизировали правила трансграничной передачи данных, установив, что передача в страны, обеспечивающие адекватную защиту, упрощается [52].

В целом, редакция 2011 года немного балансировала интересы: с одной стороны, снизила давление на бизнес (облегчив процедуру получения согласий и разрешив электронные формы согласия), с другой – закрепила контроль государства над технической стороной (через оценку соответствия, сертификацию и т.д.). Эти изменения совпали по времени с активизацией электронной экономики в России, ростом соцсетей, поэтому законодатель стремился не тормозить развитие отрасли избыточными барьерами.

Локализация данных: Закон 242-ФЗ (2014) и первые прецеденты

Следующим поворотным моментом стала принятая летом 2014 года поправка, вызвавшая широкий резонанс у международного бизнеса. Федеральный закон № 242-ФЗ от 21.07.2014 обязал с 1 сентября 2015 года обеспечить хранение основных персональных данных российских граждан на серверах, расположенных на территории России [53]. Идеологически эта норма частично расходилась с прежним курсом на свободное обращение данных, но обосновывалась защитой суверенитета и безопасности граждан. Российские законодатели во многом ориентировались на схожие тенденции в мире: например, идеи «цифрового суверенитета» и требования хранить данные локально обсуждались и в ЕС, и в Китае (в Китае подобное правило появилось в 2017 году в законе о кибербезопасности) [55]. В России причиной ускорить принятие 242-ФЗ послужили как политические соображения (нежелание зависеть от иностранных дата-центров), так и громкие утечки данных за рубежом (после разоблачений Сноудена в 2013 году доверие к зарубежным облакам упало).

Изначально иностранные компании восприняли требование о локализации как очень тревожное [56]: многим пришлось бы перестраивать ИТ-инфраструктуру, переносить данные в РФ, что влечет расходы. Бизнес-сообщество просило отложить вступление норм, но срок (сентябрь 2015) остался неизменным [57]. В первый год надзорные органы не спешили с жесткими мерами, однако уже в 2016 году появился прецедент: социальная сеть LinkedIn стала первой компанией, заблокированной за неисполнение закона о локализации. Роскомнадзор обратился в суд, и Таганский суд Москвы в августе 2016 признал деятельность LinkedIn нарушающей закон о персональных данных из-за хранения данных россиян за рубежом [58] [59]. Сайт был внесен в реестр нарушителей и заблокирован на территории РФ [60]. Это решение стало показательным: хотя LinkedIn не имел офисов в России, отсутствие физического присутствия не спасло от применения российского закона [61] [62]. Фактически суд подтвердил, что если интернет-сервис ориентирован на российских пользователей, он обязан соблюдать наши требования – подход, схожий с экстерриториальностью GDPR.

После случая LinkedIn другие крупные зарубежные платформы оказались перед выбором: соблюдать 152-ФЗ или рисковать блокировкой. Многие (Facebook, Twitter и др.) на тот момент не выполнили полностью локализацию, отделавшись небольшими штрафами. Но тем самым была заложена практика: Россия готова применять санкции вплоть до блокировки за несоблюдение своих правил по персональным данным. Для иностранных интернет-компаний это стало сигналом, что вести бизнес «через интернет» без учета местного законодательства не выйдет [63] [64].

Ужесточение ответственности (2017) и новые требования

Первоначально штрафы за нарушение закона о персональных данных в России были символическими. До 2017 года максимальные административные штрафы по ст. 13.11 КоАП РФ измерялись тысячами рублей (не более 10 тыс. руб. за большинство нарушений) – очевидно, это не могло служить серьезным стимулом к соблюдению. В 2017 году назрела необходимость повысить ответственность. 7 февраля 2017 года был принят Закон № 13-ФЗ, который с 1 июля 2017 года значительно увеличил штрафы за несоблюдение 152-ФЗ [65]. Например, за отсутствие опубликованной политики конфиденциальности на сайте компании штраф для юридических лиц стал составлять от 15 до 30 тыс. руб., за отсутствие необходимых согласий – до 50 тыс. руб., а за невыполнение предписаний Роскомнадзора – до 75 тыс. руб. за каждое нарушение [65]. Несмотря на то, что эти суммы все еще далеки от европейских миллионов, рост был ощутимым (в несколько раз). Введена также дифференциация санкций за повторные нарушения. Главный посыл этого ужесточения – побудить компании более ответственно относиться к своим обязанностям: размещать корректные политики конфиденциальности, получать согласия пользователей, уведомлять Роскомнадзор о своей деятельности с данными и т.д.

В последующие годы законодательство дополнялось новыми нормами, отражающими технологические изменения. Например, были введены положения о биометрических персональных данных (фото, голос, отпечатки) и порядке работы с ними – требование получать отдельное согласие на биометрию и хранить такие данные с повышенными мерами защиты (поправки 2019–2020 годов). Появился запрет на отказ в услуге при отзыве согласия на обработку данных (чтобы стимулировать добровольность согласий). В 2021 году закон обязал операторов получать дополнительное согласие на распространение персональных данных (т.е. когда гражданин разрешает сделать его данные общедоступными, например публикуя резюме – это согласие теперь должно быть отдельным, с правом в любой момент отозвать). Эти изменения шли параллельно с мировыми трендами – в частности, понятие «общедоступные данные» и их особый режим обсуждались и в Европе (в контексте соцсетей), и Россия решила это отрегулировать.

Реформа 2022 года: экстерриториальность, утечки и оборотные штрафы

Самые значимые изменения последнего времени произошли в 2022 году. Во многом их спровоцировали крупные утечки персональных данных, произошедшие в России в первой половине 2022 года (выяснилось, что данные миллионов россиян оказались в открытом доступе из-за сбоев или злонамеренных действий) [66] [67]. Общественный резонанс был сильным, и государство отреагировало масштабной реформой законодательства о ПД – крупнейшей за последние 10 лет [68]. В июле 2022 Госдума приняла обширный пакет поправок к 152-ФЗ, который вступил в силу с 1 сентября 2022 года.

Основные нововведения реформы 2022 года:

• Принцип экстерриториальности российского закона.

Теперь требования 152-ФЗ официально распространяются на действия с персональными данными россиян, которые совершают иностранные компании или лица за рубежом [69]. Иными словами, если зарубежный сервис собирает данные граждан РФ, он подпадает под нашу юрисдикцию. Этот шаг явно инспирирован опытом GDPR [26] и продолжает линию, начатую с блокировки LinkedIn. Российский законодатель хочет пресечь ситуацию, когда зарубежные сайты продают данные россиян, не подчиняясь нашему закону [70].

• Новые правила трансграничной передачи данных.

С 1 марта 2023 года введена обязанность для операторов уведомлять Роскомнадзор о намерении передавать персональные данные за границу [71]. Если передача планируется в страну, не являющуюся участницей Конвенции Совета Европы 108 или не включенную Роскомнадзором в специальный перечень безопасных стран, то передавать данные нельзя до получения разрешения Роскомнадзора [72]. Фактически, введен аналог механизма «адекватных стран», как в ЕС: Роскомнадзор теперь оценит, есть ли в государстве надлежащая защита ПД, и может запретить передачу, если сочтет, что это угрожает основам конституционного строя, безопасности, морали и т.п. [73]. Этот перечень стран РКН, по сути, – российская версия списка «благонадежных» юрисдикций для обмена данными (вероятно, туда входят государства ЕАЭС, некоторые страны СНГ и те, кто присоединился к Конвенции 108, но пока официальный список не раскрыт). Важно, что тут мы видим прямое отсылание к международному акту – Конвенции Совета Европы – даже несмотря на то, что Россия в 2022 году вышла из Совета Европы. Тем не менее, принципы Конвенции продолжают использоваться как критерий оценки уровня защиты данных за рубежом.

• Обязательное уведомление об утечках персональных данных.

Операторы ПД должны в установленный срок сообщать в Роскомнадзор обо всех фактах неправомерного доступа или утечки данных, которые повлекли нарушение прав субъектов [74]. Ранее такого требования не было, и компании часто замалчивали инциденты. Теперь же, по аналогии с GDPR (где уведомление за 72 часа), российские организации должны проинформировать о случившемся надзорный орган, иначе их ждет ответственность. Это повышает прозрачность и позволяет регулятору централизованно реагировать на утечки.

• Введение оборотных штрафов за утечки.

Осознание масштаба утечек в 2022 году привело к идее сделать штрафы действительно чувствительными для крупного бизнеса. Вскоре после вступления поправок Минцифры и Роскомнадзор подготовили законопроект о «оборотных» штрафах, то есть рассчитываемых как процент от годовой выручки компании [75]. Уже в ноябре 2024 года законопроект был принят, и с 30 мая 2025 года в КоАП РФ вступили изменения, вводящие такие оборотные штрафы [76] [77]. Теперь за утечку персональных данных свыше определенного объема компания может получить штраф в миллиардах рублей. Например, утечка данных более 1 000 физических лиц грозит штрафом от 3 до 5 млн руб., а при повторных инцидентах – до 500 млн руб., либо до 3% годового оборота (в зависимости от масштаба) [78]. Это беспрецедентно жесткая мера для российского регулирования, приближающая нас к европейскому уровню наказаний. Кроме того, за неуведомление об утечке теперь тоже установлены штрафы (до 100–300 тыс. руб. для юрлиц) [79].

Эти нововведения 2022–2025 годов демонстрируют, что российское законодательство о персональных данных выходит на новый виток развития, перенимая ключевые черты глобальных стандартов (экстерриториальный охват, оценка уровня чужой защиты, жесткие штрафы, уведомления о нарушениях). Причины такого курса очевидны: с одной стороны, объективная необходимость защищать граждан в условиях цифровой экономики, с другой – ориентация на мировой опыт, который доказал эффективность подобных мер. Российские законодатели явно учитывают практику ЕС и других стран, стремясь не отставать и не превращать Россию в «тихую гавань» для нарушителей приватности.

Почему Россия перенимает международные подходы

Проследив историю вопроса, можно сделать выводы о причинах того, почему в российском праве появились нормы, сходные с европейскими и общемировыми.

1. Международные обязательства и интеграция.

Многие нормы стали следствием участия России в международных организациях. Присоединение к Конвенции Совета Европы 108 обязало нас внедрять принципы этой Конвенции во внутреннее право [35] [16]. Стремление вступить в ВТО и вообще интегрироваться в мировую экономику также требовало современных законов о защите данных, чтобы иностранные партнеры доверяли нашим системам. Без закона о персональных данных транграничные потоки информации и бизнес-коммуникации были бы под вопросом – например, ЕС мог бы ограничить передачу данных в Россию как в страну без адекватной защиты. То есть гармонизация законодательства стала условием участия в глобальном обмене данными.

2. Защита прав граждан.

Базовой причиной является понимание, что право на приватность – одно из фундаментальных прав человека, признанных мировым сообществом. Российские граждане так же ценят неприкосновенность личной жизни, как и европейцы или американцы. Законодатель, следуя общемировой тенденции, стремился предоставить гражданам инструменты контроля над их информацией: право знать, кто и зачем собирает данные, право давать или отзывать согласие, требовать удаления данных и т.п. Все эти механизмы прямо выросли из международных образцов – будь то та же Конвенция 108 или GDPR. К примеру, обязанность иметь понятную политику конфиденциальности на сайте – это отражение принципа прозрачности, впервые провозглашенного в зарубежных нормах и ставшего теперь универсальным. Перенимая такие требования, Россия фактически гарантирует своим гражданам тот же уровень защиты, что принят в передовых юрисдикциях.

3. Развитие цифровой экономики и доверие к онлайн-бизнесу.

Без надлежащего правового поля сложно развивать электронную коммерцию, онлайн-сервисы и госуслуги. Наличие строгих правил обработки данных повышает доверие пользователей к тому, что их информация в безопасности. Взяв за основу лучшие практики (европейские принципы обработки, требования к безопасности из международных стандартов), российские власти создают среду, комфортную для добросовестного бизнеса. Например, обязательность криптографической защиты, регулярных проверок безопасности, назначение ответственного за данные – все это стало нормой сначала за рубежом, а теперь и у нас, что позитивно влияет на информационную безопасность в целом.

4. Борьба с преступлениями и злоупотреблениями.

Ужесточение законодательства продиктовано и тем, что персональные данные стали ценным ресурсом, предметом торговли на черном рынке, объектом краж и мошенничества. Мировой тренд – пресекать такие явления законодательно. Россия, к сожалению, тоже столкнулась с утечками из банков, утечками баз клиентов с различных сервисов. Введение больших штрафов и ответственности – реакция, подсмотренная в успешных примерах других стран (так, в ЕС после введения крупных штрафов компании стали намного серьезнее относиться к защите данных). Российские законодатели учитывают этот опыт: повышая неотвратимость наказания, они рассчитывают снизить число инцидентов и стимулировать компании инвестировать в защиту.

5. Конкурентоспособность на мировом рынке.

Для российских компаний, выходящих на зарубежные рынки, соответствие международным нормам – это плюс к репутации и пропуск за границу [80]. Если отечественное законодательство приведено в соответствие с общемировыми стандартами, нашим компаниям проще доказывать партнерам и клиентам за рубежом, что они надежны. Неслучайно эксперты отмечают: соблюдение норм международного права о приватности повышает шансы на успех за пределами РФ [81]. В этом смысле заимствование международных подходов – стратегический шаг, позволяющий нашей индустрии IT и онлайн-бизнеса быть на одной волне с остальным миром.

Подводя итог, можно сказать, что российское законодательство о персональных данных не возникло в вакууме. Оно сформировалось под влиянием целого пласта международных норм – от европейских конвенций и регламентов до практики других государств. При этом, естественно, есть и национальная специфика: акцент на государственном контроле, вопросах безопасности и суверенитете (например, требование локализации данных – довольно уникальная норма). Тем не менее, в основе своей российские правила следуют тем же универсальным принципам: законность обработки, защита прав субъекта, безопасность данных, ответственность оператора. Эти принципы родом из международного права, а теперь прочно укоренились и в нашей правовой системе.

В русле мировых тенденций

Развитие законодательства о конфиденциальности персональных данных – это непрерывный процесс, и Россия проходит его в русле общемировых тенденций. От первых международных соглашений 1980-х до современных регламентов – каждая веха оставила след в российских нормах, будь то прямо (через ратификацию конвенций) или косвенно (через заимствование успешного опыта). Последние изменения 152-ФЗ явно показывают, что мы находимся на пороге новой эры: данные признаны ценностью государственного масштаба, и их защита ужесточается до уровня, сопоставимого с лидерами в этой сфере.

Для бизнеса с онлайн-присутствием это означает необходимость тщательно соблюдать требования: иметь грамотную и актуальную политику конфиденциальности, получать согласия, внедрять меры кибербезопасности, локализовать данные россиян и быть готовым отчитаться в случае инцидента. История появления этих требований показывает, что они основаны не на чьей-то прихоти, а на лучшей мировой практике и стремлении защитить как пользователей, так и сам бизнес от рисков. Знание истоков – откуда пришли те или иные нормы – помогает лучше понять их смысл. А смысл везде единый: права человека на частную жизнь и доверие к цифровым услугам стали приоритетом, и законодательство – в России и мире – эволюционирует, чтобы эти ценности обеспечить.

Во многом благодаря опоре на международные стандарты российская система защиты персональных данных сегодня имеет солидную основу. Правоприменительная практика еще находится в стадии формирования, но можно ожидать, что со временем терминология и подходы станут более четкими и отточенными, опираясь как на внутренний опыт, так и на прецеденты иностранных юрисдикций. Бизнесу же важно держать руку на пульсе этих изменений: политика конфиденциальности – это не просто формальность, а отражение глобальных требований, выполняя которые компания демонстрирует свою надежность и ответственность перед пользователями.

Узнать, есть ли на вашем сайте нарушения политики конфиденциальности и других законов России, вы можете, пройдя наш экспресс-аудит. Это бесплатно и займет около 1 минуты.

➡️ https://vzakone.site/ekspress-audit-sajta/