Pull to refresh

Comments 52

Закон принимался, судя по всему, из-за стремления обеспечить суверенитет страны и обезопасить своих граждан от происков западных компаний и правительств
… а вовсе не для возможности прийти в дата-центр условного Твиттера с обыском, если он не захочет «сотрудничать» с Роскомнадзором, сообщать по запросу из МВД местонахождение тех или иных блогеров, и т.д., и т.п.

Да, очень верится.
Закон мне категорически не нравится. Но ваше предположение, тем не менее, не может быть правдой, по двум причинам.

1. Законом предписано хранить на территории РФ персональные данные, и только. Не историю транзакций и не полный профиль. Т.е., условно, где-то на российском сервере будет храниться соответствие идентификатора id95273240654 и Пупкина Василия, а вот вся остальная информация о нём, включая ник, историю переписки и прочая может храниться где угодно. Т.о. узнать истинную личину пользователя SuperVassily, изъяв сервера с персональными данными, все равно невозможно.

2. Шифровать-то эти данные никто не запрещает.
изъяв сервера с персональными данными, все равно невозможно
Сервера изымаются не для того, чтобы из них извлечь информацию, а чтобы мешать компании работать, пока она не согласится отдать эти данные добровольно.

Поэтому шифрование и хранение данных за рубежом тут никак не помогут.
Как раз предположение вполне верное. Тем, кто придет с обыском — не важно, есть там данные или нету. Для них важно что на территории россии будет находится сервер, и если этот сервер изъять — деятельность компании на территории россии становится «незаконной». Т.е. они смогут шантажировать «или вы выдаете нам всю информацию об этом оппозиционере, или мы запретим вам работать в россии».
Ээээм. Простите, а вот прям сейчас что останавливает от шантажа «или вы выдадите нам всю информацию об этом оппозиционере, или мы запретим вам работать в России»? Что находящийся в России сервер изменит?
«Легальные» основания для оправдания своих действий перед лицом аудитории первого канала например.
Аудитория первого канал схавает любое обоснование подобного беспредела, вы же прекрасно это понимаете.
Если бы это было так, перестали бы притворяться полностью.
Есть ещё иностранные организаторы и инвесторы, которым нужно показать, что закон охраняет их бизнес.
Они далеко не глупые люди и сами давно уже все поняли. Их на такие коврижки не купишь.
условно, где-то на российском сервере будет храниться соответствие идентификатора id95273240654 и Пупкина Василия, а вот вся остальная информация [...] может храниться где угодно
Идея неплоха, но правоприменительная практика легко адаптируется к такому приёму. Например, само отсутствие на российском сервере данных, которыми интересуются органы, может начать расцениваться как нарушение закона.
2. Шифровать-то эти данные никто не запрещает.


Системный администратор вызывается на допрос и там его предупреждают об уголовной ответственности за отказ от дачи свидетельских показаний, а также за дачу заведомо ложных показаний.
UFO just landed and posted this here
UFO just landed and posted this here
Вот цитата из Конституции:
Никто не обязан свидетельствовать против себя самого, своего супруга и близких родственников, круг которых определяется федеральным законом.


Где в списке указан работодатель? В общем случае у работника нет свидетельского иммунитета в отношении работодателя.
Теперь понятно, почему так важна семейность в бизнесе и родственники на всех ключевых позициях :)
«Я считаю это дело политически мотивированным и направленным лично против меня, поэтому, в соответствии с 51 статьёй Конституции, отказываюсь от дачи показаний». С другой стороны, как отметил @Aczl, мало кому нужна такая нервотрёпка.
Я считаю это дело политически мотивированным и направленным лично против меня, поэтому, в соответствии с 51 статьёй Конституции, отказываюсь от дачи показаний


Это прямая дорога к уголовной ответственности, потому что закон запрещает произвольный отказ от дачи свидетельских показаний. И суды разных уровней такую позицию поддерживают, ЕСПЧ в том числе:
The Court noted that there were no pending or anticipated criminal proceedings against the applicant and the fact that he may have lied in order to prevent the revenue authorities from uncovering conduct which might possibly lead to a prosecution did not suffice to bring the privilege against self-incrimination into play
мало кому нужна такая нервотрёпка.
А это как сказать.
Если к IT-компании возникли претензии по хранению персональных данных, то системный администратор вполне может превратиться и в обвиняемого, мол, «это он их не там хранил».

В том числе компания (если это не Твиттер, а какая-то мелкая конторка) может «сдать» сисадмина, сказав что мы ему мол велели всё хранить в России, а он деньги за работу взял, но не сделал. Это ещё и мошенничество нашьют.

Поэтому соображение «меня допрашивают не по поводу меня, поэтому 51-ю статью брать не могу» некорректно. Ведь нельзя знать, против тебя это будет применено или не против тебя.
В силу чего 51-ю статью брать возможно в таких случаях (и нередко есть смысл).
Поэтому соображение «меня допрашивают не по поводу родственников, поэтому 51-ю статью брать не могу» некорректно.


Ого, да Вы переплюнули ЕСПЧ, который считает иначе :-)
Ведь нельзя знать, против тебя это будет применено или не против тебя.


Нужно заметить, что любые показания могут быть повернуты против лица, их давшего. На это прямо указал ЕСПЧ в одном из своих решений, хотя, в принципе, данное утверждение вполне очевидно и без ссылок на официальные документы. Например, любые показания, данные свидетелем, можно обернуть против него, пригласив более убедительного лжесвидетеля (что весьма часто происходит в судебной практике). Но одна лишь возможность использовать показания лица против него самого не признается достаточной для обоснованного применения права не свидетельствовать против себя. К сожалению, четких формальных критериев, позволяющих отличить допрос свидетеля как будущего или фактического обвиняемого от допроса свидетеля как постороннего лица, нет, однако в практике ЕСПЧ, которая учитывается высшими российскими судами, таким критерием является отсутствие реального или планируемого преследования лица (см. цитату ранее), даже если такая потенциальная возможность в итоге и привела к осуждению этого лица.
даже если такая потенциальная возможность в итоге и привела к осуждению этого лица


Здесь речь идет про возможность повернуть показания против давшего их лица.
Системный администратор может не иметь доступа к ключам шифрования.
Но у него будет доступ к данным в незашифрованной форме. Или у кого-то другого будет доступ к ключам или к данным в незашифрованой форме. В общем случае в ИТ-организации всегда есть работник, у которого есть доступ к конфиденциальной информации работодателя, которую он обязан раскрыть в рамках допроса. И даже если взять предпринимателя, который ведет весь бизнес один, то и его (как свидетеля) можно обязать раскрыть ключи шифрования или незашифрованные данные по делу.
У кого-то, наверное, будет, просто это совсем не обязательно системный администратор (и вообще IT-шник).

Кстати, тут есть интересный момент. Если системный администратор доступа не имеет, чисто технически может его получить, но регламенты и должностные инструкции в компании прямо запрещают это делать, не будет ли попытка доступа в рамках помощи следствию просто прямым нарушением закона (неправомерный доступ к информации, и т.п.)?
не будет ли попытка доступа в рамках помощи следствию просто прямым нарушением закона (неправомерный доступ к информации, и т.п.)


В целом, не будет, хотя универсальной разрешающей нормы законодательство РФ не содержит. Что касается неправомерного доступа, то обладатель информации не может осуществить неправомерный доступ к собственной информации, а закон допускает появление у лица прав обладателя информации не только по факту создания информации или договору, но и по закону, к которому вполне можно отнести и нормы УПК РФ, разрешающие принудительное получение информации по определенной процедуре (например, по судебному решению).
Т.е., условно, где-то на российском сервере будет храниться соответствие идентификатора id95273240654 и Пупкина Василия, а вот вся остальная информация о нём...


тоже является персональными данными :-)
На сколько я понял (поправьте если не так) закон не требует хранить данные _только_ на территории РФ. Т.е. достаточно просто скопировать. Непонятно только как это поможет предотвратить доступ к ним АНБ.
А закон на самом деле и не призван его предотвращать :)
С 1 сентября 2015 года у нас появится ещё один закон, который не будет обязателен для исполнения, но благодаря которому можно будет запретить деятельность любой компании на территории России, если выяснится, что она не арендовала сервер у российского провайдера.


Так… он как бы для того и был написан. А что, кто-то сомневался? О_о
Меня вот интересует больше как этот закон работает для людей, которые уехали из страны? Вот пришел человек в местный небольшой кипрский банк «Кипр-747» и открыл там счет, а у него гражданство РФ. Что, теперь надо внести сайт кипрского банка в черный список? Такими темпами практически любая достаточно крупная зарубежная компания нарушает этот закон, даже если работает только в одном городе в своей стране.
Все начинается с того, что погранец евросоюза кладет загранпаспорт на сканер — уже нарушил российский закон))
Идея для расширения/трактовки закона — гражданин, пересекающий границу со своим загранпаспортом автоматически нарушает закон потому что переместил собственные персональные данные (и не дай случай у него в сумке паспорт жены/детей — уже особо крупный размер будет) через границу РФ. Автоматически любой гражданин РФ пересекающий границу — преступник.
Если банк не работает в России, то ему побоку запрет работать в России.
Но вы не волнуйтесь, на случай счетов граждан РФ в забугорных банках у нас готовят отдельный закон.
Можно думать про новое правило «есть закон об этом» по аналогии с правилом №34.
Закон обсуждается уже не первый год. Где авиакомпании были раньше? Или, как обычно, тянули до последнего, создавая цейтнот, а теперь типа все такие за пассажиров, да?
А что, они на каждый чих должны тратить кучу денег на инфраструктуру? Когда предлагают такие глупые законы обычно люди считают что в таком выде они не пройдут, но видимо адаптируясь к реалиям надо действительно на каждый чих с очередным глупым законом что-то делать. Ну или просто не вести бизнес в этой стране, чтобы небыло подобных проблем.
Когда новый сорм был еще проектом закона, операторы очень активно подключились к его обсуждению. Тот же Яндекс весьма активно участвовал в обсуждении 152-ФЗ.
Visa и MC активно включились в доработку закона о НПС, и если начиналось все с «Караул! РФ останется без MC и VISA!» то сейчас оба готовы строить у нас свои процессинговые центры.

Так что тут я вижу только (не)умелую попытку торпедирования закона о ПД со стороны авиакомпаний.
P.S. «в этой стране». ОК, на этом дискуссию можно закончить.
А я вижу попытку внедрения глупого, вредного и ненужного закона. На изнасилованных девочек тоже можно вину вешать что «не надо было по улице ходить, не надо было короткую юбку одевать, вон остальные девки к этому подготовились», можно еще ввести законы о том что девушкам нельзя ходить ночью и нельзя носить короткие юбки. Это как оспу пудрой замазывать, дело бесполезное и вредное, бороться надо с причиной болезни.
Одевать юбку, кстати говоря, действительно не стоит. Лучше всё же надевать.
Я сейчас не про сам закон. Хороший он, плохой — было время, чтобы его обсудить. Пробовать внести изменения, в т.ч. и через обмудсмена.
А пока я вижу тупое торпедирование с желанием сохранить свои бабки и использовать статус-кво.

Вот и посмотрим, у кого яйца окажутся крепче. Авиакомпаниям и так уже сделали огромную поблажку, введя невозвратные билеты в ответ на «обещание» о снижении цен. Билеты стали невозвратными, цены, почему-то, не упали. Так что никаких иллюзий — ребята просто не хотят терять деньги.
Касательно закона — я считаю что подобные бездействия по исполнению подобных законов просто необходимы, необходимы для того чтобы хоть как-то показать что это не народ должен плясать под дудку законодателей, а законодатели — слуги народа. Если все будут безмолвно соглашаться и исполнять все законы — это только еще больше (куда уж больше) развяжет руки в принятии подобного рода бреда. Конечно, это не самый действенный и далеко не единственный метод, но сопротивляться надо всем чем можно.
В стране вашего проживания тоже хватает бредовых законов. Я уж молчу про то, что и без всяких законов MS, Google и прочие (не)охотно сливают данные спецслужбам в рамках оперативно-розыскных мероприятий. Вы думаете, наши законодатели придумали что-то новое? Дащаз.

Я вам еще раз говорю — вой надо было поднимать на этапе обсуждения, а не играть в торпеду.
Вой на этапе обсуждения поднимали все кому не лень, но соответствовать маразматичным требованиям никто по-хорошему не собирается. Или вы из тех, кто в пятницу будет очередь занимать?
Как раз авиакомпаний слышно не было. Как видно из той же истории с невозвратными билетами, лоббировать свои интересы они могут.
Повторяю вопрос — где они были раньше?
А пока я вижу тупое торпедирование с желанием сохранить свои бабки
Мотивация бизнеса в данном случае неважна.
Закон очень вредный, и стремясь сохранить свои бабки, бизнес невольно делает хорошее дело.

Заметим, что набор инструментов, которыми можно бороться с плохими законами, весьма ограничен.
Самый эффективный из них — гласность: необходимо громко заявлять о минусах закона, о его вреде для отрасли и информировать как можно большее число людей. И тогда, возможно, плохой закон будет отправлен в долгий ящик.

Вот с этим (привлечением внимания к проблеме) авиакомпании помогают всей IT-отрасли, за что им большое спасибо.
Мотивация бизнеса, как раз, важна.
Закон не столько вредный, сколько неэффективный. Т.е. сама идея возможности для наших спецслужб иметь доступ к данным жителей РФ — она абсолютно логична в рамках государства. Тоже самое с успехом делает США просто по факту нахождения крупнейших IT-компаний на территории, собственно, США (даже не обязательно физического).

Гласность — ОК. Что мешало участвовать с обсуждении этого закона раньше? Привлекать к нему внимание? Говорить. в т.ч., о своих проблемах?
Как показал опыт закона о новом СОРМе, существенная часть визгов о «невозможности исполнения» сводится к нежеланию тратить на это деньги (что логично) и нежеланию искать оптимальные средства для исполнения закона(что как раз хреново).
Ваш комментарий создаёт впечатление, будто вы за претворение этого закона в жизнь.
Я? Ни разу. Как админ. я знаю, что ничего толкового из этого все равно не выйдет, а работы прибавится.
UFO just landed and posted this here
контрольная закупка и т.д.
Зарегились на сервисе, смотрят страничку собственных персональных данных — тянется за фамилией на зарубежный сервер — секир башка…

Я ведь так понимаю, что все ПЕРСОНАЛЬНЫЕ данные не должны покидать пределы российского сегмента интернета, т.е. ФИО и другие чувствительные данные должны хранится в пределах страны, а сервис будет работать исключительно с обезличенными ID-шками, подставляя в поля странички данные с сервера который находится внутри страны, ну или собирая конечный вариант отображаемой страницы на внутреннем сервере.
Проверить так это или нет довольно несложно. Так что с контролем исполнения в техническом плане дело обстоит вполне выполнимо.
Любопытно, что первый заход сделали транспортники. При том, что в нынешнем виде закон будет препятствовать россиянам бронировать отели, пользоваться любыми сервисами включая западные платежные системы, любые облачные сервисы.

Надеятся, что провайдеры подорвутся ставить свои сервера в РФ и менять архитектуру сервисов, как минимум нерационально — так сделают не все. Скорее всего закон или а) отменят или б) наделают в нем дырок для его обхода.
Мне кажется, что основная идея не столько в контроле и перехвате (gmail все подряд сливают), сколько в контроле над ресурсом, поскольку пользователи в сети — главный (если не едиственный) монетизируемый ресурс.
Sign up to leave a comment.

Articles