Итоги заседания ЭКС при РАЭК в Роскомнадзоре по вопросам развития Дата-центров, Облачных технологий и изменений в законодательство о Персональных данных
Дата публикации: 12 сентября 2014
12 сентября 2014 года в Ситуационном центре Роскомнадзора состоялось Расширенное заседание Экспертно-Консультативного Совета (ЭКС) при РАЭК по вопросам развития инфраструктуры и решений для хранения и обработки информации, Дата-центров, ЦХОДов, Облачных технологий, а также изменений в законодательство о Персональных данных (Федеральный закон № 242-ФЗ и проект внесения в него изменений).
Заседание было организовано НП “РАЭК”, в нем приняли участие представители интернет-сервисов, оказывающих услуги по хранению и обработке информации, в т.ч. услуги в области облачных вычислений, представители ЦХОДов (центров хранения и обработки данных) / Дата-центров, представители провайдеров SaaS-решений, интернет-провайдеров и операторов связи, руководство Роскомнадзора.
Заседание носило расширенный характер, т.к. помимо членов НП “РАЭК” и ЭКС при РАЭК, в нем приняли участие представители ряда отраслевых компаний, в т.ч. международных.
Так, со стороны отрасли в заседании приняли участие представители компаний: 1С-Битрикс, Acronis, Apple Russia, CISCO Systems, Data Pro (дата-центр), eBay / PayPal, EMC, Google, IBM, Microsoft, Мегафон, МТС, OZON.ru, Островок.ру, Ростелеком, RU-CENTER Group, Spotify, Samsung, Rambler&Co, SAP, SELECTEL (дата-центр), Фонд развития информационной демократии, Эрикссон, Яндекс.
Засдение провели: со стороны Роскомнадзора – Заместитель руководителя М.Ю. Ксензов, со стороны РАЭК – директор Ассоциации электронных коммуникаций С.А. Плуготаренко.
В ходе заседания обсуждались следующие вопросы:
Современные тенденции развития облачных услуг и сервисов:
- Технологии. Рынок. Законодательство
- Рынок b2b- и b2с-решений
- Общемировая и российская практика
Предпосылки для развития рынка услуг, предоставляемых российскими дата-центрами:
- Услуги для российских игроков
- Услуги для междунаодных компаний
- Факторы, сдерживающие рост этого направления в РФ
- Как можно стимулировать развитие этого направления
Новые положения в законодательстве в области защиты Персональных данных (242-ФЗ):
- Болевые для отрасли точки
- Предложения Отрасли по возможной доработке законодательства и подзаконных актов
Основные выводы участников заседания:
Участники заседания рассуждали на тему готовности инфраструктуры и дата-центров РФ к увеличению количества клиентов (коммерческий сектор: российские и международные компании, а также госсектор).
Было отмечено, что за последние годв в этой сфере (хранения и обработка инфомации) произошли значительные позитивные сдвиги, появились новые дата-центры, сертифицированные по международным стандартам и готовые принять большие объемы данных и клиентов.
Также обсуждались болевые вопросы дальнейшего развития данного сегмента рынка, среди наиболее значимых были отмечены:
- Сложность решения вопроса выделения земли (и переназначения зданий);
- Высокая стоимость электричества и трудности с подключением к электросетям (РФ – в хвосте рейтинга по этому параметру);
- Низкая конкуренция среди магистральных провайдеров;
- Вопрос безопасности данных не-российских клиентов (в особенности от правоохранительных органов);
- Высокие пошлины на ввоз оборудования.
В связи с принятым летом 2014 года и вступающим в силу в 2016 года Федеральным законом №242-ФЗ (изменения в законодательство о защите персональных данных), участниками отрасли были высказаны следующие отраслевые предложения и опасения:
- Общая отраслевая озабоченность: Закон создаёт дополнительную нагрузку на бизнес, на регуляторов, влечёт дополнительные расходы и таким образом может негативно повлиять на ВВП. Предложения: отметить принципиальные аспекты и конструкции, заложенные в закон, с целью проведения их дополнительной экспертизы и выявления влияния на рынок; разработать а) технологическую и б) экономическую аргументацию; рассмотреть возможность переноса сроков вступления закона в силу.
- Категории данных, подпадающие под сферу действия закона: Введение обязанности по хранению и обработке любых персональных данных на территории РФ крайне обременительно и не имеет смысла, если целью является защита граждан РФ. Предложение: ограничить сферу применения закона персональными данными специальных категорий (как они уже определены в законе о персональных данных).
- Согласие субъекта: Одним из основополагающих принципов законодательства о персональных данных является то, что согласие субъекта всегда считается достаточным для осуществления любых действий с его данными. Предложение: Указать, что обязанность по хранению и обработке персональных данных в России – снимается с оператора в случае согласия субъекта таких персональных данных на то, что в России это делать не обязательно.
- Трансграничная передача и доступ: Из существующих комментариев неочевидно, насколько допускается передача данных за границу и доступ к ним по каналам связи из-за границы. Европейская Конвенция, участником которой является Россия, такую передачу разрешает при определённых условиях. Предложение: Дать разъяснения, что передача за границу и доступ из-за границы возможны, если параллельно с этим соблюдаются положения закона о локальном хранении.
- Определение гражданства: Поскольку персональные данные могут быть любого состава, они не обязательно включают в себя гражданство, что делает соблюдение закона операторами крайне затруднительным. Предложение: Разъяснить, что закон применяется только в том случае, если обрабатываемые данные включают в себя гражданство (например, если субъект специально его указал).
Итоги заседания. Формирование Рабочей группы. Дальнейшие шаги
По итогам Заседания было принято решение о формировании Рабочей группы по развитию российского сегмента рынка хранения и обработки информации – на базе Экспертно-Консультативного Совета при РАЭК, с приглашением всех заинтересованных сторон, принявших участие в заседании 12 сентября 2014 года.
Основные направления, по которым планируется деятельность Рабочей группы в ближайшее время:
- Формирования экспертного коллектива из числа организаций отрасли (технические специалисты, юристы, GR-менеджеры)
- Определение Экономических и Технологических особенностей современного развития дата-центров и сопутствующих услуг
- Разработка концепции (ряда мер) по стимулированию развития отрасли хранения и обработки информации в РФ
- Работа над рекомендациями и разъяснениями по основным критичным положениям Закона 242-ФЗ (о внесении изменений в законодательство о защите Персональных данных)
- Вопросы сертификации дата-центров
Всем организациям, делегировавшим своих представителей для работы в ходе Заседания, было предложено войти в состав Рабочей групп, безотносительно членства в НП “РАЭК”.
В ближайшее время будет организован ряд дополнительных встреч с профильными представителями государства, отвечающими за вопросы регулирования данного направления.
СПРАВКА К ЗАСЕДАНИЮ:
1. Развитие современных облачных технологий двигают, условно, несколько тенденций:
а) Замена бизнес-моделиВ секторе SaaS, как b2b, так и b2c мы видим достаточно большую миграцию с коробочного софта на облачные сервисы, что, с одной стороны, позволяет клиентам экономить средства, с другой стороны - дает стабильный источник дохода подписной модели. Сюда же, в некотором смысле, можно отнести и контентые потоковые сервисы.
б) Изменение сценария потребления IT-ресурсов.Поскольку требования к хранению, скорости обработки данных, доступности данных постоянно растут, даже для крупного бизнеса становится целесообразным на каком-то уровне перейти на другой способ доставки ИТ-услуг. Конкретный уровень (инфраструктура, платформа, приложение) определяется как потребностями компании, так и наличием экспертизы (переход на облака объективно высвобождает трудовые ресурсы).
с) Виртуализация ИТ-ресурсов.Переход к новым вычислительным парадигмам, платформам необязательно (хотя часто) означает переход на услуги других компаний. В крупных компаниях все чаще оперируют такими понятиями, как частное (или гибридное) облако; программно-конфигурируемые сети; или даже программно-конфигурируемые дата-центры. Такие технологии позволяют более эффективно утилизировать ресурсы, упрощают работу с ними на более высоком уровне взаимодействия.
C точки зрения рынка, все облачные компании очень разные:
- Одна группа - это ИТ-гиганты, пришедшие из серверного рынка, рынка баз данных, корпоративного ПО, ERP, сетевого оборудования и т.д.
- Вторая категория - это интернет-компании, обладающие большим запасом мощностей и опытом строительства дата-центров.
- Третья - это облачные стартапы (многие из которых уже стали крупными компаниями).
C точки зрения законодательства – два основных направления:
- стандартизация и
- сертификация мер информационной безопасности облачных сервисов и требования по защите и передаче персональных данных.
Несмотря на “скандал Сноудена”, серьезных изменений в мировом законодательстве после принятия основных положений (вроде Европейской конвенции) не произошло.
Хорошим примером является Сингапур, где в 2014 году вступил в силу Закон о персональных данных. Новые меры регулирования должны помочь сингапурским компаниям соответствовать требованиям по защите персональных данных при трансграничной передаче, предъявляемым, например, странами ЕС. Новое законодательство требует от компании получать разрешение пользователей на обработку персональных данных и объяснять им, как будут обрабатываться и использоваться их данные. Не относится к персональным данным и любая контактная информация, связанная с бизнесом, например, имя, должность, рабочая почта и телефон. Закон является дружелюбным для бизнеса и правительства. Так он не содержит норм о фундаментальном праве на конфиденциальность, распространяется исключительно на бизнес отношения. Кроме того, данные должны использоваться для целей, «которые будут сочтены подходящими для человека разумного в данных обстоятельствах», что открывает путь для многих современных практик использования массивов данных, к которым есть определенные вопросы у стран ЕС. Организации могут хранить персональные данные пользователей, пока это требуется для целей, заявленных при сборе.
2. Структура международного и российского рынков
Российский рынок мало чем отличается от европейских.
Для предоставления облачных услуг достаточно каналов связи, технологической экспертизы. Но есть определенные отличия в менталитете, которые пока сдерживают массовое развитие подобных сервисов.
Кроме того, модель закупок в (гос)корпорациях все еще рассчитана на покупку большого количества оборудования и очень дорогих информационных систем, что, разумеется, сдерживает переход. В этом смысле большим подспорьем могло быть стать пересмотр требований к подобным закупкам. В России в естественных условиях локальный "Амазон" так же может появится, скорее раньше чем позже, в этом есть объективная потребность. В то же время SaaS в России развивается быстрыми темпами и лишь с небольшой задержкой относительно США или Европы.
Для большого числа клиентов российских и международных компаний вопрос, где будут хранится их данные является важным. Но только в некоторых случаях важным настолько, чтобы экономически оправдать перенос дата-центров. Таким образом, для ряда компаний с экономической точки зрения будет рациональнее отказаться от бизнеса в РФ. Не стоит забывать и о том, что в случае признания того, что РФ нарушает 108-конвенцию, европейские компании просто не смогут передавать данные на территорию РФ.
Гораздо привлекательнее выглядит стимулирование создания новых дата-центров экономическими методами.
Но тут мы упираемся в несколько известных моментов:
- вопрос выделения земли (и переназначения зданий);
- стоимость электричества и трудности с подключением к электросетям (РФ в хвосте рейтинга по этому параметру);
- низкая конкуренция среди магистральных провайдеров; рыночная власть госкомпаний;
- безопасность данных не-российских клиентов (в особенности от правоохранительных органов);
- пошлины на ввоз оборудования.
Тема в СМИ: Авральная защита пользователей