Данные госорганов будут храниться только в России

В последний день 2014 г. Президент РФ подписал закон 531-ФЗ «О внесении изменений в статьи 13 и 14 Федерального закона «Об информации, информационных технологиях и о защите информации» и Кодекс Российской Федерации об административных правонарушениях». В нем выдвигается требование расположения технических средств ИС, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями, только на территории Российской Федерации. Закон официально опубликован в «Российской газете» 12 января 2015 г., но вступит в силу 1 июля.

Закон требует переноса в Россию не только государственных информационных систем, но и всех ИС, применяемых государственными или муниципальными органами. Михаил Емельянников, управляющий партнёр консалтингового агентства «Емельянников, Попова и партнёры», приводит такой пример: «Почтовый сервер министерства – это не государственная информационная система, но он тоже должен находиться на территории России».

Закон определяет государственную информационную систему  так "федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов". Однако даже такое достаточно понятное определение закона каждый понимает по своему. Эту проблему исследовал в своём блоге Алексей Лукацкий, бизнес-консультант по информационной безопасности Cisco: по его словам, Минкомсвязи и РАНХиГС считают, что все информационные системы, принадлежащие госорганам, являются государственными, поскольку введены в строй соответствующими приказами. В посте Лукацкого речь идет о бухгалтерии ведомства, но те же рассуждения относятся к почтовой системе, которая, скорее всего, также вводится в эксплуатацию на основе приказа.

В 531-ФЗ речь идёт уже об информационных системах, которые не принадлежат государственным органам, но используются ими. Например, сеть "Интернет" не принадлежит каким-либо госорганам, но задействуется ими для распространения информации и отправки или получения сообщений электронной почты. Получается, что если не все технические средства такой ИС находятся на территории России, то их использование государственными организациями запрещено. Те же рассуждения можно отнести к Facebook, Twitter и сервису iCloud компании Apple. Новый закон вносит изменения и в КоАП, требуя выплаты штрафов за его неисполнение: с должностных лиц – до 5 тыс. руб., а с юридических – до 50 тыс. руб. Так что за пользование такими системами должностные лица ведомств могут получить вполне реальный штраф.

На интересную юридическую коллизию, связанную с данным законом, указывает в своём блоге Михаил Емельянников. Один из принципов юриспруденции состоит в том, что если какую-либо область деятельности регулируют два закона, то приоритетным считается принятый позже. Так вот, в тот же день, 31 декабря 2014 г., Президент подписал и другой закон - 526-ФЗ «О внесении изменения в статью 4 Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», который переносит дату вступления в силу 242-ФЗ, обязывающего хранить все персональные данные россиян только на территории РФ, на 1 сентября 2015 г., т.е. закон вступит в силу через месяц после 531-ФЗ. При этом в нём предусмотрено исключение для случаев обработки персональных данных с целью исполнения полномочий госорганов, а для того и строятся государственные ИС. Если к этим двум законам применить указанный принцип, то получится, что ФЗ-242 исключает требование хранения персональных данных россиян на территории РФ для государственных информационных систем.

Однако заместитель генерального директора по развитию компании «ЭЛВИС-ПЛЮС» Сергей Вихорев такой коллизии не усматривает. «В соответствии с 242-ФЗ российский оператор персональных данных (но не госорганы) обязан хранить базы данных российских субъектов на территории РФ, – отмечает Вихорев. – А 531-ФЗ вносит изменения в «трехглавый» закон ФЗ-149, и его требования относятся именно к государственным ИС. Теперь на территории РФ должны будут располагаться все технические средства государственных информационных систем – вне зависимости от того, обрабатывают они персональные данные или нет. Контроль над выполнением этого требования осуществляет Правительство. Оно же устанавливает требования по созданию ГИС и хранению БД после вывода ГИС из эксплуатации.» То есть получается, что часть экспертов отдают приоритет подписанному позже, чем 242-ФЗ, закону 531-ФЗ. Вполне возможно, что для разрешения этой коллизии потребуется официальное разъяснение ответственных органов.