На недавно прошедшей конференции Russian Interactive Week 2014 одной из животрепещущих тем был «цифровой суверенитет» и связанные с ним проекты по импортозамещению и хранению персональных данных граждан на территории России. Если тема импортозамещения по-прежнему вызывает много вопросов, то тема хранения данных попросту сеет ужас у интернет-пользователей, переживающих за глобальные социальные сети, возможность бронирования билетов и покупок в иностранных онлайн-магазинах, а также разработчиков интернет-сервисов, использующих глобальные облачные платформы и размещающих сервера у иностранных хостинг-провайдеров.
Борьба за сохранность персональных данных, многим кажущаяся неожиданностью, на самом деле имеет довольно солидную историю — в сравнении с возрастом информационных технологий. Совет Европы озаботился защитой персональных данных еще в 1981 году, приняв конвенцию о защите личности по отношению к автоматической обработке данных. Конвенция определила ряд общих требований к законодательству европейских государств, например, потребовав собирать данные честным путем и только в необходимом объеме для выполнения заранее определенной и разрешенной законом деятельности. Особенно важно отметить, что конвенция предполагала запрет на трансграничную передачу данных в те государства, уровень законодательства о персональных данных которых не соответствовал требованиям европейской конвенции. В 1995 году уже Европарламент принял директиву Directive 95/46/EC, определяющую правила хранения, обработки и свободного перемещения персональных данных в Европейском Союзе и к 1998 году все страны-члены Евросоюза ввели собственные законы по защите персональных данных.
В то же время в США не было принято единого закона, регламентирующего подходы к работе с персональными данными, все постановления принимались по мере необходимости на основании прецедентов. Для того чтобы у международных организаций не возникало проблем, между США и ЕС был установлен протокол «безопасной гавани», позволяющий предоставить гарантии безопасности данных на уровне организации: если компания обеспечивает защиту данных, то она может быть сертифицирована для работы с ними.
Однако после громких скандалов, связанных с разоблачениями Эдвардом Сноуденом шпионских игр со стороны США, и относительно недавних судебных споров правительства США с Microsoft о раскрытии информации граждан ЕС, хранящейся на серверах в Ирландии, соглашение о «безопасной гавани» оказалось под угрозой. В настоящее время судьбу этого соглашения решает Европейский суд. Есть вероятность, что у международных компаний могут возникнуть сложности с передачей данных для обработки в дата-центры, находящиеся в США. Что же после этого делать разработчикам глобальных решений и чего ожидать пользователям?
Новые законы не так страшны, как могут показаться на первый взгляд. Фактически законы вносят новые технические требования к международным интернет-проектам — физическое отделение персональных данных от остальной информации. В таком случае персональные данные — по требованию закона — находятся на серверах в той стране, из которых их нельзя перемещать, в то время как основной объем информации и непосредственно код приложений, взаимодействующих с пользователем, может выполняться из заграничных дата-центров или на платформах глобальных вендоров (Microsoft, Amazon, Google). В зависимости от технологической архитектуры того или иного интернет-проекта, реализовать такое разделение может быть крайне сложно. Однако большинство серьезных высоконагруженных сервисов уже имеют возможности для сегментирования данных, так что вполне можно реализовать локальное хранение. Если таким сервисам как Facebook, Twitter или Expedia будет интересен бизнес в той или иной стране, ограничивающей передачу персональных данных, то возможность полноценно предоставлять услуги пользователям в этих странах у компаний есть.
Значительное количество работающих с персональными данными сервисов, создаваемых в России в последнее время, уже были готовы к локальному хранению. В бытность технологическим специалистом в Microsoft, мне часто доводилось консультировать компании, проектирующие решения с учетом использования облачных платформ и в то же время удовлетворяющих действовавшему ранее закону о защите персональных данных. Подобные компании, оценивая преимущества использования облачных платформ, размещали в облаках обезличенные данные, поддерживая отдельную базу информации для идентификации людей непосредственно на собственных серверных мощностях в России.
Очевидно, в современном мире назрела проблема сохранности персональных данных. В течение многих лет мы все активно учились легко делиться информацией в социальных сетях, обмениваться документами через открытые публичные сервисы и без особого волнения размещать важную информацию в мало понятных юрисдикциях. Сейчас возникла потребность упорядочить процессы обмена и научиться контролировать доступ к информации. Стоит ожидать большего ужесточения законодательства по работе с персональными данных в разных странах и новые технологические сложности для компаний-разработчиков. Впрочем, сложности обычно создают новые возможности и ниши для новых решений, так что смотреть в будущее можно с оптимизмом.