Первой из числа мировых интернет-компаний жертвой закона «О персональных данных» может стать LinkedIn. Как стало известно “Ъ”, Роскомнадзор требует ограничить доступ к сайту крупнейшей в мире деловой социальной сети (более 400 млн человек по итогам 2015 года), которая, по мнению ведомства, не только не перенесла серверы в Россию, но и собирает и передает информацию о гражданах, не являющихся пользователями LinkedIn, без их согласия. Таганский суд Москвы уже удовлетворил требования Роскомнадзора, сейчас LinkedIn борется за свое существование для российской аудитории в Мосгорсуде.
По мнению Роскомнадзора, деятельность со стороны LinkedIn Corporation (администратор домена) по сбору, использованию, хранению и передаче, в том числе с помощью сайта www.linkedin.com, персональных данных граждан противоречит российскому законодательству. Поскольку LinkedIn не имеет официального представительства в РФ, Роскомнадзор обратился за ограничением доступа к сети в суд.
В своем иске ведомство указало, что сбор и передача данных российских граждан, в том числе без их согласия (для лиц, не являющихся пользователями LinkedIn), нарушают закон «О персональных данных», «права и свободы человека и гражданина, в том числе право на неприкосновенность его частной жизни, личную и семейную тайну». Сославшись на несоответствие деятельности компании ч. 1 ст. 6 и ч. 5 ст. 18 этого закона, Роскомнадзор потребовал от суда признать ее незаконной и обязать ограничить доступ к этому ресурсу. Таганский райсуд Москвы 4 августа удовлетворил иск, обязав службу принять меры к ограничению доступа к сайту и внести его в реестр нарушителей прав субъектов персональных данных.
LinkedIn — крупнейшая в мире социальная сеть для установления деловых связей и поиска работы. По состоянию на 2015 год общее число зарегистрированных участников сети превысило 400 млн человек, из них на российский сегмент пришлось 5 млн регистраций. В августе 2016 года аудитория LinkedIn в России составила 2,6 млн пользователей, заходивших на сайт с мобильных устройств и персональных компьютеров (данные TNS).
Из решения следует, что суд поддержал позицию Роскомнадзора, подтвердив наличие двух нарушений закона «О персональных данных». Первое относится к несоблюдению соцсетью требования о расположении мест хранения баз данных — с 1 сентября 2015 года серверы с ними должны размещаться в России. Второе нарушение касается обработки данных третьих лиц, не зарегистрированных на сайте, на которых не распространяется действие пользовательского соглашения и иных документов LinkedIn. В подтверждение Роскомнадзор приложил скриншоты страниц сайта и протокол оценки содержания сайта, составленный инспектором ведомства. Суд в итоге согласился с доводами службы о том, что интернет-сайт собирает и обрабатывает данные этих граждан без их на то согласия. О такой возможности говорится в положениях политики конфиденциальности соцсети, но конкретные примеры сбора и передачи информации о лицах-непользователях в решении суда отсутствуют.
Пока это решение не вступило в силу, поэтому сайт еще не заблокирован. LinkedIn, не принимавшая участия в рассмотрении дела в первой инстанции, решила побороться за свою российскую аудиторию и подала апелляционную жалобу в Мосгорсуд. Заседание состоится 10 ноября. В LinkedIn “Ъ” сообщили, что «не комментируют текущие судебные разбирательства».
В Роскомнадзоре “Ъ” рассказали, что причиной проведения проверки послужили «многочисленные публикации в СМИ о неоднократных утечках данных пользователей в социальной сети». В мае на сайте «Хакер.ру» появилась информация, что на подпольной торговой площадке TheRealDeal была выставлена на продажу информация о 167 млн аккаунтов LinkedIn и паролях для 117 млн аккаунтов. Представители соцсети тогда сообщили, что эти данные были украдены в результате атаки еще в 2012 году, теперь пароли для этих пользователей обновлены.
Ведомство дважды направляло в LinkedIn письменные запросы с целью установить факты выполнения компанией требований закона при обработке персональных данных граждан РФ, по состоянию на октябрь 2016 запрашиваемая информация не представлена. «Ввиду отсутствия представительства компании на территории России это повлекло принятие мер по судебной защите прав и законных интересов российских граждан. О чем LinkedIn заранее была проинформирована»,— сообщили в Роскомнадзоре.
«Это решение, несомненно, резонансное, так как касается одного из самых известных иностранных глобальных интернет-ресурсов»,— говорит Екатерина Тиллинг из юридической фирмы «Тиллинг Петерс». Юристы отмечают недостаточность мотивировки судебного решения. «В нем утверждается, что имеет место обработка данных третьих лиц, которые не являются пользователями социальной сети. Но неясно, о ком идет речь, о какой именно информации»,— обращает внимание Елена Трусова из Goltsblat BLP. Раскритиковали юристы и ссылку ведомства о нарушении права на частную жизнь. «В чем оно может заключаться в данном случае? Какие частные данные незаконно раскрыты или распространены? Неясно. В решении это изложено не очень убедительно»,— удивлена госпожа Трусова. Ее поддерживает Екатерина Тиллинг: «На мой взгляд, помимо прочего суд не установил надлежащим образом круг лиц, права которых в данном случае защищает Роскомнадзор в рамках своих полномочий. Нет и надлежащего обоснования нарушений, на наличие которых ссылается служба». Она добавляет, что сама LinkedIn Corporation, хотя и была уведомлена о деле, на процесс не явилась, каких-либо доводов не представила, «таким образом, суд формально оценил представленные Роскомнадзором доказательства и на их основании принял решение».
Как сообщил “Ъ” представитель Роскомнадзора Вадим Ампелонский, ведомство проверило около 1,5 тыс. компаний на предмет соответствия закону о локализации персональных данных граждан РФ на серверах в России, около 80% из них исполнили закон. Сообщалось, что к локализации приступали Apple, Samsung, Lenovo, eBay, PayPal, Alibaba Group, Booking.com, Viber. При этом Facebook и Twitter пока не спешат переводить свои серверы в РФ. В июне на Петербургском международном экономическом форуме глава Роскомнадзора Александр Жаров заявил: «Крупные западные социальные сети, такие как Facebook и Twitter, мы в этом году проверять не будем, но рано или поздно проверим».
Роскомнадзор достаточно долго избегал вопросов к крупным компаниям, им давалось много времени на перенос данных, отмечает советник президента РФ по интернету Герман Клименко. «Я считаю, что какой-то пример должен быть,— заявил “Ъ” господин Клименко.— Наверное, если Роскомнадзор доведет дело до окончательного суда, победит и заблокирует (LinkedIn.— “Ъ”), это будет звонком для тех компаний, которые не перенесли (персональные данные граждан РФ.— “Ъ”). Это же не только касается Facebook и Twitter, а это касается всех зарубежных компаний».
По словам Дмитрия Фокина, управляющего директора компании IXcellerate (владеет дата-центром, где локализовали персональные данные граждан РФ компании Booking.com и Apple), LinkedIn хватило бы 10–20 стоек для размещения серверов. По словам господина Фокина, чтобы локализовать данные в России, LinkedIn нужно иметь в России подключения к операторам связи, к коммутационному оборудованию, создать процессинговые мощности для обработки информации примерно на 10–20 стойках в дата-центре. «Разовые инвестиции на 20 стоек — $2–3 млн на оборудование и до $1 млн прочих расходов в год»,— оценивает господин Фокин. По его словам, спустя год с момента вступления в силу закона о локализации персональных данных граждан РФ отечественный рынок центров обмена данными вырос. «Это только начальный эффект, который должен быть намного серьезнее. И это вопрос того, что закон постепенно начинает выполняться. Не все перенесли данные. Некоторые компании долго раздумывают, зачастую прикрываясь тем, что это сложное техническое решение, чтобы его реализовать. Есть среди них и такие, кто занимает лидирующие позиции, в том числе в интернет-индустрии. Разговоры с ними продолжаются»,— говорит Дмитрий Фокин.
Наступление в серверном направлении
Роскомнадзор может заблокировать LinkedIn.