Основные изменения российского ИТ-законодательства за 2019 год

Логотип компании
Основные изменения российского ИТ-законодательства за 2019 год
Федеральный закон от 2 декабря 2019 года № 425-ФЗ, вступающий в силу 1 июля 2020 года. Согласно данному Закону предустановка российского ПО на отдельные виды электронных устройств при их продаже потребителям становится обязательной...

1.          Закон о «суверенном Интернете»

1 мая 2019 года был принят Федеральный закон № 90-ФЗ, которым были внесены существенные изменения в ФЗ «О связи» и «Об информации, информационных технологиях и о защите информации» (далее – «Закон»). Закон направлен на создание инфраструктуры, которая необходима для обеспечения устойчивого, безопасного и целостного функционирования сети Интернет на территории РФ на случай отключения от глобальной сети Интернет.

Основные изменения российского ИТ-законодательства за 2019 год. Рис. 1

Закон (за исключением ряда положений) вступил в силу 1 ноября 2019 года. Закон устанавливает дополнительные обязанности для широкого круга субъектов, а именно для операторов связи, собственников или иных владельцев таких элементов инфраструктуры, как технологические сети связи, точки обмена трафиком, линии связи, пересекающие границу РФ, и иных лиц, имеющих номер автономной системы. Так, операторы связи обязаны установить в своих сетях связи технические средства противодействия угрозам. В случае возникновения угроз функционированию сети Интернет на территории РФ, Роскомнадзор вправе осуществлять централизованное управление сетью связи общего пользования путем управления такими техническими средствами противодействия угрозам и (или) путем передачи обязательных к выполнению указаний операторам связи и иным лицам. Порядок централизованного управления сетью связи общего пользования утверждается Правительством РФ. Закон предусматривает создание реестра точек обмена трафиком, порядок ведения которого также утверждается Правительством РФ.

Положения Закона во многом детализируются на уровне подзаконных нормативных актов, регулирующих технические условия установки технических средств противодействия угрозам, требования к сетям связи, порядок предоставления информации и контроля за достоверностью и полнотой представляемой информации и др. На дату подготовки настоящего обзора большая часть из них уже принята.

В целях обеспечения устойчивого и безопасного использования на территории РФ доменных имен Закон предусматривает создание национальной системы доменных имен, куда вошли домены .RU, .РФ, .SU и иные домены верхнего уровня, управление которыми осуществляется зарегистрированными в РФ юридическими лицами, являющимися зарегистрированными владельцами баз данных указанных доменов в международных организациях распределения сетевых адресов и доменных имен. (Приказ Роскомнадзора от 29 июля 2019 года № 216 «Об определении перечня групп доменных имен, составляющих российскую национальную доменную зону».)

2.         Российское программное обеспечение

2.1.      Предустановка российского ПО

В 2019 году произошел ряд изменений в части регулирования российского программного обеспечения (баз данных). Ключевым нормативным правовым актом, принятым в данной сфере, является Федеральный закон от 2 декабря 2019 года № 425-ФЗ (далее – «Закон»), вступающий в силу 1 июля 2020 года. Согласно данному Закону предустановка российского ПО на отдельные виды электронных устройств при их продаже потребителям становится обязательной. Устанавливая общее требование о предустановке российского ПО, Закон, тем не менее, не уточняет три ключевых вопроса.

Во-первых, из Закона не следует, кто именно должен обеспечить для потребителя возможность использовать предустановленное ПО или, другими словами, кто обязуется его предустанавливать. Поскольку требование о предустановке включено в статью Закона РФ от 7 февраля 1992 года № 2300-1 «О защите прав потребителей», посвященную качеству товаров, за отсутствие в реализуемых электронных устройствах предустановленных российских программ могут отвечать как продавец, так и производитель.

Основные изменения российского ИТ-законодательства за 2019 год. Рис. 2

Во-вторых, Закон не содержит конкретного перечня или критериев определения электронных устройств, на которых предустановка российского ПО обязательна. В пояснительной записке к Закону приводятся следующие примеры таких электронных устройств: смартфоны, компьютеры и телевизоры с функцией Smart-TV.

В-третьих, Закон не определяет перечень российского ПО, которое обязательно к предустановке.

Ожидается, что три вышеперечисленных вопроса будут разъяснены в постановлении Правительства РФ, которое установит перечень электронных устройств, процедуру создания и ведения перечня предустанавливаемых программ, а также порядок предустановки. Согласно проекту данного постановления, разработанного Федеральной антимонопольной службой РФ, в перечень предустанавливаемого российского ПО будут включены антивирусные программы, навигаторы, поисковые системы, приложения для доступа к государственным услугам, платежные системы, аудиовизуальные сервисы, а также программы для просмотра I и II мультиплекса цифрового телевидения. Правило о предустановке будет вводиться постепенно для разных видов электронных устройств.

2.2.      Требования к российскому ПО

Отдельно стоит выделить ряд изменений в части требований к ПО, которое включается в Единый реестр российских программ для ЭВМ и баз данных (далее – «Реестр российских программ»). (Здесь и далее имеется в виду ПО (базы данных), которое соответствует требованиям, утвержденным Постановлением Правительства РФ от 16 ноября 2015 года № 1236, может быть включено в специальный реестр и после включения в такой реестр может свободно закупаться для целей удовлетворения государственных и муниципальных нужд.) Так, для того, чтобы признаваться российским, ПО теперь должно не только принадлежать российским субъектам без преобладающего иностранного участия, но и его гарантийное обслуживание, техническая поддержка и модернизация должны осуществляться российскими субъектами.

В 2019 году было также изменено положение, регулирующее деятельность Экспертного совета по российскому ПО (далее – «Экспертный совет»), который принимает решения о включении программного обеспечения и баз данных в Реестр российских программ. Измененное положение не содержит существенных изменений по сравнению с предыдущим, но уточняет специфику ведения реестра евразийского ПО, который существует наряду с Реестром российских программ, а также процедуры проведения экспертизы и распределения полномочий между органами Экспертного совета. Например, теперь в состав Экспертного совета могут входить члены Евразийской экономической комиссии, общее количество членов Экспертного совета может составлять 22 вместо 20 и т.д.

3.         Регулирование производства радиоэлектронной продукции

3.1.      Импортозамещение в сфере производства радиоэлектронной продукции

В целях поддержки производства радиоэлектронной продукции на территории РФ принято Постановление Правительства РФ от 10 июля 2019 года № 878 о принятии мер стимулирования производства такой продукции при осуществлении государственных и муниципальных закупок товаров, работ и услуг (далее – «Постановление № 878»).

Основные изменения российского ИТ-законодательства за 2019 год. Рис. 3

В перечень радиоэлектронной продукции, утвержденный Постановлением № 878, вошли, в том числе, компьютерное, электронное и оптическое оборудование, батареи, аккумуляторы, а также волоконно-оптические кабели.

Согласно Постановлению № 878 создается Единый реестр российской радиоэлектронной продукции (далее – «Реестр»). Основанием для включения в Реестр является:

  • для радиоэлектронной продукции (исключая телекоммуникационное оборудование) – заключение Министерства промышленности и торговли РФ (Выдается в соответствии с Постановлением Правительства РФ от 17 июля 2015 года № 719 «О подтверждении производства промышленной продукции на территории РФ».);
  • для телекоммуникационного оборудования – решение Министерства промышленности и торговли РФ.

Для признания телекоммуникационного оборудования происходящим из России оно должно соответствовать значительному перечню требований. Например, заявитель должен:

  • быть зарегистрирован в РФ в качестве индивидуального предпринимателя или юридического лица; при этом суммарная доля прямого и (или) косвенного участия граждан РФ, российских организаций без преобладающего иностранного участия в уставном капитале заявителя должна составлять более 50%;

  • являться разработчиком ПО, используемого в оборудовании, или иметь лицензию на его использование (в этом случае ПО должно быть включено в Реестр российских программ).

  • являться правообладателем изобретения или полезной модели в случае, если они используются в составе оборудования.

В рамках государственных и муниципальных закупок радиоэлектронной продукции заказчик отклоняет все заявки, содержащие предложения о поставке продукции, происходящей из иностранных государств, если на участие подано не менее двух заявок, которые одновременно:

  • содержат предложения о поставке радиоэлектронной продукции, включенной в Реестр; и

  • не содержат предложений о поставке одного и того же вида продукции одного производителя либо производителей, входящих в одну группу лиц.

Применительно к иным видам закупок Постановление № 878 обязывает предоставлять приоритет участникам, предложившим продукцию из Реестра.

С 1 сентября 2019 года и в течение двух последующих лет допускается отступление от установленного Постановлением № 878 правила, если в Реестре отсутствует требуемая продукция.

3.2.      Требования к системам хранения данных

В 2019 году были приняты два важных изменения, которые касаются средств накопления и хранения данных.

Основные изменения российского ИТ-законодательства за 2019 год. Рис. 4

Во-первых, внесены изменения в Правила хранения операторами связи текстовых сообщений пользователей услугами связи, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей (Постановление Правительства РФ от 28 мая 2019 года № 673 «О внесении изменений в Правила хранения операторами связи текстовых сообщений пользователей услугами связи, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей услугами связи».) (далее – «Правила»), принятые во исполнение Закона Яровой (ФЗ от 6 июля 2016 года № 374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты РФ в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности».)

Так, с 7 июня 2019 года технические средства накопления информации, входящие в состав оборудования средств связи, которое обеспечивает выполнение установленных в Правилах действий при проведении оперативно-розыскных мероприятий, должны иметь заключение о подтверждении производства промышленной продукции на территории РФ. Такое заключение выдает Министерство промышленности и торговли РФ в порядке, установленном в Постановлении Правительства РФ от 17 июля 2015 года № 719.

Во-вторых, в целях обеспечения безопасности критической информационной инфраструктуры РФ в Постановлении Правительства РФ от 21 декабря 2019 года № 1746 (Постановление Правительства РФ от 21 декабря 2019 года № 1746 «Об установлении запрета на допуск отдельных видов товаров, происходящих из иностранных государств, и внесении изменений в некоторые акты Правительства РФ».) (далее – «Постановление № 1746») установлен запрет на допуск иностранных программно-аппаратных комплексов СХД (Относящихся к коду по Общероссийскому классификатору продукции по видам экономической деятельности ОК 034-2014 (КПЕС 2008) 26.20.2 «Устройства запоминающие и прочие устройства хранения данных» и являющихся предметом закупки, аренды и
(или) лизинга.) к закупкам товаров для государственных и муниципальных нужд. Подтверждением производства товаров на территории РФ в данном случае будет является наличие сведений о товаре в Едином реестре российской радиоэлектронной продукции.
Постановление № 1746 вступило в силу с 26 декабря 2019 года и действует в течение 2 лет.

4.         Изменения в сфере законодательства о персональных данных

4.1.      Многомиллионные штрафы за несоблюдение требования о «локализации» персональных данных

ФЗ от 2 декабря 2019 года № 405-ФЗ внесены изменения в статью 13.11 Кодекса об административных правонарушениях РФ, устанавливающие ответственность за невыполнение требования о «локализации» персональных данных.

Обязанность операторов персональных данных соблюдать требование о «локализации» персональных данных (то есть обеспечивать при сборе персональных данных граждан РФ выполнение определенных способов их обработки с использованием баз данных, находящихся в России) была внесена в ФЗ от 27 июля 2006 года № 152-ФЗ «О персональных данных» еще в 2014 году, однако административная ответственность за ее неисполнение ранее не предусматривалась. ФЗ № 405-ФЗ такая ответственность была введена впервые. Это, однако, не исключало возможности блокировки информационного ресурса, информация на котором обрабатывалась с нарушением законодательства о персональных данных (ст.15.5 ФЗ от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). В таблице ниже приведены размеры штрафов за невыполнение требования о «локализации» персональных данных:

Состав административного правонарушения

Ответственность юридических лиц
в руб.

Ответственность должностных лиц
в руб.

Невыполнение требования о «локализации»

1 000 000 – 6 000 000

100 000 – 200 000

Повторное невыполнение требования о «локализации» (в течение одного года со дня окончания исполнения постановления о назначении административного наказания)

6 000 000 – 18 000 000

500 000 – 800 000

4.2.      Изменения в правилах проверок деятельности операторов персональных данных

13 февраля 2019 года было принято Постановление Правительства РФ № 146, которым утверждены правила организации и проведения Роскомнадзором проверок деятельности операторов персональных данных (далее – «Правила»). Ранее порядок проведения таких проверок устанавливался административным регламентом, утвержденным Приказом Минкомсвязи России. (Приказ Минкомсвязи России от 14 ноября 2011 года № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных».)

Основные изменения российского ИТ-законодательства за 2019 год. Рис. 5

Правила существенным образом не изменили ранее действовавший порядок проведения проверок деятельности операторов персональных данных, однако ввели ряд новых положений. Ниже указаны самые важные из них.

  • Правила не распространяются на проверку выполнения организационных и технических мер безопасности персональных данных, которые обрабатываются в информационных системах. Роскомнадзор вправе проверять такие системы только в части обработки персональных данных (в том числе на предмет соответствия содержания, объема, способов обработки и сроков хранения целям обработки персональных данных).

  • В отношении отдельных категорий операторов персональных данных плановые проверки будут проводиться один раз в два года (при этом по общему правилу – один раз в три года). К ним относятся, в том числе, операторы, которые обрабатывают биометрические персональные данные и специальные категории персональных данных, передают персональные данные на территории стран, не обеспечивающих адекватной защиты прав субъектов персональных данных (например, США, некоторые страны СНГ), а также операторы, которые осуществляют обработку персональных данных по поручению иностранных компаний, не зарегистрированных на территории РФ.

  • Регламентированы контрольно-надзорные мероприятия в области соблюдения законодательства о персональных данных, которые осуществляются без непосредственного взаимодействия с операторами персональных данных. Данные мероприятия (контроль) осуществляются Роскомнадзором в двух формах:

  1. 1) наблюдение за соблюдением операторами требований законодательства о персональных данных при размещении ими информации в сети Интернет и СМИ;
    2)  анализ информации о деятельности оператора, полученной Роскомнадзором (например, от самого оператора в рамках межведомственного взаимодействия и иными способами).

При выявлении нарушений оператору персональных данных направляется требование об их устранении в течение 10 дней. Протокол об административном правонарушении составляется только в случае неисполнения полученного требования.

  • Роскомнадзор вправе направить оператору персональных данных требование о приостановлении деятельности по обработке персональных данных, если такой оператор получил предписание об устранении нарушения, но продолжает нарушать права субъектов персональных данных. Деятельность подлежит приостановке до полного устранения нарушения.

(Продолжение следует)

Виктор Наумов,

Управляющий партнер санкт-петербургского офиса Dentons,

руководитель российской практики в области ИС, ИТ и телекоммуникаций,

соруководитель европейской практики в области

регулирования Интернета и технологий

Опубликовано 11.02.2020

Похожие статьи