Работа с персональными данными - информацией, по которой можно идентифицировать человека - регулируется в России Федеральным законом "О персональных данных". С 1 июля 2025 года произошло ужесточение некоторых положений этого нормативно-правового акта. Как это отразится на работе бизнеса и облачных провайдерах, рассказывает Григорий Филатов, руководитель отдела информационной безопасности Linx Cloud.

Ожидаемые изменения

С 1 июля 2025 года вступили в силу новые положения пункта 5 статьи 18 Федерального закона №152-ФЗ "О персональных данных". Раньше закон требовал обеспечивать сбор данных граждан РФ на территории страны, но не исключал возможности их обработки за рубежом. А вот новые положения запрещают запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ в базах данных (БД), находящихся за пределами страны.

Обновления закона коснутся не только крупных компаний, но и малого бизнеса — если организация использует корпоративный сайт с формой обратной связи или ведет клиентскую базу, она автоматически становится оператором персональных данных. Таким образом, все компании, работающие с клиентами из России, обязаны фиксировать данные на этапе сбора исключительно в БД, размещенных на территории нашей страны.

При этом операторы смогут в дальнейшем передавать персональные данные за пределы РФ, но должны будут уведомить Роскомнадзор о факте трансграничной передачи.

Сейчас большинство отечественных компаний уже хранят данные у российских провайдеров или в локальных ЦОДах на территории России. Ряд компаний осознанно размещает данные за рубежом - например, в целях быстрого доступа к заблокированным ресурсам по VPN. Если после вступления нововведений в силу некоторые из этих компаний будут заключать договоры с зарубежными сервисами напрямую и размещать персональные данные граждан РФ за рубежом, это будет нарушением закона.

Как изменится работа облачных провайдеров

Крупные облачные провайдеры традиционно обладают собственными и арендованными мощностями в нескольких странах. Это необходимо для диверсификации бизнеса, выполнения локальных законодательных требований и снижения времени отклика ИТ-систем.

С учетом изменений закона и ростом спроса на размещение в российских облаках, облачные провайдеры наращивают мощности в России, в том числе некоторые из них находятся в процессе их частичного переноса из-за границы.

Бум перехода из западных в российские облака произошел в 2022–2023 гг., поэтому сегодня российские провайдеры достаточно хорошо подготовлены к размещению информационных систем заказчиков разного масштаба и в большинстве своем готовы отвечать требованиям регуляторов к защите персональных данных.

Однако процесс локализации и перестройки систем не завершен и продолжается по сей день, в том числе он стимулируется новыми законодательными инициативами. В частности, Роскомнадзор с 2024 года ведет специальный реестр хостинг-провайдеров, включение в который с 1 февраля 2025 года является обязательным условием предоставления услуг хостинга.

Последствия для пользователей

Маловероятно, что перенос мощностей облачных провайдеров в Россию отразится на локальных пользователях — основной объем данных уже хранится и обрабатывается в нашей стране, поэтому технические работы провайдера пройдут для них незаметно.

С другой стороны, данные iKS-Consulting свидетельствуют о том, что по итогам 1-го квартала 2025 года свободных вычислительных мощностей ЦОД в столичном регионе почти не осталось. Их исчерпанию не помешал скачок стоимости размещения почти на 32% за год. Не помогло и то, что около двух лет назад ряд провайдеров минимизировал использование мощностей в центре страны, выводя их за Урал. Тогда был зафиксирован рост спроса в сегменте облачных сервисов в Екатеринбурге и Новосибирске на 20–30%, а прирост клиентов в ЦОД Екатеринбурга, Владивостока и Новосибирска достиг 80% по сравнению с 17% в европейской части страны. Новые ЦОДы строятся, но медленно.

К росту стоимости услуг облачных провайдеров перенос дополнительных мощностей в РФ вряд ли приведет.

Что касается европейских заказчиков, они почти гарантированно столкнутся с задержкой. К сожалению, заранее определить, насколько критичной она будет, и уж тем более — насколько значима скорость доступа для конкретного клиента, практически невозможно.

Уведомление клиентов о переносе

В связи с тем, что новые требования законодательства, вероятнее всего, не скажутся на работе российских компаний, облачные провайдеры вряд ли уведомляют их о внутренних работах в этом направлении.

Что же касается зарубежных потребителей, то тут ситуация двояка. Существует чисто технический аспект изменения скорости отклика, а также вопросы, связанные с безопасностью хранения и работы с персональными данными в другой стране. Поэтому облачные провайдеры точечно прорабатывают соглашения и ситуацию с каждым зарубежным клиентом.

Если в договоре с заказчиком есть пункт о необходимости его уведомления о месте хранения его данных, расположении конкретного ЦОД, облачные провайдеры его информируют. Если такого условия нет, то они ориентируются, в первую очередь, на влияние переноса на работу клиента.

Также важны особенности локального законодательства. Местные нормативно-правовые акты запросто могут связать руки провайдерам. Например, в Индии закон о телекоммуникациях предусматривает, что вся информация о клиентах и пользователях (кроме сведений о роуминге) должна храниться на территории страны, и запрещает удаленный доступ к ней.

В Китае запрещено выносить за пределы страны хранение, обработку или анализ личной финансовой информации. Это требование касается также баз данных, содержащих медицинские сведения. В Малайзии закон о защите персональных данных тоже запрещает их передачу за пределы государства.

Поэтому облачные провайдеры точечно прорабатывают соглашения и ситуацию с каждым зарубежным клиентом.

Что в итоге

Резюмируя, можно сказать, что введение новых требований не потребует от провайдеров усиления мер информационной безопасности, так как эти меры были проработаны ранее, но может привести изменениям в работе с зарубежными заказчиками. Требования федерального законодательства, условия заключенных договоров, взаимоотношения с каждым конкретным заказчиком — все это сейчас является предметом самого глубокого анализа облачных провайдеров.