Практически все данные о нас украдены, выложены в интернет и продаются в автомобильных пробках и подземных переходах. Запрос в Яндексе «украли базу данных» выдает сотни страниц релевантного текста типа «Пираты украли базу данных по налогам москвичей, у пенсионного фонда украли базу данных», «украдена база данных по кредитам россиян» и многое другое. Короче говоря, все базы данных госорганов воруются с периодичностью, достойной восхищения, что еще раз подтверждает сентенции моей другой заметки «Портрет российского чиновника, или за что мы так не любим власть».

«Что происходит в России?» - спросите вы. «Воруют», - отвечает нам великий Н.М. Карамзин сквозь века. Можно смело утверждать, что злоумышленникам великолепно известны наши доходы, налоги, домашние адреса, номера мобильных телефонов, история продажи и покупки автомобилей, суммы заплаченных штрафов, числящееся на нас имущество и многое другое. Увы, коммерческие базы данных не менее дырявы. Единственное, что отличает их от государственных, - более тщательная защита. Поэтому в России коммерческие базы данных несколько труднее украсть.

Как борется с воровством персональных данных государство? По закону, и продавцы баз данных, и покупатели должны нести за свои действия уголовную ответственность. Однако никого по этой статье так и не осудили.

Я долго и безуспешно пытался найти хоть малейшие следы борьбы нашего государства с этим опасным явлением. Пассивность наших карательных органов в этом вопросе внушает истинное изумление и недоумение. Странно, не правда ли? Особенно учитывая то, что кампания по защите наших ПД (персональных данных) идет уже 5 лет.

История защиты «Персональных данных»

Немного истории. Данной проблемой в Европе озаботились еще в 1981 году в Страсбурге, когда была принята Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». Россия тоже не стояла на месте, и «всего» 24 года спустя Владимир Путин подписал федеральный закон N 160-ФЗ от 19 декабря 2005 года «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

Любопытно, что этим дело и ограничилось, так как ратифицировать саму Конвенцию наши чиновники от власти благополучно «забыли», и по настоящее время она Россией до сих пор не подписана.

Наконец, полгода спустя, был принят Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных», окончательное вступление которого в силу было отложено до 1 января 2010 года. Поскольку писали закон те же малограмотные чиновники, он получился настолько «кривым» и однобоким, что в некоторых частях вступил в противоречие с Евроконвенцией, по образу и подобию которой задумывался. Долгих три с половиной года ничего не происходило, кроме бесконечных «круглых столов», на которых создатели закона все больше и больше убеждались в нелогичности и взаимной противоречивости своего детища. Разумеется, признать, что сие «творение» совершенно сырое и подготовить пакет исправлений ни у кого не хватало ни воли, ни желания. Наконец, за два с небольшим месяца до окончательного вступления закона в силу, «вопли» коммерсантов были услышаны. Двадцатого октября состоялись парламентские слушания, на которых было решено внести в Закон более 24 принципиальных поправок и перенести срок окончательного вступления закона (19 статьи) на 1 января 2011 года. В настоящий момент эти поправки готовятся к передаче в госдуму. Не поздно ли?

Впрочем, даже несмотря на потуги законодателей «причесать» законодательство, касающееся защиты персональных данных, оно до сих пор содержит множество неясных пунктов. Например, 18 мая правительство приняло Постановление №424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям». Там возникает странная коллизия. Минкомсвязь отвечает за защиту систем, а ФСТЭК (Федеральная служба по техническому и экспортному контролю, в 2004 году заменила Государственной технической комиссии при Президенте Российской Федерации) и ФСБ - за защиту данных в этих системах. При этом шифрование данных, попадающее под юрисдикцию ФСБ, может быть реализовано только в конкретной системе, а это уже прерогатива Минкомсвязи. Воистину парадокс.

Коллизии закона «О персональных данных»

Идеей, лежащей в основе российского законопроекта, является разделение информации персонального свойства на две категории: общедоступную и всю остальную. При этом, однажды дав согласие на общедоступность информации, человек лишается возможности контролировать, кто и когда ее получил и как после этого использовал. Невозможность хоть как-то проследить судьбу своих персональных сведений – грубое нарушение принципов обработки персональных данных, декларируемых в статье 5 данного законопроекта. Одновременно этот пункт не соответствует концепции Евроконвенции о защите прав и свобод субъекта персональных данных.

Компании – владельцы баз данных после вступления в действие закона «О персональных данных» столкнутся с еще одной проблемой. Им необходимо будет легализовать свои базы. А сделать это будет весьма и весьма затруднительно, поскольку нынешний закон устанавливает разрешительный характер создания баз, который предполагает, что перед прямым обращением к человеку необходимо запросить у него разрешение на использование персональных данных. Только в случае получения отзыва с подтверждением данных и согласия получать рассылку сведения о человеке могут быть занесены в базу.

Практически невозможным становится прямой маркетинг, видеонаблюдение (так как оно получает биометрические данные человека), «черные списки», кредитные бюро и многое другое. Все эти виды деятельности требуют «письменного согласия», получить которое крайне непросто.

Коррупционность закона 152 ФЗ

Конечно, речь идет о «лицензировании» (о фактическом разрешении) деятельности в части обработки и хранения «персональных данных». Дело в том, что в России примерно 100 000 компаний, которые обязаны получить разрешение на подобную деятельность. Эти разрешения выдают «карманные» компании, которые получили от ФСТЭК лицензию на подобную деятельность.

Однако выдача разрешений – не единственная возможная лазейка для дополнительного заработка. Гораздо интереснее навязывать коммерсантам программно-аппаратные комплексы для защиты. Еще бы! Начальная стоимость «простенького» комплекса начинается от 3 млн. рублей, а заканчивается «от 10 млн. и выше».

О коррупционности закона шла речь и на парламентских слушаниях 20 октября. Об этом заявлял в своем выступлении депутат Аксаков (президент Ассоциации региональных банков "Россия"). Он первый заявил о коррупционности документов ФСТЭК, отметил направленность требований ФСТЭК на интересы регулятора и интеграторов и указал на возможность использовать ФЗ для рейдерства.

Список доработки к закону 152 ФЗ для ГД РФ

По результатам парламентских слушаний было выдвинуто более сотни различных предложений по доработке законопроекта по защите персональных данных. В этом списке – лишь самые ключевые из них:

1. уточнить понятия и термины

2. сроки хранения и уничтожения ПДн (персональных данных) должны определяться договором с субъектом, если иное не установлено законодательством

3. разрешить обработку ПДн, предшествующую заключению договора

4. уточнить случаи, когда согласие на обработку не требуются

5. дополнить случаи, когда обеспечение конфиденциальности не требуется

6. определить порядок адекватности защиты прав субъектов при трансграничной передаче

7. ограничить права субъекта на получение сведений об операторе наличием оснований полагать, что права субъекта нарушены

8. конкретизировать условия обработки ПДн при директ-маркетинге

9. ограничить обязанности оператора сообщать субъекту об обработке ПДн, полученных от третьих лиц

10. исключить требования обязательного использования шифрования

11. обязательные требования по защите ПДн распространять только на государственные ИСПДн

12. разрешить операторам негосударственных ИСПДн (информационных систем персональных данных) самостоятельно определять меры защиты

13. разработать отраслевые стандарты по защите ПДн под эгидой Минсвязи

14. распространить на ИСПДн режим защиты коммерческой, профессиональной и иной охраняемой законом тайны

15. уточнить полномочия регуляторов в части контроля и надзора

16. уточнить порядок и сроки уничтожения ПДн

17. включить в содержание уведомления в РКН (Роскомнадзор) сведения об используемых шифровальных средствах

18. обязать РКН информировать ФСБ и ФСТЭК о мерах, принимаемых операторами по безопасности ПДн

19. отодвинуть срок вступления в силу ст.25.3

20. исключить требование получения лицензии на ТЗКИ (техническую защиту конфиденциальной информации) для собственных нужд

21. внести изменения в ФЗ-294 в части определения предмета, сроком и оснований проверок в области ПДн

22. обеспечить публичность обсуждения технических документов ФСТЭК и ФСБ до их принятия, а не после

23. учитывать международные стандарты по ИБ (информационной безопасности)

24. разработать совместный регламент проверок РКН, ФСТЭК и ФСБ.

Особая благодарность автора Алексею Лукацкому и его замечательному блогу.