Операторы персональных данных, объединяйтесь !

Защита персональных данных вышла на первое место не только в сообществе «защитников» информации, сегодня эта тема и все, что связано со вступлением в силу Федерального закона 152 «О персональных данных» уже активно обсуждается и в разных компаниях и организациях, которые должны этот закон соблюдать, и, естественно, юристами. Ведь несоблюдение закона предусматривает разные степени ответственности.Портал «360- Москва Юридическая» планирует постоянно освещать на своих web-страницах вопросы, связанные с уже скорым вступлением в действие нормативных актов, обеспечивающих выполнение этого закона. В качестве первой публикации предлагаем вниманию посетителей сайта интервью с одним из ведущих специалистов по информационной безопасности и признанного эксперта в области реализации мер, предусмотренных ФЗ-152, Михаилом Юрьевичем Емельянниковым, директором по развитию бизнеса НИП "Информзащита".

-- В своих статьях и web-публикациях, посвященных ФЗ -152, Вы приводите многочисленные примеры преступного злоупотребления персональными данными. Насколько, по Вашему мнению, актуальна проблема законодательной защиты персональных данных в России сравнительно с Западом, во-первых, в контексте уровней развития информационной инфраструктуры и, во-вторых, в контексте уровня высокотехнологичной «информационной» преступности?
-- Довольно часто бывая на Западе, я никогда не замечал там особого интереса к теме персональных данных. Не обсуждают эту проблему на конференциях и форумах. Нет каких-то особых предложений по защите персональных данных на выставках. Но никогда и не видел дисков с персональными данными в открытой или скрытой продаже, а такие нелегальные развалы попадались и в США, и в Испании, и в Великобритании. Но там торгуют музыкой, а не сведениями о гражданах.
Мне кажется, там это такой же обыденный вопрос, как и другие, связанные с защитой прав граждан. Произошла утечка – надо проинформировать пострадавших, при необходимости – компенсировать им нанесенный ущерб. Скрытие факта утечки – преступление. Все просто.
У нас ситуация совсем другая. За три года базами данных о гражданах торговать не перестали, и за это время я не слышал ни об одном случае выявления и наказания виновных в этом. Закон, а также три постановления правительства и подзаконные акты в виде нормативно-правовых документов ФСБ, ФСТЭК и Роскомндзора живут сами по себе, нисколько преступному промыслу не мешая.
Проблема персональных данных для нашей страны крайне актуальная, но для ее решения, как показали три года правоприменения, надо радикально менять как закон, так и сам подход к регулированию.

-- В вашей последней статье в Cnews отмечено:
«Если государство действительно хочет защитить право на неприкосновенность частной жизни и личную тайну, развитие законодательства и подзаконных актов в оставшееся время должно пойти совсем другим путем. Кстати, сходная логика реализована в большинстве стран, прошедших путь построения системы охраны приватности» Не могли бы вы привести пример стран успешно, с вашей точки зрения, решающих проблему защиты персональных данных и примеры разумного, успешного и реально работающего законодательства, обеспечивающего выполнение этой задачи?
-- Мне кажется, я уже ответил на эти вопросы. Называть конкретные страны не хотелось бы – я в них не живу, слежу за ситуацией по публикациям в Интернете. Логика, о которой я писал на CNews, реализована практически во всех европейских странах и США. Это не значит, что утечек нет. Они регулярно происходят, скажем, в США и Великобритании. Но есть понятный, прозрачный и контролируемый механизм реакции на утечки.

-- Законотворчество довольно редко осуществляется «с нуля». Для того чтобы написать новый закон, берут какой-нибудь сходный и адаптируют его. На основании каких законодательных норм был разработан ФЗ 152 вступивший в силу в 2007 г., и почему законодательная база, «сконструирована» так, словно, перефразируя вас, законодатели и регуляторы, похоже ничего не знали о существовании современных технологий и Интернета?
-- Наш закон непосредственно и тесно связан с ратифицированной в 2005 г. «Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», что повлекло создание локального закона. Но есть два фактора, существенно повлиявших на качество принятого в России акта. Мы, с одной стороны, сильно «подправили» конвенцию, забыв про такие ее ключевые понятия, как баланс интересов государства, общества и граждан, экономическая обоснованность защитных мер, обработчик персданных и его отличия от оператора, с другой стороны, многое приняли так, как это записано в конвенции. При этом создавалась она, обратите внимание, в конце 70-х, а была принята уже в январе 1981 (!) года. Какие уж там современные технологии и Интернет! К тому же при принятии закона была полностью игнорировано мнение специалистов-практиков, занимающихся защитой конфиденциальных данных на деле, а не в тиши думских и академических кабинетов. Да и сейчас, при доработке закона и подзаконных нормативно-правовых актов практиков опять не очень слушают, и велика вероятность шарахнуться в другую крайность, полностью отдав вопросы безопасности на откуп операторов, не усилив одновременно ответственность за утечки. Это приведет к тихому угасанию темы прав субъектов персональных данных.

-- Зачем было столь скоропалительно принимать закон, который потом так долго и мучительно дорабатывается?
-- Как говорят сведущие люди, в середине «нулевых» годов Россия очень хотела в ВТО, одним из условий вступления в которую была как раз ратификация европейской конвенции и принятие локального закона. Вот и спешили… Кстати, что закон вряд ли заработает, некоторым специалистам было ясно уже к моменту его принятия. К тому же в пояснительной записке к проекту было записано, что реализация закона бюджетных ассигнований не требует, за исключением средств на содержание аппарата уполномоченного органа – Роскомнадзора в сегодняшнем его названии. Как должна быть организована защита сведений о гражданах в многочисленных органах власти и самоуправления, бюджетных организациях – законодатели скромно промолчали. Не ясно это до сих пор. Косвенным результатом этого является ситуация с обработкой персданных на порталах органов власти, оказывающих услуги гражданам. От требований закона ситуация очень далека.
Кстати, через два дня после вступления в силу закона, 28 января 2007 г., я выступал на эту тему на «Инфофоруме». Презентация называлась «Трудный старт» и была посвящена проблемам, которые должны были неминуемо осложнить применение закона. Так оно и случилось, к сожалению.

-- В какой степени этот закон лоббировался компаниями, обеспечивающими защиту информации? Станет ли он «дойной коровой» или головной болью «защитников»?
-- Я не знаю ни одной компании, работающей на рынке информационной безопасности, которая не то чтобы лоббировала, а просто участвовала бы в подготовке законопроекта или даже знала бы о его подготовке до внесения в Думу. Дойной коровой закон не стал, хотя нет смысла делать вид, что его принятие не привело к росту объемов услуг, связанных с обеспечением конфиденциальности. Кстати, в этом плане закон, как это ни странно, негативно повлиял на рынок. Появилось большое количество невесть откуда взявшихся фирмочек и компаний, активно предлагающих услуги, связанные с персданными, по демпинговым ценам. На самом деле эти «бизнесмены» торговали (и торгуют) или откровенной халтурой, или «окончательными справками для Швондера». Проблема реализации закона в силу особенностей нормативно-правовых актов на самом деле весьма сложная, требующая высокого экспертного уровня специалистов, занятых в проекте. Откуда они могли в таком количестве появиться на рынке за столь короткое время? Ответ очевиден – на горячей теме начали греть руки все, кому не лень. Так что ни головной болью, ни дойной коровой закон для серьезных игроков рынка не стал. Да, кого-то из потенциальных заказчиков закон заставил серьезно подумать о проблемах информационной безопасности. Кто-то получил дополнительные заказы. Но радикальных изменений на самом рынке закон не вызвал.

-- В вашей статье в Cnews проводится мысль, что ФЗ 152 и соответствующие подзаконные акты, в случае их практического воплощения в первоначальных формулировках практически парализовали бы российскую Сеть, а своих конечных формулировках, скорее всего, превратятся в фикцию. А может быть оно и к лучшему, если в фикцию?
-- Никак не могу согласиться с последним утверждением. Пособия для воров-домушников и грабителей, продающиеся на различных «радиорынках» в виде объединенных единым интерфейсом баз данных налоговиков, банков, телефонных компаний, БТИ, ГИБДД и т.д. – реальная и опасная угроза безопасности граждан. О человеке можно узнать практически все – где он живет, какая у него машина, квартира, сколько он зарабатывал, его телефоны и адреса, и даже куда и с кем он ездил или летал. Появился бизнес по сбору и продаже досье на граждан, собранных якобы из открытых источников, при этом к открытым источникам оказывающие такие услуги люди и компании относят и Интернет, делая вид, что сама законность размещения данных в Интернете их совсем не волнует. У нас в стране по-прежнему по любому поводу и без повода ксерокопируют паспорта и требуют данные, явно абсолютно ненужные для оказания той или иной услуги. Закон должен бороться именно с этим, а вместо этого мы три года обсуждаем классы межсетевых экранов и функциональность систем регистрации или сигнализации в автоматизированной системе. Вот в чем беда. Не работает и та часть закона, которая должна была обеспечить доступ к собственным данным в государственных и коммерческих структурах. Попробуйте получить исчерпывающие сведения о себе, предусмотренные законом, где-нибудь в налоговой инспекции, миграционной или пограничной службе – и Вы поймете, о чем я говорю.

-- После принятия ФЗ "О защите прав потребителей" граждане начали активно судиться, отстаивая свои права. Будет ли повторение "девятого вала" исковых заявлений и что в этом случае делать многочисленным операторам персональных данных нашей Сети?
-- Девятый вал не поднялся. Хотя иски граждан в судах появились, но многие решения судов ничего, кроме недоумения, вызвать не могут. То в иске отказано, потому что с нарушениями обрабатывались персданные не частного лица, а индивидуального предпринимателя, как будто от этого изменилось их содержане или значимость для субъекта. То указывается, что работа с персданными, скажем, в Росрегистрации – это вообще не обработка персданных. То суд требует представить ФИО и домашний адрес нарушителя, выложившего на сайт в Интернете персданные истца, да еще и умышленно искаженные. Как и где истец эти сведения добывать, скромно умалчивается. Есть и примеры другого свойства. Действия банка, сохранившего у себя сведения о поручителе по кредиту, отказывавшемся обязанности поручителя исполнять, судом в трех инстанциях признаются незаконными, а права недобросовестного поручителя – нарушенными.
Что делать операторам персональных данных, работающим в Сети? Объединяться, предлагать и лоббировать изменения в законодательстве, которые сделали бы очевидные их действия законными и легальными. Велика в этом роль различных профессиональных объединений, которые должны выполнять функции посредников между бизнесом, с одной стороны, и законодателями и регуляторами – с другой. Так, как это сделали в интересах банковской системы Центробанк и Ассоциация российских банков, разработавшие пакет отраслевых документов, учитывающих специфику обработки персональных данных в банковской сфере, и упорно добивающиеся их признания регуляторами. Ждать, что кто-то это сделает за компании, строящие свой бизнес в Сети, бесполезно.