О защите персональных данных

Размещено на http://www.allbest.ru/

Аналитическое управление Аппарата Совета Федерации

О защите персональных данных

В.Г. Гречихин, главный консультант отдела государственного строительства

Введение

К теме правовой защиты сферы частной жизни человека в последнее время усиливается внимание как в нашей стране, так и за рубежом. Информатизация общества, создание и широкое использование компьютерных баз данных о гражданах государственными и негосударственными структурами, участие стран в международном информационном обмене, в открытых информационных системах придают особую актуальность и значимость задаче обеспечения необходимой правовой защиты информации о частной жизни граждан.

Именно персональные данные являются если не самыми ценными, то, несомненно, самыми популярными для злоумышленников. По материалам исследований компании InfoWatch, среди всех зарегистрированных утечек информации персональные данные составляют порядка 90%.

1. Зарубежный опыт

В разных странах существуют различные представления о том, какие именно сведения следует относить к информации персонального характера, и неодинаковые подходы к использованию тех или иных персональных данных. При этом в зависимости от конкретных особенностей национальной правовой системы категория «персональная информация» может быть нормативно закреплена как на уровне основного закона государства, так и путем издания специального нормативного правового акта.

В Европе история формирования законодательной базы защиты персональной информации граждан насчитывает более чем тридцатилетнюю историю.

Первый закон о защите персональных данных, устанавливавший правила хранения и предоставления информации о гражданах, был принят в Германии в федеральной земле Гессен в 1970 г. Первый закон о защите данных на национальном уровне - в Швеции в 1973 г. В Великобритании в 1960-х годах были приняты так называемые «билли о защите частных лиц».

Законодательство о защите неприкосновенности частной жизни и персональных данных во многих странах схоже и включает в себя:

обеспечение безопасности собранных персональных данных;

обеспечение возможности у субъекта персональных данных для их ознакомления и уточнения;

требование четко формулировать цель использования персональных данных, которая не может быть изменена без согласия субъекта персональных данных;

создание специального органа, обеспечивающего контроль за соблюдением прав субъекта персональных данных.

Различия в основном касаются круга лиц, обязанных исполнять нормы законов, порядок и сроки обжалования действий, нарушающих защиту персональных данных.

В 43 странах действуют законы, регулирующие порядок защиты неприкосновенности частной жизни и персональной информации (Приложение 3).

В зарубежном законодательстве сложилось два основных подхода к определению персональных данных.

В некоторых государствах персональные данные отождествляются с любой информацией, имеющей отношение к данному лицу (Франция, Швеция, Венгрия и др.). Для некоторых государств характерна детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).

Оптимальным вариантом регулирования эксперты считают наличие закрепленного правом баланса двух основных информационных прав и свобод: права доступа к информации, затрагивающей интересы лица, и право ограничения доступа третьих лиц к информации о себе.

В США и большинстве стран ЕС разработано законодательство по вопросам защиты персональных данных - приняты национальные нормативные специализированные акты, которые доработаны и изменены в связи с развитием телекоммуникаций. Обновленные законы учитывают особенности сбора, хранения, обработки и использования персональных данных в сети Интернет. правовой гражданин законодательство

Подходы различных стран к законодательному регулированию с персональными данными имеют некоторую национальную специфику, однако эксперты выделяют ряд общих моментов:

создается национальное законодательство, позволяющее регулировать отношения, связанные со сбором, хранением, автоматической обработкой и использованием персональных данных;

создается самостоятельная система органов, ответственных за защиту персональных данных, регистраторов и контролеров банков персональных данных;

в законодательство вводятся нормы, устанавливающие уголовную ответственность за разглашение персональных данных и иные нарушения в данной области.

Во многих странах с целью эффективной реализации законодательных норм о защите и порядке работы с персональной информацией граждан, а также четкого понимания этих норм гражданами были созданы специальные государственные структуры: комиссии, агентства или управления по защите персональных данных (Приложение 4).

Созданные механизмы защиты неприкосновенности частной жизни позволяют противостоять таким нарушениям основных прав человека, как незаконное хранение персональных данных, хранение неточных персональных данных, а также несанкционированное использование или опубликование таких данных.

2. Защита персональных данных в РФ

В отечественной правовой системе институт персональных данных является достаточно новым и находится в стадии становления. Центральное место в регулировании отношений, связанных с правовой регламентацией порядка защиты персональных данных, занимает Федеральный закон № 152-ФЗ «О персональных данных», который определяет общие принципы их защиты (был принят в июле 2006 г. и вступил в силу в январе 2007 г.).

Закон обязывает операторов персональных данных соблюдать установленные технические требования по защите информации. Непосредственно требования к защите информации устанавливают ФСБ России и Федеральная служба по техническому и экспортному контролю (ФСТЭК России), они же наделены правом контроля за выполнением этих требований.

Все операторы персональных данных должны были привести свои системы обработки персональных данных, запущенные до 1 января 2010 г., в соответствие с законом до 1 июля 2011 г.

В июле 2011 г. Государственная Дума приняла в третьем чтении поправки к закону «О персональных данных», уточняющие ряд его понятий.

13 июля 2011 г. Совет Федерации одобрил закон, при этом в процессе его рассмотрения прошли серьезные дебаты по поводу качества принимаемых поправок.

25 июля 2011 г. Президент РФ Д.А. Медведев подписал Федеральный закон № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Этим законом была уточнены сфера действия Федерального закона «О персональных данных», используемые в нем основные понятия, принципы и условия обработки персональных данных, существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер по обеспечению безопасности, права и обязанности оператора персональных данных.

На протяжении всего периода доработки Федерального закона № 152-ФЗ как сам закон, так и вносимые в него поправки вызывали неоднозначную реакцию специалистов.

Экспертное сообщество выразило свое недовольство принятым вариантом поправок в открытом письме Президенту РФ Д.А. Медведеву (6 июля 2011 г.). В письме отмечалось, что законопроект навязывает требования по защите данных, которые абсолютно не учитывают современные тенденции развития информационного общества, а слегка «подкорректированные» методы и способы защиты государственной тайны 20-летней давности стали обязательными для всех операторов персональных данных. Эксперты отметили, что операторы с большой вероятностью переложат все расходы на субъектов персональных данных.

Эксперты по информационной безопасности сошлись во мнении о том, что поправки в закон «О персональных данных» повлекут большие финансовые затраты и российских предпринимателей, и государственных структур. Использование только одобренных ФСБ России и ФСЭКТ средств защиты информации в масштабах страны, по различным оценкам, будет стоить 4-6% ВВП. Представители бизнеса также заявили, что «траты будут огромными».

Банки вынуждены будут нести дополнительные затраты, связанные с требованием о необходимости использования операторами средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (приобретение таких средств защиты у компаний, имеющих соответствующие сертификаты).

Все это, в свою очередь, обязательно отразится на стоимости оказываемых услуг. Кроме того, эксперты отметили, что единые, однотипные, спущенные сверху средства для защиты абсолютно всей информации на руку злоумышленникам (чем больше знаешь о защите, тем больше шансов ее взломать).

В письме также отмечалось, что законопроект не проходил антикоррупционную экспертизу.

Это создает предпосылки для вывода информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Авторы письма просили Президента РФ отклонить законопроект, направить его на общественные слушания и доработку.

Ассоциация российских банков (АРБ) в июле 2011 г. направила Президенту Российской Федерации Д.А. Медведеву письмо, в котором было отмечено, что принятие ФЗ «О внесении изменений в Федеральный закон «О персональных данных» вызывает не только большую озабоченность у представителей деловых кругов, но и не нашло единогласной поддержки со стороны парламентариев. АРБ просило Президента РФ рассмотреть вопрос об отклонении изменений в Федеральный закон «О персональных данных».

Представители Российского союза промышленников и предпринимателей отметили, что выполнение норм закона потребует огромных неоправданных затрат со стороны бизнеса и предприятий бюджетного сектора экономики. Вступление в силу закона «О персональных данных» в принятой редакции негативно скажется на работе большинства предприятий, осуществляющих обработку персональных данных, так как ко всем системам предъявляются завышенные унифицированные требования вне зависимости от того, какого рода информацию о персональных данных они хранят и обрабатывают. Выполнение норм законопроекта непременно отразится на конечной стоимости услуг для потребителей. Кроме того, в условиях отсутствия прозрачного механизма реализации и контроля создается существенный фактор, способствующий коррупции.

Самым активным противником законопроекта выступили участники Ассоциации региональных операторов связи (АРОС). По их мнению, одобренная Государственной Думой редакция закона создает новые проблемы при обработке персональных данных, устанавливает новые административные барьеры, усложняет государственный контроль за этой сферой. Представители АРОС отметили, что за рубежом негосударственные операторы персональных данных самостоятельно определяют необходимые конкретные меры защиты, применяют соответствующие процедуры и технические средства на свой выбор. Было особо отмечено, что за выполнение норм законопроекта в конечном итоге придется заплатить самим абонентам, поскольку увеличение расходов операторов связи на реализацию новых требований неизбежно приведет к росту цен для абонентов на самые массовые в стране услуги - услуги связи, в том числе сотовой.

Кроме того, по мнению представителей АРОС, остается нерешенным и вопрос бюджетных расходов при реализации всех указанных в законе норм. Потери для бюджета есть по нескольким направлениям. Новые требования потребуют средств на изменение уже имеющихся систем защиты, что повлечет за собой многомиллионные затраты, бюджетные организации возместят их из бюджета. Предприниматели законно уменьшат на эти суммы налогооблагаемую прибыль, в результате бюджет не досчитается налогов. Кроме того, фактически вводится новый вид тотальной надзорной деятельности.

Активное обсуждение темы сохранности персональных данных в последнее время началось с новой силой в свете событий, связанных с появлением в открытом доступе персональных данных большого количества граждан (июль 2011 г.).

Так, в сети Интернет в открытом доступе оказались некоторые документы Федеральной антимонопольной службы, Федеральной миграционной службы, Счетной палаты, Минэкономразвития, Высшей аттестационной комиссии Минобрнауки, портала Госзакупок, а также документы региональных отделений органов государственной власти. При определенном запросе в результатах выдавались документы с грифом «для служебного пользования», а при изменении параметров запроса поисковая система выдавала документы с грифом «секретно».

«Яндекс» проиндексировал анкеты, которые пользователи заполняли на сайте RailwayTicket.Ru во время покупки электронных железнодорожных билетов. Поисковик выдает всю информацию о заказанных билетах, включая фамилию, имя и отчество пассажира, дату отправления поезда, его номер, пункты отправления и назначения.

В поисковые системы попали личные данные покупателей интернет-магазинов, в том числе секс-шопов. В публичном доступе оказались имена, фамилии, контактная информация клиентов и их заказы.

В открытом доступе оказались тексты SMS, отправленные с сайта сотового оператора «Мегафон», вместе с телефонными номерами пользователей.

Крупнейшая российская поисковая система «Яндекс» возложила вину за проблемы безопасности на веб-специалистов, которые, несмотря на быстрый рост онлайн-покупок в России, не заботились о том, как защищать персональные данные веб-покупателей. Специалисты Gооgle предложили аналогичное объяснение, заявив, что информация на веб-страницах легко может быть исключена из сферы действия поисковых сервисов при помощи специальной блокировки.

Серия утечек персональных данных продолжилась с появлением портала RusLeaks.com, на котором были выложена в открытый доступ информация из множества закрытых баз данных (по некоторым данным, более 200), среди которых базы данных МВД, ГИБДД, ФАС, ФСБ, закупки системы Госконтракт и внутренние базы банков. В базе можно было найти паспортные данные, мобильные номера, банковские реквизиты, информацию по автомобильным штрафам, данные налоговых служб и службы исполнения наказаний.

По оценкам специалистов Роскомнадзора России, информация, размещенная на сайте, была взята частично из открытых источников, но основной ее объем - примерно 130 баз данных с персональными данными граждан - оказался в открытом доступе незаконно. По мнению ИТ-специалистов и блогеров, ничего нового RusLeaks не содержал: на сайте были собраны вместе все имеющиеся базы данных и представлена удобная система поиска.

В результате проверок выяснилось, что доменное имя сайту RusLeaks.com выделила компания «INTERNET.BS CORP» (Майами, США). При этом законодательно закрывать такие ресурсы невозможно. Злоумышленник не несет ответственности за зарегистрированный в США домен, так как российские законы там не действуют.

Через некоторое время сайт прекратил свою работу. При этом, по оценке специалистов, все данные пользователей по-прежнему имеются в Интернете, они скопированы и размещены на других ресурсах.

Многие эксперты сходятся во мнении, что происшедшее еще раз подтвердило, что в России Федеральный закон № 152 о защите персональных данных не действует, бороться с утечками информации практически невозможно, так как основная их причина - человеческий фактор. К недостаточно защищенным базам данных имеет доступ множество чиновников различных ведомств, информация попадает в сеть из-за злого умысла людей, в том числе желающих на этом заработать.

В целом, по мнению экспертов, новый вариант Федерального закона № 152-ФЗ «О персональных данных» не внес кардинальных изменений в существующую ситуацию в области обработки персональных данных в части законодательных норм.

Представители бизнес-сообщества отмечают, что в новой редакции ФЗ № 152 имеются как свои плюсы, так и ряд минусов, при этом многие моменты в новой редакции закона так и остаются неоднозначными. Закон не дает решения проблемы, а лишь обязывает организации, соприкасающиеся с персональными данными своих клиентов, выполнять требования по организации хранения таких данных. При этом выполнение предписанных мер не гарантирует ни безопасности персональных данных клиентов, ни защиты владельцев онлайн-сервисов от претензий клиентов, провокаций конкурентов и пристрастных проверок со стороны регулятора.

Вместе с тем в факте принятия закона есть и позитивные новости, например, в части уточнения понятийного аппарата закона. Эксперты отметили более корректное определение основных понятий, используемых в законе, в первую очередь, самого понятия «персональные данные». Также отмечены изменения, коснувшиеся принципов и условий обработки персональных данных, в их формулировках учтены замечания, внесенные операторским сообществом. При этом в законе нашли отражения не все предложения профессионального сообщества.

Эксперты считают, что Федеральный закон № 152-ФЗ нуждается в серьезном совершенствовании, но это - уже следующий шаг, который будет продиктован правоприменительной практикой.

Размещено на Allbest.ru