Новые вызовы и угрозы информационных систем персональных данных: организационные и правовые аспекты

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Сегодня у передовой мировой общественности есть основания для беспокойства в аспекте воздействия информационно-коммуникационных технологий на права и свободы человека. По мере развития технологий происходит эволюционное изменение человека и общества. Цифровая техника постепенно становится частью повседневной действительности и вырабатывается привычка доверять компьютерам, смартфонам, интеллектуальным компонентам автомобилей и иных технических средств. Одновременно все большее число данных о личности рассеивается в цифровом пространстве. Накопленный опыт свидетельствует, что информационно-телекоммуникационные технологии, помимо инновационного развития, несут угрозы безопасности государства и общества и самое важное - фундаментальным и неотъемлемым правам человека.

Вопросы охраны персональных данных, возникнув еще на заре развития компьютерных технологий право в рамках права privacy («the right to be alone»), в условиях глобального информационного общества приобретают ключевое значение. В конце 2005 г. Российской Федерацией подписана Европейская Конвенция «О защите прав физических лиц при автоматизированной обработке персональных данных». В России правовое регулирование обработки персональных данных осуществляется нормами Конституции РФ, Федерального закона «О персональных данных», Трудового кодекса РФ и иных законодательных, а также принятых на их основе подзаконных актов. Непосредственный фокус правового института персональных данных направлен на защиту информации о физическом лице.

Операторы персональных данных обязаны принимать меры обеспечения безопасности информационных систем персональных данных, соответствующие предъявляемым требованиям, что непосредственно связано с правовым регулированием охраны персональных данных, объемом и характером обрабатываемых данных, финансовыми возможностями организации, потребностями осуществления трансграничной передачи данных, наличием квалифицированного персонала и другими факторами. Учитывая динамику информационно-коммуникационных технологий и информационного законодательства в условиях вызовов и угроз глобального информационного общества, процесс организации надлежащей защиты персональных данных является ощутимой ношей для подавляющего большинства операторов персональных данных.

Известно, что во всех ситуациях, кроме персональных данных, включенных в общедоступные источники персональных данных, и случаев их обезличивания требуется, помимо прочего, обеспечение конфиденциальности сведений. Поэтому операторы персональных данных, ограниченные в материально-финансовых и людских ресурсах, нередко ищут приемлемые способы обезличивания данных, обрабатываемых в их информационных системах, что обычно производится путем уменьшения детализации сведений, исключения определенной части данных, кодирования, усреднения количественных показателей, применением метода перестановок, разведением данных по различным информационным системам и другими методами, ведущими к деперсонализации данных.

Следует учитывать, что во всех случаях критерием качества применяемых методов является возможность идентификации хотя бы одного субъекта персональных данных в условиях, когда злоумышленнику известен контекст обработки и дополнительная информация из иных источников, т.е. реидентификации, под которой понимается процесс и результат установления личности по совокупности обезличенных данных.

Осуществимость реидентификации персональных данных операторами традиционно недооценивается. Она зависит от характера и частоты встречаемости признаков, отображенных в данных, а также объема данных, получаемых при пересечении множеств различных признаков. Исследования специалистов показывают возможность реидентификации на основе следующих сочетаний данных: (1) почтового индекса, пола, даты рождения жителя США; (2) цвета волос, роста, цвета кожи и группы крови; (3) адреса электронной почты и данных о его корпоративном характере. Приведенные примеры позволяют видеть, что удаление значительной части данных, включая ключевые, не гарантирует надежность обезличивания.

Идентификация достаточно глубоко изучена учеными наук криминалистического цикла, которые определяют это понятие через тождество объекта с самим собой в разные периоды времени или в разных его состояниях. Идентификация базируется на неповторимости и индивидуальности объектов реальности и закономерностях возникновения отображения признаков объекта при взаимодействии с иными объектами.

Свойства физического лица отражаются в идентификационных признаках, которые должны быть специфичными, способными к адекватному систематическому отражению, относительно устойчивыми и вариативными. Идентификация возможна и осуществляется при совпадении совокупности общих и частных признаков, круг которых зависит от частоты их встречаемости. Теоретически возможна идентификация на основе одного уникального признака, но в практике используется набор признаков, гарантированно позволяющий произвести отождествление.

Принадлежность признака к определенному их виду не дает гарантий идентификации. В практике раскрытия и предварительного расследования событий преступлений не редкость, когда обнаруженные отпечатки пальцев не пригодны для идентификации, так как содержат недостаточно признаков. Сочетание разных признаков повышает вероятность правильной идентификации. Таким образом, обезличивание персональных данных не является тривиальным методом ухода от требования обеспечения конфиденциальности сведений и требует взвешенных решений на основе комплексного анализа возможных взаимосвязей данных и доли конкретных значений признаков в их множестве.

Защита конфиденциальности сведений требует применения комплекса организационно-правовых и технических мер. Требования обеспечения безопасности персональных данных могут вытекать из положений норм законодательства, заключенных оператором договоров и соглашений. Эффективное обеспечение безопасности персональных данных в информационной системе включает определение совокупности защищаемых данных и отслеживание мест, целей и срока их хранения, внедрение отлаженного и сбалансированного документооборота, применение инженерно-технических мер защиты зданий, помещений, сетей, устройств, носителей информации, организацию контроля доступа к информационной базе и обучения персонала, внедрение процесса безопасного удаления ненужных и избыточных персональных данных, осуществление мониторинга применяемых мер и выборочные проверки, а также расследование произошедших инцидентов. Кроме того, необходимым элементом выступает успешное взаимодействие с государственными органами.

Наибольшие сложности операторы персональных данных при организации их защиты испытывают ввиду отсутствия четкого понимания мест и формы хранения и обработки в организации персональных данных за пределами ключевых информационных систем и серверов, отсутствия адекватной модели защиты данных, не принятия надлежащих механизмов контроля за действиями сотрудников, имеющих доступ к персональным данным при исполнении своих трудовых и служебных полномочий, нехватки квалифицированных специалистов и экспертов в вопросах обеспечения безопасности персональных данных.

Сегодня не достаточно разработать и внедрить комплекс защитных мер на этапе введения системы или появления нового требования. Всякие изменения существующих или внедрение новых средств защиты данных в информационной системе персональных данных или иные ее трансформации должны оцениваться в части воздействия принимаемых мер на конфиденциальность данных, чтобы они не вызвали неблагоприятные последствия, включая нарушения требований законодательства о персональных данных. Таким образом, должен осуществляться не только контроль безопасности обработки, но и постоянный мониторинг существующей ситуации, что особо злободневно с позиции динамики правового регулирования вопросов защиты персональных данных.

Законодательство ряда государств содержит требование информирования уполномоченных государственных органов об обнаруженных оператором случаях нарушения целостности и конфиденциальности персональных данных. Так, Регламент ЕС 2016/679 предписывает информировать регулятора в течение семидесяти двух часов с момента обнаружения нарушения. Законодательно закреплена обязанность обязательного оповещения регулятора в тридцати двух из пятидесяти штатов США. В Канаде аналогичное требование закреплено на законодательном уровне с 2015 г.

Российским законодательством такая обязанность на оператора не возложена. Вместе с тем она может затронуть российских операторов персональных данных при обработке данных на технических средствах, локализованных в других государствах, а также при обработке данных их граждан. Учитывая установленные размеры штрафных санкций за нарушение требования информирования в вышеуказанных государствах, вызывает удивление спокойствие российских операторов персональных данных в вопросах применимой юрисдикции.

Кроме того, в России в 2015 г. создан Реестр нарушителей прав субъектов персональных данных, что видится первым шагом в направлении ввода обязанности информирования уполномоченного органа. В настоящее время субъектам персональных данных при обнаружении нарушения их прав в сети уполномоченный орган рекомендует сначала обратиться к владельцу сайта или информационной системы с запросом на удаление информации, а в случае отсутствия необходимого результата - в суд. Сведения о нарушителе вносятся в реестр по заявлению субъекта персональных данных на основании вступившего в силу судебного решения.

Значительные сложности в организации безопасности обработки персональных данных свойственны при использовании информационных систем персональных данных, использующих функционал глобальной информационно-телекоммуникационной сети Интернет, что в условиях интеграционных процессов и всеобщей глобализации становится широко распространенной практикой.

Трансграничная передача персональных данных требует проведения менеджмента и контроля за соответствием процессов обработки требованиям законодательства в применимых юрисдикциях. Глобальный характер современной экономики приводит к столкновению российских операторов с обработкой данных в нескольких юрисдикциях и необходимости соотнесения законодательств отдельных государств. Достаточные с позиции российского права механизмы обеспечения безопасности персональных данных для компаний, включенных в их трансграничную передачу, все чаще оказываются влекущими риски юридической ответственности при применимом праве иностранных государств. Мировая практика показывает, что для организаций международная деятельность в аспекте защиты персональных данных представляет сложную задачу.

Только в США действуют акты федерального уровня, дополненные местными законами пятидесяти штатов. Страны Европейского Союза на фоне общей тенденции гармонизации развивают свое национальное законодательство. Правовой режим персональных данных выработан во многих государствах: Аргентине, Армении, Белоруссии, Бразилии, Казахстане, Колумбии, Израиле и других. Порой существенно различается сама парадигма законодательства. Если северо-американское законодательство в целом базируется на принципе - обработка персональных данных допустима во всех случаях, когда это не запрещено и при их охране используется «зонтичный» подход, ориентированный на узконаправленное регулирование, то европейское право опирается на идею недопустимости произвольной обработки.

Кроме того, по странам вариативно понимание персональных данных. Европейское регулирование использует широкий взгляд на персональные данные и понимает под ними любую информацию, относящуюся к известному или идентифицируемому лицу. Аналогичный подход присутствует в российском праве. Законодательство США и ее пятидесяти штатов в большей мере направлено на регулирование обработки «персонально идентифицирующей информации». В разных юрисдикциях различны также подходы к выделению видов персональных данных, требующих особого регулирования. Все перечисленное лишь в самом общем виде описывает организационные и правовые вопросы, возникающие при трансграничной передаче персональных данных.

В условиях глобальной экономики, учитывая особенности архитектуры информационно-коммуникационной сети Интернет, весьма затруднительно избежать трансграничной передачи данных. При этом лишь немногие операторы персональных данных могут уверенно констатировать, что обработка данных осуществляется в пределах одной юрисдикции. Даже операторы, не имеющие международных интересов и связей с зарубежными контрагентами и клиентами, могут направлять через территорию и оборудование других государств свои сообщения и материалы, используя различные сервисы, включая электронную почту.

Май 2018 г. ознаменовался вступлением в силу Регламента ЕС 2016/679, выступающего не только актом прямого действия в пределах Европейского экономического союза, но и распространяющегося на все случаи обработки персональных данных европейских граждан и использования при обработке оборудования, локализованного в Европе. В целях обеспечения адекватного европейскому уровню защиты конфиденциальности персональных данных ЕС и США разработана программа «Щит конфиденциальности», заменившая программу «Безопасная гавань» и позволяющая американским компаниям присоединиться к ней посредством подачи онлайн-заявки на основе добровольного подтверждения соблюдения принципов программы.

Проблемы гармонизации законодательства стоят перед многими государствами, осуществляющими плодотворное всесторонне сотрудничество. Межпарламентской ассамблеей государств - участников СНГ принят Модельных закон «О персональных данных» еще в 1999 г. Сегодня назрела необходимость принятия нового акта. Обсуждение для выработки общих принципов обработки персональных данных ведется на площадках БРИКС и других региональных межгосударственных союзов.

В России трансграничная передача персональных данных осуществляется согласно положений ст. 12 Федерального закона «О персональных данных». Правомерность передачи и способы обеспечения безопасности данных во многом зависят от адекватности обеспечиваемой защиты прав субъектов персональных данных. В аспекте требований европейского права предоставлен выбор механизмов соответствия трансграничной передачи законодательству: (1) согласие субъекта персональных данных; (2) передача данных, обусловленная выполнением положений договора с субъектом персональных данных или закона; (3) передача данных на основе Стандартных договорных условий Европейского Союза. Операторы, организуя трансграничную передачу данных, должны осуществить изучение имеющихся способов обеспечения соответствия своих действий требованиям законодательства в применимых юрисдикциях для минимизации рисков ответственности, что представляется претендует на проведение предварительного всестороннего анализа и сопоставления положений нормативных правовых актов различных государств с последующей выработкой стратегии охраны данных в организации.

Все изложенное свидетельствует, что для российских операторов информационных систем персональных данных сейчас как никогда актуальна разработка комплексной модели защиты персональных данных в аспекте изменений российского и зарубежного законодательства, так как ранее выработанные государственными органами методические рекомендации и базовые модели в современных условиях фактически устарели. Не в полной мере проработанными остаются вопросы обработки персональных данных с применением облачных технологий, передача обработки третьим лицам, взаимосвязь персональных данных и Больших данных (Big Data), обработки персональных данных несовершеннолетних, обработки данных при трансграничной передаче и многие иные. Решение указанных проблем в условиях продолжающейся цифровизации экономики возможно лишь с учетом общей динамики правового регулирования.

Список литературы

трансграничный информационный персональный законодательство

1. Конвенция о защите физических лиц при автоматизированной обработке персональных данных. Заключена в г. Страсбурге 28.01.1981 // Собрание законодательства РФ. 03.02.2014. № 5. Ст. 419.

2. Федеральный закон от 27.07.2006 № 152-ФЗ (в ред. от 31.12.2017) «О персональных данных» // Собрание законодательства РФ. 31.07.2006. № 31 (1 ч.). Ст. 3451.

3. Модельный закон «О персональных данных» Принят на четырнадцатом пленарном заседании Межпарламентской ассамблеи государств - участников СНГ (постановление № 14-19 от 16.10.1999) // Официальный сайт Межпарламентской ассамблеи государств - участников СНГ. URL: http://iacis.ru/upload/iblock/c04/096.pdf (дата обращения: 24.08.2018)

4. Регламент № 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (Принят в г. Брюсселе 27.04.2016) // Official Journal of the European Union № L 119. 04.05.2016. P. 1. (http://eur-lex.europa.eu/).

5. Волокитина Е.С. Реидентификация персональных данных и методы предотвращения раскрытия информации // Электронные средства и системы управления. - 2010. - № 2. - С. 52-54.

6. Детерманн Л. Путеводитель в правовом регулировании персональных данных Лотара Детерманна. Международный корпоративный комплаенс. - 3-е изд. - М.: Инфортропик Медиа, 2018. - 340 с.

7. Журавлев М.С. Защита персональных данных в телемедицине // Право. Журнал Высшей школы экономики. - 2016. - № 3. - С. 72-84.

Размещено на Allbest.ru