Обсуждение Федерального закона № 152 «О персональных данных» (далее – ФЗ-152) в течение последних двух лет – главная тема на конференциях, семинарах, профессиональных встречах специалистов по информационной безопасности. К этому обсуждению, по мере приближения 1 января 2010 года, все активнее подключались ИТ-директора, юристы, руководители кадровых служб. 1 января потому, что именно этот срок определен законом в качестве окончательного для приведения информационных систем персональных данных (ИСПДн) в соответствие с установленными им и подзаконными актами требованиями. На момент сдачи статьи в Государственной думе прошли первое чтение поправки к закону, отодвигающие этот срок еще на один год, до 1 января 2011 года.
Все обсуждения касались, в основном, выполнимости технических требований по защите персональных данных, установленных государственными регуляторами – ФСТЭК и ФСБ, некоторых других вопросов, связанных с защитой интересов операторов персональных данных, легитимности их трансграничной передачи, порядка и необходимости уведомления Роскомнадзора об обработке сведений о гражданах и т.п.
Все это вопросы, безусловно, важные, но носящие довольно частный характер. Между тем в законе заложена настоящая бомба, о которой если упоминают, то вскользь. Суть проблемы в том, что ФЗ-152 фактически поставил вне закона всю интернет-коммерцию и блокирует возможность использования веб-технологий для передачи пользователями всемирной сети Интернет своих персональных данных, даже если они действуют по собственной воле и в собственном интересе. Вне закона, во всяком случае, в России, находятся пользующиеся колоссальной популярностью социальные сети, а использование электронной почты, если строго следовать нормам закона, налагает на владельцев почтовых серверов и даже почтовых ящиков практически невыполнимые требования.
Почему же это происходит? Законодатели и регуляторы, которые готовили подзаконные акты, похоже, совсем ничего не знали о современных технологиях, существовании интернета, наличии и успешной работе магазинов в Сети, торгующих абсолютно всем – от продуктов до автомобилей и туров на отдых. Реалии современного мира законодатели проигнорировали, и что очень странно, никто эти ошибки исправлять не хочет и не спешит.
Один из главных постулатов ФЗ-152 – необходимость иметь для обработки персональных данных согласие на нее субъектов и обязанность оператора предоставить доказательства наличие такого согласия.
Проблема в том, что во всемирной сети нет идентификации личности. Нет, и все. За исключением случаев использования сертификатов цифровой подписи, доказать, что действия в сети выполняет именно тот человек, за которого он себя выдает, невозможно. Да и с сертификатом тоже не все так просто. В данной статье невозможно рассмотреть все особенности ее применения, отметим лишь, что большой проблемой является проверка сертификатов многочисленных, самостоятельно функционирующих удостоверяющих центров и возможность получения сертификата на ник (псевдоним) пользователя в зарубежных удостоверяющих центрах.
А теперь посмотрим на окружающую нас реальность.
Персональные данные в электронной почте
Без электронной почты трудно сегодня представить работу любого офиса предприятия, организации, органа власти или местного управления.
Организация, предоставившая этот сервис своим работникам, вовсе не собиралась обрабатывать чьи-то персданные, кроме собственных сотрудников, и, соответственно, уведомлять об этот кого-то ни было. Но вот беда. В подписях электронных писем, получаемых работниками компании, содержатся сведения об их корреспондентах – фамилии, имена и отчества, названия должностей, номера телефонов, адреса электронной почты, как минимум. А может быть, и что-то еще, то, что в терминах «приказа трех» о классификации ИСПДн именуется «персональными данными, позволяющими идентифицировать субъекта персональных данных и получить о нем дополнительную информацию».
Работодатель автоматически становится владельцем ИСПДн, к которой могут предъявляться очень жесткие с точки зрения технической защиты требования, хотя ни целей обработки таких данных он не определял, ни сведения эти у субъектов не запрашивал. Они сами их прислали и обременили его дополнительной ответственностью.
И еще вопрос без ответа. Если отправитель сообщает в электронном письме свои персональные данные и передает их по незащищенным каналам связи. Сам. По собственной воле и в собственном интересе. Вправе ли получатель их считать общедоступными? Закон молчит. Молчат и многочисленные нормативно-правовые акты и методические рекомендации, созданные после вступления его в силу.
Персональные данные в электронной коммерции
Покупки в сети Интернет связаны с сообщением магазину данных, необходимых для оплаты и доставки заказанного товара или услуги. Как может владелец интернет-магазина доказать согласие на обработку персданных покупателя? Сославшись на то, что тот сам заполнил необходимые поля при покупке товара и тем самым выразил косвенное согласие на их обработку? А если это персданные не покупателя, а какого-то другого человека, которые покупатель посчитал нужным использовать при оформлении заказа, а это третье лицо не только не давало согласия, но и знать не знает об использовании его персданных? Почему ответственность за это должен нести магазин? Вполне может быть, что сведения, указанные при заказе, вообще не являются чьими-то персональными данными, а вымышлены.
Еще один пример. При покупке, скажем, авиабилетов, пассажир вполне может указать не только свои персданные, но сведения о других лицах, для которых приобретаются билеты. Опять-таки, строго следуя букве закона, перевозчик должен иметь подтверждение согласия на обработку персданных всех пассажиров, купивших билеты через интернет, а в случае, если данные представлялись не самим пассажиром, а третьим лицом, немедленно уведомить такого пассажира о начале обработки сведений о нем, указав в уведомлении обязательные реквизиты, предусмотренные законом. На самом деле, естественно, этого никогда не происходит, но к авиакомпании при желании можно предъявить претензии, а к ее должностным лицам – санкции, и очень серьезные.
Многие банки и страховые компании представляют своим клиентам или гражданам, которые хотели бы стать клиентами, возможность, не приходя в офис, выполнить некоторые элементарные действия, связанные с оценкой возможности получения предлагаемой услуги. Например, заполнить анкету на получение страхового полиса и рассчитать его стоимость, подать дистанционно заявление на получение банковского кредита или выпуск платежной карты. Опять согласие на обработку недоказуемо. И опять ответственность на правомерность обработки полученных через веб-интерфейс персданных несет только оператор, т.е. страховая компания или банк. Вполне может быть, что данные не принадлежат тому лицу, которое заполняло веб-форму. И даже использовались им в корыстных, или, хуже того, в преступных целях, а само их использование наносит ущерб истинным владельцам этих сведений. Вот только почему ответственность за это должен нести добросовестный оператор, совсем непонятно. Проиллюстрирую это простейшим примером.
Зная, что гражданин А собирается получить кредит в банке, гражданин Б, испытывающий к нему неприязненные чувства, решил своему недругу насолить. И подал от его имени, используя веб-формы, заявления о выдаче кредитов в десяток крупнейших банков, указав в них заведомо ложные сведения, неминуемо приводящие к отказу в кредите. Да еще и согласие на передачу сведений в бюро кредитных условий в этой веб-форме дал, там, где это было возможно. Что будет с гражданином А, который, того не ведая, попал в черные списки банков, а то и в бюро кредитных историй, как ненадежный заемщик? Естественно, в кредите ему откажут. Но если он решит разобраться с причинами, то виновным в нарушении его прав будет признан в конечном итоге банк, отказавший в услуге, поскольку он согласия на обработку данных потенциального заемщика доказать никак не сможет. И такие прецеденты были.
Персональные данные на корпоративных сайтах компаний
На сайтах многих компаний размещены биографии их топ-менеджеров с фотографиями (наша команда!) или фото с указанием фамилии, имени, должности, контактной информации тех сотрудников, которые работают с клиентами во фронт-офисе. В терминах ФЗ-152 такое размещение – перевод персональных данных, содержащих биометрические сведения (фото), в категорию общедоступных. Это можно сделать только с письменного согласия субъекта, причем согласие должно содержать все предусмотренные законом сведения: фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, наименование и адрес оператора, получающего согласие субъекта персональных данных, цель обработки персданных, перечень персданных, на обработку которых дается согласие субъекта персональных данных, перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, а также срок, в течение которого действует согласие и порядок его отзыва. Представляете себе документик?
Но у собственных работников такое согласие получить еще можно, хотя процедура представляется довольно бессмысленной, учитывая, что те же топ-менеджеры свои биографические справки пишут, как правило, сами, а выбранные для размещения фото согласуются с ними.
Гораздо более запутанной процедура становится в иных случай размещения информации о гражданах в интернете и организации ее использования.
На публичном мероприятии выступает специалист, излагает свою точку зрения, которая, возможно, раскрывает его политические взгляды, философские убеждение и иные сведения, отнесенные законом к категории специальных. На следующий день на информационных сайтах всемирной сети и в СМИ появляются фото спикера с указанием фамилии, должности, места выступления, возможно – еще каких-то сведений, а также изложение высказанных им мыслей. Эта информация также становится общедоступной. А теперь три цитаты из ФЗ-152:
«Обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора»
«Обработка специальных категорий персональных данных, касающихся …политических взглядов, религиозных или философских убеждений … не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи»
«Согласие на обработку персональных данных может быть отозвано субъектом персональных данных».
Даже не затрагивая коллизию с Федеральным законом «О средствах массовой информации», совершенно непонятно, как должен в этих условиях действовать владелец сайта или СМИ, чтобы не нарушить закон.
Еще один пример. Некая организация или физическое лицо специализируются на поиске и систематизации информации в открытых источниках. Естественно, в коммерческих целях. Действуют они строго в рамках закона и собирают, в том числе, персональные данные граждан. Но вдруг кто-то из субъектов, увидев информацию о себе, посчитал свои права нарушенными, а информацию – полученной незаконным способом. Чтобы доказать свою правоту, информационная служба должна не только хранить все скрин-шоты сайтов, с которых были получены данные, но и, поскольку их достаточно легко подделать (модифицировать), все эти скрин-шоты нотариально заверять. Иначе выполнить требования закона о необходимости доказательства общедоступности данных практически невозможно. Как это ни странно, это не предположение, а реальная практика ряда операторов.
Интернет-рекрутинг
В современном мире самым простым, быстрым и распространенным способом поиска работы и кандидатов на вакансии стал интернет-рекрутинг. Заходишь на сайт, авторизуешься, создаешь по заданной форме свое резюме, указываешь предпочтения и ждешь, когда начнут поступать предложения. Никуда ходить не надо, время и силы сэкономлены, а желаемый результат легко достижим в силу легкости и дешевизне доступа к резюме соискателей. Сегодня, когда я заканчиваю статью, на сайте hh.ru – более 3 300 000 резюме. Т.е. персональных данных граждан, опять-таки, позволяющих идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, а по желанию разместившего такое резюме – и содержащих специальные категории персданных в виде убеждений, взглядов, состояния здоровью и чего угодно другого, что соискатель посчитал нужным указать.
И на каждое из этих трех с лишним миллионов резюме владельцы сайта должны представить согласие субъекта на обработку. Если он живет на Камчатке или в Африке, если он указал недостоверные данные, если у него нет денег даже на заказное письмо с таким согласием – тоже.
Получение письменного согласия в той или иной форме (а как иначе доказать его наличие?) делает весь бизнес незаконным или абсолютно бессмысленным. При этом мнением на этот счет самих соискателей вакансий, для защиты интересов которых вроде бы и создан закон, абсолютно никто не интересуется. И даже если они захотят интернет-рекрутинг поддержать и дать согласие на обработку, зафиксированное в том или ином виде, сделать это будет непросто. Представляете размер очередей к нотариусам, на отправку заказных писем или в офис кадрового агентства, которые создадут эти миллионы пользователей современного, очень нужного им сервиса?
Единственный выход – закрыть этот бизнес вообще. Никак иначе выполнить все требования ФЗ-152 нельзя. И не имеет значение число пользователей информационных систем кадровых агентств, уже проголосовавших за его нужность и согласившихся с обработкой своих данных, разместив анкеты. Нет, нельзя. Закон не велит. О ваших же правах заботится.
Персональные данные в социальных сетях
Являются ли социальные сети ИСПДн? С точки зрения закона, во всяком случае, российского – безусловно. Тогда снова те же вопросы: как контролировать подлинность и правомерность размещения персональных данных в аккаунтах пользователей, как получить согласите на перевод всего, что на странице пользователя указано, в категорию общедоступных. Пример с социальными сетями, кстати, очень хорошо иллюстрирует еще одну проблему реализации закона. Не вдаваясь в подробности получения согласия, допустим, что оно было все-таки получено и сразу же отметим, что для достижения целей обработки персональных данных участников социальных сетей оператору, т.е. владельцу ресурса, абсолютно не нужны те сведения, которые необходимо указать субъекту в согласии на перевод персданных в категорию общедоступных. И что с эти данными, обязательно указываемыми в согласии – номером паспорта, датой и местом его выдачи, местом жительства и др., делать. Для работы социальной сети они не требуются, а уничтожить их нельзя, поскольку форма согласия определена законом, а хранить его надо для доказательства правомерности обработки.
С другой стороны, очевидно, что размещение персданных в социальных сетях, их изменение без согласия субъекта может привести к негативным последствиям для этого самого субъекта. Вспомним дошедшее до суда разбирательство между Филиппом Киркоровым и его бывшим менеджером по поводу взлома персональной страницы певца в сети «Одноклассники» и совершения действий от его имени с этой самой страницы.
Еще один аспект, рассматривавшийся и в предыдущей главке. В социальной сети пользователь может выложить абсолютно любые данные, которые посчитает нужным, в том числе – специальные. Там и религиозные убеждения, и сведения об интимной жизни, и политические убеждения.
Оператор целей обрабатывать такие данные перед собой мог и не ставить. Но, создав сеть, вынужден это делать, или должен заняться жестким модерированием миллионов станиц пользователей, что противоречит самому смыслу социальных сетей.
Персонифицированные государственные услуги
Настоящей проверкой серьезности намерений государства добиться защиты персональных данным в соответствии с едиными, жестко регулируемыми правилами, будет предоставление персонифицированных (т.е. предназначенных для конкретного гражданина и содержащих его персональные данные) услуг населению. Постановка на учет по месту жительства и снятие с учета, on-line подача заявления на получение паспорта и многие другие государственные услуги предполагают обработку, в том числе передачу по незащищенным каналам связи, персональных данных граждан. В этом случае портал государственных услуг федерального органа власти, органа власти субъекта Федерации или муниципального органа является ИСПДн со всеми вытекающими последствиями. Дополнительно в проблемам идентификации и аутентификации субъектов на портале услуг, защиты канала связи путем создания крипто-VPN на сертифицированных средствах с любого места, откуда за услугой обращается гражданин (квартиры, интернет-кафе, гостинцы, рабочего места и т.п.), межсетевого экранирования, обнаружения вторжений, т.е. всего того, чего требуют существующие документы регуляторов, встанут в полный рост проблемы неотказуемости от авторства выданного в электроном виде документа, возможности его использования в гражданском обороте, обеспечения целостности и доступности хранящихся на порталах и в базах данных сведений о гражданах, возможности и законности обмена информацией между органами власти в объеме, необходимом для оказания услуг и без согласия на это субъектов, и многие другие.
На существующих сейчас порталах государственных услуг ничего этого нет в помине. Такое впечатление, что создавались они без какого-либо учета требований по безопасности, людьми, не читавшими ФЗ-152 и в расчете на то, что закон к ним применяться не будет.
Если все это произойдет, и для порталов госуслуг требования законодательства к обработке персданных применяться не будут, в обществе может сложиться очень непростая ситуация, когда у коммерческих организаций государство силами трех ведомств – ФСБ, ФСТЭК и Роскомнадзора будет требовать выполнения очень сложных и крайне дорогостоящих правил, при этом инциденты с персданными в них могут вообще интересы граждан не затрагивать. В то же время порталы услуг, где будут как раз обрабатываться чувствительные сведения, окажутся вне действия законодательства. Учитывая, что уже сегодня, без возможности выполнения действий в сети on-line, постоянно возникают проблемы с незаконной пропиской посторонних людей в квартирах законопослушных граждан, регистрацией фирм и получением банковских кредитов на чужие паспорта, без принятия эффективных мер по защите информации на порталах проблемы могут появиться очень серьезные.
Что же дальше?
Кто виноват в сложившейся ситуации, вполне ясно, и повторять это лишний раз необходимости нет. Гораздо важнее понять, что же нужно делать, чтобы обычные, разумные действия миллионов российских пользователей сети и компаний, предоставляющих им для этого соответствующие возможности, не являлись нарушениями закона. Прогресс остановить нельзя. Даже в отдельно взятой стране с суровым законом, защищающим права граждан, которых о согласии с предлагаемыми способами и методами такой защиты забыли спросить.
Нашим законодателям и другим создателям нормативно-правовых актов пора спуститься с небес на грешную землю и поинтересоваться, как и чем реально живут люди сегодня. Как они покупают билеты на поезда и самолеты, получают выписки из счетов и оплачивают через сеть товары и услуги. Что такое веб-технологии и что такое Web 2.0. Как заключают договора, не выходя из дома. Как обмениваются личной информацией с друзьями и малознакомыми людьми, исходя из собственных представлений о защите своих интересов. И сделать так, чтобы были реально защищены их права и интересы, а не защищены на бумаге информационные системы, где эти данные обрабатываются.
При этом они должны исходить из здравого смысла, а не из формальных требований, никому реально не нужных. Менять законы, а не объявлять незаконным все то, что не вписывается в придуманные формальные правила. Принимать подзаконные акты, разъясняющие порядок правоприменения в живом, быстро меняющемся мире.
Поставить наконец впереди настоящие права и свободы субъекта, а сзади – требования к мероприятиям «организационного и технического характера» у оператора персональных данных.
Автор: Михаил Емельянников
Источник: infosec.ru