Rambler's Top100
Статьи ИКС № 8 2007
Михаил ЕМЕЛЬЯННИКОВ  01 августа 2007

Полетит? Не полетит? Есть ли будущее у закона «О персональных данных»?

Все так же («с предъявлением») продаются туры и билеты, так же выглядят сайты кадровых агентств, а я по-прежнему каждый день получаю спам с предложением купить очередную «вкусненькую» базу данных. Ничего не поменялось. Но может быть, пока?.. Вряд ли. Почему? Попытаюсь объяснить. При реализации закона возникает как минимум три группы проблем, разрешение которых совсем не очевидно.

«Моя твоя не понимай»

Главная проблема в том, что закон не дает ответов на основополагающие вопросы.

Первый: а что такое, собственно, персональные данные? Определение, приведенное в законе, не проясняет ровным счетом ничего: «Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».

Наибольшее любопытство вызывает эта самая «другая информация». Размер моей обуви в сочетании с не слишком распространенными фамилией, именем и отчеством – это персональные данные? На мой взгляд, я на основании этой информации вполне определяем. А номер моего телефона вкупе с ФИО? Тоже да, потому что другого такого сочетания в стране ни у кого нет.

Так что это означает? Что любой человек, получивший мою визитную карточку в деловых целях (на обработку персональных данных физическими лицами исключительно для личных и семейных нужд закон не распространяется), становится оператором этих самых «персданных»? Абсурд какой-то. Визитку я ему дал сам. О целях обработки не спрашивал. И согласия в письменном виде не давал.

К сожалению, в законе ничего не говорится и о том, что делать с персональными данными. Логично было бы установить, что любое юридическое или физическое лицо, которое обрабатывает персональные данные, определяет конкретный перечень сведений, к ним относящихся, – применительно к особенностям своей деятельности. Хорош этот перечень или плох, правомерен или нет – это уже предмет разбирательства в порядке, установленном законом, если надо – то и в суде. Таким перечнем для касс по продаже билетов могли бы стать ФИО покупателя вместе с фиксируемыми для продажи паспортными данными, для отдела кадров – информация, содержащаяся в личных делах и базах данных автоматизированных систем, и т.д.

Следующая «проблема понимания» – что делать с базами персональных данных, созданными до вступления закона в силу. С теми, что имеются в кадровых агентствах, в компаниях, занимающихся прямым маркетингом или реализующих программы лояльности, и т.п. Закон отвечает: привести ранее созданные базы в соответствие Федеральному закону до 1 января 2010 г. Требование, на мой взгляд, совершенно невыполнимое.

А вот фраза, определяющая, в каком случае обработка персональных данных попадает под действие ФЗ: «если обработка персональных данных без использования таких средств [автоматизации] соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации». Это как понимать? Я-то по своей наивности, всю жизнь занимаясь автоматизацией, считал, что всё наоборот: автоматизированные системы служат для выполнения действий, которые раньше выполнялись вручную, а теперь – с помощью компьютеров, т.е. гораздо быстрее.

К сожалению, это не все «темные места» в законе. Так, пара примеров…

«А с нами вот что происходит…»

Ключевая проблема применения: что делать государственным и муниципальным органам, где так или иначе сосредоточена основная часть персональных данных граждан? Это загсы и паспортные столы, налоговые инспекции и пенсионные отделы, ДЕЗы и ЕРЦ, соцстрахи и собесы, поликлиники и МРЭО, которые всё о нас записывают, хранят, учитывают и обрабатывают. Вот они – основные операторы персональных данных, с которыми по общему объему информации не сравнится ни одна коммерческая компания, даже такая огромная, как телекоммуникационный оператор!

Вы там давно бывали – в этих ДЕЗах и паспортных столах? Видели их серверные комнаты с «естественным охлаждением» из открытого окна или всегда приоткрытой двери из-за отсутствия систем кондиционирования? Может, даже встречали там не просто сисадмина, а специалиста по информационной безопасности? Вряд ли, как говорил товарищ Сухов в известном фильме.

В пояснительной записке к закону «О персональных данных» сказано, что его реализация бюджетных ассигнований не требует, за исключением затрат на содержание уполномоченного органа по защите прав субъектов этих самых персональных данных.

Господа законодатели! Информационная безопасность требует денег. И больших. А также специалистов. И квалифицированных. Откуда и то и другое возьмется в государственных и муниципальных органах масштаба района, микрорайона, райцентра? Бюджет ничего для них не предусматривает… На практике сие означает, что сведения, составляющие персональные данные граждан, в государственных и муниципальных органах никто защищать не будет.

Следующий пример – вход в охраняемые здания, офисы, объекты. Зайдите в любой московский бизнес-центр. У вас потребуют паспорт (если центр не очень «крутой», сойдут и водительские права) и скрупулезно перепишут из него данные в замусоленный гроссбух. А то и скопируют на ксероксе. Зачем?! Для того чтобы удостовериться, что я именно тот, кого приглашали, достаточно сверить фамилию в заявке на пропуск с указанной в паспорте, а мою физиономию – с фотографией в нем.

Каковы цель и способ обработки моих персональных данных службой охраны (бюро пропусков, службой безопасности)? Я не даю согласия на это! Если, допустим, это личная инициатива, могу от посещения отказаться, хотя и в ущерб себе. А если меня вызвали повесткой? Является ли невыполнение требований закона в бюро пропусков достаточным основанием для отказа от посещения государственного органа власти? Что-то сомневаюсь…

Билетные кассы, гостиницы, турфирмы… Билет, путевку, тур, место в отеле дадут только после предъявления паспорта и переноса содержащихся в нем сведений на носитель, определенный владельцем бизнеса: компьютер, гроссбух, карточка гостя и т.п. Если цель сбора, скажем, при покупке билетов еще как-то объясняется задачей противодействия терроризму (хотя об эффективности этой меры даже говорить не хочется: ну не ездят и не летают террористы и разыскиваемые преступники по своим документам!), то со способом обработки здесь уж полная неясность. Зачем в гостинице после моего отъезда хранить персональные данные? Чтобы взыскать ущерб за разбитый стакан и выпитую минералку из мини-бара? Но чтобы взыскать, ущерб надо доказать. А я не пил и не бил. Зачем тогда отелю сведения из моего паспорта, да еще после того, как я из номера выехал?

В кадровых агентствах другая проблема. На протяжении многих лет соискатели добровольно передавали им свои персональные данные. Теперь же агентство должно привести свою работу в соответствие с новым законом. То есть в течение оставшихся двух с половиной лет каким то образом уведомить потенциального соискателя о целях и способах обработки данных, получить согласие (письменное!) субъекта на эти действия и принять меры к обеспечению конфиденциальности. После приватных бесед с владельцами и управляющими подобным бизнесом смею утверждать: если следовать закону, бизнес рухнет. В базах серьезных фирм сотни тысяч записей (зайдите на www.hh.ru – их там 780 тыс.), и упорядочить отношения с каждым клиентом немыслимо.

Между тем высок риск нарваться на санкции госрегуляторов и уполномоченных органов, которые в первую очередь пойдут не в загсы, а к богатым и процветающим «охотникам за головами», в их современные офисы с кожаными диванами и свеже молотым кофе из дорогой машины. Кстати, посмотрите сайт любого кадрового агентства – изменений нет. Не боятся?

Проблемы возникают не только у частных компаний, но и на государственном уровне. В августе 2005 г. вышло Постановление Правительства России № 538 «Об утверждении правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность». Там черным по белому написано, что операторы связи должны предоставить органам ФСБ или МВД круглосуточный удаленный доступ к базам данных, содержащим следующую информацию: «фамилия, имя, отчество, место жительства и реквизиты основного документа, удостоверяющего личность, представленные при личном предъявлении абонентом указанного документа… сведения баз данных о расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонентов».

А абонент давал на это согласие? Может, закон напрямую разрешает передачу таких сведений? Нет, в ФЗ «Об информации, информационных технологиях и защите информации» определено, что «информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда». Для оператора конфиденциальная информация об абонентах и предоставленных им услугах связи и есть профессиональная тайна. Следовательно, она может передаваться субъектам ОРД только в указанных в ФЗ случаях. А постановление правительства – это не закон и не решение суда.

Все эти примеры объединяет одно: для приведенных случаев в статьях 1 и 6 ФЗ не предусмотрены исключения из установленного порядка обработки персональных данных. Поэтому требования в части прав субъектов и обеспечения конфиденциальности действуют в РФ в полном объеме. А для установленного упомянутым постановлением правительства порядка представления данных необходимо внести соответствующее изменение в закон.

Не вор, раз не пойман… И не ловят

Бытует мнение, что в отсутствие специального закона применение санкций к лицам (организациям), виновным в утечке персональных данных и их коммерческом распространении, практически невозможно. Но вот выйдет закон… Между тем непонятно, какие новые инструменты для привлечения к ответственности дает вступивший в силу закон. Ст. 137 УК РФ действует уже больше 10 лет и предусматривает уголовное наказание за «нарушение неприкосновенности частной жизни, незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации». При чем здесь неприкосновенность частной жизни? В законе «О персональных данных» написано, что «целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».

А уж про ст. 13.11 Кодекса РФ об административных правонарушениях (КОАП) и говорить не приходится. Она определяет ответственность как раз за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Может быть, порядок не был установлен, потому что не было такого закона? Но в утратившем силу в августе 2006 г. ФЗ «Об информации, информатизации и защите информации» ст. 11 обязывала получать согласие субъекта на обработку персональных данных, обеспечивать их конфиденциальность и позволяла привлечь к суду госорганы и организации в случае их неправомерных действий. Кстати, о применении этой статьи КОАП слышать не приходилось, даже тогда, когда все СМИ активно обсуждали выброс на рынок очередной базы данных с самыми что ни на есть конфиденциальными сведениями о гражданах.

Что-нибудь изменится? Дай-то Бог. Но вот предложения купить базы данных есть, а никаких действий по этому поводу нет. Необходимо заявление конкретного гражданина? А разве самого по себе факта нарушения закона недостаточно? Ведь это не предмет гражданского иска о защите чести и достоинства, а уголовное преступление.

Остается только ждать…

...КОГДА правительство установит требования к обеспечению безопасности персональных данных при их обработке в ИС и к материальным носителям биометрических персональных данных, а также технологиям хранения таких данных вне ИС персональных данных.

...КОГДА эти требования вступят в силу и начнут контролироваться «федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации», т.е. ФСБ и ФСТЭК.

...КОГДА эти два органа определят, какими силами и средствами они смогут реализовать данное требование закона практически в каждом учреждении, в каждой организации и на каждом предприятии страны (отдел кадров и бухгалтерия в том или ином виде есть у всех, значит, все они – операторы персональных данных).

...КОГДА наступит 1 января 2008 г. К этому сроку операторы (согласно закону) должны направить в уполномоченный орган по защите прав субъектов персональных данных (кто им станет? Россвязьохранкультура?) уведомление о своем намерении осуществлять обработку персональных данных и описание мер, кои они обязуются осуществлять для обеспечения безопасности этих данных. Между прочим, такое уведомление может быть подписано электронной цифровой подписью. Маленький нюанс: где и у кого ее взять? Можно ли использовать свою, если функционирует свой удостоверяющий центр? Как ее распознает уполномоченный орган? Какие средства ЭЦП для этого будут (должны) использоваться? Одна строка закона, а вопросов… Между тем до назначенной даты осталось всего 5 месяцев.

Как вы думаете, при таких «вводных» полетит?
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!