Rambler's Top100
Блоги Михаил ЕМЕЛЬЯННИКОВ

Что было интересного на X Международной конференции Роскомнадзора. Часть 1

  26 ноября 2019 Страница персоны

Как и обещал, публикую пост про прошедшую недавно X юбилейную Международную конференцию «Защита персональных данных».

С одной стороны, мероприятие прошло практически в том же формате, что и предыдущие – приветствия, пленарка, две панели с фиксированными выступлениями, свободный микрофон с регуляторами. Из нового – два выступления, заявленные в формате TED, мое и Евгения Калинина из DPO Сбербанка.

  

Ряд интересных моментов я отметил для себя во вступлении Роскомнадзора А. Жарова. От 19% до 34% роста ВВП в России к 2025 году обеспечит таргетирование предложений конкретным пользователям, что в денежном выражении составит 4,1–8,9 трлн руб (данные McKinsey). Вот и ответ о причинах утечек персональных данных, большом желании заняться парсингом в соцсетях и прочем. Глобальный рынок больших данных в 2020 году в мире составит $70 млрд. В выступлении Жарова и последующих выступлениях (и моем тоже, грешен) достаточно много говорилось о государственном регулировании оборота больших и персональных данных, обеспечении интересов государства, бизнеса и субъектов, но дискуссий и столкновений мнений формат конференции не предполагал, кроме как заочных, что не позволило сделать обсуждение этих действительно крайне важных вопросов интересным и полезным.

Роскомнадзор пообещал в следующем году подготовить предложения по законодательной регламентации внутреннего контроля за обработкой персональных данных и установлении административной ответственности за распространение, приобретение и последующее использование персональных данных, полученных преступным путем. Инициативы интересные, но, на мой взгляд, сложно реализуемые. Регламентация внутреннего контроля возможна только в больших компаниях, в СМБ ей заниматься попросту некому (вспомним квалификацию лиц, ответственных за обработку в этом сегменте). А ответственность за использование ворованных баз данных без какой-либо ответственности за утечки выглядит странной. Кроме того, надо будет доказывать наличие злого умысла при покупке и заведомую известность покупателю факта незаконного получения данных продавцом. Это как вводить ответственность за покупку на рынке краденой картошки или мяса.

А вот предложение Эдгарса Пузо из Ассоциации европейского бизнеса об исключения из закона согласия субъекта на поручение обработки его данных третьему лицу поддерживаю на 146%. Во-первых, и так ответственность перед субъектом в любом случае несет оператор, а, во-вторых, учитывая позицию Роскомнадзора, что любое размещение ИСПДн в дата-центре или облаке – это поручение обработки, законный перенос систем в облако становится практически невозможным, поскольку получить согласие всех cубъектов, чьи данные находятся, например, в переносимой CRM-системе, просто технически невозможно. Даже с системами кадрового учета, где необходимо получение согласия экономически зависимых работников, возникают проблемы с их получением, что же говорить про остальные. Возможно, надо все-таки внимательнее посмотреть на идеологию GDPR и институт «законного интереса» оператора (контролера). GDPR к согласиям работников, кстати, относится, мягко говоря, прохладно именно ввиду их зависимости от работодателя.

Был очень интересный и поучительный обзор по штрафам по GDPR и утечкам за 2019 год от Кристины Боровиковой из KPMG, но вот перевод штрафов в рубли мне лично только мешал, приходилось пересчитывать обратно.

В выступлении Андрея Слепова, партнера «БАЙТЕН БУРКХАРДТ», прозвучала очень интересная, но спорная мысль, о необходимости получения согласия лица, ответственного в компании за организацию обработки персональных данных, на размещение его персональных данных в общедоступном источнике – Реестре операторов Роскомнадзора. Уже после выступления в дискуссии он ссылался на общие и специальные нормы, а я – на п.11 части 1 ст.6 152-ФЗ.

О своем выступлении «Персональные данные в цифровой экономике: газ или тормоз?» постараюсь написать отдельно, поскольку формат TED выступления не предполагает использования детальной презентации с раскладыванием «по полочкам».

На секции, которую меня пригласили вести, выступающие проявили просто фантастическую дисциплину, не вылезая за временные границы, что позволило даже задать им несколько вопросов. Один из главных вопросов, который у меня был, получил однозначный ответ уже в выступлении Дмитрия Шевцова, начальника 2 Управления ФСТЭК России. Он подтвердил возможность иных способов оценки соответствия средств защиты информации в ИСПДн, этот вопрос я задавал в прошлом году и Елене Торбенко из ФСТЭК. Для наглядности привожу слайд из презентации Д. Шевцова: 

 

 Один из главных, потому что нам с нашими заказчиками часто приходится спорить с интеграторами, которые предлагают выбросить все несертифицированные СЗИ и поставить на несколько миллионов (а иногда и десятков миллионов) «правильных» средств защиты, категорически не соглашаясь ввязываться в оценку путем проведения испытаний и приемки, и в обоснование компенсирующих мер в соответствии с Методическим документом ФСТЭК России от 11.02.2014 «Меры защиты информации в государственных информационных системах». Интеграторов, конечно, понять можно, но заказчиков подталкивать к бессмысленным тратам как-то нехорошо.

Интересно, хотя и очень сжато (10 минут!) А.М. Сычев, Первый заместитель директора Департамента информационной безопасности Банка России, рассказал о том, как видит Центробанк противодействие социальной инженерии, на которую в 2018 году приходится 97% несанкционированных операций, совершенных с использованием платежных карт, а объем украденных средств клиентов составил 1,3 млрд рублей. Попутно он не согласился со мной, что основная часть «социальных инженеров» работает в объединенном колл-центре колоний и спецпоселений, высказав мысль, что желающих легко заработать много и в других местах.

Проблема действительно серьезная, согласен с Артемом Михайловичем, что нужны и законодательные меры, и повышение осведомленности клиентов, и работа банков. Я предложил задействовать социальную рекламу на телевидении, как наиболее действенную для самой пострадавшей категории –пожилых людей. Захлестнувшая страну этой осенью волна телефонных мошенничеств, изощренность и информированность мошенников требует самой незамедлительной ответной реакции, и думать об этом надо не только Банку России, а государству в целом. В том числе изыскать деньги для информирования населения о проблеме. 

Александр Савельев из Высшей школы экономики выступил с очень интересной мыслью о законодательном введении такого частноправового механизма защиты прав субъектов, как компенсация, основанием для взыскания которой является доказанный факт нарушения законодательства, безотносительно последствий этого нарушения для субъекта, размер которой назначается судом с учетом конкретных обстоятельств и может варьироваться от 10 тысяч до 5 млн. рублей по аналогии с тем, как это сейчас предусмотрено ГК РФ для случаев нарушения исключительных прав на результаты интеллектуальной деятельности.

Об интересном на традиционном Круглом столе «Свободный микрофон с регуляторами», который я вел, и в котором приняли участие Ю.Е.Контемиров (Роскомнадзор), представители Минкомсвязи, ФСБ, ФСТЭК, Банка России, Совета Европы и Евросоюза,расскажу в отдельном посте. Надеюсь, скоро.

Один из главных, потому что нам с нашими заказчиками часто приходится спорить с интеграторами, которые предлагают выбросить все несертифицированные СЗИ и поставить на несколько миллионов (а иногда и десятков миллионов) «правильных» средств защиты, категорически не соглашаясь ввязываться в оценку путем проведения испытаний и приемки, и в обоснование компенсирующих мер в соответствии с Методическим документом ФСТЭК России от 11.02.2014 «Меры защиты информации в государственных информационных системах». Интеграторов, конечно, понять можно, но заказчиков подталкивать к бессмысленным тратам как-то нехорошо.

Интересно, хотя и очень сжато (10 минут!) А.М. Сычев, Первый заместитель директора Департамента информационной безопасности Банка России, рассказал о том, как видит Центробанк противодействие социальной инженерии, на которую в 2018 году приходится 97% несанкционированных операций, совершенных с использованием платежных карт, а объем украденных средств клиентов составил 1,3 млрд рублей. Попутно он не согласился со мной, что основная часть «социальных инженеров» работает в объединенном колл-центре колоний и спецпоселений, высказав мысль, что желающих легко заработать много и в других местах.

Проблема действительно серьезная, согласен с Артемом Михайловичем, что нужны и законодательные меры, и повышение осведомленности клиентов, и работа банков. Я предложил задействовать социальную рекламу на телевидении, как наиболее действенную для самой пострадавшей категории –пожилых людей. Захлестнувшая страну этой осенью волна телефонных мошенничеств, изощренность и информированность мошенников требует самой незамедлительной ответной реакции, и думать об этом надо не только Банку России, а государству в целом. В том числе изыскать деньги для информирования населения о проблеме. 

Александр Савельев из Высшей школы экономики выступил с очень интересной мыслью о законодательном введении такого частноправового механизма защиты прав субъектов, как компенсация, основанием для взыскания которой является доказанный факт нарушения законодательства, безотносительно последствий этого нарушения для субъекта, размер которой назначается судом с учетом конкретных обстоятельств и может варьироваться от 10 тысяч до 5 млн. рублей по аналогии с тем, как это сейчас предусмотрено ГК РФ для случаев нарушения исключительных прав на результаты интеллектуальной деятельности.

Об интересном на традиционном Круглом столе «Свободный микрофон с регуляторами», который я вел, и в котором приняли участие Ю.Е.Контемиров (Роскомнадзор), представители Минкомсвязи, ФСБ, ФСТЭК, Банка России, Совета Европы и Евросоюза,расскажу в отдельном посте. Надеюсь, скоро.

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.