Законодательный тупик

Об утечке сведений, содержащихся в отправленных абонентам Мегафона коротких сообщений (СМС) через форму на веб-сайте компании, в публичный доступ через кеш поисковой машины Яндекс,  написали многие. Эксперты называют несколько причин случившегося, главной среди которых является пресловутый человеческий фактор. Оставим разбор ситуации техникам, а сами попробуем взглянуть на проблему с точки зрения защиты ПДн и соблюдения прав субъектов ПДн. Прежде всего о том, что утекло: это номер получателя и некий текст, который по закону подпадает под определение части 2 статьи 23 Конституции РФ (тайна переписки), а случившийся инцидент - под часть 1 статьи 138 УК РФ " Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений" и наказывается "штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года". Роскомнадзор усмотрел в случившемся нарушение оператором закона "О связи", Правил оказания услуг связи, (а следовательно, и лицензионных условий), что тоже влечет за собой административную ответственность. В случае, если все это будет доказано - оператору грозит серьезное разбирательство. Но вот с точки зрения соблюдения прав граждан как субъектов ПДн дело обстоит куда сложнее. Прежде всего потому, что исходя из формулировок действующего законодательства, крайне тяжело определить, можно ли идентифицировать субъектов, чьи данные так или иначе попали в открытый доступ. Так получается потому, что человеку, не обладающему доступом к базе сотового оператора или не знающему, кому конкретно принадлежит номер, невозможно идентифицировать отправителя (идентифицировать - это значит показать на него пальцем при встрече). Другое дело, что базы данных продаются на каждом углу, однако сами они получены нелегальным способом, и Роскомнадзор их наличие в открытой продаже не должен принимать во внимание. Таким образом, если Роскомнадзор признает, что сведения, передаваемые через веб-форму, являются обезличенными, либо юристы Мегафона докажут, что они являются таковыми, оператор "соскочит" с ПДн, поскольку, согласно действующих нормативов, он не обязан принимать мер по обеспечению их конфиденциальности (ч. 2 ст. 7 152-ФЗ). С другой стороны, среди утекших номеров обязательно найдется часть, известных не только их владельцам, но и кому-то еще. Предположим, что этим "кем-то еще" оказалась девушка Ира, узнавшая номер мужа Пети, которому "с любовью" писала какая-то "его рыбка", и это была не она (Ира) сама. В этом случае у Пети, по понятным причинам, могут быть серьезные проблемы, по идее подпадающие под определение "морального вреда", а может быть, даже развод и дележ имущества. Поэтому если Роскомнадзор докажет, что данные хотя бы в определенной части не являются обезличенными и позволяют кому-нибудь идентифицировать хотя бы одного субъекта, оператор также "попадет" на административную ответственность за непринятие мер по защите ПДн. Конечно, оператор может заявить, что он в данном случае не определяет целей обработки ПДн и выступает как сервис-провайдер, а цель определяют сами абоненты, отправляющие СМС, и что содержание ПДн в СМС и сопутствующая их обработка это не самоцель - но неизвестно, как на это отреагирует суд. Роскомнадзор не может установить размер ущерба - он может лишь подтвердить, что было нарушение, что ущерб, возможно, был нанесен, и направить материалы в прокуратуру. И поэтому выбивать компенсацию за причиненный вред и доказывать, что вред был в принципе, придется самому субъекту в суде. Не смотря на то, что в исковом заявлении субъект может попросить сколь угодно большую сумму (некоторые эксперты оценивают сумму исков до 1 млрд. долл.), учитывая судебную практику, рассчитывать на ее получение не приходится, даже ссылаясь на то, что ушла жена и забрала пол-квартиры: от 3 до 10 тысяч рублей - стандартная величина  (нечего было шляться, уважаемый суд). Теперь о том, какие меры обязан был принять оператор для обработки и защиты данных, передаваемых через веб-форму, в случае, если таковые являются не обезличенными. Прежде всего, организационные: необходимо получить согласие на обработку ПДн с КАЖДОГО, кто отправляет данные через эту форму. Согласия абонента, номер которого указывается в поле "получатель", совершенно недостаточно, поскольку в теле сообщения могут быть не только его данные, но и данные отправителя, и вообще любых третьих лиц (которых надо уведомить). Сюда же "приплетается" трансграничная передача ПДн (доступ к форме возможен из-за рубежа) со всеми вытекающими. Ну и конечно, технические меры - в первую очередь обеспечение конфиденциальности, которую в сетях общего пользования ни чем другим, кроме как шифрованием, не обеспечить. А учитывая необходимость массового и свободного доступа к сервису, это значит HTTPS, SSL и "забугорный" алгоритм, что тоже не есть хорошо с точки зрения российского законодательства. Кроме того, по мнению  Дмитрия Евтеева , использование шифрования (равно как и других "методов и способов" - мое примечание) для защиты ПДн, отправляемых через веб-форму, от такого рода утечек не приводит к должному эффекту, и  результат был бы аналогичен. Как обстоят дела с грядущими поправками в случае их подписания президентом? Поразительно, но точно так же, если еще не хуже. Благодаря изменениям в определении "персональных данных" (пункт 1 ст. 3), совершенно исчезает смысл "обезличенных" ПДн, так как ЛЮБАЯ информация, прямо или косвенно относящаяся к субъекту, будет считаться ПДн. В статье 7 убрана часть 2, благодаря чему оператор будет обязан не разглашать без согласия субъекта любые его ПДн. Сделать ПДн, отправляемые через веб-сайт общедоступными может только сам субъект, и оператор должен доказать, что у него есть основания это полагать и обрабатывать их без согласия субъекта, которое может быть либо письменным, либо с ЭЦП. Но в данном конкретном случае, любое принуждение субъектов к признанию отправляемого текста в качестве общедоступных ПДн является прямым нарушением Конституции. В остальном - никаких изменений: и согласие, и "трансграничка", и методы защиты. Таким образом, и сейчас, в случае признания ПДн, передаваемых посредством веб-формы для отправки СМС в качестве "позволяющих идентифицировать субъекта", и потом, после подписания поправок президентом, операторам проще отказаться от этого бесплатного сервиса и, тем самым, заставить абонентов безальтернативно тратить свои кровные посредством отправки СМСок исключительно с помощью абонентских терминалов - телефонов, смартфонов и КПК, планшетов и что там еще есть. Лично для меня, как для стороннего наблюдателя, самым интригующим моментом является тот факт, что какое бы решение не принял сейчас Роскомнадзор и суд, после принятия поправок оно может быть пересмотрено: законопроект, лежащий на подписи у президента, имеет обратную силу, так как действие его распространяется на правоотношения, возникшие после 1 июля 2011 года. Так что пожелаем всем удачи - и субъектам, и оператору, и будем следить за развитием событий.