О Больших пользовательских данных и блокировке LinkedIn – без эмоций

О Больших пользовательских данных и блокировке LinkedIn – без эмоций
На прошедшей неделе произошли два очень важных события: 8 ноября прошла 7-я международная конференция «Защита персональных данных», которая традиционно патронируется Роскомнадзором, а 10 ноября  Мосгорсуд отказал в удовлетворении апелляционной жалобы LinkedIn  на решение Таганского районного суда о блокировке ресурса на территории Российской Федерации, принятое по иску Роскомнадзора в защиту неопределенного круга лиц-субъектов персональных данных.
Прежде, чем говорить о значении этих событий и последствиях того, что на них было озвучено, хотел бы отметить, что и в этом году пленарное заседание конференции «Защита персональных данных», на котором выступали представители госорганов, оказалось гораздо интереснее остальных двух его панелей, больше походивших на уютную домашнюю дискуссию очень хороших людей, согласных со всеми предыдущими выступающими, и рассказывающих об очень милых ситуациях, разрешенных или решаемых в их странах силами уполномоченных органов по защите прав субъектов персональных данных. На мой взгляд, это очень нетипичная ситуация для российских конференций, когда зачитывание формальных приветствий высоких должностных лиц и выражение спонсорами благодарности поучаствовать в мероприятии за их же деньги съедает полтора-два часа рабочего времени конференций.    
А теперь по делу. Не хочу и не буду рассуждать на тему, хорошо или плохо, правильно или неправильно, законно или нет то, что мы услышали в эти два дня. В этом никакого смысла нет. Просто обозначу ту систему координат для сферы обработки персональных данных, в которой нам всем, как работающим в России, так и в России не присутствующим, но желающим работать с россиянами, предстоит жить в ближайшее время (как долго? до изменения системы координат – читай законодательство и следи за правоприменением) и тот набор констант, который определяет эту систему координат.
1.       Государство в лице своих уполномоченных органов и специально созданных под эту проблему институтов заявило, что под контроль надо поставить не только персональные данные всех живущих в России (данные, с помощью которых можно непосредственно идентифицировать, то есть установить личность), но и данные, которые сами по себе, без дополнительной информации, не могут быть соотнесены с конкретным субъектом (то есть обезличены – сведения об активности анонимного пользователя в сети, IP- и МАС- адреса, файлы-куки, особенности поведения в интернете, сведения о геолокации и т.п.), но путем сопоставления полученных из различных источников сведений позволяют их обладателю личность установить (Игорь Ашманов утверждал, что достаточно четырех разнородных источников).
2.       Эти сведения, названные коллективным разумом участников Большими пользовательскими данными, должны быть поставлены под контроль государства или уполномоченного им лица (оператора больших данных), для чего нужно принятие новых или корректировка уже принятых законов, поскольку существующих для реализации этих планов мало.
3.       Гражданин России не имеет права на распоряжение своими персональными данными. Он безответственен и неразумен, не читает грабительских и рабских пользовательских соглашений, не понимает своей выгоды и нарушения своих прав, поэтому его персональные данные – достояние государства, нефть новой экономики (Игорь Ашманов оценил их в 20 американских долларов за единицу реализуемого товара), и государство или уполномоченное им лицо будет этими данными распоряжаться – собирать, систематизировать, использовать и т.д. – см. пункт 2. Маленькая ремарка. Можно предположить, что, если бы россияне узнали, где за их сведения об активности в интернете можно получить 20 USD, очередь к покупателю выстроилась бы побольше  очереди за бесплатными бумажными пакетами мировых брендов . И московская непогода, снегопады и ледяные дожди их бы не остановили. Но этот адрес нам пока не известен, так как в выступлении не был раскрыт.
4.       Исходя из изложенного в пункт 3, две ветви российской власти – исполнительная, в лице Роскомнадзора, и судебная, в лице районных и вышестоящих судов общей юрисдикции, будут и впредь блокировать доступ к ресурсам, где есть персональные данные россиян, и которые не перенесены на территорию Россию в соответствии с горячо и активно обсуждавшимися поправками, внесенными 242-ФЗ в статью 18 закона «О персональных данных». Исследовать вопрос, чьи конкретно права нарушены, в чем заключается нарушение, как использование сведений о посещении интернет-ресурса нарушает право на неприкосновенность частной жизни, и в чем оно заключалось, в ходе судебных разбирательств вовсе не обязательно. Достаточно того, что на такой позиции стоит уполномоченный законом орган по защите прав субъектов персональных данных. То, что субъект посещал ресурс свободно, по собственной воле и в собственном интересе (часть 1 статьи 9 закона «О персональных данных»), значения не имеет – субъект неразумен по определению – см. пункт 3.
5.       Такие походы государства и уполномоченных им лиц имеют определенную поддержку бизнеса, надеющегося получить свою долю пирога. Это, примерно, как с ЦОДами для размещения баз персональных данных россиян, импортозамещением и т.п. Кому война, а кому мать родна, что русскому здорово, то немцу смерть, ну и т.д.
6.       По всем этим поводам массовых протестов и одиночных пикетов не будет. Все ограничится соплями, слезами и виртуальными прощальными обнимашками в закрываемых соцсетях. В отличие от торрентов, искать способы обхода блокировок массово тоже не будут. Вся прелесть их использования для тотального общения после блокировки будет сведена на нет. Мне, например, ресурс, где сейчас хостится мой блог, Facebook или Twitter, после блокировки доступа с территории России будут абсолютно неинтересны. Как и я владельцам этих ресурсов.
7.        Жить по-старому иностранным компаниям в России точно не получится. Как и тем, кто хочет работать с россиянами (продавать что-то, распространять рекламу и т.п.). Тем более, что выступавшая на конференции Наталья Касперская сказала, что закон о территориальности исполняется плохо (ей, наверное, видней. Роскомнадзор  недавно говорил совсем другое ). Надо все-таки будет привести обработку персональных данных в соответствие российскому законодательству, разработать предусмотренные законом документы и принять предусмотренные им же меры обеспечения безопасности персональных данных, перенести первичные базы персональных данных (да-да, я знаю про отсутствие этого понятия в законах, но оно тем не менее есть), в которые собираются и в которых актуализируются персональные данные россиян, на территорию России. В заблокированной соцсети LinkedIn, похоже, после решения Мосгорсуда это быстро поняли: « Мы по-прежнему заинтересованы во встрече с Роскомнадзором, чтобы обсудить их запрос локализации данных ».
8.       К защите прав субъектов все описанное выше никакого отношения не имеет. От слова «совсем». После выполнения описанного в пункте 7 все персональные данные можно вполне законно сливать передавать в информационные системы за рубежом, в том числе, и для продажи их по 20 долларов за штуку. Особенно подробно про это написано на сайте уполномоченного органа по выработке государственной политики в сфере персональных данных здесь   http://www.minsvyaz.ru/ru/personaldata/ и на сайте-общественной инициативы здесь  http://pd-info.ru/ , где особо подчеркивается «роль Роскомнадзора в данном проекте – как представителя государства и контролирующего органа, готового к диалогу в отраслью, экспертизе закона и возникающих в связи с его исполнением нюансов, а также к постоянному взаимодействию с игроками Рунета и IT-компаниями».
Вот так, примерно, все это видится.

Жаль, что за решением таких глобальных проблем на международной конференции «Защита персональных данных» не нашли отражения такие животрепещущие вопросы, волнующие, по нашим наблюдениям, очень многих операторов персональных данных, как использование веб-форм для сбора персональных данных и обеспечение при таком использовании соответствия закону, размещение информационных систем в облаках и коммерческих ЦОДах, необходимость на это согласия субъектов, способы его законного получения, обеспечение защиты данных, обрабатываемых в ЦОДах и облаках и распределение полномочий провайдера и оператора, использование международными и иностранными компаниями баз персональных данных материнских компаний за рубежом, в том числе тех, куда российские пользователи сами вносят свои данные, и многие другие.

Но, видимо, сейчас время для других вопросов – глобальных и стратегических.


Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Михаил Емельянников

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.