За утечку данных – драконовский штраф

За утечку данных – драконовский штраф

Дал интервью порталу RSpectr.com https://www.rspectr.com/interview/370/za-utechku-dannyh-drakonovskij-shtraf . Местами, возможно, резко. Но наболело.

Михаил Емельянников (Консалтинговое агентство «Емельянников, Попова и партнеры»): «Законодательное регулирование нужно в тех случаях, когда без него никак не обойтись»
Сегодняшнее законодательство РФ, регулирующее сферу данных, уже не совсем актуально – стремительное развитие технологий значительно опережает нормотворчество. И со временем этот разрыв может только расти. Российский эксперт в области информационной безопасности и защиты прав субъектов персональных данных (ПД) Михаил Емельянников поделился с RSpectr своим видением дальнейшего совершенствования отраслевого законодательства.

RSpectr: Что нужно сделать в первую очередь, чтобы актуализировать закон «О персональных данных»* с учетом современных цифровых реалий?

Михаил Емельянников (М. Е.): Необходимо сделать очень многое. В первую очередь надо править весь понятийный аппарат, потому что, например, определение «персональные данные», которое дано в законе, необоснованно широко и создает постоянные проблемы. С каждым годом информации, относящейся к конкретному субъекту, становится все больше, она разрастается как снежный ком. И как ею управлять, совершенно непонятно.

Следующее, что нужно поменять, – это сделать так, чтобы закон защищал субъекта персональных данных. Пока же основная его направленность – это проверки Роскомнадзором операторов ПД. Это нужно, наверное, но закон писался совершенно не для этого. В частности,

СЕГОДНЯ САМАЯ БОЛЬШАЯ ПРОБЛЕМА – ЭТО НЕВОЗМОЖНОСТЬ ПРИВЛЕЧЬ К ОТВЕТСТВЕННОСТИ ОПЕРАТОРА ЗА УТЕЧКУ ПД

В законе нет соответствующей нормы. И в итоге мы регулярно читаем в СМИ о грандиозных утечках, в том числе из банков.

Допустим, кредитное бюро Equifax (утечка данных, о которой компания сообщила в сентябре 2017 года, стала одной из самых масштабных в истории. – Прим. RSpectr.) до сих пор выплачивает компенсации своим клиентам. Причем суммы колоссальные. А у нас миллионы записей банковских клиентов попадают в интернет – и ничего.

Затем,

СОВЕРШЕННО НЕЯСНО, ЗАЧЕМ ВВЕДЕНО ПОНЯТИЕ ОПЕРАТОРА ПД, В ТО ВРЕМЯ КАК ЛЮБОЕ ЮРИДИЧЕСКОЕ ЛИЦО И ЛЮБОЙ ИНДИВИДУАЛЬНЫЙ ПРЕДПРИНИМАТЕЛЬ, ЕСЛИ СЛЕДОВАТЬ ЗАКОНУ, ЯВЛЯЕТСЯ ТАКОВЫМ

Зачем нужны тогда реестры? Зачем нужны уведомления Роскомнадзора?

Кроме того, наш закон о ПД существенно ограничивает использование, например, современных облачных технологий. В частности, надзорные органы рассматривают cloud-вычисления как исполнение поручения об обработке ПД в любом случае, независимо от того, есть там доступ персонала или нет, а поручение требует согласия субъекта. Скажем, мы создали у себя CRM-систему, которая перевалила за миллион субъектов ПД, я физически не могу перенести ее в облако, потому что невозможно собрать миллион согласий. Это все тормозит бизнес, позволяет давить на него.

Поэтому в том виде, в каком он есть, закон работает практически только в одну сторону: позволяет Роскомнадзору проводить проверки и штрафовать компании. Дело было задумано очень хорошее, но практика показывает, что вышло все совсем по-другому.

Я считаю, что законодательное регулирование нужно в тех случаях, когда без него никак не обойтись. Это касается, например, проблемы утечки данных. Не нужно, на мой взгляд, регулировать вопросы, связанные с уведомлением Роскомнадзора и отнесением юридического лица к операторам персональных данных. Потому что это ничего не улучшает, ни с точки зрения защиты прав субъекта, ни с точки зрения организации надзорной деятельности. Потому что проверять можно и внесенных в реестр, и не внесенных в реестр.

СПРАВКА

Михаил Юрьевич Емельянников,

управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»

· В области информационной безопасности работает более 30 лет: в государственных структурах, на стороне заказчиков и на стороне исполнителей.

· Под его руководством была создана система информационной безопасности крупнейшей телекоммуникационной компании России. Специализируется на решении комплексных проблем управления рисками в информационной сфере на стыке правовых, организационных и технических мер.
Сооснователь Консалтингового агентства «Емельянников, Попова и партнеры», в котором под его руководством за последние 9 лет были выполнены сотни проектов по защите персональных данных и реализации режима коммерческой тайны.
Постоянный консультант транснациональных, иностранных и российских компаний по вопросам соответствия бизнеса законодательству РФ о информационной безопасности. В течение ряда лет – член экспертных групп, советов, комиссий при Совете Федерации, Минкомсвязи, Роскомнадзоре, Национального совета по финансовым рынкам.
Ведет блог http://emeliyannikov.blogspot.com .

RSpectr: Как вы думаете, какая ответственность должна быть за утечку ПД?
М. Е.: Решение совершенно простое – установление драконовского штрафа за утечку. В десятки и сотни миллионов рублей. Это во-первых. И во-вторых,

НЕОБХОДИМО ВВЕДЕНИЕ ОБЯЗАННОСТИ ВЫПЛАЧИВАТЬ КОМПЕНСАЦИИ ВСЕМ ТЕМ, ЧЬИ ДАННЫЕ ПОПАЛИ В ОТКРЫТЫЙ ДОСТУП, КАК ЭТО СДЕЛАНО ВО МНОГИХ СТРАНАХ МИРА

Тогда бы нерадивые банки, которые направо и налево торгуют базами или отказываются потом признавать эти факты, крепко задумались, стоит ли это делать.

И я вас уверяю, они истратят колоссальные деньги, но утечки прекратятся, потому что платить такие штрафы никто не захочет. А сейчас в России штраф за утечку как за нарушение конфиденциальности – это 50 тысяч рублей. Ну подумаешь, 50 тысяч – заплатим! Да и наложить его можно только в случае, если данные обрабатывались без использования средств автоматизации, например, носители просто выбросили на свалку.

Как поставлена работа в хорошем, правильном банке? Там USB-порты отключены у всех сотрудников, в них просто не на что данные клиентов скопировать. То есть шаги элементарные, но зачастую не хватает простейших мер безопасности.

Приведу пример. Громкий скандал был у производителя процессоров Advanced Micro Devices (AMD). Когда из компании ушел вице-президент, он забрал с собой четырех ведущих инженеров, которые в течение двух недель качали все, что можно из корпоративной информационной системы. И уже задним числом, когда AMD обратилась в суд с требованием прекратить использование данных, выяснилось, что эти сотрудники с рабочего места гуглили, как скачать большие объемы данных через USB-порт и прочее. Ведь всего этого можно было довольно просто избежать.

Вот посмотрите, как построен европейский GDPR**, это огромный регламент, в разы по объему превышающий наш закон «О персональных данных». Но при этом в нем нет статьи с техническими требованиями, которые обязан выполнять любой оператор ПД. Организации защищают персональные данные так, как считают нужным. Но если у них произошла утечка, и они попытаются ее скрыть, то их сначала оштрафуют на 2% годового оборота или на 10 млн евро за сокрытие факта, а потом на 20 млн евро или на 4% годового оборота за непринятие надлежащих мер.

RSpectr: Существуют различные типы данных, но понятийный аппарат не закреплен законодательно. Что делать?

М. Е.:
Нужно создавать сильные рабочие группы из крупных экспертов, которые бы получали финансирование за свою деятельность.

Данные – это новая область для российского права. И даже юристы часто не всегда хорошо различают понятия больших и персональных данных.

RSpectr: Как Вы относитесь к инициативам по легализации торговли «деперсонифицированными» данными?


М. Е.: Дело в том, что деперсонифицированные данные не должны соотноситься ни с одним субъектом. Чем они ценны для коммерсанта? Они нужны, например, банку, чтобы осуществить андеррайтинг, рассчитать проценты по кредиту, по вкладу, посмотреть, в каких регионах какие категории населения кредитоспособны, каков массовый денежный объем, который можно получить на вклады и депозиты. Но это не та статистика, которая продается. Наиболее ценны данные, которые собираются о человеке в интернете. Их также называют деперсонифицированными, но на самом деле такая информация относится к конкретному физическому лицу. Я считаю, что надо гораздо строже наказывать за такую торговлю, а не легализовывать.

Ряд общественных организаций предлагает даже доплачивать деньги за то, что человек предоставляет свои данные бизнесу. Но надо понимать, что как только субъект дает согласие на продажу его ПД третьим лицам, он теряет над ними контроль. И когда человек увидит катастрофические последствия его решения, он уже повлиять ни на что не сможет. У него не получится отозвать свое согласие, потому что данные будут «гулять» по рынку от одного оператора к другому и остановить это движение будет уже невозможно.

RSpectr: В настоящее время активно внедряются системы распознавания лиц – разных видов и целей. Как такие системы биометрической идентификации согласуются с нынешним законодательством о ПД?

М. Е.:
Никак не согласуются. Создание таких систем идентификации в настоящий момент полностью незаконно. По одной простой причине. Да, действительно в ФЗ «О персональных данных» указано, когда обработка биометрических ПД может вестись без согласия субъекта, – в случаях, предусмотренных законодательством об обороне, о безопасности, о противодействии терроризму, о противодействии коррупции, об оперативно-разыскной деятельности и так далее. Но ни в одном из этих документов нет ни одного слова про биометрические данные.

Значит, исходя из того, как строится правовая система РФ, сначала в соответствующие законы надо внести изменения. Определить: кто устанавливает правила, как хранить и использовать эти данные. И только после этого создавать системы распознавания лиц.

То, что видеокамеры ставятся в городе, в автобусах, на дверях подъездов в огромном количестве – находится в рамках правового поля. Но как только вы эту систему видеонаблюдения сопрягаете с базой изображений лиц, даже с благими намерениями борьбы с преступностью, – это становится нарушением закона «О персональных данных».

Евросоюз сейчас временно запретил развитие систем распознавания лиц. Аналогичный закон принят в Калифорнии (США), потому что это действительно уже стало большой проблемой.

RSpectr: Повсеместная цифровизация и защита ПД – как это сочетается между собой и не является ли утопией сохранение конфиденциальной информации в условиях тотального проникновения IT-технологий?

М. Е.:
С одной стороны, данные используются все больше и остановить это нельзя. И вот тут как раз государство должно ввести четкие правила регулирования их оборота. С другой – мы должны понимать, что незаконное использование этих данных во вред субъекту, даже с целью таргетирования рекламы, должно пресекаться и влечь очень серьезную ответственность.

Естественно, что часть конфиденциальности мы уже утратили, будем терять ее и дальше. Придется этим жертвовать, если мы хотим пользоваться современными услугами и различными удобными сервисами, тем более бесплатно (поисковик, электронная почта и т. д.). Но тут должен появиться некий барьер, за который оператору заступать нельзя под угрозой серьезного штрафа, который приведет к прекращению экономической деятельности компании.

Кроме того,

ГОСУДАРСТВУ НУЖНО ЗАНИМАТЬСЯ СОЦИАЛЬНОЙ РЕКЛАМОЙ И РАЗЪЯСНЯТЬ ГРАЖДАНАМ, С КАКИМИ ОПАСНОСТЯМИ ОНИ МОГУТ СТОЛКНУТЬСЯ, НЕ СЛЕДУЯ ОСНОВАМ ЦИФРОВОЙ ГРАМОТНОСТИ

Например, как противодействовать мошенникам, которые применяют методы социальной инженерии для кражи денег со счетов. Нужно объяснять людям очень многое. Я понимаю, что реклама на федеральных телеканалах стоит больших денег, но такая разъяснительная работа является обязанностью государства.



* Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.

** GDPR – General Data Protection Regulation – Общий регламент по защите персональных данных, вступил в силу 25.05.2018 в Европейском Союзе.
Alt text
Комментарии для сайта Cackle

Михаил Емельянников

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.