Требования о недопустимости распространения сведений о частной жизни человека, а следовательно о недопустимости получения и использования без его согласия его биометрических персональных данных содержатся:
- во Всеобщей декларации прав человека;
- в Международном пакте об экономических, социальных и культурных правах;
- в Международном пакте о гражданских и политических правах;
- в Европейской конвенции о защите прав человека и основных свобод;
- в статьях 23 и 24 Конституции РФ.
В соответствии с законом о защите персональных данных, в России существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в том числе фамилия, имя, отчество). Такие компании, организации и физические лица относятся к операторам персональных данных.
Если руководствоваться действующим федеральным законом «О персональных данных», получается, что, например, когда соискатель высылает свое резюме работодателю, тот должен получить письменное разрешение на использование присланных личных данных. Такую же бумагу нужно получать от обеих сторон любого платежа или денежного перевода. Согласно закону письменное разрешение на использование персональных данных должно получать даже бюро пропусков любого учреждения. А после их использования и уничтожения — письменно уведомлять об этом каждого посетителя.
Терминология и положения закона «О персональных данных» таковы, что затрагивают почти любого человека, находящегося на территории России. Под понятие «оператора», собирающего, хранящего и обрабатывающего данные, подпадают государственные и муниципальные органы, юридические и физические лица, организующие или осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки этих данных.
Менее конкретно определены «субъекты» (то есть лица, чьи данные собираются и обрабатываются). В законе не разъяснено, подпадают ли под это понятие иностранные граждане и лица без гражданства, в том числе не находящиеся на территории Российской Федерации, и каков порядок обработки их персональных данных.
Но, читая закон, бизнес сегодня ломает голову не только над этим. Дело в том, что само понятие персональных данных описано в документе весьма нечетко. Такими данными является любая информация, относящаяся к определенному или определяемому на основании этой информации физическому лицу. В том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, имущественное и социальное положение, образование, профессия, доходы, другая информация. При этом последний пункт, предполагающий достаточно широкую трактовку, в законе не раскрыт. Отсутствует в документе и перечень сведений, относящихся к персональным данным. Буквы закона сложились в приставку «в том числе». Но и без того ясно, что составить телефонный справочник жителей крупного города, не нарушив требований, достаточно проблематично.
Трудности возникнут и с передачей персональных данных через российскую границу. Требования закона, касающиеся получения письменного согласия на обработку персональных данных, а также ограничения на трансграничную передачу персональных данных делают невозможными все банковские операции, связанные с проведением платежей и денежных переводов в иностранные государства. Фактически они не дают возможности без нарушения закона осуществлять международные банковские расчеты.
Закон также обязывает оператора убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается «адекватная защита прав субъектов персональных данных». При этом в документе не определено, как именно оператор должен убедиться в этой адекватности. К тому же ни одно предприятие, занятое электронной коммерцией, или, скажем, банк никогда не смогут проверить все страны, в которые и из которых клиенты переводят средства.
Можно согласиться с мнением ряда политиков, что защита персональных данных необходима. Однако множество положений существующего закона не отвечает поставленным задачам. Все недоработки существующего документа, безусловно, влияют на его коррупциогенность.
Документ, вводя избыточные права для субъектов персональных данных, открывает большие возможности для противоправного вторжения в текущую деятельность собирающего и обрабатывающего их оператора, создания помех его работе, вплоть до ее блокирования.
Чтобы привести информационные системы персональных данных в соответствие требованиям закона, операторам среди прочего необходимо пройти аттестацию оборудования и помещений, участвующих в обработке персональных данных, а также заменить все средства защиты информации на сертифицированные Федеральной службой по техническому и экспортному контролю (ФСТЭК). В неадекватно завышенных требованиях по обеспечению защиты персональных данных просматривается личная заинтересованность работников ФСТЭК. Известно, что учредителями и руководителями большинства специализированных предприятий, аккредитованных ФСТЭК, являются бывшие работники этой службы или лица, имеющие тесные связи с ней. Завышенные требования ведут к увеличению объемов работ по защите персональных данных и росту закупок средств защиты. Это, соответственно, приводит к увеличению портфеля заказов указанных предприятий и росту доходов участвующих в этом бизнесе лиц.
Итак, взяткоемкий потенциал этого закона – зашкаливает. Причины – неоправданная всеохватность закона, чрезвычайно большие полномочия контролирующего органа и невозможность его исполнения без подзаконных актов, которых нет даже в проектах.
Чтобы оценить объем рынка защиты персональных данных, надо вспомнить, что защищать эти данные обязаны все, кто их имеет. Очевидно, что любое юридическое лицо в России имеет и обрабатывает персональные данные. В простейшем случае это кадровая и бухгалтерская информация собственных сотрудников. По информации ФНС России на 01.08.2009 зарегистрировано более 4.1 миллиона юридических лиц. Все они являются потенциальными клиентами на рынке защиты персональных данных. Никогда ранее рынок защиты информации не получал такой клиентской базы. Очевидно, что большая часть этих клиентов не может себе позволить дорогостоящих услуг и решений (вспомним хотя бы большую долю нелицензионного программно обеспечения в России, чтобы оценить их покупательскую способность). Вместе с тем минимальную стоимость работ и оборудования по приведению одного рабочего места в соответствие с требованиями закона можно оценить в пределах 20000 рублей (в самом простом случае). Кроме того, обязательно придется лицензировать всё имеющееся программное обеспечение. Таким образом, даже если считать, что каждое юридическое лицо имеет всего одно рабочее место для обработки персональных данных (что очевидно не так) – общая цифра составит 61,5 миллиарда рублей или более 1,7 миллиарда долларов США. И это только рынок защиты персональных данных, не считая остальных сегментов рынка информационной безопасности. По некоторым данным общая выручка компаний в области ИБ составляет миллиарды рублей. Очевидно, что такой рост рынка не обойдется без появления новых участников хотя бы потому, что совместных усилий всех существующих сегодня игроков не хватит для выполнения всех требуемых проектов. Также большой рынок получают производители средств защиты информации и сертификационные лаборатории ФСТЭК (дело в том, что для защиты персональных данных должны применяться сертифицированные средства защиты). К сожалению, существует опасность, что рынок превратиться в «рынок продавца».
Есть норма о том, что персональные данные с научной, исторической целью должны обрабатываться в обезличенном виде. Итак, в исторических книгах не могут упоминаться имена и даты рождения известных деятелей? Другая норма дает право человеку требовать удаления своих персональных данных в обработчика. Это противоречит гражданскому законодательству. Представьте, кредитный кооператив выдал кредит, а заемщик старается не платить и избежать ответственности. Самое простое – на основании закона требовать у кооператива удалить персональные данные о себе!
Если оставить данный закон без изменений, то небольшому кредитному кооперативу из 20 человек, в котором ведется учет персональных данных пайщиков и имеется выход в интернет, решит реализовать проект по защите персональных данных, то стоимость такого проекта на сегодняшний день может превысить 500 тыс. руб. Разумеется, данная цифра для кредитных кооперативов, как некоммерческих организаций непосильна.
Не нравятся руководителям кооперативов также требования закона использовать только сертифицированных средств защиты и получения лицензии на техническую защиту конфиденциальной информации. Кооперативам для получения данной лицензии необходимо, например, будет держать в штате людей с высшим образованием в области информационной безопасности.
А добавление дополнительных контролирующих органов лишь затруднит развитие системы кредитной кооперации.
На нынешний год Роскомнадзор запланировал примерно в три раза больше проверок, чем было в 2010-м. В прошлом году по результатам проверок Роскомнадзор выдавал операторам ПД предписания в четыре раза чаще, чем в предыдущем. Возросла и общая сумма взимаемых штрафов, что свидетельствует о росте их количества и величин. В 2010 г. более чем в пять раз выросло количество обращений в Роскомнадзор, из которых 22% было обращениями за разъяснениями, а все остальные — с жалобами от субъектов ПД. И хотя 596 (42%) жалоб признаны необоснованными, более пятисот жалоб направлены Роскомнадзором в прокуратуру.
Большинство требований, по которым проводится сертификация, либо устарело, либо избыточно для "гражданских нужд". Это вынудит многие организации строить двойную линию защиты - для соответствия закону на случай проверки и реальную, которая действительно может бороться с утечками персональных данных.
Закон о защите персональных данных противоречит международным стандартам. Во всем мире под особой защитой находятся уязвимые данные о лице: это имущественное положение, религиозная принадлежность, политические взгляды, биометрические данные, идентификационный код. Принятый закон не способен защитить уязвимые данные о лице, при этом он вводит государственный контроль за оборотом такой информации, как имя, телефон, дата рождения, которые должны быть общедоступными.
Эти и другие недостатки нового законодательства об информации вызваны спешкой в его подготовке и попыткой формально выполнить международные обязательства России.
Главное в существующем законе – разграничить требования к различным операторам персональных данных. К ГИБДД, банку, районной поликлинике и кредитному кооперативу не должны предъявляться одинаковые требования с точки зрения защищенности информационных систем. Разрешить проблему отчасти могут отраслевые стандарты. В качестве примера здесь можно привести стандарт СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы РФ», разработанный Банком России, последняя версия которого была согласована с ФСТЭК, ФСБ и Роскомнадзором, что позволяет применять данный стандарт для приведения информационных систем персональных данных, принадлежащих кредитным организациям, в соответствие с действующим законодательством. Аналогичный стандарт может быть разработан на уровне Минфина для обеспечения информационной безопасности системы кредитной кооперации.
Таким образом, Федеральный закон № 152-ФЗ «О персональных данных» в том виде, в котором он существует сегодня, является слишком общим: требуется четкая сегментация для определенных рынков и сфер применения. Остаётся надеется, что благодаря четкой работе Регулятора необходимые доработки будут внесены, что позволит избежать исчезновения с некоторых рынков компаний малого и среднего уровня в связи с неподъемной административной и финансовой нагрузкой, которую необходимо нести в связи с исполнением № 152-ФЗ. Безусловно, при доработке закона стоит опираться на международную практику.