26 января 2022 г.

Большое интервью к 15-летию закона "О персональных данных"

 К 15-летию закона "О персональных данных" дал большое интервью главному редактору журнала Business Exsellence Наталье Борисовне Кий о наболевшем - проблемах закона, его правоприменения, влиянии закона на бизнес в России и рисках для бизнеса и граждан.







10 января 2022 г.

Искусство читать нормативку. О биометрии для идентификации и аутентификации

С наступившим вас! Теперь и трудовым.

Начинаем трудиться.

Одна из главных проблем для меня в прошлом году – нормативно-правовые документы по биометрии от новоявленного (новоназначенного?) регулятора – Минцифры России. Казалось бы, каждый новый подзаконный акт должен вносить ясность в общую норму закона, раскладывая по полочкам конкретный порядок действий по ее выполнению. Как бы не так. Последние результаты нормотворчества ситуацию только запутывают, на мой взгляд. О проблемах использования биометрии в конце декабря хорошо написал на своем сайте-блоге Алексей Лукацкий. Но я сейчас немного о другом.

Итак, при выполнении проектов 2021 года наше агентство столкнулось с рядом вопросов заказчиков, касающихся применения биометрии. Сформулирую в более-менее обобщенном виде два основных вопроса ввиду ограниченности формата поста (на самом деле их гораздо больше):

1.     Всем ли можно применять биометрию для идентификации и аутентификации? Например, можно ли небольшому ритейлеру купить и поставить на компьютеры персонала или кассовые аппараты в магазине систему распознавания пользователей по пальчикам, то есть систему дактилоскопической идентификации?   

2.     Можно ли использовать в школе систему идентификации по рисунку вен ладоней для организации доступа на территорию школы, связав ее с системами учета полученного питания и выдачи книг в библиотеках (идея «Ладошек» пока вовсе не умерла, как думают некоторые).

Рассматриваемой биометрии (дактилоскопия и рисунки вен ладони) в Единой биометрической системе (ЕБС) нет. Можно ли их использовать в России? В ответах будет очень много букв. Понимаю, после каникул напряженно, но …

Читаем статью 14.1 ФЗ «Об информации, информационных технологиях и о защите информации» - самую главную в российском законодательстве с точки зрения регулирования использования биометрии. Она и называется соответствующе – «Применение информационных технологий в целях идентификации физических лиц» (хотя почему-то про аутентификацию в названии не упоминается, но порядок ее проведения статья определяет).

Части с 1 по 10 данной статьи регламентируют использование биометрии исключительно в ЕБС, где, как все хорошо знают, только лицо и голос.

Значит, если мы живем вне ЕБС, для нас требования данный статьи обязательными не являются? Нет, просто мы еще не все прочитали.

С 1 января в статье появилась новая часть 10.1, неожиданно расширяющая действие норм, изложенных ранее: контроль и надзор за обработкой персональных данных в ЕБС, а также в информационных системах государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций и индивидуальных предпринимателей, которые осуществляют обработку биометрических персональных данных при идентификации и (или) аутентификации, в том числе при взаимодействии с ЕБС осуществляет Роскомнадзор. Что это его область надзора, на мой взгляд, очевидно и так – глава 5 ФЗ «О персональных данных» для биометрии никаких исключений не содержит. И зачем об этом писать еще и в 149-ФЗ - совершенно не понятно. Важны слова про иные биометрические системы, не связанные с ЕБС – а новая часть их существование прямо допускает.

Про новую редакцию части 11, наделяющую Банк России полномочиями по контролю и надзору за реализацией организационных и технических мер по обеспечению безопасности персональных данных, отсутствующими в ФЗ «О персональных данных», надо писать отдельно, это в границы данного поста не вписывается.

Ну, а дальше, из части 13 статьи 14.1 становится очевидным, что с 01.01.2021 Минцифры регулирует использование любой биометрии в любых системах идентификации и аутентификации любых организаций, включая требования к таким системам (приказы Минцифры от 25.06.2018 № 321 в новой редакции, который утратит силу с 01.03.2022 и от 10.09.2021 № 943, с 01.03.2022 вступающий в силу), формы подтверждения соответствия любых технологий и средств для этих целей (приказ Минцифры от 07.07.21 № 685). Но вот беда: приложение № 3 к приказу № 943 опять только про голос и лицо, соответственно, и № 685 – тоже. Зато приложения №№ 1 и 2 к тому же приказу – про сбор, размещение хранение и использование биометрии и в иных системах тоже.

А дальше читаем крайне внимательно: часть 18.2 дает право организациям использовать ЕБС для аутентификации в целях совершения определенных действий (прохода на территорию, доступа к компьютеру или кассе), но не обязывает использовать только ее. Тем, кто использует ЕБС, необходимо использовать сертифицированную криптографию (часть 18.3), за реализацией мер защиты надзирают ФСБ и ФСТЭК (часть 18.4). И далее –про тех, кто подпадает под часть 18.2, то есть использует ЕБС.

Пока вроде бы никаких препятствий для использования систем, упомянутых в вопросах в начале поста и в тех целях, которые указаны в тех же вопросах, нет. Но это только пока.

С 1 сентября наступившего года вступят в силу новые части статьи 14.1. Части 18.18 и 18.20 определяют условия проведения идентификации и аутентификации с использованием биометрии в собственных информационных системах операторов уже без упоминания и связи с ЕБС. И тогда применение сертифицированной криптографии станет обязательным для нейтрализации актуальных угроз. И самое главное – все операторы, использующие биометрию, должны будут пройти аккредитацию в Минцифре (правила аккредитации утверждены Постановлением Правительства РФ от 20.10.2021 № 1799, вступившем в силу 1 января нового года, хотя статьи об аккредитации закона заработают с 1 сентября). Если же кроме аутентификации операторы захотят проводить и идентификацию с использованием биометрии, то есть создавать шаблоны и базы биометрии, а не только сверять полученные данные с шаблонами, то на них будут распространяться требования безопасности, предъявляемые к значимым объектам КИИ и ГИСам и взаимодействовать с Госсопкой (пункт 2 части 18.20), причем отнесение владельца системы идентификации к субъектам КИИ в качестве критерия здесь не упоминается.

И не менее важное: идентификация либо идентификация и аутентификация допускаются в случаях, установленных Правительством Российской Федерации по согласованию с Центральным банком Российской Федерации (часть 18.26 статьи 14.1). А вот с этой частью – полная засада. Распространяются ли эти случаи только на идентификацию и (или) аутентификацию с использованием ЕСИА и ЕБС или это закрытый перечень случаев биометрической аутентификации, которая выполняется без ЕБС, понять из текста нельзя. Не вносит ясность и Постановление Правительства РФ от 23.10.2021 № 1815, которым этот перечень случаев определен (вступает в силу с 1 марта, а статья закона, требующая его принятия – с 1 сентября).  Постановление ссылается на части 18.20 (в которой ЕБС не упоминается) и 18.26 (в которой использование ЕБС является обязательным). Кроме того, пункт 3 Перечня случаев допускает использование биометрии в СКУД, но кроме случаев входа на объекты, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями, а также режимных объектов, дошкольных и общеобразовательных организаций. В школах биометрия невозможна? Нет в Перечне случаев упоминания и об использовании биометрии товаров и услуг, которая вовсю внедряется сегодня где только можно и нельзя. Так закрытый это перечень случаев или нет? Распространяется ли он только на случаи использования ЕБС или нет? Вопросы, вопросы…

С аккредитацией тоже все очень плохо. Посмотреть можно про нее, если лень разбираться в законе и постановлении правительства, в посте Алексея Лукацкого, ссылка на который есть выше. Здесь уже про это рассказать не удастся, возможно, получится свою точку зрения высказать позже.

Ну, и ответы на поставленные в начале поста вопросы. До 1 сентября все это можно. После 1 сентября, похоже, лавочки придется свернуть.

С удовольствием почитаю мнение коллег – не накосячил ли я чего, разбираясь в законах, постановлениях и приказах, не ошибся ли при интерпретации установленных ими норм. Единственная просьба – указывать конкретные нормы, которые коллегами понимаются по-другому. С цитированием и пояснениями.

С новым вас трудовым годом. Мало, похоже, в нем не покажется. Трудимся.

28 декабря 2021 г.

С Новым 2022 годом!


Уважаемые коллеги!

С наступающим вас новым 2022 годом!

Пусть этот год будет годом, открытым для всего мира, легким и свободным!

Новых вам интересных проектов, удовлетворения от сделанного, достойного вознаграждения за труды и крепкого здоровья, исполнения желаний!

Мира и спокойствия вашим домам, понимания и поддержки окружающих, тепла и уюта!

9 ноября 2021 г.

Об оплате проезда «лицом» в московском метро (система Face Pay)

 С 15 октября на всех линиях и станциях московского метро заработал сервис Face Pay. Он позволит пассажирам оплачивать проезд при помощи системы распознавания лица, нужно лишь посмотреть в камеру на турникете, - сообщил официальный сайт Мэра Москвы.

Антон Нехаенко на портале Banki.ru достаточно подробно разобрал тему внедрения системы оплаты проезда «лицом» Face Pay и возможные последствия ее использования,  в комментировании которой я также поучаствовал, но посчитал нужным более детально разъяснить свою позицию в личном блоге, поскольку проблема касается буквально каждого из нас и связана с большим количеством, мягко скажем, «недоговоренностей», возникших при внедрении системы.

О целях внедрения системы Face Pay. В ответах на вопросы о системе начальник службы платёжных сервисов Московского метрополитена, на первое место ставит транспортную безопасность, поиск преступников, а не удобство прохода для пассажиров. Именно для этой цели установили первые камеры, которые теперь приспособили для оплаты, что несколько странно в такой ситуации.

О том, какие данные о пассажире собирает система и об их защите. На сайте mos.ru, в анонсе новой системы оплаты, указывается, что для ее использования нужно привязать банковскую карту со средствами для оплаты проезда и карту «Тройка» к сервису через приложение «Метро Москвы», но скромно умалчивается о необходимости передать в систему через это приложение еще и изображение лица владельца карты. Стоит обратить внимание на то, что нет ни слова о том, как защищается передаваемая приложением информация, в частности, о средстве платежа и биометрических данных, где и как она будет храниться, кто является в отношении нее оператором персональных данных и несет ответственность за возможные инциденты с персональными данными. Ничего не сообщается о величине допустимых ошибок первого и второго рода (отказать в проходе владельцу или пропустить похожее на него лицо).

Особенно удивляет такая информация в комментариях Департамента транспорта: «Система не способна «связать» фотографию человека с его личностью — у неё просто нет данных для этого: в личном кабинете пассажир привязывает только банковскую карту, номер телефона и «Тройку»»‎. Но ведь банковская карта привязана к конкретному владельцу и к его лицу при его распознавании, иначе и быть не может.

О роли турникета метро в обработке персональных данных. В Департаменте транспорта Москвы рассказали о том, что «вся информация будет надежно зашифрована, камера на турникете считывает биометрический ключ, а не изображение лица или другие персональные данные». Веб-камера не может считывать «биометрический ключ», она может только зафиксировать изображение лица, которое затем надо преобразовать в «биометрический ключ», точнее – в математический шаблон, который и будет сверяться в базе данных с другими шаблонами. Опровержение этого алгоритма содержится в той же публикации: «Когда человек подходит к турникету, камера на нём делает несколько снимков. Лучший кадр по освещённости, положению головы, открытости лица и многим другим параметрам переводится в биометрический вектор, сравнивается с точками в базе». Сложно представить, что такое преобразование выполняется на каждом турникете станций метро, а не передается для обработки на серверы.

Относительно шифрования, используемого для защиты персональных данных. Утверждается, что шаблоны изображений лиц на сервере, которые есть «в каждом вестибюле», зашифрованы. Тогда вопрос: для распознавания по каждому пассажиру шаблоны расшифровываются, или шифруется шаблон и сравнивается с зашифрованными же образами? Как происходит обновление данных на каждом из серверов, какие используются протоколы и алгоритмы шифрования? Все эти вопросы покрыты мраком и даже не обсуждаются. Я уже не говорю про межсетевые экраны, системы обнаружения компьютерных атак и обо всем остальном, что должно быть в любой информационной системе персональных данных и, в соответствии со статьей 18.1 Закона о персональных данных, указываться в политике оператора, размещаемой для неограниченного доступа.

О создании маршрута передвижения пассажира и необходимой для этого информации. Департамент транспорта сообщает: «Посмотреть историю своих маршрутов может только сам пассажир — в личном кабинете, пароль от которого знает только он (при этом вход защищён двухфакторной аутентификацией)». Это значит, что лицо пассажира фиксируется и при выходе со станции, иначе будет невозможно отследить маршрут. Вопрос – зачем и как это связано с оплатой «по лицу» и не является ли распознавание лица пассажира на выходе из метро избыточным для целей оплаты проезда в метро? И, конечно же, ко всему, что лежит в базах данных о передвижениях пассажиров, включая личные кабинеты, имеют доступ администраторы системы.

О технических сбоях системы и «перепутанных» пассажирах. Сообщается, что, если вдруг произойдёт технический сбой и одного пассажира перепутают с другим, он может написать об этом чат-боту Александре, и в течение трёх дней деньги за поездку вернутся. И как тогда будут разрешаться конфликты? Желающих отказаться от поездки и сэкономить найдется достаточно много и всем вернут деньги?

Face Pay и не «привязанные» к ней пассажиры. Ну и вишенка на торте: «Face Pay распознаёт только тех, кто зарегистрировался в системе — на остальных пассажиров камера не реагирует: ей просто не с чем сравнивать» Что значит – не реагирует? Умная камера заранее знает, кого снимать, а кого нет? И по базе данных не прогоняются шаблоны лица всех проходящих через турникет? Этого просто не может быть, такая система работать не сможет.

О согласии пассажиров на обработку их биометрических персональных данных. Мне не удалось найти в мобильном приложении интерфейса для использования Face Pay, текст согласия на обработку биометрических персональных данных (а оно, согласно Закону о персональных данных, должно быть дано в письменной форме и соответствовать по содержанию требованиям законодательства). Текст согласия есть на сайте метрополитена, но закону он совсем не соответствует, оно анонимное, без паспортных данных, адресов субъекта и оператора. Целью обработки биометрических данных, помимо оплаты проезда, указано получение «иных услуг», каких – не сообщается (что тоже не законно), а вот про поиск преступников и обработке с этой целью данных пассажиров в согласии нет ни слова. Согласие дается ГУП «Московский метрополитен», а также организациям, подведомственным Департаменту транспорта и развития дорожно-транспортной инфраструктуры города Москвы и иным лицам, обеспечивающим достижение целей обработки изображения, указанным в пункте 4 настоящего согласия.

Что это за организации, какие у них цели, и что они делают с персональными данными пассажиров? Если исполняют получение обработки, полученное от метрополитена, то эти лица должны быть поименованы с указанием их адреса – это требования Закона о персональных данных. Если решают иные задачи, не связанные с поручением, хотелось бы знать, какие именно, иначе согласие не отвечает требованиям конкретности, информированности и сознательности.

Указано, что согласие действует со дня его выдачи, в том числе в форме электронного документа, подписанного простой электронной подписью, но о том, как его подписать электронной подписью и какой, не сообщается.

Между тем, штраф за согласие, оформленное с нарушением установленных законом требований к составу сведений, включаемых в согласие субъекта в письменной форме, влечет административную ответственность в размере до 150 тысяч рублей по каждому случаю нарушения. Но ГУП «Московский метрополитен», похоже, это совсем не пугает. Интересно, почему? Действительная цель создания системы оправдывает средства?

О скорости оплаты проезда «лицом». Большие сомнения вызывает и декларируемая высокая скорость оплаты проезда. Заммэра Максим Ликсутов оптимистично оценивает количество пользователей системы в 10-15 процентов всех пользующихся метро пассажиров. Сам метрополитен оценивал ежедневный пассажиропоток в 2019 году более, чем в 7 миллионов человек. Предположим, что пассажир в среднем совершает в день две поездки, это значит в базе должно быть не менее 350 тысяч шаблонов изображений лица. Прогнать шаблон фото через 350 тысяч образов быстрее, чем считать данные с «Тройки» и записать на нее? Не верится...  

В целом, предлагаемая система пока гораздо больше похожа на систему контроля, а не оплаты. Так может об этом честно заявить и сделать ее соответствующей закону?

И самое главное - что должен делать пассажир, биометрические данные которого скомпрометированы? Отсутствие во всех подобных внедряемых системах биометрической идентификации и аутентификации, начиная с Единой биометрической системы, сведений о том, что должен делать пользователь, биометрические данные которого скомпрометированы и как ему после этого жить дальше, а также отсутствие процедур разрешения конфликтов при оспаривании транзакций делают риски использования таких систем вообще неприемлемыми.

Использование данной системы для оплаты проезда в метрополитене я считаю крайне рискованным для граждан и ни в коем случае не рекомендую ею пользоваться.

1 сентября 2021 г.

Про парсинг, ВКонтакте, Double Data и запрет пользоваться надписями на заборах

Елена Покатаева из «Банковского обозрения» подготовила интересную и детальную публикацию, а я ее немного прокомментировал.

«Тайна частной жизни и приватность существуют ровно до того момента, когда человек, к которому эти сведения относятся, сам сохраняет их в тайне. Написал на заборе (в соцсети) — забудь о приватности. Ее больше нет».

«Суды пошли еще дальше и пытаются запретить любому использовать то, что написано на заборе. Но вряд ли запреты остановят парсинг и использование его результатов в скоринговых алгоритмах, ведь не воспользоваться тем, что доступно для снижения банковских рисков, просто неразумно. Зато появится возможность выборочно привлекать к ответственности тех, кто в парсинге будет уличен».

Ну, и еще кое-что.

Полный текст здесь https://bosfera.ru/bo/algoritmami-vhod-vospreshchen.

13 мая 2021 г.

17-18 мая: требования законодательства о персональных и все последние изменения к нему

В понедельник-вторник 17 и 18 мая буду вести обновленный курс КП32 "Защита персональных данных" в формате онлайн на площадке Учебного центра "Информзащита".

В программе:

новые редакции ст.13.11 КоАП,

практика по частям 8 и 9,

правоприменение статьи 13.11 в последнее время,

согласие на распространение персональных данных,

изменения, связанные с расширением сферы применения Единой биометрической системы,

судебные прецеденты и результаты проверок последних лет.

Вопросы и обсуждения приветствуются.

Запись в Учебном центре "Информзащита".

8 апреля 2021 г.

Нам 10 лет!

Сегодня, 8 апреля, исполняется ровно 10 лет с того дня, когда наше Консалтинговое агентство «Емельянников, Попова и партнеры» было зарегистрировано как юридическое лицо и вышло на рынок.

Срок вроде бы и не большой, но сколько всего поменялось на рынке за это время! Принимались и изменялись законы и подзаконные акты, появлялись новые трактовки положений, казавшихся очевидными, суды принимали решения, переворачивавшие сложившееся понимание законодательства, вводились новые требования и новые ограничения, и мы вместе с нашими заказчиками лавировали в этом меняющемся, бушующем мире. Наша цель была всегда одна – обеспечить выполнение закона и не просто не дать загнуться бизнесу, порою очень плохо понимавшему, что хочет от него государство и его законодатели, но и обеспечить использование самых передовых информационных технологий, позволяющих оставаться конкурентоспособными, и не только в России, но и в мире.

За эти 10 лет в области нормативного регулирования сферы персональных данных произошли значительные изменения. Вскоре после начала работы нашего агентства, 25 июля 2011 года, Федеральным законом № 261 (помните поменявшийся радикально за две ночи закон Резника-Плигина-Московца?) была введена в действие фактически новая редакция закона о персональных данных. Сколько всего правильного в основном было написано блогерами, которые как никогда были популярны и читаемы в то время, специалистами и заинтересованными участниками рынка (одно обращение Г.А. Тосуняна к президенту страны чего стоило), сколько копий сломано (зря, как правило). Обсуждение 261-ФЗ стало самым, наверное, активным действием профессионального сообщества, пытавшегося повлиять на регуляторику в области безопасности, существенно затрагивающую интересы бизнеса. «Не шмогли» … Но и катастрофы, которой боялись, не произошло ввиду неизменного российского правила исполнения строгих законов.

В 2015 году заработало требование о локализации персональных данных во время их сбора, вызвавшее оторопь у российских дочек международных и иностранных компаний, активно использовавших зарубежные системы материнских компаний, первых, немногочисленных тогда пользователей облаков и SaaS систем. Пережили и это. Посмотрите статистику проверок 2016-2020 годов – про нарушения, связанные с локализацией, там почти ни слова. Все больше про войну с LinkedIn, Twitter и Facebook.

Вот и сейчас озадаченные владельцы сайтов не могут понять, как на них теперь разместить персональные данные, получить согласие субъектов и их представителей на распространение, указать условия и ограничения обработки и перечни, в отношении которых эти ограничения вводятся. Пережили былое, переживем и это… Ищем и найдем решения. 

Наш мир становится все более цифровым. На горизонте – цифровой профиль, новые реестры, которые знают про нас все больше и больше, проникающая в нашу жизнь, как вода в одежду во время ливня, биометрия, которые не все и не очень-то ждут. Интернет вещей с WiFi в каждом утюге и холодильнике. СИМ-карты в шлагбауме, подписывающиеся на новостные рассылки. Скучно в ближайшем будущем не будет точно.

Начав работать 10 лет назад, мы довольно скоро и сознательно сузили свою нишу на рынке. Мы решили отказаться от многих возможных направлений, в которых выполняли весьма успешные проекты, и сосредоточиться на двух – на персональных данных и тайнах (коммерческой, банковской, связи, врачебной и прочих, кроме государственной). Это позволило нам наработать экспертизу того уровня, благодаря которому мы стали консультантами крупнейших мировых ИТ-вендоров, помогая им и их заказчикам соблюдать требования российского законодательства, мировых и российских лидеров в самых разных направлениях экономики – госкорпораций, системообразующих банков страховых компаний, телеком-операторов, интернет-компаний и производителей средств защиты информации, предприятий промышленности, энергетики, фармацевтики, FGCG, медицинских организаций, служб по подбору персонала из разных стран и многих, многих других. Они именно пришли к нам – за все 10 лет мы не истратили на маркетинг ни копейки.   

Мы –партнеры крупнейших юридических компаний, выполняем совместные с ними сложные проекты, требующие понимания не только законодательства России, но и глубокого вникания в суть бизнеса.

Мы искренне стремились выполнить и нашу социальную миссию, в рамках который были проекты в благотворительных фондах для особенных детей, и множество просветительских и образовательных проектов.

Но среди наших заказчиков – не только компании из enterprise сегмента. Это и стартапы, работа с которыми не самая прибыльная, но, как правило – необыкновенно интересная, поскольку готовых решений как выполнить закон для абсолютно новой идеи, нормативно не урегулированной и не имевшей ранее прецедентов, конечно, нет, а вот необходимость вывода бизнеса, и не в серый, а в белый сегмент – есть.

Мы активно занимались образовательными проектами – курсами, семинарами, вебинарами. За 10 лет обучены тысячи специалистов, и с каждым годом доля специалистов по информационной безопасности среди них все меньше и меньше. Наши слушатели – руководители, первые лица организаций, юристы, в том числе находящиеся на очень высоких позициях и работающие в юридических компаниях, кадровики, айтишники и многие другие. Все эти 10 лет мы работаем с нашими главными партнерами по направлению образования – Учебным центром «Информзащита» и «БизнесШколаКонсультант».

Нам есть чем гордиться. Придуманы и реализованы новые формы и форматы консультационных услуг, подготовлено множество экспертных заключений, в том числе выложенных для свободного доступа, которые читали и использовали тысячи специалистов.

На наш блог, который, к сожалению, не удается обновлять постами так часто, как хотелось бы, тем не менее приходят ежедневно сотни и тысячи читателей. И мы не собираемся останавливаться. До новых встреч!  

1 марта 2021 г.

С 27 марта штрафы вновь ужесточили. А ответственности за утечку персональных данных по-прежнему нет

24 февраля подписан Федеральный закон № 19-ФЗ, которым в КоАП РФ вводятся новые виды административных нарушений, связанных с использованием и обеспечением безопасности сети Интернет, ресурсов и сервисов сети, а также устанавливается ответственность за них.

В лучших традициях последних лет в тексте законопроекта для второго чтения появились дополнения и изменения в статью 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных», которые приняты и вступают в силу с 27 марта 2021 года.

Если коротко, срок привлечения к ответственности за нарушения законодательства о персональных данных (ст.4.5 КоАП) увеличивается с 3 месяцев до 1 года, что, учитывая обычный срок подготовки акта проверки и предписания территориальными управлениями Роскомнадзора (от 1 до 2 месяцев), является весьма значимым изменением, увеличивающим риск наложения штрафов на операторов по результатам проверок.

Размер штрафов по большинству составов нарушений, предусмотренных статьей 13.11, вырос в два раза, появились наказания и довольно суровые за повторное нарушение по ряду оснований.

Более подробно новые штрафы указаны в таблице ниже.

Часть

ст.13.11

Нарушение

Размер штрафа, тыс. рублей

Должн. лица

Юрлица

1

Незаконная обработка (в случаях, не предусмотренных законодательством)

10 - 20

60 -100

1.1

Повторное нарушение по основаниям части 1

20 - 50

100 – 300

2

Несоответствие (отсутствие) согласия на обработку в письменной форме

20 - 40

30 – 150

2.1

Повторное нарушение по основаниям части 2

40 - 100

300 – 500

3

Отсутствие неограниченного доступа к политике в отношении обработки персональных данных

6 – 12

30 – 60

4

Непредоставление информации субъекту

8 – 12

40 – 80

5

Невыполнение требований об уточнении, блокировании и уничтожении

8 – 20

50 – 90

5.1

Повторное нарушение по основаниям части 5

30 – 50

300 – 500

6

Нарушение требований безопасности при обработке без средств автоматизации

8 – 20

50 – 100

7

Нарушение правил обезличивания

6 - 12

Про штрафы для физических лиц и индивидуальных предпринимателей не пишу для краткости, они тоже выросли, желающие могут посмотреть в тексте закона.

Но ответственности за утечку персональных данных, от которой как раз и страдают субъекты и о которой столько разговоров было после катастрофического, с точки зрения атак на субъектов, 2020 года, так и не появилось. Для организации таких атак как раз и использовались данные, полученные в результате утечек. Но если звезды зажигают, значит это кому-то нужно…

Об этих и других изменениях, которые произошли для операторов и субъектов персональных данных в 2021 году, мы подробно поговорим на вебинаре в Учебном центре «Информзащита» 17 марта.

Среди горячих тем, которые будут обсуждаться, – «загадочные» персональные данные, разрешенные субъектом персональных данных для распространения, но с условиями и ограничениями (кстати, сегодня, 1 марта – день вступления изменений, внесенных Федеральным законом от 30.12.2020 № 519-ФЗ в силу, а приказ Роскомнадзора о форме согласия на распространение персональных данных так и не подписан?), существенное расширение сферы применения единой биометрической системы и контроль государства над любыми системами биометрической идентификации, электронный нотариат и электронные трудовые книжки, новые правила дистанционной (удаленной) работы. И, конечно же, практика применения Правил государственного контроля и надзора (Постановление Правительства РФ № 146 2019 года) и статьи 13.11 КоАП, включая часть 8 (часть 9 пока не применялась).

Так что приходите, будет интересно: 4 часа обсуждения нововведений в законодательстве, как показала репетиция вебинара с нашими заказчиками абонентского обслуживания, пролетят незаметно.

18 января 2021 г.

Являются ли персональные данные, опубликованные субъектом для неограниченного доступа, общедоступными?

 Вопрос, вынесенный в заголовок, выглядит странным. И ответ на него, вроде бы, очевиден – конечно, да. Но подписанный 30 декабря президентом Федеральный закон № 519-ФЗ внес сумятицу в умы специалистов, споры о его содержании идут третью неделю, массу вопросов задали заказчики и коллеги мне, поэтому пора, наверное, высказать и свою точку зрения.

Итак, что поменял закон.

Серьезных изменений в законе «О персональных данных» на самом деле всего два.

(1) Появилось принципиально новое понятие «персональные данные, разрешенные субъектом персональных данных для распространения».

(2) Исключено из закона такое основание для обработки персональных данных без согласия субъекта, как случаи, когда доступ неограниченного круга лиц к персональным данным предоставлен субъектом либо по его просьбе.

При этом изменения в закон, несмотря на их кардинальную переработку ко второму чтению, подготовлены крайне неряшливо и непродуманно, так что аукаться новая редакция будет очень долго и очень болезненно. Более того, забегая вперед, выскажу свою точку зрения на последствия этого закона: применяться новые положения будут исключительно точечно и избирательно, поскольку их массовое применение породит полную сумятицу и хаос.

Итак. Проблема номер один. Как теперь указано в пункте 1.1 статьи 3 закона 152-ФЗ «О персональных данных», согласие дается только на распространение персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, то есть на действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Данные, которые субъект разместил, например, в своем профиле в социальной сети или на сайте объявлений, не могут затем размещаться без его согласия на других ресурсах в сети Интернет. Напомню, что распространение является всего лишь одним из 18 способов обработки, указанных в пункте 3 статьи 3 закона.

Но в части 2 новой статьи 10.1 закона ограничения внезапно начинают распространяться на любую обработку персональных данных, раскрытых неопределенному кругу лиц самим субъектом: «обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку». Не забываем, что одним из способов обработки является, например, доступ, и доводим ситуацию до логичного абсурда: доказывать, что законно прочитал что-то в посте социальной сети должен каждый читатель (а чтение публикации и есть доступ). Правда, в части 9 этой же статьи возможность доступа оговаривается отдельно, но эта норма касается оператора, предоставившего доступ, а не лица, его получившего. И вообще, при чем здесь иное использование, в то время как нововведения касаются исключительно распространения?

Дальше – больше. Части 5 и 9 статьи 10.1 предусматривают возможность установления субъектом запретов и условий на обработку персональных данных, а также категорий и перечней персональных данных, для обработки которых эти условия и запреты устанавливаются. Более того, если из согласия субъекта на распространение не следует, что субъект не установил запреты и условия или не определил категории, в отношении которых они установлены, оператор, получивший данные от субъекта и согласие на их распространение (видимо, криво составленное субъектом), должен их обрабатывать (внимание!) без передачи, распространения, предоставления и доступа неограниченному кругу лиц. Еще раз. Согласие было дано, как следует из статьи 10.1, на распространение, но их распространение является противоправным, потому что из согласия такая возможность не следует.

Новые положения вступают в явное противоречие с положениями более высокоуровневого закона – Гражданского кодекса, часть 1 статьи 152.2 которого прямо говорит, что запрет на сбор, хранение, распространение и использование любой информации о частной жизни без согласия гражданина не распространяется на случаи, когда информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле. А вот недействительность запрета на обработку в государственных, общественных или иных публичных интересах почему-то из Гражданского кодекса продублирована в части 11 статьи 10.1 закона. Очень напоминает известную миниатюру «здесь играем, здесь не играем, а это пятно, потому что я рыбу заворачивал».

При этом в законе о персональных данных по-прежнему содержатся основания для размещения персональных данных в общедоступных источниках без согласия субъекта – обработка персональных данных для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством на оператора функций, полномочий и обязанностей, для исполнения договора, стороной которого является субъект персональных данных, обработка данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. В этих случаях и потребовать прекращения обработки не получится.

Ничего не поменялось и в статье 8 об общедоступных источниках, она по-прежнему пахнет нафталином прошловековой давности («…могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги)…») и ничего не знает про ресурсы в сети интернет вообще и социальные сети в частности.

Впереди нас ждет много интересного – форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, которая, как хочется надеяться, не будет содержать паспортных данных субъекта и его адреса; создание очередного реестра Роскомнадзора, в котором будут согласия субъектов на распространение их данных, а на самом деле – на обработку с указанием перечня персональных данных по каждой из категорий (еще бы знать, что это – специальные, биометрические, или законодатель имел ввиду что-то совсем другое?). Я так полагаю, что реестр должен быть общедоступным, иначе откуда пользователи будут знать, что можно, а что нельзя делать с данными из перечня по каждой из категорий?

Очень хочется знать, как на практике будет реализовываться требование прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему персональные данные, если к данным уже получил доступ неопределенный круг лиц.

Радует, конечно, что все эти запреты и ограничения не распространяются на выполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления. И это при том, что практически в то же время, когда был принят закон, 23 декабря прошлого уже года, подписано Постановление Правительства РФ № 2249, в соответствии с которым гражданам дано право предоставлять и отзывать согласие на обработку своих персональных данных в случаях предоставления органам и организациям, подключенным к единой системе идентификации и аутентификации (ЕСИА), доступа к информации о физическом лице, согласия на совершение иных действий, в том числе юридически значимых, с использованием государственных, муниципальных и иных информационных систем, а также хранение самих согласий. Но это уже совсем другая песня.

29 декабря 2020 г.

С Новым 2021 годом!

Уважаемые коллеги!

Пусть он будет другим – здоровым, позитивным, открытым всему миру.
Желаем Вам успехов и счастья.
Удовлетворения от сделанного и тепла близких.
Любви и взаимопонимания.
Интересных задумок и их успешной реализации. 
Новых надежных партнеров в бизнесе
и новых радостных впечатлений на отдыхе.
Будьте здоровы!


С наилучшими пожеланиями,

Михаил Емельянников,
Зоя Попова

11 декабря 2020 г.

Сберегательный образ жулика

 Максим Буйлов опубликовал в «Коммерсанте» любопытную заметку о биометрии образа Жоржа Милославского.

Многим, наверное, запомнился недавно появившийся динамичный ролик Сбербанка, в котором вор Жорж Милославский из фильма «Иван Васильевич меняет профессию» попадает в наши дни. Сама по себе идея рекламы банка с жуликом в главной роли выглядит неоднозначно. Даже учитывая, что он рекламировал «Сбер» еще в 1973 году: «Граждане! Храните деньги в Сберегательной кассе, если, конечно, они у вас есть». Но в Сбербанке гордятся примененными передовыми технологиями, которые позволили, как отметил директор департамента маркетинга и коммуникаций банка Владислав Крейнин, «зарядить предпраздничным настроением» «несколько поколений нашей страны».

Между тем мастерская имитация внешности и голоса Леонида Куравлева — актера, сыгравшего Жоржа Милославского почти 50 лет назад,— вызвала пристальный интерес специалистов по информационной безопасности, обсуждавших ролик в профильном телеграм-канале. И возможности «самых передовых технологий» Сбербанка привели их вовсе не в праздничное настроение. Российский эксперт в области информационной безопасности и защиты данных Михаил Емельянников назвал ролик реквиемом «по ЕБС и биометрии по лицу и голосу в целом» (ЕБС – единая биометрическая система).

Полностью заметку можно прочесть в газете «Коммерсантъ» №227 от 10.12.2020, стр. 7.

7 декабря 2020 г.

Осторожно! Каток части 8 статьи 13.11 КоАП тронулся

26 октября мировой судья в Волгограде оштрафовал на 50 тыс. рублей директора Центра немецкого языка - партнера Гете-Института Волгоградского государственного социально-педагогического университета за правонарушение, предусмотренное частью 8 статьи 13.11 КоАП РФ. То есть за невыполнение требования о локализации баз персональных данных россиян в период их сбора. Наказание крайне гуманное, половина минимального штрафа, предусмотренного статьей, меньше он уже быть не мог. 

Вот только, судя по опубликованным материалам дела, штраф наложен просто за трансграничную передачу, сведения о которой университет не указал в уведомлении в Роскомнадзор. Потому как никаких следов исследования судом вопросов именно локализации в постановлении нет.

Что есть. У лиц, пришедших на экзамен по немецкому языку, взяли согласие на обработку персональных данных и их дальнейшую передачу Немецкому культурному центру имени Гете при Посольстве Германии в Москве и Гете-Институту в Мюнхене (Германия). По мнению проводивших проверку Центра немецкого языка представителей Управления Роскомнадзора по Волгоградской области и Республике Калмыкия, такое согласие нарушает положения статьи 12 (трансграничная передача) и, (внимание!), статьи 22 (уведомление об обработке персональных данных) закона 152- ФЗ.

Несчастный директор Центра немецкого языка свою вину полностью признала в полном объеме и раскаялась, сообщила, что в Мюнхен теперь информацию о сдающих экзамен и его результатах передавать не будут. Университет, на всякий случай, еще до суда привлек директора Центра к дисциплинарной ответственности за то, что она не сообщила о трансграничной передаче, и уведомление в Роскомнадзор оказалось не совсем, скажем, корректным, поскольку в нем сведений о трансграничке не было.

А теперь описание «страшного» правонарушения. После получения согласия данные сдававших экзамен (фамилии, имена, даты рождения, места рождения, уровни подготовки по программам данных изучения языка) загружались в приложение «Олимп», веб-сервер которого находится в Германии, что свидетельствует о трансграничном обмене персональными данными.

Это все. За это, по мнению Роскомнадзора и суда, положен штраф по части 8 статьи 13.11 КоАП РФ. Вопрос, фиксировались ли эти данные в других системах Университета и Центра немецкого языка (а мой опыт многолетнего участия в государственных экзаменах вуза подсказывает, что обязательно фиксировались, иначе на экзамен не попадешь) ни представителей Роскомнадзора, ни суд не заинтересовал. А ведь именно он является решающим при оценке выполнения требования о локализации.

Прецедент крайне опасный по своим последствиям. Такая трактовка требований о локализации может привести к полной переоценке допустимости трансграничной передачи персональных данных в принципе. И очень жаль, что ни представители надзорного органа, ни судьи, ни адвокаты (а адвокат директора Центра, судя по материалам дела, этот вопрос не поднимала, а лишь просила учесть смягчающие обстоятельства) в законе, который применяют, так и не разобрались.

Кстати, это дело дает наглядный ответ на вопрос, который наши заказчики задают постоянно: кто это загадочное должностное лицо, которое могут привлечь по статье 13.11? Это судья сформулировала четко, сославшись на статью 2.4 КоАП РФ. Определение очень большое, больше моего поста, любопытные могут посмотреть сами по ссылке Отвечу коротко – любое лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции. Директор Центра, например, в соответствии с трудовым договором и должностной инструкцией, должна вносить достоверные данные «в Управление Роскомнадзора по Волгоградской области и республике Калмыкия» (цитата). Поэтому, решила судья – она должностное лицо.

У меня все. Занавес.