15 июня 2020 г.

Единый федеральный информационный регистр, содержащий сведения о населении: читаем закон


8 июня, в день подписания президентом, вступил в силу Федеральный закон от 08.06.2020 № 168-ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» (дальше для краткости буду называть его Единый регистр населения).
Правда, «вступил в силу» – это, в данном случае, слишком громко сказано. Пока только дана отмашка на создание регистра, само вступление закон в силу в полном объеме произойдет только с 1 января 2026 года и разбито на несколько этапов: с 1 января 2022 года, 2023 года, 2024 года, 2026 года.
Для того, чтобы закон заработал, необходимо принятие целого ряд нормативных правовых актов Президентом и Правительством, причем содержание части из них пока совершенно не ясно.
Единый регистр формируется и ведется ФНС России, она же является оператором этой информационной системы.
В Единый регистр населения вносятся две категории сведений: первая - это записи о физическом лице – ФИО, даты и места рождения и смерти, пол (в том числе  сведения о его изменении),сведения о семейном положении, сведения о гражданствах и выходе из них, о наличии документа на право постоянного проживания в иностранном государстве. Не так и много, как видно.
Вторая категория – не сами сведения, а идентификаторы записей о физическом лице из других систем госорганов и внебюджетных фондов, их гораздо больше.
На самом деле регистра два: один содержит все перечисленные выше сведения, а другой, хранящийся обособленно, – обезличенные персональные данные. В дополнение к персональным данным, полученным в результате обезличивания, о которых я не так давно писал, появляется еще одна новая сущность. Одно ли это и то же или разные сведения – совершенно не понятно, поскольку, как и в законе о проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта, в новом законе нет определения того, что это означает, и как именно должно осуществляться обезличивание. И даже нет поручения кому бы то ни было определить такой порядок для Единого регистра населения.
При этом необезличенный регистр делится на части. В первой части содержатся сведения о простых смертных, во второй, формируемой обособленно, – сведения о лицах, которым предоставляется государственная защита. Делается это, как указано в части 12 статьи 8 закона, в целях обеспечения безопасности государства, а также прав и свобод этих самых отдельных физических лиц.
К обезличенному регистру будут получать доступ органы власти, которым нужны статистические данные и которые не занимаются предоставлениям персонифицированных услуг населению.
В статье 10 определяется закрытый перечень органов и организаций, предоставляющих сведения в Единый регистр населения: МВД, Минобороны, Минкомсвязи (или Минцифры, как стало модно его называть), Минобрнауки, Рособрнадзор, ФНС, Росморречфлот, Роструд, ПФР, ФСС, ТФОМС.
Но вот в части 15 статьи 8 указано, что сведения, предусмотренные частью 2 статьи 7 закона и ранее не учтенные в государственных информационных системах органов государственной власти, органов управления государственными внебюджетными фондами, могут вноситься в Единый реестр населения ФСБ, СВР, ФСО и «иными органами, уполномоченными на решение задач в области обеспечения безопасности Российской Федерации».
Я, конечно, могу предположить, что это за сведения, но лучше дождаться, как это предусмотрено законом, указа Президента, определяющего перечень таких органов, и постановления Правительства, определяющего порядок предоставления сведений.
Еще один интересный момент – все, что предоставляется в Единый регистр населения и хранится в нем, каждая запись, должны заверяться усиленной квалифицированной электронной подписью, которую необходимо иметь возможность проверить. Похоже, о том, что ключ такой подписи и сертификат ее проверки имеют ограниченный срок действия (очень ограниченный), что криптография для электронной подписи периодически меняется, что СКЗИ снимаются с производства и утрачивают сертификаты соответствия, законодатели не задумывались. Теперь то, как решить эти проблемы (цитирую: «обеспечивается подтверждение … действительности усиленных квалифицированных электронных подписей», при этом из текста закона следует, что обеспечивается вечно), должно очень быстро придумать правительство. Причем изменений в законе «Об электронной подписи» закон о Едином регистре населения не предполагает.
Весьма интересный подход предлагается к восстановлению записей в Едином регистре населения. Понятия резервное копирование, резервная копия, территориально распределенная система резервирования в законе не упоминаются. Но зато написано, что запись федерального регистра сведений о населении подлежит восстановлению на основании сведений, направляемых в уполномоченный орган органами и организациями, указанными в статье 10 закона. Запись должна быть восстановлена полностью, но частичное восстановление записи допускается в исключительном случае, если ФНС были исчерпаны все возможные способы получения сведений о физическом лице в целях восстановления записи. При этом, вместо определения порядка резервного копирования и восстановления данных предложено поручить правительству определить перечень способов получения сведений о физическом лице в целях восстановления записи Единого  регистра населения и правила их применения, в том числе порядок взаимодействия с органами и организациями, предоставляющими сведения в регистр.
С защитой данных в регистре все очень строго. Никаких оценок соответствия средств защиты информации, только сертификация, о чем прямо написано в законе.
Ну, и, как обычно, вишенка в конце. К сведениям о себе любимом субъект сможет получить доступ только после полного формирования регистра, с 1 января 2026 года, и при условии, что у него есть учетная запись на портале госуслуг. До этого – ни-ни.

10 июня 2020 г.

Что будет нового на июньском вебинаре для кредитно-финансовых учреждений


  1. Подробный анализ «Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных», утвержденных Постановлением Правительства РФ от 13.12.2019 № 146.
  2. Анализ надзорной деятельности Роскомнадзора в 2019 году (характерные нарушения, что является, и что не является основанием для отмены результатов проверки, практика по ст.13.11 КоАП и результаты рассмотрения жалоб граждан).
  3. Анализ оснований привлечения к ответственности по новым частям 8 и 9 ст.13.11 КоАП РФ и первая судебная практика привлечения.
  4. Перевод трудовых книжек в электронную форму, формирование в электронной форме сведений о трудовой деятельности.
  5. Идентификатор сделки в кредитной истории и индивидуальный кредитный рейтинг.
  6. Изменения в Единой биометрической системе в сентябре и их последствия.
  7. Позиция Верховного суда РФ по предоставлению банковской тайны налоговым органам и ФАС, ответственность банка за нарушения при взыскании просроченной задолженности.
  8. Анализ рекомендаций Европейского совета по персональным данным по применимости GDPR к деятельности российских банков.
  9. Законопроекты, связанные с персональными данными: большие пользовательские данные, обезличенные персональные данные, возможные изменения в порядке получения согласия, персональные данные из государственных ресурсов в общедоступных источниках и др.).
ВНИМАНИЕ! Только в июне 2020 года: каждый участник вебинара до его начала может задать свои вопросы ведущему вебинара М.Е. Емельянникову по электронной почте mezp11@gmail.com и получить на вебинаре ответы на них.
Вебинары «Соблюдение законодательства о персональных данных в кредитно-финансовых учреждениях. Единая биометрическая система и новые правила контроля и надзора» организуют:

20 мая 2020 г.

Новый анализ порядка и возможности использования российскими операторами облаков Microsoft, находящихся за рубежом


Разместил для общего доступа новое Экспертное заключение по вопросам, связанным с использованием облачной платформы Azure и иных облачных сервисов корпорации Microsoft российскими компаниями в соответствии с требованиями законодательства Российской Федерации, которые необходимо выполнить при их использовании.
Главная мысль, которая отражена в заключении, – в законе нет требования обрабатывать персональные данные россиян только на территории России вопреки многочисленным высказываниям официальных и не очень лиц. Но есть в законе требование иметь в России актуальную базу персональных данных, которые переносятся для обработки за рубеж, в облака и SaaS системы.
Предыдущий вариант заключения был написан еще в 2014 году, до принятия поправок в закон «О персональных данных», требующих локализации персональных данных в период их сбора в базах данных на территории России.
После вступления поправок в силу с 1 сентября 2015 года накоплена правоприменительная практика в рамках надзорной деятельности и судебная практика, а регулятор и надзорный орган дали свои комментарии и разъяснения порядка применения новых норм, свое понимание ключевых для применения закона терминов, определения которых в нем отсутствуют, например, «база данных» и «сбор персональных данных». Эти вопросы анализируются в экспертном заключении, и, на основании анализа, рассматриваются возможные варианты использования облаков.
Конечно, я знаю о позиции Роскомнадзора относительно обезличивания персональных данных операторами, для которых эти действия не определены законами и иными нормативными правовыми актами, но, исходя их принципа общедозволительности в гражданском праве и отсутствия в законе запрета обезличивания для кого бы то ни было, такое обезличивание возможно, поэтому есть в заключении и сценарий размещения в облаке обезличенных данных, а базы идентификаторов – в России.
Отдельный вопрос – необходимость локализации данных о субъекте, которые не были получены в результате сбора, а созданы информационной системой по определенным алгоритмам. Анализируется в заключении и этот вопрос.
Отдельно рассматриваются вопросы ответственности за невыполнение требований законодательства о локализации с учетом принятых судами решений, в том числе и компаний, не присутствующих в России, но целенаправленно обрабатывающих персональные данные россиян.
Последний раздел заключения посвящен анализу мер безопасности, принимаемых в облаках Microsoft и сопоставлению их с требованиями закона «О персональных данных» и Постановления Правительства № 1119.

6 мая 2020 г.

Защита персональных данных 18-19 мая: разберемся, что нового


18 и 19 мая в Учебном центре «Информзащита» буду читать очередной курс КП-32 «Защита персональных данных». Скорее всего, пройдет он полностью онлайн, но это ничего не меняет – все будет видно и слышно, как обычно 😊.
Курсу 13 лет, и все эти годы он меняется – вместе с законом, практикой правоприменения, судебными решениями, позицией надзорного органа.
Поскольку сейчас возможность его проводить у меня появляется не часто, примерно раз в квартал, каждый раз в курсе происходят изменения.
В этот раз будет несколько нововведений:
·    добавлен блок с разбором характерных нарушений, возникающих в ходе последних проверок Роскомнадзором;
·    расскажем о новых тенденциях законотворчества, в первую очередь, связанных с обезличиванием персональных данных и большими пользовательскими данными, возможности формирования с их использованием социальных профилей и рейтингов;
·    подробно остановимся на том, когда возникает и когда не возникает поручение обработки персональных данных, в первую очередь при передаче персональных данных работников работодателем иным лицам, поскольку такая передача связана с получением согласия в письменной форме, которое, по мнению надзорного органа, должно даваться для каждого поручения отдельно;
·    в блоке о биометрических данных разберем практику использования системы распознавания лиц в Москве и проанализируем, насколько она законна, и что надо было бы сделать для ее полной легализации.
Будет и еще одно нововведение: слушатели курса за оставшееся до курса время могут направить мне свои вопросы по адресу электронной почты, указанному на блоге, я подготовлю ответы на них, и в ходе курса мы разберем проблему. В зависимости от количества вопросов это будет или специально выделенная сессия вопросов и ответов 19 мая в конце курса, или я отвечу на них в соответствующих разделах курса.
Привилегия только для слушателей, никаких публикаций с ответами по результатам не будет.
Так что милости прошу на курс, и как обычно, уверяю – скучно не будет! 

23 апреля 2020 г.

Персональные данные, полученные в результате обезличивания

С глубоким разочарованием и внутренним стыдом осознавая, что совершенно ничего не понимаю в трейдерской деятельности по закупке бочек с нефтью с отрицательной ценой (что, правда доплачивают по 40 баксов за бочку каждому купившему? Не верю! Я же математик все-таки по образованию) и во взаимодействии коронавируса с разными типами белков при проникновении в организм, продолжаю писать о том, в чем понимаю.

17 апреля ТАСС сообщил, что Совет Федерации одобрил законопроект «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных"».

С недоумением наблюдаю, как в последнее время законодатели и правоприменители плодят все новые и новые сущности. Вот и новый практически уже закон вносит в 152-ФЗ «О персональных данных» принципиально новое понятие «персональные данные, полученные в результате обезличивания», сохраняя «добрую» традицию не давать определение используемому термину.

Давайте сначала разберемся с понятиями действующего законодательства. В действующей редакции закона 152-ФЗ определено, что обезличивание персональных данных – это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Такое определение фактически допускает два принципиально разных подхода к обезличиванию: (1) когда оператор заменяет информацию, идентифицирующую субъекта, например, ФИО и СНИЛС, некими условными идентификаторами, с сохранением возможности при необходимости связать обезличенные данные с конкретным субъектом (назовем его обратимым обезличиванием) и (2) необратимое обезличивание, когда оператор уничтожает идентифицирующие данные, что не позволяет сделать даже ему процесс обезличивания обратимым, и использует эти данные для статистических, аналитических целей, таких, например, как андеррайтинг или исследование рынка.

В европейском GDPR для таких видов обезличивания используются разные термины – псевдонимизация и анонимизация, и выдвигаются совершенно разные требования к защите полученных данных, точнее, к обработке анонимизированных данных не выдвигается вообще никаких требований, а к псевдонимизированным требуется относиться также, как и к персональным данным.

Наши законодатели пошли своим путем. У меня давно было подозрение, что наше обезличивание – это не совсем обезличивание. Основывалось оно на том, что в требованиях и методах по обезличиванию, утвержденных приказом Роскомнадзора № 996 от 05.09.2013, среди обязательных для выполнения госорганами требований при обезличивании есть обратимость, то есть возможность проведения деобезличивания - процесса, в результате которого данные опять становятся персональными. Это полностью противоречит букве и духу закона 152-ФЗ, который в части 7 статьи 5 однозначно допускает, в случае достижения цели обработки персональных данных, два возможных действия – их уничтожение или обезличивание, то есть после обезличивания данные должны перестать быть персональными, и их привязка к конкретному субъекту должна быть невозможна.

Первый звоночек прозвенел, когда появился законопроект, в котором упоминались обезличенные данные и обезличенные персональные данные. Но, пока законопроект пребывает где-то в недрах законотворчества, появился другой – тот самый, о котором 17 апреля сообщил ТАСС.

Что же в новом законопроекте, «почти законе», написано про использование «персональных данных, полученных в результате обезличивания»?

Правительство Москвы наделяется полномочиями по согласованию с Минкомсвязи России определять порядок и условия обработки участниками экспериментального правового режима персональных данных, полученных в результате обезличивания, на основании соглашений, которые таким участникам надо будет заключить с уполномоченным органом в г. Москве (его определит московское правительство, как я понимаю, это будет ДИТ Москвы).

Персональные данные, полученные в результате обезличивания и обрабатываемые в установленном Правительством Москвы порядке, не могут быть переданы лицам, не являющимся участниками экспериментального правового режима (то есть участникам эксперимента передать их можно).

В случае утраты статуса участника экспериментального правового режима или прекращения эксперимента лицо, являвшееся участником экспериментального правового режима, утрачивает право на получение персональных данных, полученных в результате обезличивания, а хранящиеся у такого лица данные подлежат уничтожению в порядке, установленном уполномоченным Правительством Москвы органом по согласованию с Минкомсвязи России. Для уничтожения этих данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.

Участники экспериментального правового режима несут ответственность за соблюдение прав субъектов персональных данных в течение всего срока проведения эксперимента и после прекращения их участия в эксперименте. Уполномоченный орган и координационный совет экспериментального правового режима осуществляют в порядке, установленном Правительством Москвы по согласованию с Правительством РФ, мероприятия по контролю за соблюдением обязанности по уничтожению персональных данных, полученных в результате обезличивания (вот и еще один надзорный орган появился).

Все используемые участниками эксперимента обезличенные персональные данные хранятся на территории города Москвы.

В части 1 статьи 6 закона «О персональных данных» появится еще одно основание обработки персональных данных без согласия субъекта – обработка персональных данных, полученных в результате обезличивания персональных данных, в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом «О проведении эксперимента по установлению специального регулирования…», в порядке и на условиях, предусмотренных этим законом.

Обезличивать и использовать без согласия субъекта для проведения эксперимента в этих целях можно будет, в том числе и сведения о состоянии здоровья, для чего вносятся поправки в статью 10 закона «О персональных данных».

Закон вступит в силу уже 1 июля этого года, однако, кто и как определит порядок обезличивания персональных данных для проведения эксперимента, в нем не указывается. Как мне кажется, Приказ Роскомнадзора № 996 здесь вряд ли подойдет, поскольку, судя по количеству флажков (требований), которыми обставлено использование обезличенных данных, обезличиваться они будут, как бы помягче сказать, не совсем полностью, иначе зачем так беспокоиться о сертифицированных средствах уничтожения этих данных.

И главное. Из текста закона нельзя понять, для чего будут собираться, обезличиваться и передаваться участникам экспериментального правового режима персональные данные. Заявленные законом цели проведения эксперимента - обеспечение повышения качества жизни населения; повышение эффективности государственного или муниципального управления; повышение эффективности деятельности хозяйствующих субъектов в ходе внедрения технологий искусственного интеллекта; формирование комплексной системы регулирования общественных отношений, возникающих в связи с развитием и использованием технологий искусственного интеллекта с персональными данными связаны как-то слабо. Но вот требование о том, что результатом установления экспериментального правового режима не может быть ограничение конституционных прав и свобод граждан и введение для них дополнительных обязанностей заставляет задуматься.

Ну, и для полноты картины проведения эксперимента и сложившегося порядка написания законов, Правительство Москвы в этом же законе наделили полномочиями самостоятельно устанавливать порядок и случаи передачи собственниками систем фото- и видеонаблюдения полученных изображений органам государственной власти и организациям, осуществляющим публичные функции, перечень которых определит … ну, вы уже догадались – Правительство Москвы. Причем передавать без всякой связи с проводимым экспериментом, чтобы два раза уже не вставать.

8 апреля 2020 г.

Брюки превращаются, превращаются брюки … в общедоступную информацию

Времена наступили … как бы помягче сказать … не простые. Что-то невиданное происходит с законодательством. Каждый день читаешь какие-то новые документы и диву даешься: откуда вдруг появились эти нормы и требования, кто наделил полномочиями лицо, документ подписавшее, устанавливать правила и т.д. 
24.03.2020 ФНС России опубликовало письмо от № БС-4-21/5077@ «О выдаче налогового уведомления через МФЦ». Такой технический документ с разъяснениями. Большинство граждан о нем никогда не узнает, и, даже если случайно увидит, не обратит внимания.
А документ весьма интересный. Он лишает налогоплательщиков, решивших получить налоговое уведомление в таком уже привычном и близком к дому МФЦ, права на налоговую тайну (цитирую письмо: «выдача через МФЦ налогового уведомления на основании надлежаще оформленного заявления, содержащего вышеуказанный код "2", исключает необходимость представления в налоговый орган согласия налогоплательщика (плательщика страховых взносов) на признание сведений, составляющих налоговую тайну, общедоступными»). Движения, как в фильме, цитата из которого вынесена в заголовок, просты и незамысловаты.  
Часть 8 статьи 31 Налогового кодекса РФ определяет порядок взаимодействия налоговых органов с МФЦ с использованием системы межведомственного электронного взаимодействия. В соответствии с ним, налогоплательщик может предоставить документы в налоговый орган через МФЦ и там же получить документы, содержащие налоговую тайну, при наличии письменного согласия в документе, представляемом в налоговый орган через МФЦ.
О том, как должны в ходе этого процесса взаимодействовать налоговики и МФЦ, есть специальный приказ Федеральной налоговой службы от 09.07.2013 № ЗН-7-12/234@, в котором вполне логично МФЦ обязывается обеспечивать защиту информации, доступ к которой ограничен в соответствии с федеральными законами (налоговую тайну пока не отменили!), а также соблюдать режим обработки и использования персональных данных. Но в приложении № 7 к приказу на сотрудника МФЦ возлагается обязанность проверить наличие письменного согласия налогоплательщика на признание сведений, составляющих налоговую тайну, общедоступными для МФЦ, оформленного в соответствии с приказом ФНС России от 15.11.2016 № ММВ-7-17/615@. Но этот приказ определяет форму, формат и порядок выражения согласия на признание сведений, составляющих налоговую тайну, всех или частично, общедоступными для всех. Нельзя их сделать таковыми для конкретного МФЦ.
То, что установленная приказом форма согласия не соответствует части 4 статьи 9 ФЗ «О персональных данных», вполне ожидаемо, но оно хотя бы требуется.
Но дальше – больше.
Собирая все эти разрозненные требования вместе, в письме ФНС, с которого начинается пост, делается далеко идущий вывод: если в заявлении о выдаче налогового уведомления налогоплательщик в качестве способа информирования о результатах рассмотрения заявления выбирает «в МФЦ», то (1) сведения, составляющие налоговую тайну, автоматически становятся общедоступными (видимо, абсолютно все, а не только указанные в налоговом уведомлении) и (2) никакого согласия в письменной форме на это получать не надо.
То есть, если налогоплательщик решил получить уведомление через МФЦ, он, того не ведая (все, что я написал выше, он обычно не читает) дал согласие на перевод всех сведений о нем, ранее составлявших налоговую тайну, в категорию общедоступных. Всех и навсегда, а не только некоторых и на определенное время, как предусмотрено формой согласия.
P.S. Порядок отзыва согласия документами ФНС не установлен.  
У меня все.

10 марта 2020 г.

Роскомнадзор: как правильно обрабатывать данные, полученные тепловизорами при измерении температуры тела


За последние две недели в наше Агентство поступили запросы о порядке обработки оператором персональных данных, полученных при измерении температуры тела в связи с эпидемией коронавируса. Мы подготовили запрос в Роскомнадзор с изложением своей позиции.
Сегодня, 10.03.2020, Роскомнадзор опубликовал соответствующие разъяснения, в которых указывается, что получение согласия работника и посетителя на обработку сведений о состоянии здоровья в данном случае не требуется, полностью подтверждающие нашу позицию https://rkn.gov.ru/news/rsoc/news72206.htm.
Отрадно, что Роскомнадзор проявил оперативность при ответе на столь острые для многих операторов персональных данных вопросы.

6 марта 2020 г.

За утечку данных – драконовский штраф


Дал интервью порталу RSpectr.com https://www.rspectr.com/interview/370/za-utechku-dannyh-drakonovskij-shtraf. Местами, возможно, резко. Но наболело.

Михаил Емельянников (Консалтинговое агентство «Емельянников, Попова и партнеры»): «Законодательное регулирование нужно в тех случаях, когда без него никак не обойтись»
Сегодняшнее законодательство РФ, регулирующее сферу данных, уже не совсем актуально – стремительное развитие технологий значительно опережает нормотворчество. И со временем этот разрыв может только расти. Российский эксперт в области информационной безопасности и защиты прав субъектов персональных данных (ПД) Михаил Емельянников поделился с RSpectr своим видением дальнейшего совершенствования отраслевого законодательства.

RSpectr: Что нужно сделать в первую очередь, чтобы актуализировать закон «О персональных данных»* с учетом современных цифровых реалий?

Михаил Емельянников (М. Е.): Необходимо сделать очень многое. В первую очередь надо править весь понятийный аппарат, потому что, например, определение «персональные данные», которое дано в законе, необоснованно широко и создает постоянные проблемы. С каждым годом информации, относящейся к конкретному субъекту, становится все больше, она разрастается как снежный ком. И как ею управлять, совершенно непонятно.

Следующее, что нужно поменять, – это сделать так, чтобы закон защищал субъекта персональных данных. Пока же основная его направленность – это проверки Роскомнадзором операторов ПД. Это нужно, наверное, но закон писался совершенно не для этого. В частности,

СЕГОДНЯ САМАЯ БОЛЬШАЯ ПРОБЛЕМА – ЭТО НЕВОЗМОЖНОСТЬ ПРИВЛЕЧЬ К ОТВЕТСТВЕННОСТИ ОПЕРАТОРА ЗА УТЕЧКУ ПД

В законе нет соответствующей нормы. И в итоге мы регулярно читаем в СМИ о грандиозных утечках, в том числе из банков.

Допустим, кредитное бюро Equifax (утечка данных, о которой компания сообщила в сентябре 2017 года, стала одной из самых масштабных в истории. – Прим. RSpectr.) до сих пор выплачивает компенсации своим клиентам. Причем суммы колоссальные. А у нас миллионы записей банковских клиентов попадают в интернет – и ничего.

Затем,

СОВЕРШЕННО НЕЯСНО, ЗАЧЕМ ВВЕДЕНО ПОНЯТИЕ ОПЕРАТОРА ПД, В ТО ВРЕМЯ КАК ЛЮБОЕ ЮРИДИЧЕСКОЕ ЛИЦО И ЛЮБОЙ ИНДИВИДУАЛЬНЫЙ ПРЕДПРИНИМАТЕЛЬ, ЕСЛИ СЛЕДОВАТЬ ЗАКОНУ, ЯВЛЯЕТСЯ ТАКОВЫМ

Зачем нужны тогда реестры? Зачем нужны уведомления Роскомнадзора?

Кроме того, наш закон о ПД существенно ограничивает использование, например, современных облачных технологий. В частности, надзорные органы рассматривают cloud-вычисления как исполнение поручения об обработке ПД в любом случае, независимо от того, есть там доступ персонала или нет, а поручение требует согласия субъекта. Скажем, мы создали у себя CRM-систему, которая перевалила за миллион субъектов ПД, я физически не могу перенести ее в облако, потому что невозможно собрать миллион согласий. Это все тормозит бизнес, позволяет давить на него.

Поэтому в том виде, в каком он есть, закон работает практически только в одну сторону: позволяет Роскомнадзору проводить проверки и штрафовать компании. Дело было задумано очень хорошее, но практика показывает, что вышло все совсем по-другому.

Я считаю, что законодательное регулирование нужно в тех случаях, когда без него никак не обойтись. Это касается, например, проблемы утечки данных. Не нужно, на мой взгляд, регулировать вопросы, связанные с уведомлением Роскомнадзора и отнесением юридического лица к операторам персональных данных. Потому что это ничего не улучшает, ни с точки зрения защиты прав субъекта, ни с точки зрения организации надзорной деятельности. Потому что проверять можно и внесенных в реестр, и не внесенных в реестр.

СПРАВКА

Михаил Юрьевич Емельянников,

управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»

· В области информационной безопасности работает более 30 лет: в государственных структурах, на стороне заказчиков и на стороне исполнителей.

· Под его руководством была создана система информационной безопасности крупнейшей телекоммуникационной компании России. Специализируется на решении комплексных проблем управления рисками в информационной сфере на стыке правовых, организационных и технических мер.
Сооснователь Консалтингового агентства «Емельянников, Попова и партнеры», в котором под его руководством за последние 9 лет были выполнены сотни проектов по защите персональных данных и реализации режима коммерческой тайны.
Постоянный консультант транснациональных, иностранных и российских компаний по вопросам соответствия бизнеса законодательству РФ о информационной безопасности. В течение ряда лет – член экспертных групп, советов, комиссий при Совете Федерации, Минкомсвязи, Роскомнадзоре, Национального совета по финансовым рынкам.
Ведет блог http://emeliyannikov.blogspot.com.

RSpectr: Как вы думаете, какая ответственность должна быть за утечку ПД?
М. Е.: Решение совершенно простое – установление драконовского штрафа за утечку. В десятки и сотни миллионов рублей. Это во-первых. И во-вторых,

НЕОБХОДИМО ВВЕДЕНИЕ ОБЯЗАННОСТИ ВЫПЛАЧИВАТЬ КОМПЕНСАЦИИ ВСЕМ ТЕМ, ЧЬИ ДАННЫЕ ПОПАЛИ В ОТКРЫТЫЙ ДОСТУП, КАК ЭТО СДЕЛАНО ВО МНОГИХ СТРАНАХ МИРА

Тогда бы нерадивые банки, которые направо и налево торгуют базами или отказываются потом признавать эти факты, крепко задумались, стоит ли это делать.

И я вас уверяю, они истратят колоссальные деньги, но утечки прекратятся, потому что платить такие штрафы никто не захочет. А сейчас в России штраф за утечку как за нарушение конфиденциальности – это 50 тысяч рублей. Ну подумаешь, 50 тысяч – заплатим! Да и наложить его можно только в случае, если данные обрабатывались без использования средств автоматизации, например, носители просто выбросили на свалку.

Как поставлена работа в хорошем, правильном банке? Там USB-порты отключены у всех сотрудников, в них просто не на что данные клиентов скопировать. То есть шаги элементарные, но зачастую не хватает простейших мер безопасности.

Приведу пример. Громкий скандал был у производителя процессоров Advanced Micro Devices (AMD). Когда из компании ушел вице-президент, он забрал с собой четырех ведущих инженеров, которые в течение двух недель качали все, что можно из корпоративной информационной системы. И уже задним числом, когда AMD обратилась в суд с требованием прекратить использование данных, выяснилось, что эти сотрудники с рабочего места гуглили, как скачать большие объемы данных через USB-порт и прочее. Ведь всего этого можно было довольно просто избежать.

Вот посмотрите, как построен европейский GDPR**, это огромный регламент, в разы по объему превышающий наш закон «О персональных данных». Но при этом в нем нет статьи с техническими требованиями, которые обязан выполнять любой оператор ПД. Организации защищают персональные данные так, как считают нужным. Но если у них произошла утечка, и они попытаются ее скрыть, то их сначала оштрафуют на 2% годового оборота или на 10 млн евро за сокрытие факта, а потом на 20 млн евро или на 4% годового оборота за непринятие надлежащих мер.

RSpectr: Существуют различные типы данных, но понятийный аппарат не закреплен законодательно. Что делать?

М. Е.:
Нужно создавать сильные рабочие группы из крупных экспертов, которые бы получали финансирование за свою деятельность.

Данные – это новая область для российского права. И даже юристы часто не всегда хорошо различают понятия больших и персональных данных.

RSpectr: Как Вы относитесь к инициативам по легализации торговли «деперсонифицированными» данными?


М. Е.: Дело в том, что деперсонифицированные данные не должны соотноситься ни с одним субъектом. Чем они ценны для коммерсанта? Они нужны, например, банку, чтобы осуществить андеррайтинг, рассчитать проценты по кредиту, по вкладу, посмотреть, в каких регионах какие категории населения кредитоспособны, каков массовый денежный объем, который можно получить на вклады и депозиты. Но это не та статистика, которая продается. Наиболее ценны данные, которые собираются о человеке в интернете. Их также называют деперсонифицированными, но на самом деле такая информация относится к конкретному физическому лицу. Я считаю, что надо гораздо строже наказывать за такую торговлю, а не легализовывать.

Ряд общественных организаций предлагает даже доплачивать деньги за то, что человек предоставляет свои данные бизнесу. Но надо понимать, что как только субъект дает согласие на продажу его ПД третьим лицам, он теряет над ними контроль. И когда человек увидит катастрофические последствия его решения, он уже повлиять ни на что не сможет. У него не получится отозвать свое согласие, потому что данные будут «гулять» по рынку от одного оператора к другому и остановить это движение будет уже невозможно.

RSpectr: В настоящее время активно внедряются системы распознавания лиц – разных видов и целей. Как такие системы биометрической идентификации согласуются с нынешним законодательством о ПД?

М. Е.:
Никак не согласуются. Создание таких систем идентификации в настоящий момент полностью незаконно. По одной простой причине. Да, действительно в ФЗ «О персональных данных» указано, когда обработка биометрических ПД может вестись без согласия субъекта, – в случаях, предусмотренных законодательством об обороне, о безопасности, о противодействии терроризму, о противодействии коррупции, об оперативно-разыскной деятельности и так далее. Но ни в одном из этих документов нет ни одного слова про биометрические данные.

Значит, исходя из того, как строится правовая система РФ, сначала в соответствующие законы надо внести изменения. Определить: кто устанавливает правила, как хранить и использовать эти данные. И только после этого создавать системы распознавания лиц.

То, что видеокамеры ставятся в городе, в автобусах, на дверях подъездов в огромном количестве – находится в рамках правового поля. Но как только вы эту систему видеонаблюдения сопрягаете с базой изображений лиц, даже с благими намерениями борьбы с преступностью, – это становится нарушением закона «О персональных данных».

Евросоюз сейчас временно запретил развитие систем распознавания лиц. Аналогичный закон принят в Калифорнии (США), потому что это действительно уже стало большой проблемой.

RSpectr: Повсеместная цифровизация и защита ПД – как это сочетается между собой и не является ли утопией сохранение конфиденциальной информации в условиях тотального проникновения IT-технологий?

М. Е.:
С одной стороны, данные используются все больше и остановить это нельзя. И вот тут как раз государство должно ввести четкие правила регулирования их оборота. С другой – мы должны понимать, что незаконное использование этих данных во вред субъекту, даже с целью таргетирования рекламы, должно пресекаться и влечь очень серьезную ответственность.

Естественно, что часть конфиденциальности мы уже утратили, будем терять ее и дальше. Придется этим жертвовать, если мы хотим пользоваться современными услугами и различными удобными сервисами, тем более бесплатно (поисковик, электронная почта и т. д.). Но тут должен появиться некий барьер, за который оператору заступать нельзя под угрозой серьезного штрафа, который приведет к прекращению экономической деятельности компании.

Кроме того,

ГОСУДАРСТВУ НУЖНО ЗАНИМАТЬСЯ СОЦИАЛЬНОЙ РЕКЛАМОЙ И РАЗЪЯСНЯТЬ ГРАЖДАНАМ, С КАКИМИ ОПАСНОСТЯМИ ОНИ МОГУТ СТОЛКНУТЬСЯ, НЕ СЛЕДУЯ ОСНОВАМ ЦИФРОВОЙ ГРАМОТНОСТИ

Например, как противодействовать мошенникам, которые применяют методы социальной инженерии для кражи денег со счетов. Нужно объяснять людям очень многое. Я понимаю, что реклама на федеральных телеканалах стоит больших денег, но такая разъяснительная работа является обязанностью государства.



* Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.

** GDPR – General Data Protection Regulation – Общий регламент по защите персональных данных, вступил в силу 25.05.2018 в Европейском Союзе.

31 января 2020 г.

День открытых дверей в Роскомнадзоре

28 января, в Международный день защиты персональных данных, Роскомнадзор провел традиционный трехчасовой семинар в рамках дня открытых дверей. Регистрация на него закончилась через полтора дня после открытия, зал ситуационного центра был заполнен, даже дополнительные стулья принесли.
Семинар открыла заместитель руководителя ведомства А.А. Приезжева (главная тема – гармонизация российского законодательства с новой редакцией Конвенции ETS-108), затем начальник управления защиты прав субъектов персональных данных Ю.Е. Контемиров подвел итоги надзорной деятельности за 2019 год. Проверок проведено на 11 больше, чем в 2018 году (989), а вот предписаний выдано больше на 31 (799), протоколов о нарушениях составлено нa 15% меньше, чем в прошлом году (5437). Как я понимаю, большая их часть – по статье 19.7 КоАП и связана с уведомлениями. Ведомство оценивает это в целом как рост результативности проверок с 80% до 84%. Повысилась и результативность мероприятий систематического наблюдения. В ходе их проведения выявлено 611 случаев нарушения обязательных требований, то есть примерно в каждом третьем мероприятии (всего их было 2103).
По статье 13.11 КоАП составлено 215 протоколов, что привело к назначению штрафов на один с небольшим миллион рублей. Количество протоколов выросло по сравнению с прошлым годом тоже на треть. Распределение штрафов по разным частям статьи 13.11 - на диаграмме.
Заметно (на 22,4%) выросло число обращений граждан, до 50 тысяч за год. Жалуются, как обычно, в основном на сайты и банки (по 23%). Число подтвержденных при проверке неправомерных действий операторов выросло до рекордных 7,2%, так что жалуются граждане, в основном, зря.
За год Роскомнадзор подал 41 исковое заявление о блокировке сайтов за нарушения законодательства о персональных данных, в Реестре нарушителей уже 3395 сайтов.
Требования о локализации баз персональных данных выполняют 99% проверенных операторов.
Заместитель начальника управления А.Х. Гафурова рассказала о работе с обращениями граждан более подробно, в этом направлении без существенных перемен.
Далее Ю.Е. Контемиров остановился на организации проверок. Из важного и неожиданного: трехлетний интервал между проверками территориально обособленных подразделений (в разных субъекта Федерации) исчисляется отдельно по каждому подразделению. Не очень понятна идея – проверяться ведь должен оператор-юрлицо. Еще раз напомнил, что проверок по персональным данным в планах проверок нет, их надо смотреть в планах деятельности территориальных органов.
Для общего сведения: неразмещение планов на сайте, проведение проверок в иные сроки, чем указано на сайте, отсутствие согласования планов с прокуратурой, несвоевременное вручение акта проверки или отсутствие записи в журнале учета проверок – не основания для отмены их результатов.
А вот непредставление акта проверки оператору, проведение внеплановой проверки по исполнению ранее выданного предписания по вопросам, в предписании не отраженным, влекут отмену результатов.
В ходе проверки консультации не оказываются, пояснения причин квалификации нарушения не предоставляются, акт проверки оператор увидит только после его подписания членами комиссии, контрольные сроки исполнения предписания не меняются ни в каких случаях.
Еще из интересного – сведения о заемщике и поручителе по кредиту должны указываться на разных носителях (листах бумаги), потому как цели их обработки заведомо несовместимы. Мне всегда казалось, что цель здесь всегда одна – принятие решения банком о предоставлении кредита. Видимо, был не прав.
Или вот такое нарушение – использование для обработки персональных данных работников госучреждения, не являющихся госслужащими, формы № 6676-р, в которой сведений больше, чем предусмотрено трудовым законодательством.
Рассказал Контемиров и о создающихся центрах компетенции территориальных управлений Роскомнадзора в федеральных округах и рабочих группах при них, которые будут глубоко разбираться с конкретными вопросами и готовить по ним методические материалы. Пригласил желающих поучаствовать в их работе.
Наиболее интересные ответы надзорного ведомства на вопросы операторов.
Место нахождения баз данных надо указывать точно, по фактическому адресу, как это сделать для облаков – не раскрывалось.
Часть 4 статьи 9 про одну цель и одного обработчика будет меняться. Можно будет давать дополнительное согласие на обработку персональных данных в целях, не указанных при их сборе. А вот обязательное согласие субъекта на поручение обработки его данных останется в законе.
Обработка файлов cookie на сайте с использованием метрических служб (Яндекс Метрика, Google Analytics) – это обработка персональных данных и  должна сопровождаться получением согласия посетителей на это (баннер), размещением информации о том, как это делается (Политика в отношении файлов cookie) и локализацией собираемых и обрабатываемых данных на территории России.
Не всякий источник общедоступных данных – общедоступный источник (без комментариев).
Обезличивать персональные данные оператор по своему усмотрению не может, нужны основания в нормативном правом акте (без комментариев), хэширование – не обезличивание вообще, и поэтому на передачу хэшированных данных иному лицу нужно согласие субъекта.
Скорингом могут заниматься только бюро кредитных историй и использовать для этого только информацию, которой они располагают в силу закона (намек на незаконность использования данных из социальных сетей).
На хранение в личных делах работников копий документов (паспортов, свидетельств о рождении и браке и пр.) нужно согласие работников, если оператор не может доказать, что эти копии нужны для исполнения требований закона.
Аренда серверов и стоек, перенос данных в ЦОДы и облака, передача документов с персональными данными на хранение иному лицу – поручение обработки персональных данных, договор должен соответствовать части 3 статьи 6 закона 152-ФЗ.
Отправка электронного письма с персональными данными адресату в другую страну – трансграничная передача, для этого нужны законные основания.
В качестве лица, ответственного за организацию обработки персональных данных, можно привлекать юридическое лицо и физическое лицо, не являющееся работником оператора.
Согласия на обработку персональных данных, полученные в письменной форме, можно отсканировать и хранить в электронной форме, а подлинники уничтожить с целью облегчения процесса хранения (не советую, в суде будет сложно, если что).
Если персональные данные без использования средств автоматизации обрабатывают работники иной организации, таких работников тоже надо знать и уведомить о такой обработке (ПП-687), но это может сделать и их работодатель.
Самое важное, наверное, все. Быстро, бодро, предельно кратко.

1 января 2020 г.

С наступившим високосным 2020!

Уважаемые зашедшие на огонек читатели!
С наступившим 2020 годом вас!
Пусть високосный год будем позитивным и богатым на положительные эмоции.
Счастья, мира и понимания в семьях.
Новых вершин и прорывов в бизнесе, новых идей и их успешной их реализации.
Понимающих и готовых помочь друзей, компетентных коллег и заказчиков, которые нацелены на результат и современные сервисы.
Новых путешествий и новых личных открытий по всему миру, он близок и доступен, как никогда.
Здоровья на все, что задумано и делается!
И пусть удача, без которой мало что происходит, весь год будет с вами.

3 декабря 2019 г.

Новый закон: штрафы за невыполнение требований по обработке информации в Интернете


Вчера, 2 декабря, Президент РФ подписал закон № 405-ФЗ, вводящий миллионные штрафы за нарушения, так или иначе связанные с обработкой информации в Интернете.
Самые широко и громко обсуждаемые нововведения –штраф в размере до 6 млн за невыполнение требований о локализации персональных данных в период их сбора и штраф до 18 млн – за рецидив этого нарушения (максимальные суммы штрафов – для юридических лиц, конечно).
Сразу посыпались комментарии – теперь за хранение персональных данных за рубежом будут нещадно карать, конец всем облакам и прочим SaaS.
Давайте разбираться. Начнем с того, что такого запрета в законе нет. В части 5 статьи 18 закона 152-ФЗ, действующей с 1 сентября 2015 года, написано совсем другое: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».
Итак, речь идет исключительно о периоде сбора персональных данных, ограничения накладываются на 9 из 18 способов обработки, приведенных в п.3 ст.3 закона 152-ФЗ, и не затрагивают, например, использование персональных данных. А дальше читаем многочисленные разъяснения регулятора (страница «Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года» на официальном сайте Минкомсвязи) и надзорного органа («Комментарий к Федеральному закону от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», сайт http://pd-info.ru/).
В качестве квинтэссенции всех этих разъяснений – цитата с сайта Минкомсвязи: «Таким образом, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных. Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр.».
Нововведения, как представляется, направлены в первую очередь на иностранные компании, которые отказываются локализовывать собираемые данные россиян в базах на территории России, но активно работают с ними (в первую очередь – такие, как Facebook и Twitter). Механизм блокировок показал свою неэффективность, ищутся другие пути воздействия. Правда, как взыскивать штраф с таких компаний, тоже непонятно. Похоже, Facebook, в отличие от Twitter, 3 тысячи рублей штрафа за непредставление сведений (ст.19.7 КоАП) так и не оплатил, так что надежд на получение миллионов тоже не много.
Помимо дополнения статьи 13.11 КоАП про локализацию частями 8 и 9, новый закон содержит еще целый ряд дополняющих Кодекс об административных правонарушениях положений.
Штрафы в сотни тысяч и миллионы рублей введены за повторные нарушения, допущенные организаторами распространения информации в Интернете (ст.13.31 КоАП, три состава рецидивов), владельцами аудиовизуальных сервисов (ст.ст. 13.35, 13.36 и 13.37 КоАП, три состава рецидивов), организаторами сервиса обмена мгновенными сообщениями (мессенджеров) (ст.13.39 КоАП), оператором поисковой системы (ст.13.40 КоАП, три состава рецидивов).
Ждем практику правоприменения новых видов ответственности.

26 ноября 2019 г.

Что было интересного на X Международной конференции Роскомнадзора. Часть 1


Как и обещал, публикую пост про прошедшую недавно X юбилейную Международную конференцию «Защита персональных данных».
С одной стороны, мероприятие прошло практически в том же формате, что и предыдущие – приветствия, пленарка, две панели с фиксированными выступлениями, свободный микрофон с регуляторами. Из нового – два выступления, заявленные в формате TED, мое и Евгения Калинина из DPO Сбербанка.
Ряд интересных моментов отметил для себя в вступлении Роскомнадзора А. Жарова. От 19% до 34% роста ВВП в России к 2025 году обеспечит таргетирование предложений конкретным пользователям, что в денежном выражении составит 4,1–8,9 трлн руб (данные McKinsey). Вот и ответ о причинах утечек персональных данных, большом желании заняться парсингом в соцсетях и прочем. Глобальный рынок больших данных в 2020 году в мире составит $70 млрд. В выступлении Жарова и последующих выступлениях (и моем тоже, грешен) достаточно много говорилось о государственном регулировании оборота больших и персональных данных, обеспечении интересов государства, бизнеса и субъектов, но дискуссий и столкновений мнений формат конференции не предполагал, кроме как заочных, что не позволило сделать обсуждение этих действительно крайне важных вопросов интересным и полезным.
Роскомнадзор пообещал в следующем году подготовить предложения по законодательной регламентации внутреннего контроля за обработкой персональных данных и установлении административной ответственности за распространение, приобретение и последующее использование персональных данных, полученных преступным путем. Инициативы интересные, но, на мой взгляд, сложно реализуемые. Регламентация внутреннего контроля возможна только в больших компаниях, в СМБ ей заниматься попросту некому (вспомним квалификацию лиц, ответственных за обработку в этом сегменте). А ответственность за использование ворованных баз данных без какой-либо ответственности за утечки выглядит странной. Кроме того, надо будет доказывать наличие злого умысла при покупке и заведомую известность покупателю факта незаконного получения данных продавцом. Это как вводить ответственность за покупку на рынке краденой картошки или мяса.
А вот предложение Эдгарса Пузо из Ассоциации европейского бизнеса об исключения из закона согласия субъекта на поручение обработки его данных третьему лицу поддерживаю на 146%. Во-первых, и так ответственность перед субъектом в любом случае несет оператор, а, во-вторых, учитывая позицию Роскомнадзора, что любое размещение ИСПДн в дата-центре или облаке – это поручение обработки, законный перенос систем в облако становится практически невозможным, поскольку получить согласие всех cубъектов, чьи данные находятся, например, в переносимой CRM-системе, просто технически невозможно. Даже с системами кадрового учета, где необходимо получение согласия экономически зависимых работников, возникают проблемы с их получением, что же говорить про остальные. Возможно, надо все-таки внимательнее посмотреть на идеологию GDPR и институт «законного интереса» оператора (контролера). GDPR к согласиям работников, кстати, относится, мягко говоря, прохладно именно ввиду их зависимости от работодателя.
Был очень интересный и поучительный обзор по штрафам по GDPR и утечкам за 2019 год от Кристины Боровиковой из KPMG, но вот перевод штрафов в рубли мне лично только мешал, приходилось пересчитывать обратно.
В выступлении Андрея Слепова, партнера «БАЙТЕН БУРКХАРДТ», прозвучала очень интересная, но спорная мысль, о необходимости получения согласия лица, ответственного в компании за организацию обработки персональных данных, на размещение его персональных данных в общедоступном источнике – Реестре операторов Роскомнадзора. Уже после выступления в дискуссии он ссылался на общие и специальные нормы, а я – на п.11 части 1 ст.6 152-ФЗ.
О своем выступлении «Персональные данные в цифровой экономике: газ или тормоз?» постараюсь написать отдельно, поскольку формат TED выступления не предполагает использования детальной презентации с раскладыванием «по полочкам».
На секции, которую меня пригласили вести, выступающие проявили просто фантастическую дисциплину, не вылезая за временные границы, что позволило даже задать им несколько вопросов. Один из главных вопросов, который у меня был, получил однозначный ответ уже в выступлении Дмитрия Шевцова, начальника 2 Управления ФСТЭК России. Он подтвердил возможность иных способов оценки соответствия средств защиты информации в ИСПДн, этот вопрос я задавал в прошлом году и Елене Торбенко из ФСТЭК. Для наглядности привожу слайд из презентации Д. Шевцова:
Один из главных, потому что нам с нашими заказчиками часто приходится спорить с интеграторами, которые предлагают выбросить все несертифицированные СЗИ и поставить на несколько миллионов (а иногда и десятков миллионов) «правильных» средств защиты, категорически не соглашаясь ввязываться в оценку путем проведения испытаний и приемки, и в обоснование компенсирующих мер в соответствии с Методическим документом ФСТЭК России от 11.02.2014 «Меры защиты информации в государственных информационных системах». Интеграторов, конечно, понять можно, но заказчиков подталкивать к бессмысленным тратам как-то нехорошо.
Интересно, хотя и очень сжато (10 минут!) А.М. Сычев, Первый заместитель директора Департамента информационной безопасности Банка России, рассказал о том, как видит Центробанк противодействие социальной инженерии, на которую в 2018 году приходится 97% несанкционированных операций, совершенных с использованием платежных карт, а объем украденных средств клиентов составил 1,3 млрд рублей. Попутно он не согласился со мной, что основная часть «социальных инженеров» работает в объединенном колл-центре колоний и спецпоселений, высказав мысль, что желающих легко заработать много и в других местах.
Проблема действительно серьезная, согласен с Артемом Михайловичем, что нужны и законодательные меры, и повышение осведомленности клиентов, и работа банков. Я предложил задействовать социальную рекламу на телевидении, как наиболее действенную для самой пострадавшей категории –пожилых людей. Захлестнувшая страну этой осенью волна телефонных мошенничеств, изощренность и информированность мошенников требует самой незамедлительной ответной реакции, и думать об этом надо не только Банку России, а государству в целом. В том числе изыскать деньги для информирования населения о проблеме.  
Александр Савельев из Высшей школы экономики выступил с очень интересной мыслью о законодательном введении такого частноправового механизма защиты прав субъектов, как компенсация, основанием для взыскания которой является доказанный факт нарушения законодательства, безотносительно последствий этого нарушения для субъекта, размер которой назначается судом с учетом конкретных обстоятельств и может варьироваться от 10 тысяч до 5 млн. рублей по аналогии с тем, как это сейчас предусмотрено ГК РФ для случаев нарушения исключительных прав на результаты интеллектуальной деятельности.
Об интересном на традиционном Круглом столе «Свободный микрофон с регуляторами», который я вел, и в котором приняли участие Ю.Е.Контемиров (Роскомнадзор), представители Минкомсвязи, ФСБ, ФСТЭК, Банка России, Совета Европы и Евросоюза,расскажу в отдельном посте. Надеюсь, скоро.