24 октября 2013 г.

Слушания в Совете Федерации по изменениям в 152-ФЗ

Сегодня под председательством спикера Совета Федерации В.И. Матвиенко, с участием сенатора Р. Гаттарова, депутата Д. Вяткина, министра Н. Никифорова, представителей ФСБ, операторов связи и экспертного сообщества (кого признал в зале) прошли парламентские слушания «Законодательное обеспечение прав субъектов персональных данных при их автоматизированной обработке». Слушания – заключительный этап стараний рабочий группы, созданной по инициативе Р. Гаттарова, которая готовила предложения по изменению закона.
Редкий случай, когда участием в работе госоргана и, главное, результатом, я удовлетворен полностью.
Итак, Совфед обещал не позднее 1 декабря этого года инициировать законопроект о внесении изменений в Федеральный закон 152-ФЗ «О персональных данных».
Отметив неоднозначность формулировок действующего закона и избыточность некоторых требований к операторам, стремясь к достижению баланса между техническими требованиями и ответственностью оператора за утечки данных граждан, предлагается перекосы устранить и внести правки, которые можно разбить на шесть групп. Положения нового законопроекта кратко излагаю с моими комментариями, которые я высказал на слушаниях.
1.   Ввести понятие субоператора (сейчас это лицо, осуществляющее обработку персданных по поручению оператора) и, главное, отказаться от требования обязательного согласия субъекта на поручение обработки персональных данных субоператору, сохранив ответственность оператора перед субъектом и ограничив возможность обработки субоператором целями и условиями, установленными оператором. Здорово.
2.   Наконец-то прямо написать, что конфиденциальность не требуется в отношении персональных данных, сделанных общедоступными субъектом, обезличенных, подлежащих опубликованию или обязательному раскрытию. Общедоступность персональных данных лица, ответственного за их обработку у оператора, ликвидировать как класс.
3.   Прямо предусмотреть возможность получения согласия субъекта на обработку персональных данных дистанционно, путем использования электронных средств (т.е., например, через веб-форму на интернет-сайте), которые позволяют оператору в согласии (например, путем простановки галочки). Учитывая практику правоприменения и постоянные попытки смешать требования 152-ФЗ и ст.159 Уголовного кодекса, я предложил дополнить часть 1 ст.9 словами «Ответственность за правомерность и достоверность дистанционно предоставляемых персональных данных лежит на субъекте, их предоставивших» (или чем-то аналогичным).
4.   Наконец-то связать биометрию с возможностью автоматической идентификации и считать биометрическими только те персональные данные, которые оператором для автоматической идентификации используются. Я ранее предлагал более радикальную формулировку, но подойдет и эта. Единственное, предложил убрать из определения «поведенческие характеристики», опять-таки исходя из практики правоприменения – мы до этого еще не доросли, а лишние слова в законе порождают лишние проблемы.
5.   В законе предлагается описать порядок обработки персональных данных иностранных граждан, собранных за пределами России, и регулировать эти вопросы законодательством государств, где такие данные собираются. Все правильно, но мало. Надо прямо указать, что при трансграничной передаче персональных данных на территорию иностранных государств требования по их защите определяются законодательством соответствующего государства. Это могло бы решить две основные проблемы, существующие сегодня: хостинг ИСПДн в зарубежных дата-центрах и передачу персданных в головные (или специально определенные) офисы иностранных и транснациональных компаний, работающих на территории России, в том числе от «дочек» зарубежных банков, страховых компаний, промышленных предприятий и т.д.
6.   Самое радикальное, на мой взгляд. Просто процитирую законопроект. «Состав и содержание установленных Правительством Российской Федерации требований по обеспечению безопасности персональных данных при их обработке операторами для целей предоставления государственных и муниципальных услуг или исполнения иных государственных и муниципальных функций устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий». Соответственно, контроль и надзор за соблюдением этих мер со стороны ФСБ и ФСТЭК возможен только в отношении указанных операторов. И никаких наделений полномочиями в отношении частных компаний. Все остальные (не-госы) защищают данные по международным, российским или собственным стандартам. Естественно, ФСБ и примкнувший к ней Роскомнадзор не согласны, поэтому шансов на прохождение таких формулировок мало. Но можно пожить с надеждой, подержать кулачки и скрестить пальцы.
Есть еще ряд предложений, на мой взгляд, закон только улучшающих. Я предложил добавить в закон определения утечки персональных данных и их неправомерного использования.
Проект поддержан практически всеми участниками процесса его создания и обсуждения, за исключением указанных выше. Есть воля вносить изменения в комплексе: с ужесточением ответственности за нарушения операторами требований закона и расширением состава административных правонарушений, передачей полномочий по возбуждению административных дел от прокуратуры Роскомнадзору, увеличением сроков привлечения к ответственности, полной отменой плановых проверок и наделением Роскомнадзора полномочиями по проведению внеплановых по обращениям и жалобам субъектов.
В.И. Матвиенко пообещала, что такие слушания станут не разовой акцией, а системой. Тем временем Межведомственный экспертный совет Минсвязи готовит свои предложения, а Н. Никифоров по просьбе Матвиенко будет готовить почву в Правительстве для правильного восприятия инициативы. 

16 комментариев:

  1. Я бы не согласился кое с чем.
    1. В законе очень нечётко определено, что такое обезличенные данные. Поэтому, чтобы устанавливать отдельные требования для обезличенности (они, в общем-то, и так установлены), необходимо более точно её определить.
    Так, сейчас Роскомнадзор считает, что фактически любые ПДн являются обезличенными. И, тут же, если им хочется, они будут считать и наоборот - всё зависит от их желания.
    2. С биометрической идентификацией вы, как всегда, лоббируете интересы операторов ИСПДн, забывая интересы субъектов ПДн.
    Аналогично и про трансграничную передачу.
    Т.к. ваше предложение полностью сводит на нет все нормы охраны ПДн.
    3. ФСБ и ФСТЭК сейчас, вроде бы, и так не могут контролировать частные компании. Насколько я помню,это в законе уже с прошлого года есть.
    Или я что-то путаю?

    Фактически, из того, что вы сказали, очень важен только пункт про субоператора, который действительно нужен и без него просто дебилизм получается.

    ОтветитьУдалить
  2. 1. В законе вообще не определено, что такое обезличенные данные. Там есть процедура обезличивания. Если и так установлены - зачем определять? Роскомнадзор так совсем не считает. Откуда вы это взяли?
    2. В чем здесь интересы субъектов? И как я их ущемляю своими предложениями, как обычно? И что конкретно сводит на нет нормы охраны? И что это за нормы?
    3. Не могут, но могут получить полномочия. Новый проект такой возможности не содержит. Нет инцидентов - нет надзора.
    Я про дебилизм не понимаю. Закон работает, хорошо или плохо - это вопрос. Дебилов не встречал.


    ОтветитьУдалить
  3. 1.
    > Роскомнадзор так совсем не считает.

    Роскомнадзор считает обезличенными практически любые данные, где не указаны место жительства субъекта ПДн. Скажем так, когда ему это удобно, он так считает. Знаю я это из переписки с Роскомнадзором по поводу нарушений прав субъектов ПДн. Там, фактически, два уголовных преступления, а для Роскомнадзора - всё нормально.

    2. Интересы субъектов в том, что
    Любая информация, которая может быть использована в качестве биометрической должна быть более конфиденциальной, так же, как и пароли, например. Вне зависимости от того, что делает с ней оператор. И разрешение на её обработку вполне логично должно быть отдельно.
    В противном случае, вообще не понятно, зачем отдельно определять биометрическую информацию. Чем она так хороша.

    Интересы субъектов ПДн при трансграничной передаче в том, чтобы они чётко и ясно знали, что их ПДн защищены однообразно по российским законам и нормам и могли бы защищать свои права по этим законам, а не разбираться в законах, разработанных где-нибудь в Пуэрто-Рико. Если вообще в той стране, где будут сервера, будут такие законы.

    3.
    > Не могут, но могут получить полномочия.
    Не очень понял, какие полномочия они могут получить и в каких случаях.

    Ну не знаю, как он у вас работает, а, например, при смене подрядчиков, фактически, оператор должен получать разрешения заново на новых уполномоченных лиц.
    Особенно забавно, если раньше оператор ИСПДн делал что-то сам, а теперь хочет это отдать другой фирме.
    А разрешений нет и годами их всё равно никто не получает.

    ОтветитьУдалить
    Ответы
    1. 1. Я такую позицию РКН не знаю и ни разу с ней с сталкивался, ни общаясь, ни читая материалы проверок. А общаюсь я постоянно. Вы пишите о каком-то конкретном случае, я его не знаю, поэтому комментировать не могу.
      2. Что значит "может быть использована в качестве биометической"? Данные или биометрические, или нет. Про биометрию масса стнадртов, в том числе международных, и все они жестко связывают понятие биометрии с автоматической идентификацией. И согласие на ее оброаотку нкто не отменяет. надо лишь уточнить определение, чтобы под него не валили сканы паспортов, например. И где вы видели особые требования для паролей, кроме внутренних документов организации?
      Евроконвеция и последующие документы принималась для того, чтобы облегчить передачу ПДн в страны с адекватным законодательством. а не чтобы ограничить. А Пуэрто-Рико - вообще не совсем государство и к адекватным не отнесено.
      3. ФСБ и ФСТЭК по закону сейчас могут получить полномочия по проверке технической защиты в негосударственных ИСПДн.
      А получение при смене подрядчиков - дикая глупость, и ее надо отменять.

      Удалить
    2. 1. Вы не сталкивались, насколько я понимаю, потому что работаете на стороне операторов.
      Естественно, при проверках, эта позиция им не выгодна.
      Вот и получается, что они пользуются неоднозначной формулировкой в законе для того, чтобы стричь обе стороны.

      2. "Данные или биометрические, или нет"

      Изображение гражданина может быть использовано в качестве биометрической информации, так же, как и записи его голоса, а может быть и не использовано.
      Если изображение гражданина не используется в качестве биометрии, это не значит, что оно не может быть использовано для этого. Стандартны здесь совершенно не при чём, т.к. они лишь упрощают и систематизируют представление данных, однако не исключают возможности проведения идентификации по нестандартным данным.


      > И где вы видели особые требования для паролей, кроме внутренних документов организации?

      Пароли я привёл например. Иллюстрируя важность биометрии. А вообще, не мешало бы особые требования для аутентификационной информации вводить.

      > чтобы облегчить передачу ПДн в страны с адекватным законодательством. а не чтобы ограничить.
      Здесь есть два возражения:
      1) Вы не указали, что речь идёт о транграничной передаче в страны, присоединившиеся к конвенции. А это очень важно.
      2) Субъекту ПДн при защите своих прав придётся изучать законодательство других стран.
      3) Субъект ПДн в таком случае должен быть уведомлен о том, в какой именно стране и под какой юрисдикцией будут хранится данные, иначе он теряет возможность вообще понять, куда эти данные передаются и под какую юрисдикцию подпадают.

      Под полномочиями ФСБ и ФСТЭК вы имеете в виду вот это:
      "решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер"?

      А вы могли бы проиллюстрировать, чем эта норма так нехороша. На мой взгляд она призвана защищать субъектов ПДн в отдельных ИСПДн, установленных решениями правительства. В общем-то, логично.

      > А получение при смене подрядчиков - дикая глупость, и ее надо отменять.

      Дикая глупость в смысле в законе, или вы считаете, что это неверная организация работ?

      Удалить
    3. 1. Сергей, я не могу обсуждать то, что не вижу.
      2. Если данные используются в системах автоматической идентификации - это биометрия. Если - то нет. Микроскопом можно гвозди забивать, это не значит, что он - молоток.
      3.Трансграничка в неадекватные страны возможна и сейчас, но требует согласия субъекта, в адекватные - вопрос в законе замылен, надо прояснять. Что я и написал. А будет ли субъект, давая согласие, изучать законы - его дело.
      4. ФСБ и ФСТЭК должны заниматься тем, что им предписано - государственными вопросами, а не проверять роддома, школы и турфирмы, как сейчас.
      4. Глупость в законе. Для НПФ и операторов связи ее уже исправили, а надо бы всем.

      Удалить
    4. > Микроскопом можно гвозди забивать, это не значит, что он - молоток.

      Опять же, не соглашусь. Смысл отделения биометрической информации от иных ПДн заключается, как мне кажется, в следующем:
      1. Затруднить возможность утери биометрических данных с целью затруднения возможности скрытной идентификации субъекта ПДн
      2. Затруднить возможность утери биометрических данных с целью затруднения проведения с помощью этих данных аутентификации

      Соответственно, важно не то, как их использует оператор, а то, как эти данные могут быть использованы злоумышленником. Т.е., скажем, любые аудиозаписи голоса могут быть использованы для обхода системы биометрической идентификации, особенно, если система требует произнесения одной и той же кодовой фразы или имеет небольшой и известный набор проверяемых признаков голоса.
      Таким образом, аудиозаписи, по существу, являются биометрическими и при их утере могут нанести вред субъекту ПДн вне зависимости от того, используются ли эти записи как биометрические оператором ИСПДн. Причём утрата может быть использована злоумышленником в обоих целях (аутентификация, скрытная идентификация)

      Аналогично, некоторые изображения гражданина, вне зависимости от того, соответствуют ли они стандартам, могут быть использованы как минимум для идентификации субъекта ПДн без его ведома.

      > А будет ли субъект, давая согласие, изучать законы - его дело

      Опять же, не думаете о субъекте. Получается, что согласие своё он будет давать вынуждено и формально.
      По хорошему, трансграничную передачу с согласия субъекта вообще надо запрещать, исключая случаи, когда отсутствие такой передачи исключает оказание услуги в принципе. Не должны данные утекать за пределы страны, если это не нужно самому субъекту.


      > ФСБ и ФСТЭК должны заниматься тем, что им предписано - государственными вопросами, а не проверять роддома, школы и турфирмы, как сейчас.

      А что, есть решение Правительства РФ, чтобы ФСБ проверяло частные турфирмы?
      Вообще говоря, насколько я понимаю, речь в законе идёт о даче им полномочий на крупные ИСПДн, такие как, например, БД операторов связи. Не думаю, что правительство будет принимать решения на то, чтобы проверить турфирму.
      Или мы о разном говорим? Поясните пожалуйста, я привёл отрывок из закона, это тот отрывок?


      > Глупость в законе.

      Вот и я писал про эту глупость, когда говорил про "дебилизм" :)
      Но чиновники что-то никак не допрут, что если неудобно одним видам бизнеса, то может быть неудобно и другим.

      Удалить
  4. Ага, намеренно разместил в социальной сети недостоверные персональные данные и меня привлекают по ст.159 Уголовного кодекса. Разве это справедливо?

    ОтветитьУдалить
  5. @ser-storchak Кто намеренно разместил и кого привлекут? Ничего не понял :-)

    ОтветитьУдалить
    Ответы
    1. Пример: я регистрируюсь в соц.сети и специально ввожу свою фамилию с ошибкой либо вовсе другую. Данные о себе я предоставил не достоверные, значит меня могут привлечь по ст.159 Уголовного кодекса. Так получается?

      Удалить
    2. Нет, конечно, совсем не так. Ст.159 предполагает наличия преступного умысла, вины и много чего другого. Она должна применяться тогда, когда кто-то умышленно вводит данные с целью неправомерных действий, нанесения вреда, причинения ущерба и т.д.

      Удалить
    3. Мы же знаем, что российский суд - самый гуманный суд в мире, поэтому будем надеяться, что мои опасения не подтвердятся =)

      Удалить
    4. Интересно, а что имелось в виду под практикой применения статьи 159 УК РФ в этом отношении?

      Какой там умысел и нанесённый вред от оператора ИСПДн вменяется?

      Удалить
  6. На данный момент ФЗ РФ № 152 не содержит подробного порядка обработки ПДн при их трансграничной передаче на территории иностранных государств. Как не нарушить ФЗ РФ № 152 юридическим лицам, которые обрабатывают ПДн своих клиентов и партнеров в данный момент, до принятия законопроекта 1 декабря 2013 года?
    К примеру:
    Компания осуществляет обработку ПДн своих российских пользователей веб-сайта, который расположен в облачном дата-центре Amazon Web Services. Юридическое лицо Amazon Web Services зарегистрировано в США, а все его оборудование, используемое в этом проекте, размещено в Ирландии.
    Пользователи регистрируются на сайте компании, предоставляя свои персональные данные (№ моб. телефона, ФИО, дата рождения, фотография). При регистрации на сайте они соглашаются с правилами пользования, и тем самым выражают своё сознательное согласие на предоставление, обработку и использование компанией их персональных данных.

    ОтветитьУдалить
    Ответы
    1. Вопросов много, поскольку США - страна с неадекватной зашитой, подтвердить местонахождение серверов сложно, на трансгричку в неадекватную страну должно быть письменное согласие, не галочка в веб-форме. В Вашем варианте не ясен вопрос защиты открытого канала в интернет, ну и т.д. Это огромная тема, не для коммента на блоге. Минимум - для большого поста.

      Удалить
    2. И все же, в соответствии с ФЗ РФ № 152 на сегодня, в чьем правовом поле будет осуществляться обработка персональных данных в дата-центре – Ирландии, как места нахождения серверов, или США, как страны нахождения юридического лица Amazon Web Services?

      Удалить