20 ноября 2018 г.

IX международная конференция Роскомнадзора: самое интересное. Часть 2


Как обещал, продолжение про IX международную конференцию Роскомнадзора. Часть 1 здесь.
В заключение по традиции проходил круглый стол «Свободный микрофон с регуляторами» - мероприятие, на котором предоставляется редкая возможность задать вопрос представителям всех надзорных органов. К представителям Роскомнадзора (Ю. Контемиров), ФСБ России (А. Бодров), ФСТЭК России (Е. Торбенко) присоединился А. Сычев из Центробанка.
К сожалению, на Круглый стол не пришли представители Минкомсвязи России, а министерство все-таки, как указано в Положении о нем, – федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных. Вопросов к уполномоченному органу было много, особенно в связи с реализацией программы «Цифровая экономика» и многочисленными законодательными инициативами в области персональных и больших пользовательских данных. Ответы на них получить не удалось.
По приглашению Роскомнадзора модерировал круглый стол я и заранее готовил и собирал вопросы для регуляторов, но получил их немного. Вопросов, в том числе из зала, было много, традиционно больше всего – к Роскомнадзору, но и остальные участники вниманием не были обделены.
Как и обещал, пишу, на мой взгляд, о наиболее интересном или на что стоит обратить внимание. Курсивом – мои комментарии к некоторым ответам.
Ю. Контемиров (Роскомнадзор). 
Роскомнадзор надзирает за законодательством о персональных данных в целом, включая нормы других законов, таких, например, как глава 14 Трудового кодекса.
За этот год всеми территориальными управления Роскомнадзора составлено 98 протоколов по административным правонарушениям, квалифицируемым по статье 13.11 КоАП РФ в новой редакции. Для сравнения – по статье19.7 (неуведомление об обработке или неполучение ответа на запрос) протоколов составляется 7 тысяч и более в год.
Законодательство о персональных данных в совокупности с Постановлением Правительства РФ № 687 регулирует любую обработку персональных данных, в том числе неавтоматизированную в полном объеме (мною был приведен пример с вывешиванием списков должников за услуги ЖКХ в подъезде, написанным от руки; этот случай тоже подпадает, поскольку есть алгоритм выявления неплательщиков из общего списка должников).
Дееспособность в отношении персональных данных у их субъекта наступает в 14 лет, и к согласию на обработку персональных данных, подписанному самостоятельно ребенком 14 лет и старше, претензий не будет. Это первое, на мой взгляд, публичное заявление надзорного органа по этому вопросу. Я писал об этом еще два с половиной года назад и высказывал именно эту позицию.
Подписывать согласие на обработку в электронной форме можно любой электронной подписью, предусмотренной законом 63-ФЗ, а не только усиленной квалифицированной, как недавно настаивало Минкомсвязи.
Типовые формы, предусматривающие внесение в них персональных данных (их несоответствие п.7 Постановления № 687 выявляется в последнее время практически при каждой проверке), должны соответствовать требованиям п.7, только если они созданы оператором самостоятельно. На формы, разработанные госорганами и органами управления внебюджетных фондов в рамках их полномочий, эти требования не распространяются (мною были приведены примеры рецепта на лекарство и форм ПФР). Это был самый неожиданный для меня ответ, поскольку в Постановлении № 687 прямо требуется от госорганов привести свою работу в соответствие постановлению в течение месяца, а прошло 10 лет. Но позиция ведомства такова, и она высказана.
Сам по себе (без привязки к конкретному субъекту) номер телефона или госзнак автомобиля – не персональные данные.
А. Сычев (Банк России)
Кредитно-финансовое учреждение может самостоятельно определять, относить ли конкретную информационную систему банка к ИСПДн или нет. Но смысла уклоняться от отнесения к ИСПДн нет, поскольку требования к банковским системам жестче, чем к персональным данным. Ю. Контемиров прокомментировал, что вопросы отнесения или неотнесения к ИСПДн конкретных систем Роскомнадзор не проверяет.
Сроки оснащения подразделений банков системами биометрической идентификации сдвигаться не будут, несмотря на проблемы с приобретением модуля HSM, размещением клиентских программ в App Store и работоспособностью решения «Ключ Ростелеком». Однако топ-менеджментом Банка России высказываются и иные точки зрения на этот процесс (см., например, здесь). Создание ЕБС – это мощный толчок рынку средств ИБ, который должны поддержать заказчики (банки в данном случае).
Подготовлено и передано на регистрацию в Минюст Указание Банка России об осуществлении надзора за соблюдением банками порядка размещения и обновления сведений в Единой биометрической системе. Так что Банк России скоро станет для кредитных финансовых учреждений основным надзорным органом при работе с биометрией. Если учесть наличие Приложения Б, определяющего для банков состав оргмер при обработке персональных данных в ГОСТе Р 57580.1–2017 по безопасности финансовых операций, а также вспомнить письмо Центробанка от 14.03.2014 № 42-Т «Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан», контроль, похоже, будет выходить за пределы использования биометрии. 
А. Бодров (ФСБ) и Е. Торбенко (ФСТЭК)
Модель угроз безопасности действительно законом и НПА по персональным данным не предусмотрена, вместо нее можно составить просто перечень актуальных угроз, но такой подход усложнит жизнь тем, кто должен согласовывать угрозы с регуляторами.
А. Бодров. Разъяснения на сайте ФСБ о необязательности сертификации средств шифрования при массовой передаче данных в сети Интернет не распространяется на персональные данные, поскольку к ним требования об использовании средств защиты, прошедших процедуру оценки соответствия, установлены законом. На мою реплику о том, что в разъяснении исключения не упоминаются, ответ был простым – этого делать и не надо, действует прямая норма закона.  
От ответа на вопрос о необходимости получения лицензии ФСБ на работу со средствами шифрования для поднятия протокола TLS с алгоритмом RSA представитель ведомства уклонился, указав на то, что это компетенция Центра по лицензированию, сертификации и защиты гостайны ФСБ. Я предложил на круглый стол на следующей конференции пригласить и их, организаторы обещали. А. Сычев в своем комментарии обратил внимание на необходимость более активной работы по внедрению российских алгоритмов в протокол TLS, в том числе – за рубежом.
Е. Торбенко. Подход Приказа № 239 по безопасности КИИ о возможности оценки соответствия средств защиты информации в форме испытания и приемки можно применять и при построении системы защиты персональных данных, но владелец системы должен осознавать свою ответственность за качество и обоснованность такой оценки. А. Бодров отметил, что ФСБ по-прежнему считает допустимой только оценку соответствия в форме сертификации в своей системе.
Сертификация прикладного программного обеспечения, используемого для обработки персональных данных, не требуется, если оно не реализует функции защиты от актуальных угроз. Но любой заказчик вправе потребовать такую сертификацию от поставщика или исполнителя, если считает ее необходимой.
В блоге Сергея Борисова приведены ответы регуляторов на круглом столе и выложена ссылка на его аудиозапись круглого стола.

16 ноября 2018 г.

IX международная конференция Роскомнадзора: самое интересное. Часть 1


8 ноября прошла IX международная конференция «Защита персональных данных», которую часто и справедливо называют коротко – конференция Роскомнадзора. Попытаюсь коротко рассказать о самом интересном, естественно, с моей точки зрения.
Несколько раз на конференции представители Роскомнадзора (Ю. Контемиров и А. Гафурова) упоминали новую редакцию Конвенции Совета Европы ETS-108, в числе первых стран, ее подписавших была Россия, которая также участвовала в подготовке текста новой редакции. Было заявлено, что модернизация директивы не повлечет серьезных изменений в организации защиты персональных данных в России, а подписание позволит России попасть в перечень стран, соответствующих GDPR. Стоит учесть, что предстоит еще ратификация новой редакции, сдача ратификационной грамоты и ее прием Советом Европы, на что в прошлый раз ушло 8 лет.
Из значимых последствий подписания Конвенции – в России должна появиться обязанность операторов уведомлять об утечках и ответственность за попытки уклониться от ее выполнения. О новой редакции Конвенции надо писать отдельно (при случае постараюсь написать пост), главное – она стала максимально близка к GDPR, однако механизм ее вступления в силу будет довольно сложным и длительным.
Из других новаций, о которых сообщил надзорный орган – скорое появление ресурса, на котором можно будет отзывать согласие на обработку персональных данных (как я понимаю, любое и у любого оператора). Это совсем не радует, поскольку означает, что появится ресурс, где будет собираться информация о том, кому и на что каждый субъект давал согласие. Меня такие ресурсы, если честно, очень пугают.
Как всегда, смелым, интересным и довольно вольнодумским было выступление замминистра Минкомсвязи Алексея Волина. Он говорил о том, что регулирования у нас в стране слишком много, и это не содействует развитию, лучше что-то недорегулировать, чем перерегулировать, и надо развивать, а не запрещать. О том, что гражданам надо самостоятельно делать выбор между комфортом, для чего передать свои персональные данные оператору, и приватностью, отказываясь от комфортных сервисов, граждан надо готовит к жизни в цифровом мире. Нынешнее определение персональных данных архаично, слишком широко, это понятие надо сужать. Законы должны быть не для сумасшедших, которые ими пользуются, а для нормальных людей, привел в пример запрет на объявление фамилий опаздывающих пассажиров в Шереметьеве. И наконец, что защита персональных данных требует, в первую очередь, саморегулирования, а не госрегулирования. Его бы слова в уши и законодателям и регуляторам.
К нему позже примкнул Дмитрий Тер-Степанов из АНО «Цифровая экономика», призывавший регуляторов не мешать развитию технологий.
О проблемах рынка технической защиты конфиденциальной информации говорил Максим Фатеев, вице-президент Торгово-промышленной палаты России. Рынок растет, но для малых и микропредприятий соблюдение лицензионных требований неподъемно, в регионах очень не хватает специалистов.
Неожиданно выступил Илия Димитров из «Опоры России», заявивший, что GDPR – документ о мире, который был 15 лет назад, а регулирование надо строить на прогнозе развития на 10-15 лет вперед и при реализации таких программ как «Цифровая экономика», управлять таким прогнозом. Именно Евразийский экономический союз должен создать информационный кодекс для нового мира, и тогда весь мир ринется размещать свои данные у нас в стране. Этот кодекс должен быть цифровым и сам проверять, выполняется он ли или нет. Тут я окончательно перестал понимать предложения оратора, особенно учитывая текущую практику принятия законов по лоскутному принципу (где порвалось, там и залатаем).
Владислав Онищенко из Аналитического центра при Правительстве РФ сообщил, что наличие многочисленных тайн в российском законодательстве (их действительно очень много, с этим трудно не согласиться) мешает свободному обмену информацией и ее использованию в экономической деятельности. Надо упростить и алгоритмизировать обмен данными в госорганах, а пока они только собираются за счет налогоплательщиков, однако используются из-за ограничений неэффективно. Он выразил сомнение в реальности отзыва согласия на обработку ранее использованных персональных данных. Что произойдет после отзыва? Данные надо «вырезать», пересчитать без учета данных отозвавших согласие субъектов? Если они существуют только в электронном виде, как проверить, что удалены? Новые проблемы создаст переход на полностью электронные документы. В качестве примера была приведена электронная трудовая книжка. Человек проработал на предприятии 15 лет, а в реестре запись только о 10 годах. Как восстанавливать правду, доказывать, что допущена ошибка?
В целом представители органов власти и находящихся рядом с ним организаций порадовали смелостью и новаторством, но вот результаты деятельности в жизни выглядят пока очень отличающимися от декларируемых принципов.
После достаточно официальной, но живой пленарной части, почему-то названной дискуссией (дискутировали выступающие с отсутствующими оппонентами, но не друг с другом) была двухчасовая секция по GDPR, которую я модерировал. Организация такого обсуждения – это знаменательное и достаточно неожиданное событие, поскольку ровно год назад в этом же зале с высокой трибуны было сообщено, что GDPR России не касается совсем.
А. Гафурова из центрального аппарата РКН немного рассказала о новой редакции ETS-108 и последствиях присоединения к ней России, остановилась на применимости GDPR к деятельности российских операторов. К сожалению, регламент приходилось выдерживать очень жесткий (10-15 минут на выступление), и позадавать вопросы выступающим не могли ни модератор, ни слушатели из зала. А их было очень много и у меня, и у тех, с кем успел обменяться мнениями после сессии. В частности, А. Гафурова постоянно говорила о гражданах ЕС, рассматривая Регламент, а в нем все-таки речь идет о лицах на территории Евросоюза, что совсем не одно и тоже. Было три выступления от надзорных органов (DPA) – из Венгрии, Италии и Болгарии. Как показалось, для них сейчас реализация Регламента – крайне серьезная проблема, и на многие вопросы ответов нет, некоторые даже приостановили консультации, не имея готовых рецептов.   
Порадовали выступления российских участников, они достаточно глубоко влезали в тонкости Регламента и давали весьма полезные рекомендации.
Вадим Перевалов из Baker McKenzie рассмотрел регулирование вопросов передачи персональных данных в договорах, как содержащих, так и не содержащих поручение на обработку, в страны, обеспечивающие и не обеспечивающие адекватную защиту, по обязательности и необязательности отдельных положений таких договоров.
Об общем и различном в регулировании 152-ФЗ- и GDPR вопросов использования персональных данных для директ-маркетинга рассказала Анастасия Петрова из «Алруд». Она обратила внимание на наличие иного, чем в российском законе, основания для рекламных рассылок – законного интереса контролера и проанализировала, когда им можно руководствоваться.
Евгений Ким из EY остановился на участниках процесса приведения обработки в соответствие Регламенту и некоторых наиболее сложных проблемах – трансграничной передачи за пределы ЕС, получения согласия на такую передачу, необходимости назначения сотрудника по защите данных (DPO).
Артем Дмитриев (PwC) провел сравнительный анализ оснований для обработки персональных данных в GDPR и российском законе, подробно остановившись на таком основании как законный интерес оператора, плохо работающем у нас, но более предпочтительном, чем согласие субъекта в Евросоюзе.
Наконец, Евгений Калинин с использованием очень эффектной презентации рассказал о проделанной Сбербанком работе по оценке применимости GDPR к деятельности крупнейшего российского банка.
Секция получилась, на мой взгляд, очень интересной – никакой джинсы и рекламы, коротко, но глубоко, все по делу. Вот дискуссии только не хватало и вопросов-ответов. Жаль. Было бы еще интереснее.
Об «Открытом микрофоне с регулятором» – в следующий раз. И так слишком много букв.
Продолжение следует. Часть 2.

22 октября 2018 г.

8 ноября: конференция Роскомнадзора


8 ноября на IX Международной конференции «Защита персональных данных», ежегодно проводимой при поддержке Роскомнадзора, я уже традиционно буду вести секцию «Открытый микрофон с регулятором». Обещают быть (и будут наверняка) представители Роскомнадзора (Ю.Е. Контемиров), ФСТЭК (Е.Б. Торбенко), ФСБ (А.Г. Бодров), может, быть, кто-то еще.
Повод для поста традиционный: если вы что-то хотели, но стеснялись не могли спросить, есть возможность это сделать – присылайте вопросы мне, если они будут интересными и общественно значимыми, я переадресую их участникам секции. У меня, конечно, и своих вопросов много, но одна голова – хорошо, а много – несравненно лучше.
Буду модерировать еще две секции – по GDPR, где расскажу о нашей оценке применимости Регламента к деятельности российских компаний, и по информационной безопасности в привязке к персональным данным.
Так что до встречи на конференции!

10 октября 2018 г.

Что нового в учебном курсе «Защита персональных данных»


Законодательство – инструмент гибкий. Оно все время меняется, учитывает новые вызовы и проблемы, реагирует на появление новых технологий. Происходит это, конечно, медленнее, чем изменения в окружающем мире, но рано или поздно происходит.
Мой авторский курс «Защита персональных данных» (КП32) проводится в Учебном центре «Информзащита» уже более 10 лет, с 2007 года. Только в закон «О персональных данных» за это время изменения вносились 20 раз, появились новые законы, затрагивающие сферу персональных данных, менялась правоприменительная и судебная практика. И все это постоянно находит отражение в учебном курсе. Каждому его проведению предшествует доработка и корректировка, один и то же, полностью совпадающий вариант презентаций дважды не использовался никогда.
Вот и 12-13 ноября в Учебном центре «Информзащита» мною будет представлен обновленный вариант курса-долгожителя.
В нем сразу две премьеры – новые разделы «Биометрическая идентификация» и «Новый европейский регламент защиты персональных данных GDPR».
В первом из новых разделов анализируется законодательные и иные нормативные правовые акты, принятые для создания Единой биометрической системы и предоставления возможности клиентам банков идентифицироваться удаленно, без визита в новый банк, клиентом которого он ранее не являлся. Документов много, порядка 15, и не все еще приняты в окончательном варианте. Слушатели курса получат базовые сведения, необходимые для того, чтобы понять, как функционирует система биометрической идентификации, как в ней должны защищаться данные. Будут рассматриваться три основных вопроса:
   цель создания биометрической системы, полномочия и обязанности участников Единой биометрической системы;
   защита данных при проведении первичной и удаленной биометрической идентификации; контроль и надзор за соблюдением установленных требований;
   согласие субъекта на обработку персональных данных при проведении биометрической идентификации.
В заключение этого раздела проанализируем основные проблемы и риски, возникающие при удаленной биометрической идентификации.
Раздел о GDPR в курс введен для того, чтобы помочь российским предприятиям и организациям разобраться в том, когда им необходимо руководствоваться новым европейским регламентом защиты персональных данных, и какие основные действия предпринять, чтобы ему соответствовать. Традиционных для обсуждения GDPR пугалок про громадные штрафы не будет, а вот кто уже попал или сильно рискует попасть под раздачу, в том числе в России, разберемся.
В заключение: приходите, скучно не будет. В курсе можно участвовать очно и дистанционно.

26 сентября 2018 г.

И снова про биометрию. И снова без энтузиазма

Биометрическую идентификацию, похоже, будут пытаться впихнуть внедрить везде, где можно, а лучше и там, где нельзя. Модно, дорого, опасно. Да, главное, - дорого.

Вот и в метро предлагают ездить по предъявлению лица и автоматически списывать деньги с привязанной к лицу карте.

Говорят, быстрее проходить будем. Так и вижу площадь трех вокзалов, спускающиеся в недра «Комсомольской» толпы народа со всего мира, которых распознают по лицу и списывают деньги за проезд. Ага-ага.

Поговорили на эту тему на питерском телевидении.

В общем, в заключение на собрании выступил заяц и выразил общее опасение. Но скоро выступит лев и выразит общее мнение. Мало не покажется. История старая, но не теряющая актуальности. Кстати, вопрос: за чей счет будет банкет?




31 августа 2018 г.

Атака на обезличивание


Некоторое время назад я зарекся комментировать законопроекты и проекты иных нормативных правовых актов – слишком часто конечный результат достаточно радикально отличался от проекта, и анализ именно проекта особого смысла в конечном итоге не имел.
Но здесь особый случай. На Федеральном портале проектов нормативных правовых актов появились проекты трех документов, на которые необходимо обратить внимание именно сейчас, пока они не приняты в предлагаемой редакции.
Минкомсвязи выступила с инициативой жестко отрегулировать обезличивание персональных данных. Суть предложения проста и прямолинейна: обезличивать персональные данные можно будет только в случаях, прямо установленных законодательством Российской Федерации и в соответствии с требованиями и методами, установленными Роскомнадзором. Точка.
Если любой оператор, а не только орган власти или местного самоуправления, как сейчас, данные не обезличивает в установленных законом случаях или обезличивает их неправильно, это страшное деяние влечет административную ответственность, для чего Минкомсвязи предлагает уточнить редакцию части 7 статьи 13.11 КоАП РФ. При этом административная ответственность за обезличивание данных в непредусмотренных законом случаях не устанавливается, но может квалифицироваться по части 1 статьи 13.11 – обработка персональных данных, не предусмотренная законом.
Зачем это предлагается сделать? В Пояснительной записке к законопроекту указывается, что нововведение предлагается «во исполнение поручения Президента Российской Федерации от 23 ноября 2015 г. № Пр-2414 в целях защиты интересов субъектов персональных данных». С этим распоряжением отдельная детективная история. Вот что выдает результат поиска на сайте Президента:
Ни Консультант, ни Гарант про это распоряжение тоже ничего не знают. Найти его силами Гугла и Яндекса тоже не удалось. Буду благодарен читателям блога, которые располагают текстом документа и смогут поделиться им со мной.
Тем не менее, Приказом Роскомнадзора от 30.11.2015 № 154, «в соответствии с поручением Президента Российской Федерации от 23 ноября 2015 г. № Пр-2414» территориальным органам Роскомнадзора было поручено провести внеплановые проверки деятельности операторов связи, оказывающих телематические услуги связи и услуги подвижной радиотелефонной связи на предмет выявления незаконной деятельности по обработке данных сторонними компаниями в сетях российских операторов связи. Опять-таки, приказ совсем не про обезличивание.
Но вернемся к сути предлагаемых поправок. В упоминавшейся выше Пояснительной записке указывается, что «согласно Закону о персональных данных обезличивание персональных данных может также осуществляться операторами, не являющимися государственными и муниципальными органами в законодательно установленных случаях». А вот этого в законе нет, совсем нет.
Обезличивание упоминается в законе «О персональных данных» ровно четыре раза: в пункте 3 статьи 3, где дается определение обработки персональных данных, и в пункте 9 той же статьи, дающем определение термина «обезличивание»; в части 7 статьи 5, наделяющей оператора полномочиями обезличить, а не уничтожить персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей; и в пункте 9 части 1 статьи 6, разрешающей обрабатывать персональные данные без согласия субъекта в статистических или иных исследовательских целях, за исключением целей директ-маркетинга, при условии обязательного обезличивания персональных данных. Все. Никаких установленных законом случаев обезличивания. Более того, предлагаемая норма прямо противоречит части 7 статьи 5.
Теперь про цель принятия поправок в закон – защиту интересов субъектов персональных данных. Долго думал. И так не придумал, как же обезличивание может нарушить права субъекта, если данные у оператора больше с субъектом не соотносятся и установить его личность оператор более не может.
Предлагаемая поправка наотмашь бьет науку и бизнес. Исследования, неважно, медицинские, социологические или любые иные, построены на статистическом анализе данных об огромном количестве людей, которые именно для защиты их интересов обезличиваются соответствующими организациями. Но, например, в законе «Об основах охраны здоровья…» обезличивание предусматривается только в Единой государственной информационной системе в сфере здравоохранения, но ничего нет про право обезличивать данные медицинских и исследовательских учреждений. Перепись населения производится с использованием обезличенных переписных листов, но в законе «О всероссийской переписи населения» это тоже не установлено, лишь в Приказе Росстата от 17.04.2018 № 179 указано, что «хранение данных должно осуществляться при условии обязательного обезличивания персональных данных». Но приказ – не закон и не основание для обезличивания в предлагаемом варианте поправок.
Наконец, методики банковского и страхового андеррайтинга, расчета процентов, премий и выплат основаны, естественно, на статистике, требующей обезличивания и длительного хранения огромного количества персональных данных клиентов, касающихся исполнения договоров банковского обслуживания и страхования. Но в законах «О банках и банковской деятельности» и многочисленных законах, регламентирующих страховое дело (их очень много!) вопросы обезличивания никак не регламентируются.
Принятие законопроекта потребует внесения изменений в огромное количество законодательных актов для легализации обезличивания персональных данных в различных сферах деятельности, а до их принятия действия операторов по обезличиванию будут противоречить закону.\
Законопроект идет вразрез с мировой практикой регулирования обработки персональных данных. В европейском регламенте GDPR псевдонимизация является базовой мерой проектируемой защиты данных (Data protection by design) и должна применяться всегда, когда и где это возможно.
Тем временем, на том же портале http://regulation.gov.ru появился проект другого документа – Указания Банка России «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента». Документ требует отдельного анализа, но, пока он не принят, обратим внимание только на один момент.
В нем как раз предусматривается обезличивание данных о владельцах предполагаемых дроперских счетов, но вместо обезличивания используется совсем другой термин – хэширование, в частности, номера документа, удостоверяющего личность в целях идентификации лица, и СНИЛС. Передача фамилий, имен и отчеств плательщиков и получателей средств не предполагается.  В сегодняшнем комментарии «Ведомостям» я уже высказывал точку зрения, что такая обработка персональных данных не требует согласия субъекта и не противоречит закону, но там другая загвоздка.  
В соответствии с позицией Минкомсвязи и 8 Центра ФСБ России, «хеширование не входит в число методов обезличивания персональных данных». Кроме того, структурированность форматов текстовой информации сокращает множество входных значений хэш-функции, и, как следствие, область значений функции хеширования, что в совокупности приводит к возможности возникновения угрозы подбора нарушителем персональных данных для конкретного субъекта методом перебора.
Из всего этого делается категоричный вывод: «Таким образом применение хеширования для обезличивания персональных данных является нелегитимным».
Подводим итоги. Хочется надеяться, что инициативы Минкомсвязи в отношении обезличивания не найдут поддержки, и законопроект не будет принят. И очень надеюсь, что указание Банка России будет принято, и в отношении хэширования как способа обезличивания будет создан прецедент.

17 августа 2018 г.

Персональные данные предлагают легально сделать рыночным товаром

Похоже, что под предлогом построения цифровой экономики нас будет ждать масса неприятных сюрпризов. Один из них прокомментировал «Ведомостям».
Россияне могут утратить контроль над своими персональными данными
Цифровая экономика предлагает позволить компаниям передавать их без ведома владельцев
16 августа 23:45 Ведомости Светлана Ястребова
Компании могут получить новые права в обращении с персональными данными. Получив их с согласия человека, компании без уведомления смогут передать на обработку другим компаниям, предлагает проект поправок в закон «О персональных данных». (Сейчас закон такое запрещает.) Выбранный ею подрядчик сможет дальше по цепочке перепоручить обработку данных, также не уведомляя человека, а только уведомив компанию-заказчика.
Поправки написали представители бизнеса, а фонд «Сколково» (центр компетенций при создании нормативов цифровой экономики) отправил их в следующую инстанцию по направлению – рабочую группу по нормативному регулированию цифровой экономики, заявил представитель «Сколково». Она либо одобрит поправки, либо вернет в «Сколково» на доработку. «Ведомости» ознакомились с поправками, подлинность подтвердил представитель «Сколково».
Отвечать за сохранность персональных данных по поправкам будет компания, которая первоначально их собирала и получила согласие человека на их обработку. Ей придется разместить на сайте список всех компаний, которым она отдаст обработку данных, или найти другие способы уведомить гражданина, кто получит доступ к его данным, и зафиксировать эти способы в том же договоре с ним, где он соглашается на обработку данных. Человек имеет право узнать, куда компания передала его данные; отвечать на запрос компания имеет право месяц. Но запретить их передачу по цепочке он не может – только отозвать первоначальное согласие.
Кроме прочего компания сможет обрабатывать данные в целях, которые посчитает выгодными для себя, а не только в изначально согласованных с человеком.
Разработкой законопроекта занималось объединение экспертов из IT-компаний, операторов связи, банков, они перечислены на сайте АНО «Цифровая экономика». Нововведения позволили бы многопрофильному бизнесу и стартапам упростить получение согласия на обработку персональных данных, расширить спектр услуг, получить которые можно будет дистанционно, и предлагать клиентам именно то, что им интересно, рассчитывает участник обсуждения поправок.
«Мегафон» в целом поддерживает законопроект – он усовершенствует порядок обработки данных, а это будет стимулировать развитие новых услуг в цифровой экономике, объясняет представитель оператора. Эксперты движутся к тому, чтобы упростить выдачу, отзыв, корректировки согласий на обработку персональных данных, считает представитель «Ростелекома».
При правильном регулировании новый порядок обращения с персональными данными поможет бизнесу оптимизировать их обработку, а для граждан сделает оборот данных более прозрачным и подконтрольным, предполагает представитель «Ростелекома».
Есть и не согласные с идеей, зафиксированной в поправках. Человек потеряет четкий контроль за передачей его персональных данных и станет бесправным в этом процессе, комментирует документ директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александра Орехович: он разрешает нынешним и будущим – любым партнерам компании распоряжаться данными без ведома человека. Такой подход, по мнению Орехович, нарушает права пользователя. Данные могут принадлежать только субъекту и только он может ими распоряжаться, присваивать его данные себе не может никто, непреклонна она.
Поправки противоречат духу и букве закона о персональных данных, поддерживает ФРИИ управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников. Мировое сообщество стремится к тому, чтобы максимально четко информировать людей, зачем у них собирают данные, описывать, как и кто будет их использовать, ограничивать их обработку целями, заявленными при сборе, объясняет Емельянников. Такое, в частности, предусматривает вступивший в силу в мае в Евросоюзе регламент защиты данных (General Data Protection Regulation, GDPR), сообщает он.
Предложенные поправки, очевидно, выгодны только бизнесу, который сможет сделать данные товаром и продавать их в своих интересах, уверен Емельянников, и, более того, логика этих поправок может спровоцировать множество нарушений закона о рекламе, потому что этот закон запрещает использовать персональные данные в маркетинговых целях без согласия потребителя. Штраф за каждое такое нарушение составляет от 100 000 до 500 000 руб.

16 июля 2018 г.

Биометрическая идентификация стартовала в банках


Все читатели моего блога, наверное, знают, что 30 июня заработала система удаленной биометрической идентификации для предоставления, на данный момент, банковских услуг, а в перспективе – и многих других.
Для запуска биометрической идентификации в соответствии с изменениями, внесенными в Федеральный закон «Об информации, информационных технологиях и о защите информации», было необходимо принятие целого ряда подзаконных нормативных правовых актов.  
22 февраля распоряжением правительства № 293-р на ПАО «Ростелеком» были возложены функции оператора единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (Единой биометрической системы, ЕБС). 
Затем 28 марта 2018 года Правительство постановлением № 335 определило федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации граждан Российской Федерации на основе биометрических персональных данных, которым стало Минкомсвязи России.
Дальше решались процессные задачи и согласовывались со всеми заинтересованными сторонами, что всегда в нашей стране дается не легко.
К концу июня документы стали появляться как из рога изобилия:
21 июня подписан Приказ Минкомсвязи России № 307 «Об утверждении методик проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также об определении степени взаимного соответствия указанных биометрических персональных данных, достаточной для проведения идентификации, предусмотренной Федеральным законом от 27 июля 2006 года №149-ФЗ "Об информации, информационных технологиях и о защите информации"» (вместе с  «Методикой проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, для одного бимодального алгоритма» и аналогичной методикой для для двух независимых биометрических алгоритмов) (зарегистрирован в Минюсте 29.06.2018, вступление в силу – 6 июля).
25 июня подписан Приказ Минкомсвязи России № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации» (зарегистрирован в Минюсте 04.07.2018, вступление в силу – 11 июля).
В тот же день - Приказ Минкомсвязи России № 322 «Об определении размера платы, взимаемой оператором единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, за предоставление банкам, соответствующим критериям, установленным абзацами вторым - четвертым пункта 5.7 статьи 7 Федерального закона от 7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", информации о степени соответствия предоставленных биометрических персональных данных биометрическим персональным данным клиента-физического лица, содержащимся в указанной системе» (зарегистрирован в Минюсте 04.07.2018, вступление в силу – 10 июля).
29 июня - Постановление Правительства РФ № 747 «Об установлении требований к фиксированию действий при размещении в электронной форме в единой системе идентификации и аутентификации сведений, необходимых для регистрации гражданина Российской Федерации в указанной системе, и иных сведений, предусмотренных федеральными законами, а также при размещении биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации» (вступление в силу – 30 июня 2018).
30 июня принято Постановление Правительства РФ № 772 «Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации» (вступление в силу – 11 июля 2018).
В тот же день – Распоряжение Правительства РФ № 1322-р «Об утверждении формы согласия на обработку персональных данных, необходимых для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, и биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации» (вступление в силу – 30 июня 2018).
То есть система законно заработала тогда, когда большинство регламентирующих ее функционирование нормативные актов еще не действовали, а часть вступила в силу в день старта, и банки каким-то мифическим способом узнали их содержание, например, форму согласия субъекта на обработку биометрии.
Но, если читатели помнят, нам обещали суперзащищенную систему. Вот только модели угроз, от которых ее надо защищать, пока нет. Не сложилось.
27 июня Банк России разослал письмо № 03-56/4799, в котором сообщил, что перечень угроз согласовывается с ФСБ и ФСТЭК, и в него планируется включить угрозы, указанные в приложении к письму. Планируется. А система работает. И ее надо защищать. Сегодня. А не когда согласуют модель.
Судя по обилию ссылок в предполагаемом перечне угроз на приказ № 378 ФСБ России, согласование идет.
Во всем этом клубке проблем, а также во многих других проблемах мы будет разбираться на семинаре «Соблюдение законодательства о персональных данных в кредитно-финансовых учреждениях в новых условиях 2018 года», который пройдет 25 июля в НОО НП «БизнесШколаКонсультант». Обновленная программа - здесь.

27 июня 2018 г.

У оператора персональных данных могут появиться невыполнимые обязанности

И административная ответственность за их невыполнение.
Минкомсвязи разработаны новые поправки в закон «О персональных данных» и КоАП РФ. 25 июня закончилось их публичное обсуждение и антикоррупционная экспертиза. Далее, как обычно, оценка регулирующего воздействия и рассмотрение в Правительстве.
Суть поправок проста: оператору, поручившему обработку персональных данных иному лицу (например, покупку билетов и бронирование гостиниц своим командируемым работникам), вменяется в обязанность организовать и обеспечивать контроль за соблюдением обработчиком требований законодательства о персональных данных. И не просто контроль, а надлежащий. Первый же вопрос – а какой контроль будут считаться надлежащим? Гарантирующий отсутствие инцидентов с обрабатываемыми данными? Но это невозможно в принципе! Какой же тогда? Ответа нет.
При этом порядок осуществления такого контроля оператор должен определить самостоятельно. В случае невыполнения этого требования – штраф на юридическое лицо до 30 тысяч рублей, на должностное – до 6 тысяч. Причем неважно, были ли утечка у обработчика, пострадали ли субъекты. Квалифицирующий признак правонарушения – невыполнение оператором обязанности осуществления надлежащего контроля.
С обработчиком еще интереснее. Штрафы - также до 30 тысяч рублей, но за нарушение требований законодательства в области персональных данных. Каких требований, как следует из теста законопроекта, значения не имеет.
Есть большие подозрения, что эти требования не только невыполнимы, но и противоречат Конституции и нормам гражданского права.
Начнем с невыполнимости. Организация такого контроля ляжет тяжким бременем на оператора любого масштаба, от микро-бизнеса до самых крупных компаний.
Давайте представим: малое предприятие отдало на аутсорсинг бухгалтерский, кадровый, воинский учет и охрану труда, а информационные системы, те, что остались, например, CRM, разместило в дата-центре или использует по схеме SaaS. Ситуация типичная. Делается это по простой причине – экономически нецелесообразно держать своих специалистов в штате для решения подобных вопросов, дешевле использовать аутсорсинг. И теперь это самое предприятие должно определить порядок контроля, составить планы, убедить аутсорсера согласиться на такой контроль, периодически проводить контрольные мероприятия и тщательно документировать полученные результаты (контроль должен быть надлежащий и это надо доказывать). Кто и за какие деньги будет это решать в сегменте СМБ при том, что задач бизнеса в этом процессе ровно 0, а размер штрафа меньше месячного оклада такого специалиста. Значит – игнорировать и платить, если попался.
В крупном бизнесе ситуация не лучше. Там обработчиков сотни и тысячи, к перечисленным выше добавляются агенты (сколько агентов у больших страховых компаний или операторов связи?), колл-центры, организаторы и исполнители маркетинговых акций, компании, работающие «в поле» с конечными потребителями и т.д. и т.п. Всех их надо контролировать. А это уже большое структурное подразделение со штатом квалифицированных специалистов, объемные планы контроля с опять-таки нулевой отдачей в бизнес.
Ну, и наконец, обработчики. Те, для кого аутсорсинг – основной бизнес, должны будут столкнуться с толпами контролеров от контрагентов-операторов персональных данных, чего-то требующих, но плохо понимающих, что вообще они должны проверять. Кто ими будет заниматься у аутсорсера? Когда? И уж совсем риторический вопрос: как это скажется на стоимости оказываемых услуг? 
И еще одна проблема. В ходе проверок надзирающий оператор персональных данных может неизбежно столкнуться с коммерческими секретами и иной чувствительной информацией аутсорсера, что порождает новый клубок проблем.
И, наконец, о конституционности законопроектов.
Российское законодательство закрепляет принцип недопустимости произвольного вмешательства в частные дела в сфере договорных правоотношений. Статьей 8 Конституции РФ гарантируется свобода экономической деятельности.
Часть 1 статьи 1 ГК РФ, конкретизируя данную конституционную норму, устанавливает, что гражданское законодательство основывается на признании равенства участников регулируемых им отношений, неприкосновенности собственности, свободы договора, недопустимости произвольного вмешательства кого-либо в частные дела, необходимости беспрепятственного осуществления гражданских прав, обеспечения восстановления нарушенных прав, их судебной защиты.
Данное положение подтверждается правовой позицией Конституционного Суда РФ, отметившего в Постановлении от 06.06.2000 № 9-П, что «реализация имущественных прав осуществляется на основе общеправовых принципов неприкосновенности собственности и свободы договора, предполагающих равенство, автономию воли и имущественную самостоятельность участников гражданско-правовых отношений, недопустимость произвольного вмешательства кого-либо в частные дела».
Такая автономия деятельности подразумевает, в том числе право на заключение договоров и свободу такого договора, иные правомерные действия по своему усмотрению.
Принцип невмешательства в договорные правоотношения необходимо рассматривать в совокупности с принципом свободы договора, закрепленном статьей 421 ГК РФ. Данные принципы имеют целью не допустить неоправданное стеснение свободы субъектов гражданского права в договорной сфере.
Отношения оператора и обработчика регулируются частью 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон 152-ФЗ), содержащей требования к существенным условиям такого договора, а часть 5 той же статьи устанавливает ответственность обработчика перед оператором.
Данные нормы в совокупности представляются вполне достаточными для реализации требований законодательства о персональных данных и не требуют дополнительного административного вмешательства в виде установления обязанности контролировать деятельность обработчика.
Восстановление нарушенных прав субъектов персональных данных и операторов неправомерными действиями обработчика, компенсация понесенных убытков и морального вреда в достаточной мере обеспечивается гражданско-правовыми методами.
Зачем нужен такой закон, выдвигающий операторам и обработчикам невыполнимые требования, совершенно не понятно. Кстати, нет ни слова об этом и в пояснительной записке к проекту федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения принципов обработки персональных данных в государственных информационных системах)», которым рассматриваемые поправки предусматриваются.

15 мая 2018 г.

Три мифа о персональных данных и облаках


По приглашению компании Oracle я участвовал в двух мероприятиях, посвященных облачным технологиям. Обсуждение неизбежно коснулось ограничений на использование облаков, связанных с требованиями российского законодательства о персональных данных.
Полная версия того, что и как обсуждалось, выложена в блоге Oracle в России и СНГ, ниже – наиболее важные, с моей точки зрения, выводы.
По-прежнему решения об отказе от использования облаков порой принимаются под влиянием мифов, возникших из газетных заголовков и не очень грамотных комментариев.
Даже простой и очевидный, на первый взгляд, вопрос, что такое персональные данные, не имеет столь же простого ответа, тем более что трактовка понятия персональных данных постоянно меняется.
На сегодня есть два важных признака персональных данных: возможность идентификации конкретного лица и потенциальные последствия использование данных. Если есть последствия для субъекта, например, негативные или юридически значимые, то эти данные всегда следует рассматривать как персональные и защищать, даже если установить личность их обладателя невозможно.
Миф 1 – Персональные данные россиян должны храниться в России
Есть мнение, что все собираемые в России персональные данные должны храниться на территории Российской Федерации. Это не так. В законе говорится, что «при сборе персональных данных <…> оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение этих данных с использованием баз данных, находящихся на территории РФ». То есть речь идет именно о сборе персональных данных. В законе нет требования использовать персональные данные только с помощью баз данных, находящихся на территории РФ.
Согласно разъяснениям Минкомсвязи на странице официального сайта ведомства, собранные и хранящиеся на территории РФ персональные данные впоследствии могут выноситься за пределы территории государства и использоваться для резервного копирования, рекламы, оказания различных услуг и так далее.
При этом под базой персональных данных понимается любой упорядоченный массив персональных данных, независимо от носителя. То есть это могут быть файлы, базы данных и даже упорядоченные бумажные архивы. Затем можно, например, выгрузить эти данные в базу данных, например, Oracle в зарубежном облаке и использовать их и за пределами РФ.
Есть три возможных способа выполнить требования законодательства РФ:
1.     Создать базу данных на территории РФ, причем в любой форме, а потом передавать из нее данные в зарубежные базы данных. При этом актуализация данных также должна происходить на территории РФ.
2.     Разместить данные за рубежом в обезличенной форме.
3.     Шифровать базы данных и передавать их за рубеж в зашифрованном виде. В таком случае для провайдера за рубежом это – не персональные данные.
Согласно разъяснениям Роскомнадзора и Минкомсвязи, сбор персональных данных – это получение данных непосредственно от субъекта или привлеченных для этого третьих лиц. Обязанность по их локализации возникает только в период сбора персональных данных. Если собранные данные локализованы на территории РФ и перенесены для обработки за рубеж, то получение с использованием функционала приложений в облаке новых данных, касающихся субъекта размещения этих данных на территории РФ, не требуется.
Если, например, в облачной системе Oracle Taleo Cloud Service на основании собранных и локализованных в РФ данных о работнике определяется его грейд, делается вывод о необходимости направления работника на повышение квалификации или о его продвижении по службе, то такие данные нельзя рассматривать как получаемые во время сбора, то есть они не были получены от субъекта или через уполномоченных оператором лиц. Соответственно, закон о персональных данных не содержит требования об обязательной локализации таких данных на территории РФ.
Облачное решение  Oracle Cloud at Customer обеспечивает реализацию законодательных требований, так как позволяет заказчику развернуть и получать публичные облачные сервисы Oracle в своем ЦОД, расположенном на территории РФ При этом в ЦОД заказчика и в облаке Oracle используется одно и того же программное и аппаратное обеспечение, что обеспечивает простой перенос приложений и данных между ними при наличии локализованной базы персональных данных, а ответственным за предоставление сервисов и уровень обслуживания остается Oracle.
Миф 2 - Трансграничная передача данных россиян запрещена
Нормы законодательства РФ о передаче персональных данных на территорию иностранных государств следует рассматривать в контексте обязательств, взятых на себя РФ при ратификации Конвенции Евросоюза 1981 года № ETS-108. Так, согласно статье 12, сторона не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.
Если иностранное государство обеспечивает адекватную защиту прав субъектов персональных данных, то трансграничная передача данных ограничиваться не может.
При этом, если персонал облачной инфраструктуры имеет доступ к персональным данным клиента, размещенным в облаке, то необходимо получать согласие субъектов на такую передачу, так как в этом случае провайдер исполняет поручение обработки российского оператора. Однако оператор может предусмотреть в договоре запрет на доступ персонала к данным, что освобождает от такой необходимости.
Миф 3 – Обеспечивать безопасность персональных данных облачный провайдер не может
Законодательство прямо предусматривает возможность аутсорсинга обеспечения безопасности персональных данных при их автоматизированной обработке.
Безопасность персональных данных может обеспечивать сам оператор персональных данных (то есть заказчик), оператор информационной системы или лицо, обрабатывающее персональные данные по поручению оператора на основании договора.
Что должен сделать российский оператор персональных данных (заказчик)?
·         Определить типы угроз, связанных с наличием недекларированных возможностей системного и прикладного программного обеспечения.
·         Определить уровень защищенности своей информационной системы, которую он выносит в облако.
·         Построить модель угроз и систему защиты, обеспечивающую адекватную защиту от этих угроз, для своего сегмента информационной системы, находящегося вне облака.
Что должен сделать зарубежный провайдер облачных услуг?
·         Предоставить оператору данные о том, какие меры безопасности обеспечиваются в облачной инфраструктуре.
·         Обеспечить принятие дополнительных мер безопасности или предоставить оператору возможность развернуть дополнительные средства безопасности (PaaS или IaaS).
·         Отразить в договоре обязанности по обеспечению мер безопасности и конфиденциальности обрабатываемых данных, вопросы доступа персонала к ним.
·         Принимать меры по предотвращению несанкционированного доступа к персональным данным и несанкционированного воздействия на такие данные и информационные системы.
Общие выводы
·         После завершения сбора персональных данных они должны находиться (храниться) в базах данных на территории РФ, при этом изменения в данные (в том числе, уточнения и обновления) должны вноситься также в базы данных на территории РФ.
·         Не накладывается никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории РФ, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан РФ после их трансграничной передачи.
·         Закон в редакции, вступившей в силу 1 сентября 2015 года, не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данных в дата-центрах и облачных инфраструктурах, находящихся вне территории РФ, за исключением их сбора.
И завершить хотелось бы фразой, которую я не устаю повторять на своих выступлениях – «Недостатки нормативного регулирования не могут являться основанием для отказа от использования современных информационных технологий, потому что иначе вы неизбежно окажетесь на обочине конкурентной борьбы».