31 августа 2018 г.

Атака на обезличивание


Некоторое время назад я зарекся комментировать законопроекты и проекты иных нормативных правовых актов – слишком часто конечный результат достаточно радикально отличался от проекта, и анализ именно проекта особого смысла в конечном итоге не имел.
Но здесь особый случай. На Федеральном портале проектов нормативных правовых актов появились проекты трех документов, на которые необходимо обратить внимание именно сейчас, пока они не приняты в предлагаемой редакции.
Минкомсвязи выступила с инициативой жестко отрегулировать обезличивание персональных данных. Суть предложения проста и прямолинейна: обезличивать персональные данные можно будет только в случаях, прямо установленных законодательством Российской Федерации и в соответствии с требованиями и методами, установленными Роскомнадзором. Точка.
Если любой оператор, а не только орган власти или местного самоуправления, как сейчас, данные не обезличивает в установленных законом случаях или обезличивает их неправильно, это страшное деяние влечет административную ответственность, для чего Минкомсвязи предлагает уточнить редакцию части 7 статьи 13.11 КоАП РФ. При этом административная ответственность за обезличивание данных в непредусмотренных законом случаях не устанавливается, но может квалифицироваться по части 1 статьи 13.11 – обработка персональных данных, не предусмотренная законом.
Зачем это предлагается сделать? В Пояснительной записке к законопроекту указывается, что нововведение предлагается «во исполнение поручения Президента Российской Федерации от 23 ноября 2015 г. № Пр-2414 в целях защиты интересов субъектов персональных данных». С этим распоряжением отдельная детективная история. Вот что выдает результат поиска на сайте Президента:
Ни Консультант, ни Гарант про это распоряжение тоже ничего не знают. Найти его силами Гугла и Яндекса тоже не удалось. Буду благодарен читателям блога, которые располагают текстом документа и смогут поделиться им со мной.
Тем не менее, Приказом Роскомнадзора от 30.11.2015 № 154, «в соответствии с поручением Президента Российской Федерации от 23 ноября 2015 г. № Пр-2414» территориальным органам Роскомнадзора было поручено провести внеплановые проверки деятельности операторов связи, оказывающих телематические услуги связи и услуги подвижной радиотелефонной связи на предмет выявления незаконной деятельности по обработке данных сторонними компаниями в сетях российских операторов связи. Опять-таки, приказ совсем не про обезличивание.
Но вернемся к сути предлагаемых поправок. В упоминавшейся выше Пояснительной записке указывается, что «согласно Закону о персональных данных обезличивание персональных данных может также осуществляться операторами, не являющимися государственными и муниципальными органами в законодательно установленных случаях». А вот этого в законе нет, совсем нет.
Обезличивание упоминается в законе «О персональных данных» ровно четыре раза: в пункте 3 статьи 3, где дается определение обработки персональных данных, и в пункте 9 той же статьи, дающем определение термина «обезличивание»; в части 7 статьи 5, наделяющей оператора полномочиями обезличить, а не уничтожить персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей; и в пункте 9 части 1 статьи 6, разрешающей обрабатывать персональные данные без согласия субъекта в статистических или иных исследовательских целях, за исключением целей директ-маркетинга, при условии обязательного обезличивания персональных данных. Все. Никаких установленных законом случаев обезличивания. Более того, предлагаемая норма прямо противоречит части 7 статьи 5.
Теперь про цель принятия поправок в закон – защиту интересов субъектов персональных данных. Долго думал. И так не придумал, как же обезличивание может нарушить права субъекта, если данные у оператора больше с субъектом не соотносятся и установить его личность оператор более не может.
Предлагаемая поправка наотмашь бьет науку и бизнес. Исследования, неважно, медицинские, социологические или любые иные, построены на статистическом анализе данных об огромном количестве людей, которые именно для защиты их интересов обезличиваются соответствующими организациями. Но, например, в законе «Об основах охраны здоровья…» обезличивание предусматривается только в Единой государственной информационной системе в сфере здравоохранения, но ничего нет про право обезличивать данные медицинских и исследовательских учреждений. Перепись населения производится с использованием обезличенных переписных листов, но в законе «О всероссийской переписи населения» это тоже не установлено, лишь в Приказе Росстата от 17.04.2018 № 179 указано, что «хранение данных должно осуществляться при условии обязательного обезличивания персональных данных». Но приказ – не закон и не основание для обезличивания в предлагаемом варианте поправок.
Наконец, методики банковского и страхового андеррайтинга, расчета процентов, премий и выплат основаны, естественно, на статистике, требующей обезличивания и длительного хранения огромного количества персональных данных клиентов, касающихся исполнения договоров банковского обслуживания и страхования. Но в законах «О банках и банковской деятельности» и многочисленных законах, регламентирующих страховое дело (их очень много!) вопросы обезличивания никак не регламентируются.
Принятие законопроекта потребует внесения изменений в огромное количество законодательных актов для легализации обезличивания персональных данных в различных сферах деятельности, а до их принятия действия операторов по обезличиванию будут противоречить закону.\
Законопроект идет вразрез с мировой практикой регулирования обработки персональных данных. В европейском регламенте GDPR псевдонимизация является базовой мерой проектируемой защиты данных (Data protection by design) и должна применяться всегда, когда и где это возможно.
Тем временем, на том же портале http://regulation.gov.ru появился проект другого документа – Указания Банка России «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента». Документ требует отдельного анализа, но, пока он не принят, обратим внимание только на один момент.
В нем как раз предусматривается обезличивание данных о владельцах предполагаемых дроперских счетов, но вместо обезличивания используется совсем другой термин – хэширование, в частности, номера документа, удостоверяющего личность в целях идентификации лица, и СНИЛС. Передача фамилий, имен и отчеств плательщиков и получателей средств не предполагается.  В сегодняшнем комментарии «Ведомостям» я уже высказывал точку зрения, что такая обработка персональных данных не требует согласия субъекта и не противоречит закону, но там другая загвоздка.  
В соответствии с позицией Минкомсвязи и 8 Центра ФСБ России, «хеширование не входит в число методов обезличивания персональных данных». Кроме того, структурированность форматов текстовой информации сокращает множество входных значений хэш-функции, и, как следствие, область значений функции хеширования, что в совокупности приводит к возможности возникновения угрозы подбора нарушителем персональных данных для конкретного субъекта методом перебора.
Из всего этого делается категоричный вывод: «Таким образом применение хеширования для обезличивания персональных данных является нелегитимным».
Подводим итоги. Хочется надеяться, что инициативы Минкомсвязи в отношении обезличивания не найдут поддержки, и законопроект не будет принят. И очень надеюсь, что указание Банка России будет принято, и в отношении хэширования как способа обезличивания будет создан прецедент.

17 августа 2018 г.

Персональные данные предлагают легально сделать рыночным товаром

Похоже, что под предлогом построения цифровой экономики нас будет ждать масса неприятных сюрпризов. Один из них прокомментировал «Ведомостям».
Россияне могут утратить контроль над своими персональными данными
Цифровая экономика предлагает позволить компаниям передавать их без ведома владельцев
16 августа 23:45 Ведомости Светлана Ястребова
Компании могут получить новые права в обращении с персональными данными. Получив их с согласия человека, компании без уведомления смогут передать на обработку другим компаниям, предлагает проект поправок в закон «О персональных данных». (Сейчас закон такое запрещает.) Выбранный ею подрядчик сможет дальше по цепочке перепоручить обработку данных, также не уведомляя человека, а только уведомив компанию-заказчика.
Поправки написали представители бизнеса, а фонд «Сколково» (центр компетенций при создании нормативов цифровой экономики) отправил их в следующую инстанцию по направлению – рабочую группу по нормативному регулированию цифровой экономики, заявил представитель «Сколково». Она либо одобрит поправки, либо вернет в «Сколково» на доработку. «Ведомости» ознакомились с поправками, подлинность подтвердил представитель «Сколково».
Отвечать за сохранность персональных данных по поправкам будет компания, которая первоначально их собирала и получила согласие человека на их обработку. Ей придется разместить на сайте список всех компаний, которым она отдаст обработку данных, или найти другие способы уведомить гражданина, кто получит доступ к его данным, и зафиксировать эти способы в том же договоре с ним, где он соглашается на обработку данных. Человек имеет право узнать, куда компания передала его данные; отвечать на запрос компания имеет право месяц. Но запретить их передачу по цепочке он не может – только отозвать первоначальное согласие.
Кроме прочего компания сможет обрабатывать данные в целях, которые посчитает выгодными для себя, а не только в изначально согласованных с человеком.
Разработкой законопроекта занималось объединение экспертов из IT-компаний, операторов связи, банков, они перечислены на сайте АНО «Цифровая экономика». Нововведения позволили бы многопрофильному бизнесу и стартапам упростить получение согласия на обработку персональных данных, расширить спектр услуг, получить которые можно будет дистанционно, и предлагать клиентам именно то, что им интересно, рассчитывает участник обсуждения поправок.
«Мегафон» в целом поддерживает законопроект – он усовершенствует порядок обработки данных, а это будет стимулировать развитие новых услуг в цифровой экономике, объясняет представитель оператора. Эксперты движутся к тому, чтобы упростить выдачу, отзыв, корректировки согласий на обработку персональных данных, считает представитель «Ростелекома».
При правильном регулировании новый порядок обращения с персональными данными поможет бизнесу оптимизировать их обработку, а для граждан сделает оборот данных более прозрачным и подконтрольным, предполагает представитель «Ростелекома».
Есть и не согласные с идеей, зафиксированной в поправках. Человек потеряет четкий контроль за передачей его персональных данных и станет бесправным в этом процессе, комментирует документ директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александра Орехович: он разрешает нынешним и будущим – любым партнерам компании распоряжаться данными без ведома человека. Такой подход, по мнению Орехович, нарушает права пользователя. Данные могут принадлежать только субъекту и только он может ими распоряжаться, присваивать его данные себе не может никто, непреклонна она.
Поправки противоречат духу и букве закона о персональных данных, поддерживает ФРИИ управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников. Мировое сообщество стремится к тому, чтобы максимально четко информировать людей, зачем у них собирают данные, описывать, как и кто будет их использовать, ограничивать их обработку целями, заявленными при сборе, объясняет Емельянников. Такое, в частности, предусматривает вступивший в силу в мае в Евросоюзе регламент защиты данных (General Data Protection Regulation, GDPR), сообщает он.
Предложенные поправки, очевидно, выгодны только бизнесу, который сможет сделать данные товаром и продавать их в своих интересах, уверен Емельянников, и, более того, логика этих поправок может спровоцировать множество нарушений закона о рекламе, потому что этот закон запрещает использовать персональные данные в маркетинговых целях без согласия потребителя. Штраф за каждое такое нарушение составляет от 100 000 до 500 000 руб.