20 ноября 2018 г.

IX международная конференция Роскомнадзора: самое интересное. Часть 2


Как обещал, продолжение про IX международную конференцию Роскомнадзора. Часть 1 здесь.
В заключение по традиции проходил круглый стол «Свободный микрофон с регуляторами» - мероприятие, на котором предоставляется редкая возможность задать вопрос представителям всех надзорных органов. К представителям Роскомнадзора (Ю. Контемиров), ФСБ России (А. Бодров), ФСТЭК России (Е. Торбенко) присоединился А. Сычев из Центробанка.
К сожалению, на Круглый стол не пришли представители Минкомсвязи России, а министерство все-таки, как указано в Положении о нем, – федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных. Вопросов к уполномоченному органу было много, особенно в связи с реализацией программы «Цифровая экономика» и многочисленными законодательными инициативами в области персональных и больших пользовательских данных. Ответы на них получить не удалось.
По приглашению Роскомнадзора модерировал круглый стол я и заранее готовил и собирал вопросы для регуляторов, но получил их немного. Вопросов, в том числе из зала, было много, традиционно больше всего – к Роскомнадзору, но и остальные участники вниманием не были обделены.
Как и обещал, пишу, на мой взгляд, о наиболее интересном или на что стоит обратить внимание. Курсивом – мои комментарии к некоторым ответам.
Ю. Контемиров (Роскомнадзор). 
Роскомнадзор надзирает за законодательством о персональных данных в целом, включая нормы других законов, таких, например, как глава 14 Трудового кодекса.
За этот год всеми территориальными управления Роскомнадзора составлено 98 протоколов по административным правонарушениям, квалифицируемым по статье 13.11 КоАП РФ в новой редакции. Для сравнения – по статье19.7 (неуведомление об обработке или неполучение ответа на запрос) протоколов составляется 7 тысяч и более в год.
Законодательство о персональных данных в совокупности с Постановлением Правительства РФ № 687 регулирует любую обработку персональных данных, в том числе неавтоматизированную в полном объеме (мною был приведен пример с вывешиванием списков должников за услуги ЖКХ в подъезде, написанным от руки; этот случай тоже подпадает, поскольку есть алгоритм выявления неплательщиков из общего списка должников).
Дееспособность в отношении персональных данных у их субъекта наступает в 14 лет, и к согласию на обработку персональных данных, подписанному самостоятельно ребенком 14 лет и старше, претензий не будет. Это первое, на мой взгляд, публичное заявление надзорного органа по этому вопросу. Я писал об этом еще два с половиной года назад и высказывал именно эту позицию.
Подписывать согласие на обработку в электронной форме можно любой электронной подписью, предусмотренной законом 63-ФЗ, а не только усиленной квалифицированной, как недавно настаивало Минкомсвязи.
Типовые формы, предусматривающие внесение в них персональных данных (их несоответствие п.7 Постановления № 687 выявляется в последнее время практически при каждой проверке), должны соответствовать требованиям п.7, только если они созданы оператором самостоятельно. На формы, разработанные госорганами и органами управления внебюджетных фондов в рамках их полномочий, эти требования не распространяются (мною были приведены примеры рецепта на лекарство и форм ПФР). Это был самый неожиданный для меня ответ, поскольку в Постановлении № 687 прямо требуется от госорганов привести свою работу в соответствие постановлению в течение месяца, а прошло 10 лет. Но позиция ведомства такова, и она высказана.
Сам по себе (без привязки к конкретному субъекту) номер телефона или госзнак автомобиля – не персональные данные.
А. Сычев (Банк России)
Кредитно-финансовое учреждение может самостоятельно определять, относить ли конкретную информационную систему банка к ИСПДн или нет. Но смысла уклоняться от отнесения к ИСПДн нет, поскольку требования к банковским системам жестче, чем к персональным данным. Ю. Контемиров прокомментировал, что вопросы отнесения или неотнесения к ИСПДн конкретных систем Роскомнадзор не проверяет.
Сроки оснащения подразделений банков системами биометрической идентификации сдвигаться не будут, несмотря на проблемы с приобретением модуля HSM, размещением клиентских программ в App Store и работоспособностью решения «Ключ Ростелеком». Однако топ-менеджментом Банка России высказываются и иные точки зрения на этот процесс (см., например, здесь). Создание ЕБС – это мощный толчок рынку средств ИБ, который должны поддержать заказчики (банки в данном случае).
Подготовлено и передано на регистрацию в Минюст Указание Банка России об осуществлении надзора за соблюдением банками порядка размещения и обновления сведений в Единой биометрической системе. Так что Банк России скоро станет для кредитных финансовых учреждений основным надзорным органом при работе с биометрией. Если учесть наличие Приложения Б, определяющего для банков состав оргмер при обработке персональных данных в ГОСТе Р 57580.1–2017 по безопасности финансовых операций, а также вспомнить письмо Центробанка от 14.03.2014 № 42-Т «Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан», контроль, похоже, будет выходить за пределы использования биометрии. 
А. Бодров (ФСБ) и Е. Торбенко (ФСТЭК)
Модель угроз безопасности действительно законом и НПА по персональным данным не предусмотрена, вместо нее можно составить просто перечень актуальных угроз, но такой подход усложнит жизнь тем, кто должен согласовывать угрозы с регуляторами.
А. Бодров. Разъяснения на сайте ФСБ о необязательности сертификации средств шифрования при массовой передаче данных в сети Интернет не распространяется на персональные данные, поскольку к ним требования об использовании средств защиты, прошедших процедуру оценки соответствия, установлены законом. На мою реплику о том, что в разъяснении исключения не упоминаются, ответ был простым – этого делать и не надо, действует прямая норма закона.  
От ответа на вопрос о необходимости получения лицензии ФСБ на работу со средствами шифрования для поднятия протокола TLS с алгоритмом RSA представитель ведомства уклонился, указав на то, что это компетенция Центра по лицензированию, сертификации и защиты гостайны ФСБ. Я предложил на круглый стол на следующей конференции пригласить и их, организаторы обещали. А. Сычев в своем комментарии обратил внимание на необходимость более активной работы по внедрению российских алгоритмов в протокол TLS, в том числе – за рубежом.
Е. Торбенко. Подход Приказа № 239 по безопасности КИИ о возможности оценки соответствия средств защиты информации в форме испытания и приемки можно применять и при построении системы защиты персональных данных, но владелец системы должен осознавать свою ответственность за качество и обоснованность такой оценки. А. Бодров отметил, что ФСБ по-прежнему считает допустимой только оценку соответствия в форме сертификации в своей системе.
Сертификация прикладного программного обеспечения, используемого для обработки персональных данных, не требуется, если оно не реализует функции защиты от актуальных угроз. Но любой заказчик вправе потребовать такую сертификацию от поставщика или исполнителя, если считает ее необходимой.
В блоге Сергея Борисова приведены ответы регуляторов на круглом столе и выложена ссылка на его аудиозапись круглого стола.

16 ноября 2018 г.

IX международная конференция Роскомнадзора: самое интересное. Часть 1


8 ноября прошла IX международная конференция «Защита персональных данных», которую часто и справедливо называют коротко – конференция Роскомнадзора. Попытаюсь коротко рассказать о самом интересном, естественно, с моей точки зрения.
Несколько раз на конференции представители Роскомнадзора (Ю. Контемиров и А. Гафурова) упоминали новую редакцию Конвенции Совета Европы ETS-108, в числе первых стран, ее подписавших была Россия, которая также участвовала в подготовке текста новой редакции. Было заявлено, что модернизация директивы не повлечет серьезных изменений в организации защиты персональных данных в России, а подписание позволит России попасть в перечень стран, соответствующих GDPR. Стоит учесть, что предстоит еще ратификация новой редакции, сдача ратификационной грамоты и ее прием Советом Европы, на что в прошлый раз ушло 8 лет.
Из значимых последствий подписания Конвенции – в России должна появиться обязанность операторов уведомлять об утечках и ответственность за попытки уклониться от ее выполнения. О новой редакции Конвенции надо писать отдельно (при случае постараюсь написать пост), главное – она стала максимально близка к GDPR, однако механизм ее вступления в силу будет довольно сложным и длительным.
Из других новаций, о которых сообщил надзорный орган – скорое появление ресурса, на котором можно будет отзывать согласие на обработку персональных данных (как я понимаю, любое и у любого оператора). Это совсем не радует, поскольку означает, что появится ресурс, где будет собираться информация о том, кому и на что каждый субъект давал согласие. Меня такие ресурсы, если честно, очень пугают.
Как всегда, смелым, интересным и довольно вольнодумским было выступление замминистра Минкомсвязи Алексея Волина. Он говорил о том, что регулирования у нас в стране слишком много, и это не содействует развитию, лучше что-то недорегулировать, чем перерегулировать, и надо развивать, а не запрещать. О том, что гражданам надо самостоятельно делать выбор между комфортом, для чего передать свои персональные данные оператору, и приватностью, отказываясь от комфортных сервисов, граждан надо готовит к жизни в цифровом мире. Нынешнее определение персональных данных архаично, слишком широко, это понятие надо сужать. Законы должны быть не для сумасшедших, которые ими пользуются, а для нормальных людей, привел в пример запрет на объявление фамилий опаздывающих пассажиров в Шереметьеве. И наконец, что защита персональных данных требует, в первую очередь, саморегулирования, а не госрегулирования. Его бы слова в уши и законодателям и регуляторам.
К нему позже примкнул Дмитрий Тер-Степанов из АНО «Цифровая экономика», призывавший регуляторов не мешать развитию технологий.
О проблемах рынка технической защиты конфиденциальной информации говорил Максим Фатеев, вице-президент Торгово-промышленной палаты России. Рынок растет, но для малых и микропредприятий соблюдение лицензионных требований неподъемно, в регионах очень не хватает специалистов.
Неожиданно выступил Илия Димитров из «Опоры России», заявивший, что GDPR – документ о мире, который был 15 лет назад, а регулирование надо строить на прогнозе развития на 10-15 лет вперед и при реализации таких программ как «Цифровая экономика», управлять таким прогнозом. Именно Евразийский экономический союз должен создать информационный кодекс для нового мира, и тогда весь мир ринется размещать свои данные у нас в стране. Этот кодекс должен быть цифровым и сам проверять, выполняется он ли или нет. Тут я окончательно перестал понимать предложения оратора, особенно учитывая текущую практику принятия законов по лоскутному принципу (где порвалось, там и залатаем).
Владислав Онищенко из Аналитического центра при Правительстве РФ сообщил, что наличие многочисленных тайн в российском законодательстве (их действительно очень много, с этим трудно не согласиться) мешает свободному обмену информацией и ее использованию в экономической деятельности. Надо упростить и алгоритмизировать обмен данными в госорганах, а пока они только собираются за счет налогоплательщиков, однако используются из-за ограничений неэффективно. Он выразил сомнение в реальности отзыва согласия на обработку ранее использованных персональных данных. Что произойдет после отзыва? Данные надо «вырезать», пересчитать без учета данных отозвавших согласие субъектов? Если они существуют только в электронном виде, как проверить, что удалены? Новые проблемы создаст переход на полностью электронные документы. В качестве примера была приведена электронная трудовая книжка. Человек проработал на предприятии 15 лет, а в реестре запись только о 10 годах. Как восстанавливать правду, доказывать, что допущена ошибка?
В целом представители органов власти и находящихся рядом с ним организаций порадовали смелостью и новаторством, но вот результаты деятельности в жизни выглядят пока очень отличающимися от декларируемых принципов.
После достаточно официальной, но живой пленарной части, почему-то названной дискуссией (дискутировали выступающие с отсутствующими оппонентами, но не друг с другом) была двухчасовая секция по GDPR, которую я модерировал. Организация такого обсуждения – это знаменательное и достаточно неожиданное событие, поскольку ровно год назад в этом же зале с высокой трибуны было сообщено, что GDPR России не касается совсем.
А. Гафурова из центрального аппарата РКН немного рассказала о новой редакции ETS-108 и последствиях присоединения к ней России, остановилась на применимости GDPR к деятельности российских операторов. К сожалению, регламент приходилось выдерживать очень жесткий (10-15 минут на выступление), и позадавать вопросы выступающим не могли ни модератор, ни слушатели из зала. А их было очень много и у меня, и у тех, с кем успел обменяться мнениями после сессии. В частности, А. Гафурова постоянно говорила о гражданах ЕС, рассматривая Регламент, а в нем все-таки речь идет о лицах на территории Евросоюза, что совсем не одно и тоже. Было три выступления от надзорных органов (DPA) – из Венгрии, Италии и Болгарии. Как показалось, для них сейчас реализация Регламента – крайне серьезная проблема, и на многие вопросы ответов нет, некоторые даже приостановили консультации, не имея готовых рецептов.   
Порадовали выступления российских участников, они достаточно глубоко влезали в тонкости Регламента и давали весьма полезные рекомендации.
Вадим Перевалов из Baker McKenzie рассмотрел регулирование вопросов передачи персональных данных в договорах, как содержащих, так и не содержащих поручение на обработку, в страны, обеспечивающие и не обеспечивающие адекватную защиту, по обязательности и необязательности отдельных положений таких договоров.
Об общем и различном в регулировании 152-ФЗ- и GDPR вопросов использования персональных данных для директ-маркетинга рассказала Анастасия Петрова из «Алруд». Она обратила внимание на наличие иного, чем в российском законе, основания для рекламных рассылок – законного интереса контролера и проанализировала, когда им можно руководствоваться.
Евгений Ким из EY остановился на участниках процесса приведения обработки в соответствие Регламенту и некоторых наиболее сложных проблемах – трансграничной передачи за пределы ЕС, получения согласия на такую передачу, необходимости назначения сотрудника по защите данных (DPO).
Артем Дмитриев (PwC) провел сравнительный анализ оснований для обработки персональных данных в GDPR и российском законе, подробно остановившись на таком основании как законный интерес оператора, плохо работающем у нас, но более предпочтительном, чем согласие субъекта в Евросоюзе.
Наконец, Евгений Калинин с использованием очень эффектной презентации рассказал о проделанной Сбербанком работе по оценке применимости GDPR к деятельности крупнейшего российского банка.
Секция получилась, на мой взгляд, очень интересной – никакой джинсы и рекламы, коротко, но глубоко, все по делу. Вот дискуссии только не хватало и вопросов-ответов. Жаль. Было бы еще интереснее.
Об «Открытом микрофоне с регулятором» – в следующий раз. И так слишком много букв.
Продолжение следует. Часть 2.