Писк души

Душа хотела крикнуть, но не смогла. На нее упало снятое с операторов персональных данных новой редакцией ФЗ-152 обременение и придавило напрочь, так что напоследок ей удалось только пискнуть. Видимо, не донесли снятое, и уронили прямо на нее, бедную. Вряд ли теперь стоит называть выносимую на второе чтение, судя по повестке, завтра, 1 июля, редакцию закона «поправками Резника», как все привыкли говорить за последний год. Теперь это не его поправки. То, к чему призывал Владислав Матусович в пояснительной записке и предлагаемых изменениях, снесено могучим ураганом новых редакций статей 18 прим, 19 и 22.

Противоречащих друг другу, местами – здравому смыслу, полностью – той цели, ради которой затевались изменения. Духу закона – тоже: они предполагают передачу уполномоченному органу (а судя по содержанию уведомления – и другим регуляторам тоже) персональных данных лиц, ответственных за безопасность, без всякого на то их согласия, но в случаях, прямо предусмотренных ФЗ-152 в новой редакции.

В повестку пленарного заседания на завтра законопроект попал. Докладывает не В.М.Резник, а В.Н.Плигин, который и настаивал на внесении законопроекта в данном виде. Неужели все-таки вынесут? Неужели все-таки примут? Во втором чтении? Сразу и в третьем? Неужели проигнорируют поручение Президента?

Ждать недолго. Душа истомилась. И даже больше не пищит. Пар вышел вместе с воздухом после обрушения обременений.

Кстати, завтра же во втором чтении принимается законопроект о внесении изменений в законодательство в связи с принятием ФЗ-294 "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". Текст, принятый в первом чтении, делал законным основанием для проведения внеплановых проверок заявления, жалобы, обращения и пр. субъектов персональных данных, органов власти и СМИ, причем без предварительного уведомления операторов, что предполагало внесение изменений в ФЗ-152. Если ничего не изменится, никаких законных оснований для внеплановых проверок соблюдения законодательства в области персональных данных, по-прежнему, не будет.

Чудны дела твои, Дума…

Велик могучий русский языка!

Проводил в минувшую пятницу очередной курс по информационной безопасности – для кадровиков, которые часто остаются наедине с проблемами регулирования отношений между работником и работодателем по вопросам охраны коммерческой тайны, обработки персональных данных, особенно там, где айтишники существуют номинально, а безопасники ничем, кроме охраны и сопровождения грузов не занимаются (если они есть вообще). Но речь сейчас не об этом.

А о наших законах, которые наряду с двумя главными общеизвестными бедами нашей страны, похоже, уверенно становятся третьей. Аудитория, перед которой я выступал, особенно благоприятна для свежего взгляда на проблему – для них все это в диковинку, поэтому то, к чему мы уже привыкли, общаясь в профессиональной среде, здесь приходится тщательно разбирать и разбираться.

Долго, хором и поодиночке, читали часть 12  ст. 9 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (ФЗ-294): «О проведении плановой проверки юридическое лицо, индивидуальный предприниматель уведомляются органом государственного контроля (надзора), органом муниципального контроля не позднее чем в течение трех рабочих дней до начала ее проведения». Я не верю в опечатки в законах. Они проходят через такое количество и таких рук, что опечатка там невозможна в принципе. Так что же тогда имели ввиду авторы под словами «не позднее, чем в течение трех рабочих дней»? Эта фраза на русский язык не переводится никаким образом. За один час предупредить можно? Это же не позднее? А за неделю? Это позднее или раньше?

Это самый яркий образец (умышленного?) лукавства в законе. Но есть и другие, не менее занятные. Закон относит к полномочиям органов контроля разработку и принятие административных регламентов проведения проверок, а также административных регламентов взаимодействия. При этом по просьбе руководителя проверяемой организации должностные лица органа государственного контроля обязаны ознакомить подлежащих проверке лиц с административными регламентами проведения мероприятий. Но вот что интересно. Обязанности разработать регламент закон не устанавливает. На сегодняшний день административных регламентов проведения проверок выполнения требований по защите персональных данных нет ни у ФСБ, ни у ФСТЭК, на которые Федеральным законом «О персональных данных» возложены функции контроля и надзора. 1 июля их представители могут прийти на проверки. Обязаны они иметь регламенты или нет? Вопрос, конечно, интересный.

Дальше – больше. ФЗ-294 обязывает органы контроля и надзора согласовывать планы проверок с прокуратурой, Генпрокуратура и контролирующие органы должны размещать планы проверок на своих сайтах. Такие планы есть. На сайте Роскомнадзора – в явном виде, на сайте Генпрокуратуры – в виде поисковой формы. Они  не совпадают! В плане Роскомнадзора проверка конкретной организации есть, в сводном плане Генпрокуратуры – нет. И что из этого следует? Можно проводить проверку или нет? Законна ли она? В ФЗ-294 ответа снова нет. Основанием для признания  результатов проверки, проведенной с грубым нарушением закона, недействительными является отсутствие согласования с прокуратурой только внеплановых проверок или отсутствие плановой проверки в плане самого контролирующего органа. Зачем же тогда затевать бодягу с генпрокуратурой?

Жалобы на несоблюдение законодательства в области персональных данных не могут являться основанием для внеплановых проверок – исчерпывающий перечень оснований есть в ФЗ-294. На исправление этого «перекоса» (по мнению регулятора) направлены изменения, принятые в первом чтение Госдумой. Но! Читаем Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2009 год (есть на сайте Роскомнадзора, за 2010 год не подготовлен, хотя постановление Правительства требует готовить его до 15 марта. Готовить, но не размещать): «Во втором полугодии отчетного периода необходимо отметить динамику снижения (почти на 50%) количества внеплановых проверок по сравнению с первым полугодием 2009 года. Это напрямую связано с вступлением в силу Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц …при осуществлении государственного контроля (надзора) …Очевидно, что отсутствие в указанном федеральном законе такого основания для проведения внеплановых проверок в области персональных данных как обращения или заявления граждан на действия (бездействие) Операторов резко снизило эффективность защиты их прав и законных интересов». Т.е. Роскомнадзор знает, что проверять на основании жалобы нельзя. Но проверяет! Правда, в два раза реже, чем хотелось бы…

Ах, как прав был безвременно ушедший Александр Иванов: «Велик могучий русский языка!». На нем можно писать законы, понять которые нельзя, а чиновник, тем не менее, всегда оказывается прав. А все остальные, соответственно, неправы…

Неожиданный барьер на пути инвестиций в Россию

Приехал по приглашению партнеров в Европу. Не погулять, а по делу. В связи с изменением моего положения повалились предложения о сотрудничестве из самых разных мест. Из Европы в том числе. Что хотят? А вот это история довольно интересная.

Результаты законотворчества наших избранников в области информационной безопасности докатились, наконец-то, и до Европы. И весьма всех озадачили.

Инвестиции в Россию и выход на российский рынок европейцам очень интересны. Все поляны вокруг утоптаны. А тут такие большие возможности и перспективы… Теперь, прежде чем откликнуться на приглашение вложиться в Россию и, может быть, даже замахнуться на участие в Сколково, наученные горьким опытом «Эрмитаж Капитал», наслышанные про проблемы ввоза всяких там средств защиты и прочих радостях российской жизни, буржуи-фирмачи хотят понять, а во что они потенциально могут вляпаться. С точки зрения проблем информационного права в том числе.

Среди задаваемых вопросов на первом месте – особенности нашего регулирования защиты персональных данных. Честные ответы повергают в шок. Что, если мы открываем представительство в России, для нас все эти приказы (как это будет не по-русски – Федеральная служба экспортного и технического контроля? С ФСБ перевод проще и доступнее. Понятливый кивок – а, КГБ!) обязательны? Почему?! Мы же с вами ратифицировали одну и ту же конвенцию! Восклицательных знаков именно столько.

Этот вопрос возникает у тех, кто серьезно прорабатывает риски «экспансии на Восток», независимо от того, чем они планируют заниматься.

Вторая группа вопросов у тех, кто собирается поработать на рынке информационной безопасности. Фактическая обязательность сертификации средств защиты информации, особенно если их хочется продавать в госструктуры (а кому ж не хочется?) при отсутствии требований к огромной части продуктов, необходимость раскрытия кода для сертификации на отсутствие недекларированных возможностей  доводят уже появившуюся ранее оторопь до состояния ступора. Сначала возмущаются: «Мы продаем по всему миру (Европе)!». Потом удивляются: «Но ведь нигде, где мы торгуем, этого не требуется?». «Мы выпускаем патч в неделю, сервис-пак в месяц, сервис-релиз раз в полгода! Какая сертификация, какие контрольные суммы?». И,  наконец, определяются: «Доля России сегодня – запятая после нуля. И при таких условиях никогда не станет даже на уровне 10-20%. Зачем заморачиваться?».

Не стимулирует стремление западных компаний на Восток и практика признания и использования международных стандартов, в области безопасности – в частности. К стандартам мы присоединились, но выданные за рубежом сертификаты, подтверждающие их выполнение, не признаем. Позиция занятная, но не понятная.   

Более глубокие разговоры, например, про коммерческую тайну взаимопониманию также не способствуют. При полном тождестве «родовых признаков»: действительной или потенциальной коммерческой ценности, неизвестности секретов третьим лицам на законном основании, принятии обладателем мер по охране конфиденциальности практика правоприменения этого института охраны прав оказывается совершенно разной и недоступной для понимания европейцам. Обязательность набора режимных мер, принудительная система учета доступа к коммерческим секретам, полнота и совокупность выполнения режимных требований при принятии решений арбитражными судами об охраноспособности сведений не доходят до сознания прагматичных иностранцев.

Попытки объяснить легальный порядок ввоза в Россию средств защиты, содержащих криптографические модули, заканчиваются полным фиаско. А что, в софте и железе крупнейших вендоров криптографии нет?  И в России не используется оборудование Juniper и приложения на Lotus? И что происходит с криптографией там? А как работает https с длинным ключом при обращении к ресурсам, где ключ – длинный? Беседа заходит в тупик.

Система государственного регулирования информационной безопасности и сложившая в России практика правоприменения очень не похожи на американские и европейские, не воспринимаются людьми с другим менталитетом и просто пугают.

Появилось впечатление, что на пути инвестиций в Россию появляется новый барьер. И на пути современных технологий противостояния все новым и новым угрозам – тоже. Государственные риски – страшное дело.