Закон не о блогерах-2. Организаторы распространения информации

Продолжим совместное чтение нового Федерального закона от 5 мая 2014 года № 97-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей», который, как я пытался убедить читателей, вовсе не «закон о блогерах». Учитывая огромное количество вопросов и возражений, высказанных на разных зеркалах блога, поясняю ситуацию. Если бы в законе было написано «Блогер – физическое лицо, по своей воле периодически публикующее на специально созданном сайте или странице сайта в сети интернет (блоге) свое личное мнение по каким-либо вопросам и проблемам, предоставившее неограниченный доступ к блогу неопределенному кругу пользователей сети и возможность комментировать публикации», первого поста бы не было. Приблизительно такое представление сложилось в обществе о блогерах в настоящее время. Но в 97-ФЗ блогер обладает двумя родовыми признаками:

·         он владелец сайта, т.е. владелец совокупности программ для ЭВМ и иной информации, содержащейся в информационной системе (видимо, созданного блогером контента, но точно закон об этом не говорит), доступ к которой обеспечивается посредством сети интернет по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты;

·         на сайт, принадлежащий блогеру, в день заходит более 3000 пользователей сети интернет (опять-таки не ясно, в среднем за неделю, месяц, год или в тот день, когда на сайт, оснащенный рекомендованными счетчиками, зайдет в порядке систематического контроля инспектор Роскомнадзора и увидит хотя бы на одном счетчике число более 3000). Что счетчики показывают совершенно разные результаты, наглядно показал на примере своего сайта Тарас Злонов. Когда я писал этот абзац, показатели счетчиков у него не очень плавно колебались от 2 до 411.

Следующим важнейшим субъектом, чья деятельность регулируется новым законом, является организатор распространения информации. Кто же это? Если закон о блогерах, логично предположить, что это тот, кто предоставляет техническую возможность блогеру делиться своими мыслями – всякие там социальные сети, живые журналы, сайты, печатающие или перепечатывающие посты. Внимательно читаем определение части 1 новой ст.10.1 «трехглавого закона»: «Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет"».

Вы точно внимательно прочитали? И что увидели? Я увидел следующее. Если через сайт можно передать, доставить или обработать любое электронное сообщение, то владелец сайта или оператор информационной системы, эксплуатирующий ее по соглашению с владельцем, являются организаторами распространения информации. А это и сайты по бронированию чего угодно, и все интернет-магазины, и сайты, предоставляющие возможность прокомментировать его контент, и т.п.

А теперь приготовьтесь. Вы устойчиво сидите у своего ноутбука? Планшет опасно упасть не может? Тогда читайте. Под определение организатора распространения информации, данное в законе, подпадает любая организация, имеющая собственный почтовый сервер или внутренний портал с возможностью коммуникации персонала между собой.

Более того, если в соответствии с частью 7 статьи 10.2 владельцы сайтов, которые зарегистрированы в соответствии с законом от 27.12.1991 № 2124-1 «О средствах массовой информации» в качестве сетевых изданий, не являются блогерами, то указания на то, что они не являются организаторами распространения информации, в новой редакции закона нет, а значит, они (СМИ в интернете) должны выполнять все обязанности, предусмотренные частями 2-4 ст.10.1. Т.е. уже сегодня, а не с 1 сентября 2016 года, хранить на территории России персональные данные россиян, уведомить о своей деятельности Роскомнадзор и поставить средства СОРМ. Сегодня, а точнее – с 1 августа 2014 года.

И уже ясно, кто определит требования к устанавливаемому оборудованию. С 12 августа вступает в силу Постановление Правительства РФ от 31.07.2014 № 741 «Об определении федерального органа исполнительной власти, уполномоченного на установление требований к оборудованию и программно-техническим средствам, используемым организатором распространения информации в информационно-телекоммуникационной сети «Интернет», в эксплуатируемых им информационных системах». Естественно, этим органом стало Минкомсвязи, которое уже разместило на едином портале сведения о том, что публичное обсуждение проекта соответствующего приказа начато, правда, текст обсуждаемого документа пока не выложило.

Требований к оборудованию СОРМ  пока нет. Зато в тот же день, 31 июля, Постановлением Правительства N 759 утверждены «Правила хранения организаторами распространения информации в информационно-телекоммуникационной сети "Интернет" информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей информационно-телекоммуникационной сети "Интернет" и информации об этих пользователях, предоставления ее уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации».

И вы знаете, что, помимо прочего, попало в перечень фиксируемой информации? Не поверите. «Фактически фиксируемая коммуникационным сервисом информация об организации приема, передачи, доставки и (или) обработки электронных сообщений, осуществляемых с использованием технологий электронных платежных систем, в том числе информация о произведенных денежных операциях (с указанием информации о корреспонденте-идентификаторе платежной системы, валюты, суммы, оплачиваемой услуги или товаров (при наличии), об иных данных, указанных при проведении денежной операции), осуществленных транзакциях (с указанием идентификатора платежной системы ("электронного кошелька"), суммы прихода либо расхода, иных данных, указанных при осуществлении транзакции)». Банкам, магазинам принимающим платежные карты, владельцам платежных терминалов и прочим организаторам электронных кошельков стоит обратить внимание.

Кстати, про то, за чей счет все это будет фиксироваться, ни в законе, ни в новых постановлениях нет ни слова.

В заключение. Пост – не про здравый смысл. Пост – про буквы, которые написаны в законе.

Закон не о блогерах

В пятницу, 1 августа, вступил в силу Федеральный закон от 5 мая 2014 года № 97-ФЗ с уже привычным названием «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей», который в многочисленных комментариях получил название «закон о блогерах». А закон «Об информации, информационных технологиях и о защите информации» я привычно буду дальше называть «трехглавым законом».

Так вот, закон – вовсе не о блогерах. Главные там – владельцы сайтов и распространители информации, под категорию которых подпадают владельцы практически всех сайтов в сети интернет с пороговой посещаемостью в 3000 уникальных посетителей в сутки, не являющиеся СМИ – солидные банки и большие интернет-магазины, форумы и многие другие. А вовсе не сайты или страницы блогеров.

Давайте разбираться.

В соответствии с частью 1 ст.10.2, блогер – это владелец сайта и (или) страницы сайта в сети интернет, на которых размещается общедоступная информация, и доступ к которым в течение суток составляет более трех тысяч пользователей сети интернет. А владелец сайта (термин появился в «трехглавом законе» еще в 2012 году) – это лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети интернет, в том числе порядок размещения информации на таком сайте. Вы что-нибудь увидели в этих определениях из общепринятых признаков блогов – размещение личного мнения по тем или иным вопросам с возможностью любому желающему их прокомментировать? Я – нет. Вижу в них только размещение общедоступной информации в интернете, которую ежедневно читают более трех тысяч разных пользователей. Доска объявлений, аукцион, любой хорошо посещаемый сайт.

Далее. Применительно к сервису, который я использую для своего блога, вот этого, например, владельцем сайта является компания Google, в 2003 году купившая компанию Pyra Labs –владельца сервиса Blogger, который вместе с доменным адресом www.blogspot.com перешел к покупателю. Именно Google, а не я, по своему усмотрению определяет порядок использования сайта в интернете и размещения информации на нем. В соответствии с «Условиями использования Google», Blogger - одна из служб Google, которая предоставляется пользователям на основании личной, действующей во всем мире, безвозмездной, неисключительной и не подлежащей переуступке лицензии на использование программного обеспечения в рамках работы со службами Google. Пользователи, в свою очередь, должны соблюдать все правила, с которыми им предложено ознакомиться при использовании служб. 

Оперируя термином «владелец страницы сайта», «трехглавый закон», тем не менее, определения ему не дает. Потому что страница сайта, в соответствии с этим же законом, - это часть сайта в сети интернет, доступ к которой осуществляется по указателю, состоящему из доменного имени и символов, определенных владельцем сайта в сети интернет. Из этого определения следует, что никакого отдельного владельца у страницы быть не может, ею распоряжается владелец сайта. Таким образом, все графоманы, вроде меня, пишущие в сети, блогерами в терминах закона не являются, все вопросы надо адресовать к владельцу сайта, в данном случае к Google. А он находится вне юрисдикции «трехглавого закона», поскольку читаем в тех же «Условиях использования», «Все споры, так или иначе связанные с данными Условиями использования, разрешаются в соответствии с законодательством штата Калифорния (США), исключая положения о конфликте законов. Все иски, так или иначе связанные с настоящими Условиями использования или самими Службами, находятся в компетенции судов федерального уровня или уровня штата, расположенных в округе Санта-Клара (штат Калифорния, США). Вы наравне с компанией Google признаете юрисдикцию этих судебных органов».

Да, я помню, с 1 сентября 2016 года доступ к блогу в России можно заблокировать (на самом деле можно уже сегодня, но это отдельная песня). Но выполнять требования ст.10.2 Google (как и любой другой зарубежный владелец ресурса для размещения блогов и иной общедоступной информации) может исключительно на добровольной основе.

Когда же, исходя их указанных определений, физлицо подпадает под определение блогера? Если сайт принадлежит ему (зарегистрирован на него) и он установил правила его использования.

Зато, как я уже писал выше, под определение подпадают владельцы российских сайтов, не зарегистрированные как средства массовой информации с установленной минимальной посещаемостью. И им уже не удастся, создав страницу для размещения информации пользователями и посетителями, перевести стрелки, указав в дискламейре, что всю ответственность за соблюдения закона несут лица, а владелец сайта за все не собственные публикации, мнения, высказывания и их содержание не отвечает. Для него теперь шесть обязанностей и два запрета в статье 10.2, и следить за контентом, если блокировка доступа является неприемлемым риском, придется еще как внимательно. Потому что если не следить, начинает работать новая статья закона 15.4. «Порядок ограничения доступа к информационному ресурсу организатора распространения информации в сети "Интернет"».

Запрета на размещение персональных данных россиян за рубежом нет, но…

Начну с конца, поскольку он мне кажется если и не самым важным в новом законопроекте (пока одобрения Совета Федерации и подписи президента нет), то крайне важным.

Это я про закон о «запрете россиянам размещать свои данные за рубежом». Об этом самом запрете, точнее, о том, что его нет – чуть ниже. Меня очень удивило, что ни в одном из многочисленных комментариев, которыми просто завален рунет последние три дня, не упоминается о третьей статье нового законопроекта. А там, между прочим, прямо написано, что из-под действия Федерального закона № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» выводится контроль и надзор не только за обработкой персональных данных, но и за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «Интернет». Вы понимаете, что произошло?

За этими двумя сферами деятельности можно теперь надзирать, не согласовывая свои действия с прокуратурой, проводя проверки абсолютно по любому поводу, а не только по короткому и закрытому перечню оснований, предусмотренных ст.10 закона (если вы не знаете, проверки по жалобе субъекта персональных данных в абсолютном своем большинстве незаконны). Можно не вывешивать на сайтах надзорных органов ежегодные планы проверок, не включать такие проверки в сводный план проверок субъектов предпринимательства на сайте Генпрокуратуры. Ну и т.д. – почитайте 294-ФЗ, пока он еще действует в этих двух надзираемых областях. Изменения в 294-ФЗ вступают в силу также с 1 сентября 2015 года.

А теперь о запрете. Поскольку закон так возбудил общественность, что комментировать эту затейливую сферу стали даже на «Слоне» и «Эхе Москвы», в том числе люди, впервые вообще узнавшие о наличии у них каких-то персональных данных, в комментариях появилась масса утверждений, далеких от правды, что породило мифы.

Основных быстро рожденных мифа два:

·         россиянам запретили размещать свои данные за рубежом,

·         иностранным компаниям запретили получать и обрабатывать персональные данные россиян.

Ни того, ни другого запрета в законопроекте нет. Но!

Что там есть, я уже писал, но, поскольку градус и некомпетентность комментариев зашкаливает, кое-что поясню еще раз. Закон обязывает сбор персональных данных россиян, в том числе и в интернете, организовать таким образом, чтобы дальнейшая их обработка осуществлялась с использованием баз данных, находящихся на территории Российской Федерации. Т.е. с веб-формы сайта бронирования Аэрофлота они попадали не в облако компании Sabre, находящееся неизвестно где и в юрисдикции США, а прямо в дата-центр на территории России. Я не стану, как некоторые коллеги и комментаторы, Алексей Волков, например, уповать на то, что перечислены не все указанные в законе способы обработки, и в тексте изменений отсутствуют слова «исключительно» или «только» перед словами «на территории Российской Федерации». Того, что написано, на мой взгляд, вполне достаточно для однозначного понимания. В России, и точка.

Даже ежику, заблудившемуся в тумане, очевидно, что закон в таком виде просто невыполним и изначально предусматривает избирательность его применения. Никогда сервер регистрации российских пассажиров авиарейса Нью-Йорк - Москва не будет переноситься из аэропорта JFK в Москву, а данные с компьютера отеля в альпийской деревушке не будут немедленно реплицироваться в специально созданную суверенную базу данных. Но! Доступ к ресурсу, критерию территориальности не удовлетворяющему, можно будет легко закрыть во всей России. Мне кажется очевидным, что законопроект направлен против соцсетей, ставших мощным инструментом не только формирования общественного мнения, но и организации граждан, однако находящихся вне доступности СОРМа. Все остальные иностранные интернет-ресурсы просто как обычно попали под раздачу, а предусмотренные законом два года станут периодом давления на всякие там Гуглы, Фейсбуки и Твиттеры и торгов с ними. В конечном итоге те из них, кто сервера в России не поставит, вынуждены будут уйти (а перед этим они, конечно, посчитают свои денежки), а закон останется мощным сдерживающими фактором для других желающих поработать в России без сотрудничества со спецслужбами. Ситуация в этом аспекте полностью идентична недавно сложившейся с международными платежными системами.

Есть у этой инициативы и вторая составляющая. Не знаю, держали ли ее в голове авторы законопроекта, но побочным эффектом запрета станет удар по хостингу российских ресурсов за рубежом. Посмотрите на эту забавную картинку. На долю только одного немецкого хостинг-провайдера приходится без малого 15% всех сайтов доменной зоны ru, и это без учета российских сайтов, зарегистрированных в других зонах (com, biz, info, tv и прочие). Я, правда, не уверен, что это приведет к бурному росту ЦОДов в России.

Очень интересно, как на новый закон прореагируют в Совете Европы. Если кто забыл, принятие 152-ФЗ о персональных данных – прямое следствие ратификацией Россией Конвенции ETS №108 «О защите физических лиц при автоматизированной обработке персональных данных», которая в части 2 ст.12 предусматривает, что присоединившиеся к ней страны не будут запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны Конвенции, а ст. 25 запрещает любые оговорки в отношении Конвенции. Последствия могут быть весьма неприятные, особенно на общем фоне «санкционирования» России и ее резидентов.

Про последствия еще одной нормы закона, касающейся реестра нарушителей и блокировки доступа к их ресурсам я подробно писал в недавнем посте, и повторяться не буду. Процедуры доведения судебных решений до Роскомнадзора в проекте не появилось ни ко второму, ни к третьему чтению. Кстати, норма об отмене блокировки без решения суда, а только на основании оценки Роскомнадзором принятых мер по устранению нарушения тоже весьма интересная – решения суда в силе, а Роскомнадзор может его не выполнять и блокировку снять.

Два года – срок большой. Случиться может многое. Но общая тенденция на сегодняшний день понятна.

И да, господа комментаторы. Нет в законе и подзаконных актах персональных данных 4-го класса. Вообще нет. Не надо придумывать и еще больше запутывать и так обеспокоенных темой неподготовленных соотечественников.

Как решают проблемы атак на банки за рубежом

Помните октябрь 2013-го, таинственные СМС об отзыве лицензии, панику в Подмосковье, очереди к банкоматам «Возрождения», банка из первой «тридцати», невнятные комментарии разных должностных лиц и общий призыв «не волноваться»?

До боли похожий сценарий реализуется с конца прошлой недели в Болгарии. А вот реакция на сложившуюся ситуацию в небольшой стране радикально отличается от российской.

Итак, с утра в пятницу, 27 июня, через интернет и смс-сообщения началось активное распространение информации о проблемах в третьем по величине банке Болгарии, «Первом инвестиционном банке». Клиенты поверили. Уже к 15 часам они сняли в отделениях банка более 400 миллионов евро, и банк закрылся «до понедельника» (обычно по субботам банки в Болгарии работают). Центробанк Болгарии тогда же, в субботу, объявил о спланированной атаке на банковскую систему, заявил о достаточном количестве наличных, отсутствии реальных проблем в банке и неизменности курса лева, вот уже много лет жестко привязанного к евро и не менявшегося за это время ни на стотинку.

В этот же день полиция задерживает первых двух подозреваемых во введении в заблуждение с целью дискредитации банка. К воскресенью число задержанных составило 6 человек. В болгарских СМИ активно обсуждается, к какой ответственности, по какой статье их можно привлечь и на сколько лет посадить.

Вчера, в воскресенье, в процесс вмешался президент страны, заявив: «У нас нет банковского кризиса, но есть кризис доверия и криминальная атака на банковскую систему». Заодно президент заявил о роспуске парламента и проведении досрочных выборов. Нельзя сказать, что эти события жестко связаны между собой, роспуск зрел давно, но вот так совпало. Сегодня (в понедельник) с утра плотно обсуждается отставка правительства, но уже в жесткой привязке к его бездействию по предотвращению банковского кризиса.

Вчера же болгарские власти запросили разрешение в Евросоюзе на кредитную линию для банковского сектора общим объемом 3,3 млрд. левов и уже сегодня утром (!) получили подтверждение о ее предоставлении, поскольку такие действия, как отметили в Европейской Комиссии, «совместимы с правилами единого рынка ЕС».

Отделения Первого инвестиционного банка сегодня утром открылись. Деньги в болгарских банкоматах есть, а очередей к банкоматам нет. Нет и паники.

Это к тому, как можно решать проблемы. Если, конечно, хочется их решать. И не сильно при этом сосредотачиваться на вопросе, почему кризис возник. Это все потом. 

Суверенные базы данных и реестры нарушителей

Зарекся некоторое время назад комментировать проекты законов и прочих нормативных правовых актов, поскольку от окончательной редакции они порой отличаются радикально, если будут приняты вообще.

Но решил сделать исключение из правил. Уж очень удивительный акт готовится – законопроект № 553424-6 «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях)».

Про него уже отпостили Алексей Лукацкий и Сергей Борисов, но есть нюансы, которых я в их комментариях не увидел и на которые хотелось бы обратить внимание. Поскольку рожденное в недрах Госдумы не подлежит опубликованию на «Едином портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения», приходится пользоваться личным блогом для этого самого общественного обсуждения.

О сути закона высказались уже многие, сводится она к двум принципиальным моментам – размещению баз с персональными данными россиян только на территории России (с некоторыми допустимыми исключениями) и созданию очередного реестра, теперь - нарушителей прав субъектов персональных данных. Все остальное – некая обвязка к реализации этих двух основных идей.

По поводу размещения баз персональных данных россиян в России. Удивительна не сама идея суверенности баз, об этом разговоры идут очень давно, а как раз эти самые исключения. Предполагается, что на территории России будет все, но кое-что можно хостить и за ее пределами, а именно – сайты госорганов (пункт 2 части 1 ст.6 152-ФЗ, отдельно выделю базы данных судебных приставов – п.3 части 1 ст.6 152-ФЗ), государственных внебюджетных фондов, любых органов власти и самоуправления, а также организаций, оказывающих государственные и муниципальные услуги (п.4 части 1 ст.6 152-ФЗ).

Мне почему-то казалось, что должно быть ровно наоборот – коммерсанты пусть разбираются с клиентами сами, где находятся их сервера баз данных, а вот госорганы, муниципалы и организации, специально созданные для реализации их полномочий, – за рубеж ни-ни. Сначала я не поверил своим глазам, перечитал статью 1 законопроекта раз десять – точно, им можно. Т.е. систему персонифицированного учета, созданную в соответствии с Федеральным законом «Об обязательном медицинском страховании», или сайт госуслуг или муниципальных услуг города Верхневольтовска захостить где-нибудь в Германии или Латвии – это, пожалуйста, а вот базу данных АБС и веб-сайт банка - стопроцентной дочки зарубежного, или booking.com, где россияне имели неосторожность забронировать гостиницу или арендовать машину – будьте добры перенести в Россию. Я про booking.com не шучу и не ошибаюсь – постоянные требования депутатов и сенаторов проверить на предмет исполнения российского законодательства Google, Twitter или Facebook говорят о том, что законодатели ставят вопрос именно так. Иначе – заблокировать, и точка. Интересен также вопрос, каким образом оператор должен определить, россиянин ему персональные данные прислал или нет. Для абсолютного большинства сайтов указывать гражданство или паспортные данные не нужно.

По поводу включения оператора в реестр нарушителей прав субъектов персональных данных и блокировки ресурса. Попадание в реестр, в соответствии с законопроектом, происходит на основании вступившего в законную силу судебного акта. А теперь – вопрос в студию. Какого именно акта? О чем? В соответствии со ст.2 законопроекта, реестр создается «в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных» Т.е. речь идет о судебном акте, в котором определен виновный в нарушении такого законодательства? Или о судебном акте, прямо требующем блокировки сайта? Если об акте с указанием виновного – это только ст.13.11 КоАП в нынешней редакции, или вообще любое нарушение, связанное с этим законодательством? Могу навскидку предложить целый набор таки случаев:

·    Статья 5.27 КоАП (Нарушение законодательства о труде и об охране труда) – если речь идет о нарушении требований главы 14 Трудового кодекса «Защита персональных данных», например, на сайте опубликованы персональные данные работников без их письменного согласия;

·    Статья 5.39 КоАП (Отказ в предоставлении гражданину информации) – если оператор не ответил на запрос субъекта, поданный через сайт;

·    Статья 13.12 КоАП (Нарушение правил защиты информации, часть 6) – если для защиты сайта используются несертифицированные средства защиты информации или межсетевой экран стоит не того класса защищенности, который указан в Приказе ФСТЭК № 21, а канал сайта не шифруется сертифицированным СКЗИ;

·    Статья 13.13 КоАП (Незаконная деятельность в области защиты информации) – если оператор построил защиту своего сайта сам, а лицензии на ТЗКИ у него нет;

·    Статья 19.7 КоАП (Непредставление сведений (информации)) – если оператор обрабатывает персональные данные на сайте, а Роскомнадзор об обработке не уведомил;

·    Статья 137 УК РФ (Нарушение неприкосновенности частной жизни) – если на сайте собирается и выкладывается информация о частной жизни, а суд посчитал это незаконным;

·    Статья 138 УК РФ (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) – если оператор, например, выложил на сайте частное письмо, SMS-сообщение или протокол телефонного соединения;

·    И с некоторой натяжкой – статья 140 УК РФ (Отказ в предоставлении гражданину информации), если ст 5.39 КоАП показалось мало.

Еще одна проблема, заложенная в законопроекте – а как Роскомнадзор будет узнавать о вступлении в силу решения суда о нарушении законодательства? Обязанности судов это делать в законопроекте не заложено, как и прямого решения суда о блокировке. Предлагается несколько экзотический путь – право субъекта на обращение в Роскомнадзор с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства в области персональных данных на основании вступившего в силу судебного акта по утвержденной Роскомнадзором форме. А если субъект не обратится, как надзорный орган будет выполнять возложенные на него законом функции? Одни вопросы без ответов…

И еще один маленький, но существенный момент. На ряд операторов законом возлагается обязанность раскрывать на своем официальном сайте в сети интернет определенные сведения. Например, Приказ ФСФР от 10.01.2006 № 06-117/пз-н «Об утверждении положения о раскрытии информации эмитентами эмиссионных ценных бумаг» подробно расписывает порядок раскрытия на сайте предусмотренной законом «О рынке ценных бумаг» информации, обязывая предоставить пользователям «свободный и необременительный доступ» к ней и обеспечить этот доступ «в течение сроков, установленных нормативными правовыми актами, на одной странице в сети Интернет». А за нарушение, между прочим, штраф от 700 тысяч до миллиона рублей. Или Указание Банка России от 16.01.2004 № 1379-У «Об оценке финансовой устойчивости банка в целях признания ее достаточной для участия в системе страхования вкладов» признает банк обеспечивающим доступность информации о лицах, оказывающих существенное (прямое или косвенное) влияние на решения, принимаемые органами управления банка, неограниченному кругу лиц, если на официальном сайте банка или на официальном сайте Банка России размещена информация о них. Отсутствие письменного подтверждения банка о раскрытии неограниченному кругу лиц этой информации – основание для отказа в выдаче лицензии на привлечение во вклады денежных средств физических лиц, не больше и не меньше.

А теперь представим себе – эмитент ценных бумаг или банк нарушил закон о персональных данных, не разместив, например, на сайте политику в отношении обработки персональных данных, и привлечен за это к ответственности. Ситуация вполне реальная, о таких случаях не так давно писал. Решение суда вступило в законную силу, сайт заблокировали, а тут совсем к другому регулятору пришла жалоба, что нельзя получить доступ к информации, подлежащей обязательному раскрытию. Немая сцена. Занавес.

И наконец. Законопроект написан с ошибками и неточностями. Как вам, например, фраза «оператор реестра исключает выгрузки для операторов связи доменное имя, указатель страницы сайта в сети «Интернет» или сетевой адрес, позволяющий идентифицировать сайт в сети «Интернет», на основании обращения владельца сайта в сети «Интернет», провайдера хостинга или оператора связи, оказывающего услуги по предоставлению доступа к информационно-телекоммуникационной сети «Интернет», не позднее чем в течение трех дней со дня такого обращения после принятия мер по устранению нарушения законодательства Российской Федерации в области персональных данных, либо на основании вступившего в законную силу решения суда об отмене ранее принятого акта суда». Я, как ни старался, так и не понял, кто и что должен сделать.

В общем, по моему скромному мнению, закон в таком виде принимать не только нельзя, но и очень вредно, поскольку последствия его принятия будут совершенно непредсказуемы, причем в тех областях, о которых авторы явно и не думали.

Для защиты коммерческой тайны у работников появился материальный стимул

Я уже писал, что с 1 октября 2014 года меняется законодательство, регулирующее вопросы отнесения к коммерческой тайне и охраны результатов интеллектуальной деятельности. Если коротко, секреты производства (ноу-хау) и информацию, составляющую коммерческую тайну, развели по разным законам, и с 1 октября они перестают быть тождественными понятиями.

Секреты производства можно будет охранять в режиме коммерческой тайны, но не обязательно – охрана их конфиденциальности будет возможна и без установления в отношении них режима коммерческой тайны, иными разумными мерами, правда, какими пока неизвестно. Видимо, как обычно, практика правоприменения покажет. Кроме того, секрет производства (ноу-хау) теперь – всегда и только сведения о результатах интеллектуальной деятельности в научно-технической сфере и о способах осуществления профессиональной деятельности, и никакие другие. К информации же, составляющей коммерческую тайну, можно отнести что-то еще, опять-таки – что конкретно не определено и не очень понятно.

У работника, в том числе бывшего, в новой редакции закона «О коммерческой тайне» появилась новая обязанность – в случае, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей, он обязан возместить причиненные работодателю убытки. Обратите внимание – не прямой действительный ущерб, как в статье 238 Трудового кодекса, прямо запрещающей взыскивать с работника неполученные доходы (упущенную выгоду).

Между тем статья 15 Гражданского кодекса устанавливает, что под убытками понимаются как расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права (реальный ущерб), так и неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода). Опять ждем практики. В отношении руководителя организации прямо установлена обязанность возместить организации убытки, причиненные его виновными действиями в связи с нарушением законодательства Российской Федерации о коммерческой тайне в соответствии с гражданским, а не трудовым законодательством.

Новые положения законов, еще не вступившие в силу, получают развитие в подзаконных нормативных правовых актах. Постановлением Правительства РФ от 04.06.2014 № 512 утверждены «Правила выплаты вознаграждения за служебные изобретения, служебные полезные модели, служебные промышленные образцы». Принятие акта связано с тем, что в отношении ряда результатов интеллектуальной деятельности – изобретений, полезных моделей и промышленных образцов которые охраняются патентным правом, а сами результаты требуют государственной регистрации, конкретный механизм вознаграждения их авторов законом не был определен.

Четвертая часть гражданского кодекса предусматривает выплату создавшему такие результаты работнику вознаграждения. Размер вознаграждения должен определяться трудовым договором, а в случае отсутствия в нем соответствующих положений – судом. Естественно, работодатели вовсе не торопились включать обязанности по выплатам работникам в договоры, а ввиду неопределенности нормы работники не спешили обращаться в суд. Через 4 года после вступления этой нормы в силу защитить экономически слабую сторону решило правительство. Теперь, если в договоре эти отношения не прописаны, действуют очень четкие правила.

Размер выплачиваемого работодателем работнику вознаграждения за создание служебного изобретения, служебной полезной модели, служебного промышленного образца определяется следующим образом:

·         30% средней заработной платы работника, являющегося автором служебного изобретения, за последние 12 календарных месяцев;

·         20% средней заработной платы работника, являющегося автором служебной полезной модели, служебного промышленного образца, за последние 12 календарных месяцев;

·         средняя заработная плата за последние 12 календарных месяцев, в которых такие изобретение, полезная модель, промышленный образец были использованы работодателем, после истечения каждых 12 календарных месяцев, в которых использовались эти результаты;

·         10% суммы обусловленного лицензионным договором вознаграждения в случае предоставления работодателем иному лицу права использования таких результатов по лицензионному договору;

·         15% предусмотренного договором вознаграждения в случае передачи работодателем иному лицу права на получение патента или исключительного права на служебное изобретение, служебную полезную модель, служебный промышленный образец в течение месяца со дня получения работодателем указанного вознаграждения.

Для получения вознаграждения при отсутствии в договоре между работодателем и работником соглашения об ином работник должен письменно уведомить работодателя о создании в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя результата, в отношении которого возможна правовая охрана.

После этого у работодателя есть три варианта дельнейших действий:

·         поскольку в соответствии со ст.1370 ГК РФ он является обладателем исключительного права на служебное изобретение, служебную полезную модель, служебный промышленный образец, подать заявку на патент;

·         передать право на получение патента другому лицу;

·         (Бинго!) охранять результаты интеллектуальной деятельности в тайне
(в режиме коммерческой тайны как вариант, других вариантов я просто не знаю);

Если работодатель в течение четырех месяцев со дня уведомления его работником не подаст заявку на выдачу патента в Роспатент, не передаст право на получение патента другому лицу или не сообщит работнику о сохранении информации о соответствующем результате интеллектуальной деятельности в тайне, право на получение патента на такие изобретение, полезную модель или промышленный образец возвращается работнику. В этом случае работодатель в течение срока действия патента имеет право использования служебного изобретения, служебной полезной модели или служебного промышленного образца в собственном производстве на условиях простой (неисключительной) лицензии с выплатой патентообладателю вознаграждения, размер, условия и порядок выплаты которого определяются договором между работником и работодателем, а в случае спора - судом. Сами понимаете, чтобы такой возможностью воспользоваться, работнику надо будет получить патент самостоятельно и на себя.

Таким образом, у работников появляется прямая материальная заинтересованность патентования результатов интеллектуальной деятельности как работодателем, так и самостоятельно, или отнесения их к секретам производства, охраняемым в режиме коммерческой тайны, и максимально долгой охраны их конфиденциальности в таком режиме. Связана такая заинтересованность с тем, что исключительное право на секрет производства государственной регистрации не требует, но действует до тех пор, пока сохраняется конфиденциальность сведений, составляющих его содержание. С момента утраты конфиденциальности соответствующих сведений исключительное право на секрет производства прекращается у всех правообладателей. И плакали денежки, как работодателя, так и работника, создавшего секрет.

Возможность получения вознаграждения, как единовременного, так и периодического, за создание секрета производства в случае его патентования или установления в отношении него режима коммерческой тайне должна стимулировать использования данного института защиты прав. Воспользуются ли им стороны трудовых отношений – покажет время.

Тем временем для своих клиентов мы уже готовим изменения в локальные акты, позволяющие защитить их интересы в изменившихся обстоятельствах.

А теперь информация для тех, кто по-прежнему считает, что режим коммерческой тайны в нашей стране не работает. По информации Судебного департамента при Верховном Суде РФ, в течение 2013 года были зарегистрированы 317 преступлений, квалифицированных по ст.183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну). Уже вынесены приговоры 13 фигурантам данных уголовных дел. Двое из них приговорены к лишению свободы, пятеро – к штрафам в размере до 50 тыс. руб. Остальных шестерых приговорили к иным видам наказаний (исправительные работы, принудительные работы).

21 мая: круглый стол «Управление безопасностью – управление рисками»

В рамках международного форума Positive Hack Days 21 мая пройдет круглый стол «Управление безопасностью – управление рисками». В нем примут участие ведущие специалисты отрасли:

• Светлана Белялова, заместитель председателя правления ОАО «ВТБ»,
• Виталий Задорожный, директор по управлению операционными рисками компании «ВымпелКом»,
• Андрей Костин, директор по внутреннему контролю и управлению рисками Yota,
• Владимир Курбатов, начальник управления по информационной безопасности  ООО «ЛУКОЙЛ-ИНФОРМ».

Модератор круглого стола: Михаил Емельянников, Управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры».

Обсуждаться будут следующие вопросы:

1.      Может ли основной бизнес компании, в которой вы работаете, существовать без современных ИТ-технологий? Что произойдет с бизнесом, если информационная система выйдет из строя (упадет, перестанет быть доступной) и как долго можно будет продержаться без доступа к приложениям?

2.      Управление рисками информационной безопасности (ИБ) и в информационной сфере в целом – это часть общей системы менеджмента рисками в вашей организации или самостоятельное направление деятельности? Можно ли построить риск-менеджмент ИБ как отдельную область деятельности или управление ими возможно только в рамках общей системы управления бизнес-рисками?

3.      Насколько риск-менеджмент в области ИБ является приоритетным в вашей организации? К каким группам рисков относятся риски в области ИБ или это полностью самостоятельная группа?

4.      Можно ли строить систему ИБ  не управляя рисками, а используя, например, только лучшие практики? Ведь требования постановлений правительства, Банка России и приказов ФСТЭК № 17 и 21 – это фактически сборники лучших практик, хотя слова «риск-менеджмент» там и звучат. Может, можно сделать все проще?

5.      Оценка риска – всегда производная от вероятности реализации и значимости последствий. Последствия оценить можно и понятно  как это сделать. А как оценить вероятность реализации, учитывая что статистики, тем более узкоотраслевой, нет. Как можно оценивать вероятность без вероятностного распределения? Не похоже ли управление рисками на гадание на кофейной гуще?

6.      Скажите честно, риск-менеджмент ИБ пришел в вашу компанию от бизнеса или от ИБ? Почему?

Место и время: 21 мая, 16:00, Москва, центр Digital October.

Организатор: компания Positive Technologies.

И каждый пошел своею дорогой, а суд пошел своей

Письмо Банка России № 42-Т от 14 марта 2014 г. «Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан», судя по его содержанию, было реакцией надзорного подразделения на участившиеся случаи массового выноса на городские помойки документов с персональными данными клиентов не самых последних российских банков.

Хроника событий (взятых из открытых источников) выглядела примерно так:

Май 2013: ветер разносит заявления и договоры клиентов Сбербанка над  московским Зеленоградом.

Май 2013: мешки с заявками на предоставление кредитов в банке «Кедр» в мусорных баках Абакана.

Январь 2014: на свалке мешки документов из офиса Сбербанка, ставшего под ремонт в Ижевске.

Февраль 2014: мешки с документами Альфа-Банка в центре Екатеринбурга.

Тем не менее письмо № 42-Т не вызвало большого внимания специалистов, которые вяло пообсуждали, согласившись, что опять рассказали про Волгу и Каспийское море. На нюансы письма одним из первых обратил внимание Николай Беляков из банковского сообщества. Предпоследний абзац письма сурово сообщал, что «Территориальным учреждениям Банка России при осуществлении надзора за деятельностью кредитных организаций следует учитывать случаи выявления недостатков в деятельности, связанных с исполнением норм Федерального закона от 27.07.2006 № 152-ФЗ, и рассматривать их как негативный фактор при оценке качества управления кредитной организацией, в том числе оценке организации системы внутреннего контроля в соответствии с Положением Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».

Дальше мостик перекидывается весьма неожиданно. Статья 48 Федерального закона от 23.12.2003 № 177-ФЗ «О страховании вкладов физических лиц в банках Российской Федерации» предусматривает возможность прекращения банками привлечения средств физических лиц, если группа показателей качества управления банком, включая показатели, характеризующие систему управления рисками, состояние внутреннего контроля, оценивается как неудовлетворительная в течение трех месяцев подряд. Как терручреждения ЦБ будут оценивать документы на свалке, знают только они, но банки, попавшие под раздачу, кое-какие выводы сделали. Сбербанк, отделение которого отличилось в г. Зеленограде, управляющую отделением, чьи документы ветер развеял над городом, сначала отстранил от работы, а затем уволил.

Но, как я люблю говорить на своих курсах, это было только начало истории.

А продолжение она получила уже в апреле этого года. Материалов судебного дела в открытом доступе обнаружить, к сожалению, не удалось, поэтому выводы буду делать на основании публикации в «Известиях».

Уволили руководителя отделения «банка друзей» за разглашение банковской тайны - подпункт в) п.6 ст.81 Трудового кодекса, предусматривающего расторжение трудового договора по инициативе работодателя в случае однократного грубого нарушения работником трудовых обязанностей, в частности – разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.

Формулировку в трудовой книжке уволенного руководителя и материалов служебного расследования я, естественно, не видел, но, подозреваю, что там кадровики дали маху. Подозреваю, потому что суд все доводы работодателя отмел и … восстановил управляющую в должности с компенсацией ей более миллиона рублей за вынужденный прогул, моральный вред и судебные издержки. По мнению суда, руководитель отделения Сбербанка ни в чем не виновата – документы на помойку вынесла сотрудница клининговой компании (это сейчас так толерантно называют уборщиц) из Киргизии, которую быстро отправили на родину. Коробку с документами она взяла из-под стола в операционном зале, причем, по мнению уволенного руководителя, взяла неправомерно, потому как документы на выброс не предназначались. Адвокат восстановленной работницы с гордостью сообщил, что «мы доказали, что она не имела к этой истории никакого отношения: уборщица самовольно, без чьего-либо указания и приказа, в нарушение всех инструкций взяла под столом документы, которые находились в работе и не предназначались к выносу за пределы Сбербанка. К тому же, когда утром уборщица выкидывала документы, самой Ломовой еще не было на рабочем месте».

Еще раз повторюсь, дело, на мой взгляд, в формулировке причин увольнения. Если она была таковой, как указано в публикации «Известий» - разглашение банковской тайны, то оспорить ее было не так уж и трудно. Управляющая отделением ничего сама не разглашала. Она не создала условий, обеспечивающих выполнение закона. А это – совсем другая история.

Что значит, не создала условий в данном случае? Читаем закон 152-ФЗ «О персональных данных» и постановление Правительства № 687. Ст.19 152-ФЗ: «Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных». Пункт 15 постановления: «При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором».

В рассматриваемой ситуации имел место и неправомерной (случайный) доступ уборщицы к персональным данным клиентов, и сохранность их не обеспечена, и распространение налицо – заявления на получения пластиковых карт, банковское обслуживание, договоры на открытие счетов с фамилиями, именами, отчествами клиентов, их паспортными данными и даже финансовыми историями клиентов летали над городом, и каждый желающий мог с ними ознакомиться.

Вот если бы должностные обязанности руководителю отделения банкам были определены корректно, и в них бы предусматривалось обеспечение соблюдения законодательства в сфере персональных данных, основание для увольнение должно было быть совсем другим – не п.6, а п.10 той же статьи 81 ТК РФ: «однократного грубого нарушения руководителем организации (филиала, представительства), его заместителями своих трудовых обязанностей». Оспорить его в суде при установленном факте наличия документов в мусорном баке и вокруг него было бы крайне сложно.

Еще одна история. В отделении того же банка в Ижевске документы оказались на улице вообще по анекдотичной причине. Водитель грузовика, вывозившего бумажные документы банка на утилизацию, толкнул его первому же желающему «для подсыпки дороги». Сами понимаете, кредитные заявления для этой цели, в отличие от строительного мусора, годятся плохо, вот и полетели они над Ижевском, как ранее над Зеленоградом.

И рецепты по традиции.

1.     Определяя приказом ответственного за организацию обработки персональных данных в юридическом лице, не забудьте вменить в обязанность руководителям структурных подразделений (филиалов, отдельных операционных офисов) обязанности по обеспечению требований 152-ФЗ во вверенном подразделении и предусмотреть ответственность за их невыполнение.

2.     В договор с организацией, производящей утилизацию носителей персональных данных, не забудьте включить пункт о конфиденциальности и ответственности за ее несоблюдение.

3.     Если такого условия нет и включить его почему-то нельзя, обеспечьте присутствие ответственного работника оператора при следовании транспорта на предприятие по утилизации и в ходе самой утилизации вплоть до полного уничтожения носителя.

И помните – в соответствии с законом лицо, которому оператором поручена обработка персональных данных (в данном случае – уничтожение) перед субъектом ответственности не несет, а отвечает только перед оператором. Как отвечает – должно быть определено в договоре, иначе неизбежны долгие и сложные споры в арбитраже с непредсказуемым исходом.

Специально для банков. Закон о персональных данных теперь – элемент оценки деятельности банка с точки зрения эффективности управления и внутреннего контроля. Принять превентивные меры, доказывающие добросовестность оператора (правильно написать нормативные документы) не сложно. Но сделать это надо заранее.

Проверьте ваши сайты

Роскомнадзор без особой помпы, тихо и спокойно стал использовать в ходе надзора за соблюдением законодательства о персональных данных такую форму контроля, как систематическое наблюдение. В «Докладе об осуществлении государственного контроля (надзора) и об эффективности такого контроля (надзора) за 2013 год» сообщается, что «в 2013 году центральным аппаратом Роскомнадзора была проведена оценка содержания и правовых оснований деятельности 250 интернет-ресурсов, осуществляющих деятельность в российском сегменте сети Интернет».

В 101 случае нарушений законодательства не было выявлено, а на сайтах размещалась контактно-справочная информация государственных, муниципальных органов и юридических лиц, а также персональная информация, публикация которой разрешена в силу федеральных законов (данные из различных реестров: ЕГРЮЛ, ЕГРИП, Реестр кадастровых инженеров и т.п.). В деятельности 149 интернет-ресурсов выявлены факты нарушения требований законодательства, по результатам принятых Роскомнадзором мер реагирования в 60 случаях персональные данные удалены администраторами, в 19 случаях материалы по результатам мониторинга были направлены в органы прокуратуры для рассмотрения вопроса о возбуждении дела об административном правонарушении по ст. 13.11 КоАП Российской Федерации.

Аналитики нашего агентства, готовящие ежемесячные отчеты о практике правоприменения законодательства в области персональных данных, только в марте 2014 года отметили, что такие мероприятия были проведены в Республике Калмыкия (соответствие информации, размещаемой в общественных местах, на средствах наружной рекламы (билбордах) и светодиодных экранах требованиям законодательства), Республике Марий Эл, Чувашской Республике (в отношении операторов связи, финансово-кредитных организаций, коллекторских агентств и страховых компаний, а также многофункциональных центров по предоставлению государственных и муниципальных услуг и интернет-магазинов), Липецкой области, Рязанской области (в отношении организаций здравоохранения). В ходе систематического наблюдения выявлены операторы, осуществляющие сбор персданных с использованием сети Интернет и не опубликовавшие документы, определяющие политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных. Судя по четкости и однотипности формулировок пресс-релизов: «в адрес этих операторов направлены требования об устранении вышеуказанного нарушения, материалы мероприятия систематического наблюдения переданы в органы прокуратуры для принятия мер прокурорского реагирования», работа методически проработана. Есть как минимум один результат с привлечением к ответственности: на основании материалов Управления Роскомнадзора по Липецкой области Хамовническая межрайонная прокуратура возбудила в отношении «Фора-Банка» административное дело, на основании которого мировой судья судебного участка № 425 по району Хамовники г. Москвы наложил на банк штраф.

Кстати, на сайтах прокуратуры и Роскомнадзора сообщается, что нарушение в банке устранено. Политики на сайте банка я так и не нашел, а вот «Положение о порядке обработки персональных данных» выложено.  Видимо, надзорные органы решили не придираться к мелочам и не проявлять излишнюю принципиальность, и согласились, что в Положении все, что предусмотрено законом, изложено.

И обещанный рецепт. Если ваша организация разместила на своем сайте любую веб-форму, предусматривающую сбор персональных данных (кредитное заявление, анкета соискателя вакантной должности, форма для подготовки договора страхования), создало пользователям личный кабинет, опубликовало списки аффилированных лиц или лиц, оказывающих существенное воздействие на деятельность организации и т.д., на сайте в сети интернет (логично на том же, но закон, строго говоря, этого не требует) должна быть и политика в отношении обработки персональных данных и сведения о реализуемых требованиях к их защите. Есть веб-форма (кабинет, список) и нет политики – административное правонарушение. Выявляется легко и просто за несколько минут, и не нужны никакие выездные и документарные проверки.

Персональные данные россиян в облаке

Наше агентство закончило большую работу, выполненную по заказу одного из клиентов – оценку допустимости переноса персональных данных российским оператором информационной системы на облачную платформу Microsoft Azure; определение состава мер, которые должны быть приняты при различных вариантах такого размещения, в том числе при использовании облачной платформы для хранения зашифрованных персональных данных; обработки данных, прошедших процедуру обезличивания, а также решение вопросов, связанных с доступом работников дата-центров и сервис-провайдеров к персональным данным, обрабатываемых заказчиками.

Ее результаты нам кажутся интересными для большого круга специалистов, причем применительно не только к облаку Microsoft Azure. Активизировавшаяся в последнее время дискуссия вокруг облачных вычислений, ответственности владельцев облаков и провайдеров облачных услуг, уровня безопасности в облаках, свидетельствует о том, что тема становится крайне актуальной и для России.

Заказчик дал согласие на публикацию результатов (с некоторыми нюансами), и все желающие могут ознакомиться с нашей точкой зрения на эту сложную и интересную проблему. Заключение в полном объеме выложено здесь.

Кстати, предварительные итоги нашего исследования я озвучивал на форуме Cloud OS Summit, проведенном еще 27 ноября российским подразделением корпорации Microsoft. К моему немалому удивлению, совместная с Андреем Москвитиным презентация (он рассказывал об обеспечении безопасности обработки данных в облаке) стала второй по популярности на форуме, получив 8,5 баллов слушателей из 9 возможных. Посмотреть выступление можно, например, здесь. К удивлению, поскольку мероприятие было все-таки сугубо техническим, а я технические вопросы почти не затрагивал. И аудитория совсем не характерная для моих презентаций, на которых в последнее время присутствует примерно пополам безопасников и юристов, но отнюдь не айтишников.

Те, кому многобукв не интересно, а узнать, чем закончилась история, хочется, могут ограничиться первым (постановка задачи) и вторым (общим выводом по всему тексту) разделами заключения. Ну, а для наиболее любознательных и дотошных – полный текст.