12 августа 2024 г.

Уполномоченные операторы обработают персональные данные для вас и за вас? Точно?

 


Портал RSpectr опубликовал статью о новой инициативе депутатов во главе с председателем комитета по  информационной политике, информационным технологиям и связи А. Хинштейном, касающейся введения института «уполномоченных операторов персональных данных», у которых с защитой персональных данных априори все хорошо, поскольку денег много и специалисты есть, в отличии от остальных, бедных и неквалифицированных, у которых персональные данные надо забрать и отдать уполномоченным для обработки.

Портал традиционно привлекает специалистов для комментариев, так было и на этот раз, свое мнение высказали владельцы и авторы популярных телеграм-каналов А. Мунтян, Д. Лукаш, другие коллеги. были заданы вопросы и мне.

Поскольку объем публикации ограничен, и существует еще и редакционная политика, на портал попало, конечно, далеко не все, что был сказано.

Публикую полный вариант своих ответов на вопросы портала, поскольку проблему считаю очень важной и принципиальной, а опубликованная часть мое мнение отражает не в полной мере.

1)    Вопрос: Как вы оцениваете эту инициативу?

Как бессмысленную и невыполнимую. Сейчас по закону оператором является любое юрлицо, индивидуальный предприниматель, самозанятый. Они ведут возложенный на них законом кадровый, бухгалтерский, налоговый, воинский учет, деловую переписку. Занимаются подбором персонала. Контактируют с клиентами, заказчиками, покупателями-физическими лицами, представителями контрагентов и органов власти. Принимают посетителей. Имеют сайты, на которые ходят анонимные посетители и авторизованные пользователи. Все это – обработка персональных данных. Каким образом все эти функции можно передать каким бы то ни было «уполномоченным операторам»? Это самый очевидный вопрос, на который нет ответа. Ситуация очень напоминает мультфильм «Вовка в тридевятом царстве» с сакраментальным диалогом «Вы, чего, и конфеты за меня есть будете? — Ага!».

Второй вопрос не менее сложен для ответа. Как можно сосредоточить у постороннего лица, даже при наличии договора о неразглашении, информацию, составляющую охраняемую законом тайну, коммерческую, в том числе? Российские суды многократно признавали коммерческой тайной клиентские базы, людей за ее разглашение лишали свободы, увольняли с работы, а теперь всем этим будет рулить неизвестный работник «уполномоченного оператора»?   

И, наконец, как можно передать обработку «уполномоченному оператору», если неуполномоченный все равно будет все обрабатывать, поскольку обработка – не только хранение, но и использование, и доступ в том числе, на этом использовании, собственно, и построен бизнес в значительной мере.

Все это выглядит как еще один косвенный налог на малый и средний бизнес, как уже произошло с аутентификацией с использованием биометрии только аккредитованными организациями за совсем немаленькие деньги.    

2)    Вопрос: Кто может стать такими уполномоченными операторами?

Примерно те же, кто стал аккредитованными организациями в ЕБС – огромные компании с таким же огромным бюджетом, владельцы экосистем и дата-центров, интернет-гиганты, крупнейшие облачные провайдеры. Инфраструктура у них для этого есть, собственных средств для запуска достаточно, плюс есть немалая заинтересованность в получении такого объема данных, за обработку которых еще и приплачивать будут.  

3)    Вопрос: Поможет ли эта инициатива бизнесу в свете принятия законопроекта об оборотных штрафах?

Да, очень поможет, конечно, крупному бизнесу, который получит статус уполномоченного оператора. Появится новое направление бизнеса с постоянным денежным потоком. Среднему и малому – нет, он, как я уже говорил, получит новый косвенный налог, вместо бухгалтера-ИП-аутсорсера за несколько десятков тысяч рублей в месяц придется платить уполномоченному оператору и, подозреваю, значительно больше. С точки зрения ответственности и оборотных штрафов ключевым моментом будет статус уполномоченного оператора. Сейчас обработчик, выполняющий поручение оператора по обработке персональных данных, не несет ответственности перед законом и субъектом (кроме зарубежного обработчика, с которого непонятно, как что-то можно взыскать), только перед оператором. А оператор несет ответственность за все, он, а не обработчик, должен уведомлять об обработке, утечках и трансграничной передаче Роскомнадзор, платить штрафы и компенсации субъектам (если они этого сумеют добиться в суде, конечно). Сейчас института уполномоченных операторов в законе нет. От того, каков будут их статус – операторов в отношении «чужих данных», принятых в обработку  (называть их все-таки планируют операторами) или обработчиков, зависит очень многое, в том числе и для СМБ, отдающего свои данные уполномоченным.   

Кто слышал об утечках у малого и среднего бизнеса? На слуху только миллионы записей в даркнете, владельцами которых как раз и являются будущие уполномоченные операторы, которые как раз и активно сопротивляются оборотным штрафам. Не исключаю, что после введения института уполномоченных операторов, у которых «все очень надежно защищено», появится мнение, что и оборотные штрафы не нужны, а утечек не будет. До первой крупной. А потом инициативы и споры вокруг нее пойдут по новому кругу. Зато сколько времени пройдет!

Есть у этого поста и другая цель. Я, как и многие другие, в последнее время прекратил публикации в личном блоге и получаю по этому поводу много вопросов. Ну вот, будет небольшая лакмусовая бумажка для определения того, стоит ли продолжать, или формат окончательно потерял актуальность (для меня, во всяком случае).


29 декабря 2023 г.

С Новым 2024 годом!

 С наступающим 2024 годом!

Новых успехов в новом году!

Новых интересных и значимых проектов, надежных партнеров!

Мира и согласия в ваших семьях, надежных и понимающих друзей!

Позитива во всем и положительных эмоций!



21 декабря 2023 г.

Персональные данные и искусственный интеллект

19 декабря на портале RSpectr опубликована статья Тимура Халудорова «Данные в никуда. Как защитить конфиденциальную информацию при работе с искусственным интеллектом», в которой есть и мои комментарии на тему использования искусственного интеллекта (ИИ) для обработки персональных данных и иной информации ограниченного доступа.

Для тех, кому интересно, публикую полную версию ответов, подготовленных мною при подготовке публикации на портале.

1.  Нужно ли менять подход к защите персональных данных при использовании сотрудниками ИИ в своей работе? Что и как нужно изменить? Возможно ограничить доступ к подобным моделям внутри своей компании или что-то еще? Считаете ли Вы, что ИИ, собирающий чувствительную информацию в принципе перевернет весь комплаенс в сфере персданных?

На сегодняшний день, когда архитектура построения ИИ и схема взаимодействия с внешним миром, сетью Интернет в том числе, пользователям практически неизвестны, как и возможности ИИ передавать ChatGPT и подобным сервисам, использующим ИИ, информацию ограниченного доступа, в том числе персональные данные, на мой взгляд, вообще недопустимо. Совершенно неясно, как ИИ будет использовать полученные данные, где хранить, кому передавать при решении других задач. Буквально на днях появилось сообщение из МТИ и Калифорнийского университета, что саморазвивающиеся модели ИИ могут создавать подсистемы ИИ без помощи и участия человека. Что и как будут обрабатывать эти подсистемы, где это будет происходить, кто получит результаты? Пока однозначных ответов нет, необходимо ограничить использование ИИ для обработки конфиденциальных данных. Революции в комплаенсе пока не предвидится. Но ограничения вводить надо. 

2.  Нужно ли менять подход к организации систем кибербезопасности к защите персональных данных при использовании сотрудниками ИИ в своей работе. Что и как нужно изменить? Возможно ограничить доступ к подобным моделям внутри своей компании или что-то еще? Проще говоря, как защищать и надежно хранить персональные данные в таких условиях?

Ответ простой – не передавать персональные данные ИИ и не хранить их в системах, использующих ИИ. Но соблазн упростить себе жизнь очень велик, значит, надо существенно усилить контроль за движением данных, их выходом за пределы информационных систем операторов. Утечек и так катастрофически много, и добавление к существующим принципиально новых групп риска требует гораздо более жесткого контроля.

3.  Какие регуляторные инициативы могли бы помочь в защите сферы персданных от ИИ?

Необходимо очень четко и конкретно определить, какие данные можно передавать для машинного обучения ИИ. Тенденция к полному отказу от свободного оборота обезличенных данных, которые в законе теперь именуются «персональные данные, полученные в результате обезличивания персональных данных», представляется ошибочной. На статистике построено огромное количество бизнес-процессов в самых разных областях – банковском деле, страховании, медицине, фармацевтике, маркетинге, а вся статистика строится на обезличенных данных. Предъявлять к ним более жесткие требования, чем к данным до обезличивания – путь абсурдный. Так, в законопроекте о поправках в закон о персональных данных, получивших среди специалистов название «закон об обезличивании», принятом в первом чтении, предполагается уничтожать обезличенные данные сертифицированными ФСТЭК или ФСБ средствами защиты информации. Такие требования не выдвигаются в отношении не обезличенных данных, за исключением биометрических.

В то же время до сих пор нет ясности, а как же надо обезличивать данные, чтобы не было возможности соотнести их с конкретным определяемым субъектом. Одна из причин этого – отсутствие в российском законодательстве понятия анонимизации данных и отличия этих действия от обезличивания.

Вот эти вопросы надо решать на регуляторном уровне уже сегодня, и срочно.    

7 марта 2023 г.

18 мая: разбираемся с нормативными актами по реформе законодательства о персональных данных

18 мая в Учебном центре «Информзащита» проведу вебинар «Изменения в законодательстве о персональных данных в 2023 году, действия операторов» по нормативным правовым актам, реализующим новые требования закона «О персональных данных» (внесенные Федеральным законом от 14.07.2022 №266-ФЗ), вступившим в силу 1 сентября 2022 года и 1 марта этого года.

Мы вместе проанализируем 4 постановления Правительства РФ, 5 приказов Роскомнадзора, приказ ФСБ России*.

Разберемся, как будут работать новые правила трансграничной передачи и как долго придется ждать решения по намерению передавать персональные данные за границу в новую страну или с новыми целями, надо ли банкам подавать уведомления о передаче персональных данных в связи с денежным переводом в страну, которая в уведомлении ранее не указывалась, и об автоматическом обмене финансовой информацией с компетентными органами иностранных государств.

Обсудим, когда нужен акт об уничтожении персональных данных, как его подготовить и оформить, что делать, когда уничтожаются данные в «чужих» системах, находящихся в дата-центрах и облаках или используемых по схеме SaaS.

Пройдемся по алгоритму действий в случае утечки персональных данных и порядку подачи первичного и дополнительного уведомления об этом печальном событии, в том числе теми операторами, которые подключены и не подключены к ГосСОПКА.

Попытаемся понять, зачем нужен акт об оценке вреда субъекту в случае нарушения закона и как его правильно оформить.

Напомним, кто и зачем может прийти с проверкой к оператору персональных данных в условиях введенного моратория на надзорные мероприятия.

Выясним, какие изменения произошли в уведомлениях, которые надо подавать в Роскомнадзор и каковы последствия этих изменений для операторов.

Вебинар спланирован таким образом, что значительное его время заложено на ответы на вопросы его слушателей.

Ждем в гости. Скучно не будет точно.    

* - Будут проанализированы изменившиеся требования закона и положения постановлений Правительства РФ от 29.12.2022 № 2526, от 10.01.2023 № 6, от 16.01.2023 № 24, от 04.02.2023 № 161, приказов Роскомнадзора от 05.08.2022 № 128, от 27.10.2022 № 178, от 28.10.2022 № 179. от 28.10.2022 № 180, от 14.11.2022 № 187, приказ ФСБ России от 13.02.2023 № 77.

13 декабря 2022 г.

Оценка вреда: анализируем новые требования

Как знают все интересующиеся, с 1 сентября этого года, в соответствии с новой редакцией пункта 5 части 1 статьи 18.1 закона «О персональных данных», оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения данного закона, должна проводиться оператором в соответствии с требованиями, установленными Роскомнадзором.

Делается эта оценка, как следует из текста закона, для обеспечения соотношения вреда и мер, принимаемых оператором для обеспечения выполнения обязанностей, предусмотренных законом.

То есть чем больше вред, тем больше придется потратить сил и средств для предотвращения его нанесения субъектам. А если вред незначительный, то тратиться особо ни к чему, поскольку в этом случае ничего больше мыши гора все равно не родит.

Кто не помнит, и уровни защищенности должны были быть определены с учетом возможного вреда субъекту, поскольку чем уровень выше, тем больше и объемнее и состав мер по обеспечению безопасности персональных данных. Но в Постановлении Правительства РФ № 1119 от 01.11.2012 про вред нет ни слова, поэтому и уровни мы благополучно определяли без его учета.

С того же 1 сентября вред надо оценивать также при утечке персональных данных и указывать его в уведомлении, направляемом в Роскомнадзор о произошедшей утечке персональных данных, которая деликатно именуется в законе «фактом неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных».

Прежде чем пойти дальше, обратим внимание на два момента, зафиксированных в законе:

·        вред наносится именно субъекту персональных данных (казалось бы, очевидно, но как будет видно ниже, нет);

·        вред возникает при нарушении требований закона «О персональных данных» (даже если субъекту крайне неприятно то, что сделал оператор, но закон не нарушен, перспективы возмещения убытков и компенсации морального вреда более чем туманны). 

И вот 29 ноября свершилось! После согласования и регистрации в Минюсте был опубликован Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"».

Следуя сложившейся в последнее время традиции, текст требований, утвержденных приказом, существенно отличается от того, который был опубликован для обсуждения на портале раскрытия информации regulation.gov.ru. Наверное, потому что были учтены многочисленные предложения и пожелания обсуждавших его специалистов.

Приказ требует от оператора для оценки вреда субъекту определить одну из трех степеней вреда (высокая, средняя, низкая), который может быть причинен субъекту персональных данных в случае нарушения закона (определить для оценки вреда одну из степеней – так буквально и написано в приказе). Правда, зачем это делать оператору, совершенно не понятно, поскольку в приказе случаи, в которых возникает та или иная степень вреда, определены в виде закрытого перечня.

А вот сами случаи, когда возникает та или иная степень вреда, требуют более детального рассмотрения. Внимательно проштудировав приказ, я разделил их на три группы:

·        когда действия оператора прямо нарушают закон;

·        когда обработка (видимо, по мнению авторов приказа) создает высокие риски для субъекта в случае инцидента, но сама по себе закон не нарушает;

·         когда никакого нарушения закона нет или субъекту вообще совершенно безразлично, что делает в данном случае оператор. 

Наличие случаев, не нарушающих закон, но наносящих вред субъекту, мягко говоря, удивляет. Но давайте разбираться дальше.

Действия оператора, нарушающие закон:

·       обработка персональных данных несовершеннолетних для исполнения договора или заключения договора в случаях, не предусмотренных законодательством РФ (интересно только, является ли сама статья 26 ГК РФ случаем, предусматривающих возможность заключения сделок несовершеннолетними, и, соответственно, заключение с договоров с ними предусмотренным законодательством основанием по мнению авторов закона «О персональных данных»?);·         сбор персональных данных в базы данных, находящиеся за пределами РФ;

·        обработка персональных данных в дополнительных целях, отличных от первоначальной цели сбора (правда, слов при отсутствии в этом случае согласия субъекта в приказе нет, но будем считать, что авторы исходили из буквального прочтения принципов обработки, установленных статьей 5);

·        получение согласия на обработку, предусматривающего обработку персональных данных определенным и (или) неопределенным кругом лиц в целях, не совместимых между собой (это одно нарушение или два?).

Действия оператора, закон не нарушающие, но создающие риски для субъекта:

·        обработка специальных категорий персональных данных или биометрии в случаях, когда законами не установлены цели, порядок и условия обработки данных; но и в статье 10, и в статье 11 определено такое основание обработки, как наличие согласия субъекта в письменной форме, и обработка при его наличии в целях, указанных в согласии, закон никак не нарушает; тем не менее приказ относит такую обработку к создающей максимальную, высокую степень вреда;

·        обезличивание персональных данных для скорринга или проведения исследований, отличных от статистических или от (внимание!) иных исследовательских целей (вот прямо так, исследований, отличных от иных исследовательских целей); но в части 1 статьи 6 есть такое основание обработки, как согласие; и что тогда нарушает закон, если субъект с обезличиванием согласился?

·        распространение персональных данных на официальном (а на неофициальном можно?) сайте оператора в сети Интернет, предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия представления (и снова вопрос о согласии как законном основании, прямо предусмотренным статьей 10.1);

·        продвижение товаров, работ, услуг на рынке путем прямых контактов с потребителем с использованием баз персональных данных, владельцем которых является иной оператор (видимо, опять подразумевается отсутствие согласия субъекта на это, но поручение в этом случае обработки, например, обзвона клиентов, колл-центру с передачей базы данных для исполнения поручения и согласии субъекта также закон не нарушает);

·        получение согласия на обработку персональных данных на сайте в сети Интернет (конечно, официальном) без дальнейшей идентификации и (или) аутентификации субъекта; законом такие действия не запрещены и во многих случаях избыточны, например, при заказе доставки товара через сайт.

Действия оператора, соответствующие закону:

·        поручение иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан РФ, которое законом не запрещено;

·        ведение общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Закона о персональных данных; в соответствии с законом – вообще без комментариев;

·        назначение в качестве ответственного за обработку персональных данных лица, не являющегося штатным работником оператора; закон прямо предусматривает такую возможность, а субъекту совершено безразлично в музыкальном, цветовом, ботаническом и иных аспектах, кто там у оператора ответственное лицо.

Извините, но это все. Больше никаких случаев возникновения вреда субъекту в приказе нет. А где же утечки, несанкционированный доступ, размещение на сайтах без согласия субъекта и прочие страшные вещи, которые творят операторы, попирая права и свободы субъекта, нарушая неприкосновенность личной жизни? Их нет у меня в приказе.

Принятый документ вызывает массу вопросов. Основные, с моей точки зрения:

·        зачем такой приказ нужен, и что с ним делать?

·        зачем оператору определять вред, если надзор все уже определил?

·        как оценивать вред в случаях, не указанных в приказе, но явно нарушающих права субъектов, в частности, при утечках, что является обязательным по закону?

Перечень вопросов могу продолжать долго.

В сегодняшнем постике обойдемся без инструкций по применению и рецептов. У меня их нет. А проблема есть.

29 ноября 2022 г.

Трансграничка персональных данных после 1 марта. Инструкция по применению

Думаю, что абсолютно все, кто хоть немного в теме, знают, что с 1 марта 2023 года радикально меняется схема трансграничной передачи персональных данных. От уведомительной системы передачи мы переходим к разрешительной, причем разрешение фактически должно быть получено (ему равноценно отсутствие запрета или ограничений, что в любом случае предполагает уведомление Роскомнадзора) для каждого государства, в которое данные планируется передавать. Тем не менее у наших заказчиков и коллег предстоящая реформа по-прежнему вызывает много вопросов. Постараюсь в посте коротко ответить на наиболее частые.

Отвечать буду, как завещала в научно-практическом комментарии к закону незабвенная Антонина Аркадьевна Приезжева: исходя из буквального толкования, применяемого в правоприменительной практике «по умолчанию».

Первый (и постоянный, и самый частый) вопрос – а что такое трансграничная передача персональных данных? Пункт 11 статьи 3 отвечает на него просто и однозначно: передача на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Что, любая передача? И электронное письмо тоже? Да, любая и мылом тоже. Как только ваш коллега где-нибудь в условной Кракожии получит письмо с вашими ФИО, должностью, номером телефона и адресом электронной почты, худшее уже случилось. Есть персональные данные, иностранное государство, иностранные лица: физическое – получатель письма и юридическое - его работодатель, которому принадлежит почтовый сервер. Все признаки трансграничной передачи в полном наличии. Ссылки на то, что письмо отправил работник, и это деяние не регулируется 152-ФЗ, исходя их пункта 1 части 2 статьи 1 закона, несостоятельны – переписка служебная, ведется в рамках должностных обязанностей, оператор в отношении всех данных в ней – работодатель, и под личные и семейные цели письмо никак не подпадает.

И все остальное – использование зарубежных облаков, ИСПДн за границей, как корпоративных, так и используемых только российским оператором (многие по-прежнему, но, я думаю, уже ненадолго, любят больше Salesforce, Taleo или, например, WorkDay), и бронирование гостиницы в booking.com для работника или работником, и покупка билетов на самолет для загранкомандировки – все это трансграничная передача. Как бы грустно это ни звучало.

Что же дальше? А дальше – строго по тексту новой редакции статьи 12 закона.      

Систематизируем все цели трансграничной передачи, заодно оцениваем, точно ли нам эти цели нужны или дешевле, проще и перспективнее, в том числе с точки зрения перспектив попадания в ту или иную группу тяжести, от чего-то отказаться вообще.

Составляем для каждой цели перечни передаваемых трансгранично персональных данных и оцениваем, точно ли все эти данные так необходимы для заявленной цели, а также какие у нас есть правовые основания передачи третьему лицу. Поклонники GDPR вспоминают, что так уважаемый в Евросоюзе законный интерес в России контроль и надзор убеждает не сильно, и скорее всего в большинстве случаев для каждого субъекта надо будет иметь согласие на передачу третьему лицу (смотрим прошлогоднее Информационное письмо Банка России и Роскомнадзора и еще раз перечитываем статью 88 ТК РФ).

Выявляем всех получателей персональных данных за рубежом: владельцев зарубежных систем, вычислительных мощностей, контрагентов, с которыми ведется переписка, в том числе входящих в международную группу компаний, фиксируем (или получаем, если не было раньше) их контакты, а также сведения о мерах по защите передаваемых персональных данных и об условиях прекращения их обработки. В какой форме, каком объеме и как – похоже, проблема российского оператора.

Определяем адекватность государства, в юрисдикции которого находится каждый получатель, для неадекватных, которым не посчастливилось попасть в Перечень, утвержденный приказом Роскомнадзора от 05.08.2022 № 128, – разбираемся с правовым регулированием обработки персональных данных (не стройте иллюзий: не пытаемся разобраться, а именно разбираемся, а вот как, для меня пока это тайна великая, особенно для обычного, рядового оператора, без мощного подразделения инхаус-юристов и учитывая цены на анализ зарубежного законодательства в юридических компаниях). Очень рекомендую завести специальную форму для фиксации всех этих данных, иначе потом могут возникнуть большие трудности. И не забываем, что уведомление о текущей трансграничной передаче надо направить в Роскомнадзор до 1 марта 2023 года. К этому же времени придется решить для себя все те проблемы, о которых я конспективно упомянул. Что времени еще много, только кажется. Мы с заказчиками пробуем.

О новой трансграничной передаче (в новую страну) уведомляем Роскомнадзор. В адекватные страны, не дожидаясь ответа надзора, данные отправляем, в отношении получателей в неадекватных, типа Штатов – ждем, не получим ли мы требования о запрете или ограничении передачи, и лишь, если их не будет – пишем свои «ненужные» письма. И никак иначе.

Все, что я написал выше, государственным и муниципальным органам знать не обязательно, для них будет отдельное постановление правительства. И, если их работники потратили время на чтение поста, трата была напрасной.

Остались нюансы. Поскольку среди наших клиентов много кредитных и прочих финансовых организаций, нюансы объясню на их примере. В соответствии с частью 5 статьи 5 закона «О национальной платежной системе» перевод денежных средств осуществляется в срок не более трех рабочих дней, начиная со дня списания денежных средств с банковского счета плательщика или со дня предоставления плательщиком наличных денежных средств. Роскомнадзору же на рассмотрение намерения осуществлять трансграничную передачу и подготовку ответа оператору дается 10 рабочих дней, при этом если Роскомнадзор захочет (а он имеет право) запросить дополнительную информацию о получателе и правовом регулировании его национальным законом, указанную выше, но не включаемую в уведомление, рассмотрение прекращается на срок получения этой информации от оператора – до 15 рабочих дней.  

А теперь вполне реальный сценарий. Клиент просит оправить его деньги получателю в государство, которое в уведомлении банка ранее не указывалось. Государство с адекватной защитой прав субъекта – банк деньги отправляет. Не обеспечивающее адекватной защиты – ждет и не отправляет. Какой закон банку в данной ситуации лучше нарушить – о персональных данных или о национальной платежной системе? А нарушить придется. 

И возвращаемся к первому сценарию. Государство с адекватной защитой. Но по причинам, указанным в частях 8 и 12 статьи 12, Роскомнадзор сообщает банку о запрете передачи. А деньги уже ушли. Теперь, в соответствии с частью 14 банк обязан обеспечить уничтожение иностранным банком-получателем ранее переданных ему персональных данных субъекта-отправителя. Вы прочитали все правильно. И да, это не смешно.

И что делать? Не знаю. Точнее – знаю. Исключить переводы денежных средств из-под регулирования статьей 12 152-ФЗ. Но это уже другая история. И не про мои рецепты.


25 июля 2022 г.

Три июньских постановления Правительства РФ про ЕБС и еще кое-какие инициативы в области биометрии. Часть 2. Еще больше биометрии в ЕБС

Продолжение. Часть 1 здесь.

Пока собирался написать второй пост про реформу ЕБС и реализующие ее новые постановления Правительства РФ, подоспел новый закон, меняющий условия использования персональных данных в целом и биометрических данных в частности.

Федеральным законом от 14.07.2022 N 325-ФЗ радикально изменена часть 18.23 статьи 14.1 трехглавого закона. Теперь в случае, если биометрические персональные данные соответствуют используемым в ЕБС, то есть изображению лица и (или) голосу (достаточно одного из двух видов биометрии), то госорганы, организации финансового рынка и вообще любые организации обязаны разместить полученную ими биометрию в ЕБС. При этом никакого согласия субъекта на такие действия (как размещение, так и использование Ростелекомом как оператором ЕБС) не требуется. При этом сдающие в ЕБС биометрию организации должны уведомить субъекта о свершившемся факте, а уж он сам может обратиться к Ростелекому с требованием о блокировании (это как, интересно? Биометрия в ЕБС будет, но использовать ее для аутентификации будет нельзя?) или уничтожении биометрических персональных данных.

Почему, на мой взгляд, этим законом радикально изменены условия использования персональных данных вообще и биометрических в частности?

Отменяются сразу несколько принципов закона «О персональных данных»:

·      ограничение обработки достижением конкретных, заранее определенных целей (часть 2 ст.5) (субъект дал согласие своему работодателю на использование изображения лица в СКУД для прохода на охраняемую территорию или банку для его идентификации при личном обслуживании, а будут использоваться эти данные в ЕБС совсем для других целей, на которые согласия не было);

·      запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой (часть 3 ст.5) (цели прохода на территорию и узнавания для обращения по имени-отчеству в банке между собой заведомо не совместимы);

·      соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки (часть 5 ст.5) (в приведенных примерах при сборе персональных данных никаких целей, реализуемых в ЕБС (совершение определенных действий, подтверждение волеизъявления, подтверждение полномочия лица на совершение определенных действий – часть 18.2 ст.14.1 «трехглавого» закона) оператор не ставил).

Конструкция части 18.23 статьи 14.1 противоречит как букве, так и духу закона «О персональных данных». Закон реализует абсолютно четкую правовую конструкцию: обработка персональных данных всегда должна иметь законное основание, которым является согласие субъекта, а обработка без согласия может осуществляться только в случаях, оформленных в виде закрытых перечней для каждой категории персональных данных. Для биометрии этот закрытый перечень определен в части 2 статьи 11, которая содержит перечень случаев, в которых может быть предусмотрена обработка биометрии без согласия субъекта:

·      реализация международных договоров Российской Федерации о реадмиссии,

·      осуществление правосудия и исполнением судебных актов,

·      проведение обязательной государственной дактилоскопической регистрации,

·      случаи, предусмотренные законодательством Российской Федерации:

o   об обороне,

o   о безопасности,

o   о противодействии терроризму,

o   о транспортной безопасности,

o   о противодействии коррупции,

o   об оперативно-разыскной деятельности,

o   о государственной службе,

o   уголовно-исполнительным законодательством Российской Федерации,

o   законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию,

o   о гражданстве Российской Федерации,

o   законодательством Российской Федерации о нотариате.

Никаких отсылок к законодательству об информации, информационных технологиях, о защите информации, о банках и банковской деятельности, об акционерных обществах и др., на основании которого можно использовать данные из ЕБС для аутентификации субъектов, здесь нет.

Форма согласия на обработку данных в ЕБС предусмотрена законом и определена распоряжением Правительства № 1322-р. Там тоже нет ни слова о согласии на перенос данных в ЕБС из других систем.

На мой взгляд, такой произвольный подход к использованию одного из самых чувствительных для граждан вида персональных данных подрывает веру в правовую систему в целом и законодательство в частности.

У подобного подхода может быть много отрицательных последствий. Вот одно из них. В новой редакции говорится о том, что передать данные в виде изображения лица в ЕБС должны, в том числе, государственные органы из своих государственных информационных систем. Постановлением Правительства РФ от 04.03.2010 № 125 определен перечень персональных данных, записываемых на чип биометрического загранпаспорта. Среди них цветное цифровое фотографическое изображение лица владельца документа, которое прямо в Постановлении отнесено к биометрическим персональным данным владельца документа, хотя биометрическая аутентификация по лицу при пересечении границы пока не проводится.

Это значит, что изображения лиц всех счастливых обладателей загранпаспортов нового образца должны быть перенесены в ЕБС. Может, кто-то уже получал уведомление об этом, предусмотренное законом?

Ну, а теперь про второе Постановление Правительства от 15.06.2022 № 1067, направленное на наполнение ЕБС новыми данными – о случаях и сроках использования биометрических персональных данных, размещенных в ЕБС физическими лицами самостоятельно в порядке, который мы рассмотрели в предыдущем посте. Документ вызывает вопросы сразу же по прочтении. Как он соотносится с Постановлением Правительства от 23.10.2021 № 1815, определившим перечень случаев обработки биометрических персональных данных в информационных системах организаций? Дополняет его? Это открытый или закрытый перечень? Ну, и так далее.

Допустимые случаи использования следующие:

а) экзамены в вузах;

б) операции с использованием платежных карт в организациях торговли и сферы услуг на сумму не более 1000 рублей;

в) дополнительная аутентификация клиента организациями финансового рынка при дистанционном обслуживании при условии, что такой клиент ранее был идентифицирован этой организацией финансового рынка (то есть сдав биометрию самостоятельно, обратиться за услугой дистанционно в банк, клиентом которого субъект не является, не получится);

г) аутентификации клиента - физического лица организациями финансового рынка при его обслуживании при личном присутствии (то есть лично получить услугу в банке можно и без паспорта, если клиент уже был идентифицирован в порядке, уставленным статьей 7 антиотмывочного закона);

д) оплата проезда в г. Москве (в Питере и других городах почему-то нельзя, видимо, системы идентификации у них не той системы);

е) проход на территорию госорганов и организаций посредством СКУД за исключением довольно объемного списка организаций, включая объекты КММ, дошкольные и общеобразовательные организаций;

ж) заключение договоров об оказании услуг связи посредством сети Интернет;

з) выдача персонифицированной карты на посещение спортивных соревнований (активно обсуждаемый сейчас по стадионам ID болельщика, который категорически не хотят получать наиболее радикальные из них);

и) аутентификация на портале госуслуг.

Перспективы пугающие. Сдав биометрию с использованием мобильника, к видеокамере и микрофону которого, а также к каналу связи не выдвигается никаких требований, в отличие от систем сдачи биометрии, например, в банках, которые должны соответствовать требованиям Минцифры, можно зайти в банк представиться клиентом Пупкиным и снять деньги без паспорта, или войти на охраняемую территорию вуз, получит симку на кого-то другого и так далее.

Использовать самостоятельно сданную в ЕБС биометрию можно не более 3 лет, обновлять надо добровольно. Видимо, напоминать никто не должен, в чем я сильно сомневаюсь.

Но какие только риски не примешь ради наполнения ЕБС! И это мы еще до обсуждения инициативы Банка России об обязательной опции сбора биометрии в мобильных приложениях российских банков не добрались.

4 июля 2022 г.

Три июньских постановления Правительства про ЕБС и еще кое-какие инициативы в области биометрии. Часть 1

В июне Правительством России приняты три новых постановления, касающиеся функционирования Единой биометрической системы. Учитывая новость Банка России о необходимости «полной перезагрузки» ЕБС в течение двух ближайших лет, такая активность говорит, с одной стороны, о фактическом провале программы поголовной максимальной фиксации данных граждан страны, обеспечивающих отслеживание их передвижения (биометрия лица) и использование средств связи (биометрия голоса) (на конец 2021 году в системе было немногим больше 200 тысяч аккаунтов), а с другой – о крайней важности этой программы для государства. И банковские услуги, конечно, здесь совсем ни при чем.

Начнем с перезагрузки. Цитирую первого зампреда Банка России О.Н. Скоробогатову по РИА Новости: «Единая биометрическая система, которая была создана в 2018-2019 году, в этом и в следующем году будет полностью «перезагружена». Мы понимаем, что нам не хватает терминалов и мобильных приложений, где люди могут просто сдать свою биометрию, как это было в иностранных приложениях. Развитие системы мы относим на 2022-2023 год». В действительности в иностранных приложениях пользователи никому биометрию не сдают, если верить западным и восточным вендорам. Пользователи фиксировали ее на своем мобильном устройстве для идентификации на нем же, а дальше каждый пользователь, в зависимости от степени параноидальности и веры вендору, принимал решение, использовать ли пальчик или личико вместо пароля для разблокировки устройства или нет.

С ЕБС все по-другому. Там биометрия именно сдается оператору – ПАО Ростелеком, а затем, в соответствии с постановлением Правительства РФ от 28.12.2018 № 1703, в течение одного дня после получения запроса передается спецслужбам – ФСБ и МВД.

Но, чтобы облегчить сдачу биометрии с использованием мобильных приложений, с 30 декабря 2021 года заработали поправки в «трехглавый» закон № 149-ФЗ (часть 1.3 статьи 14.1), позволяющие размещать свои биометрические персональные данные в ЕБС с применением пользовательского оборудования, имеющего в своем составе идентификационный модуль, если личность физического лица при таком размещении подтверждена с использованием загранпаспорта, содержащего электронный носитель с биометрическими персональными данными. А 15 июня 2022 года принято Постановление Правительства РФ № 1066, определяющее порядок размещения физическими лицами своих биометрических персональных данных в ЕБС. Рассмотрим его основные положения.

Минцифры, до конца текущего месяца, должно обеспечить возможность применения прошедших в установленном порядке процедуру оценки соответствия (читаем – сертификации ФСБ России) средств криптографической защиты информации при использовании ЕСИА и ЕБС и обеспечить функционирование технического решения для проверки действительности загранпаспорта с чипом, обычно называемого биометрическим.

Ростелекому к этому же сроку Постановление, как в нем указывается, рекомендует разработать программу и методику оценки алгоритмов обнаружения атак на биометрическое предъявление (так указано в тексте Постановления) в соответствии с требованиями ГОСТ Р 58624.3-2019 и создать российское программное обеспечение (мобильное приложение) для обработки биометрии в ЕБС, согласовать его с ФСБ и Минцифры, а к 30 сентября утвердить согласованный с этими же ведомствами системный проект решения, обеспечивающего самостоятельное размещение физлицами своей биометрии в ЕБС и подключить мобильное приложение к ЕСИА и ЕБС. Как оператор системы уложится в эти более чем сжатые сроки и не просто разработает, но и успешно реализует системный проект, будет видно. ФСБ отведено на согласие системного проекта всего 15 дней.

Тогда же, 30 сентября, вступают в силу Правила самостоятельного размещения физлицами своей биометрии в ЕБС, утвержденные Постановлением Правительства.

Из примечательного в Правилах размещения отметим:

·     обязательность наличия у такого пользователя учётной записи в ЕСИА, полученной при личной явке;

·     необходимость размещения в ЕБС, помимо собственно биометрии, идентификатора из ЕСИА, номера мобильного телефона, адреса электронной почты, даты рождения и сведений о гражданстве (зачем они нужны для проверки предъявляемой биометрии именно в ЕБС при наличии записи в ЕСИА отдельный, скорее, риторический вопрос, тем более, что все сведения, кроме биометрии, в ЕБС и так загружаются из ЕСИА);

·     подтверждение личности субъекта, загружающего в ЕБС свою биометрию, и автоматическая проверка загружаемой биометрии осуществляются с использованием биометрического загранпаспорта путем сопоставления размещаемых биометрических персональных данных его данным, записанным на чип загранпаспорта, и данных владельца со сведениями в ЕСИА;

·     необходимость проверки Ростелекомом отсутствия на мобильном устройстве пользователя вредоносного программного обеспечения (вопрос о способе установки приложения на мобильное устройство в документах деликатно обходится);

·     необходимость выражения согласия субъекта на обработку его биометрии при ее размещении в ЕБС, подписанного, в том числе, простой электронной подписью (видимо, даваемого в том же мобильном приложении).

Продолжение следует.

27 мая 2022 г.

16-17 июня: изменения в законодательстве о персональных данных

16-17 июня я проведу очередной курс КП32 «Защита персональных данных» в Учебном центре «Информзащита». В мае исполнилось 15 лет, как я читаю этот курс, и я даже не пытался подсчитать, сколько слушателей на нем побывало. Много, очень много. Это был первый в стране курс по новому закону «О персональных данных», который за 4 месяца до премьеры курса вступил в силу.

Естественно, содержание курса все эти годы постоянно менялось вместе с изменениями в законе, принятием подзаконных нормативных правовых актов, судебной практикой и практикой правоприменения. Я без ложной скромности скажу, что курс уникальный. Он будет полезен и тому, кто только начинает разбираться в российском законодательстве и сталкивается с большим количеством проблем, пытаясь выполнитель его требования, и тем, кто в этой теме уже давно, но хочет «сверить часы», узнать о произошедших изменениях, разобраться в проблемах, рожденных несовершенством законодательства и практикой его правоприменения на основе толкования, которое тоже меняется время от времени.

Вот и на предстоящих занятиях мы обсудим актуальные новинки.

Поговорим о принятых изменениях в Федеральном законе «О защите прав потребителей» в части запрета на истребование персональных данных, не являющихся необходимыми для совершения сделки, и вводимой административной ответственности за невыполнение этих требований. Обсудим, а нужны ли были изменения и как мы жили без них.

Новеллу проиллюстрируем судебным решением, которым действия страховой компании, хотевшей узнать паспортные данные и сведения о водительских правах для расчета стоимости ОСАГО, были признаны неправомерными, но суд этим не ограничился и потребовал изменить еще и пользовательское соглашение на сайте. Отмечу, что решение было принято до внесения изменений в законодательство. 

Рассмотрим позицию Роскомнадзора, Банка России и ФАС по порядку получения согласия физического лица, являющего стороной договора с оператором или представляющего документы, необходимые для его заключения. Хотя формально информационные письма регуляторов касаются кредитных организаций, но рассматриваемые в них наилучшие, допустимые недопустимые и недобросовестные практики (вот прямо так и написано) полезно знать всем операторам.

Разберемся, что думают территориальные управления Роскомнадзора о сборе персональных данных с использованием веб-форм на сайтах и обязательна ли там «галочка» для выражения согласия с обработкой.

Вникнем в прецедентные решения судов трех инстанций, поддержавших оператора в споре с надзорным органом о том, что такое архивный документ, в какой форме и как долго он должен храниться, всегда ли нужны письменные согласия работников на передачу их персональных данных третьим лицам.

Расскажем о новостях с контрольных и надзорных фронтов, где объявлен мораторий на плановые проверки, но появились новые формы контроля, которые не приостановлены, такие как профилактические визиты и мероприятия без взаимодействия с контролируемым лицом. Узнаем о появлении нового надзорного органа в сфере персональных данных, проверочных листах и самопроверке.

Обсудим самые горячие вопросы очень популярной в последнее времени темы биометрических данных – аккредитацию операторов, допустимые случаи использования биометрии для идентификации и аутентификации, присоединение к Единой биометрической системе и ее условиях.

Конечно, затронем (именно затронем, без погружения) законопроекты, которые могут в ближайшее время существенно поменять ландшафт, в котором используются персональные данные, условия трансграничной передачи, порядок уничтожения персональных данных, их носителей и оформления такого уничтожения и других грядущих изменениях.

Традиционно завершаю: приходите, скучно точно не будет.

Поскольку у курса все-таки круглая дата, будет и бонус. Кто зарегистрируется и оплатит курс, сможет направить мне вопросы по электронной почте mezp11@gmail.com, на которые я отвечу во время чтения курса.