27 мая 2022 г.

16-17 июня: изменения в законодательстве о персональных данных

16-17 июня я проведу очередной курс КП32 «Защита персональных данных» в Учебном центре «Информзащита». В мае исполнилось 15 лет, как я читаю этот курс, и я даже не пытался подсчитать, сколько слушателей на нем побывало. Много, очень много. Это был первый в стране курс по новому закону «О персональных данных», который за 4 месяца до премьеры курса вступил в силу.

Естественно, содержание курса все эти годы постоянно менялось вместе с изменениями в законе, принятием подзаконных нормативных правовых актов, судебной практикой и практикой правоприменения. Я без ложной скромности скажу, что курс уникальный. Он будет полезен и тому, кто только начинает разбираться в российском законодательстве и сталкивается с большим количеством проблем, пытаясь выполнитель его требования, и тем, кто в этой теме уже давно, но хочет «сверить часы», узнать о произошедших изменениях, разобраться в проблемах, рожденных несовершенством законодательства и практикой его правоприменения на основе толкования, которое тоже меняется время от времени.

Вот и на предстоящих занятиях мы обсудим актуальные новинки.

Поговорим о принятых изменениях в Федеральном законе «О защите прав потребителей» в части запрета на истребование персональных данных, не являющихся необходимыми для совершения сделки, и вводимой административной ответственности за невыполнение этих требований. Обсудим, а нужны ли были изменения и как мы жили без них.

Новеллу проиллюстрируем судебным решением, которым действия страховой компании, хотевшей узнать паспортные данные и сведения о водительских правах для расчета стоимости ОСАГО, были признаны неправомерными, но суд этим не ограничился и потребовал изменить еще и пользовательское соглашение на сайте. Отмечу, что решение было принято до внесения изменений в законодательство. 

Рассмотрим позицию Роскомнадзора, Банка России и ФАС по порядку получения согласия физического лица, являющего стороной договора с оператором или представляющего документы, необходимые для его заключения. Хотя формально информационные письма регуляторов касаются кредитных организаций, но рассматриваемые в них наилучшие, допустимые недопустимые и недобросовестные практики (вот прямо так и написано) полезно знать всем операторам.

Разберемся, что думают территориальные управления Роскомнадзора о сборе персональных данных с использованием веб-форм на сайтах и обязательна ли там «галочка» для выражения согласия с обработкой.

Вникнем в прецедентные решения судов трех инстанций, поддержавших оператора в споре с надзорным органом о том, что такое архивный документ, в какой форме и как долго он должен храниться, всегда ли нужны письменные согласия работников на передачу их персональных данных третьим лицам.

Расскажем о новостях с контрольных и надзорных фронтов, где объявлен мораторий на плановые проверки, но появились новые формы контроля, которые не приостановлены, такие как профилактические визиты и мероприятия без взаимодействия с контролируемым лицом. Узнаем о появлении нового надзорного органа в сфере персональных данных, проверочных листах и самопроверке.

Обсудим самые горячие вопросы очень популярной в последнее времени темы биометрических данных – аккредитацию операторов, допустимые случаи использования биометрии для идентификации и аутентификации, присоединение к Единой биометрической системе и ее условиях.

Конечно, затронем (именно затронем, без погружения) законопроекты, которые могут в ближайшее время существенно поменять ландшафт, в котором используются персональные данные, условия трансграничной передачи, порядок уничтожения персональных данных, их носителей и оформления такого уничтожения и других грядущих изменениях.

Традиционно завершаю: приходите, скучно точно не будет.

Поскольку у курса все-таки круглая дата, будет и бонус. Кто зарегистрируется и оплатит курс, сможет направить мне вопросы по электронной почте mezp11@gmail.com, на которые я отвечу во время чтения курса.  

4 мая 2022 г.

Искусство читать нормативку 2. Эта загадочная аккредитация работающих с биометрией

Посты о биометрии – одни из самых читаемых в моем блоге. Вот и последний из опубликованных, про искусство чтения нашей запутанной нормативки в области биометрии, за последние три месяца собрал на порядок больше прочтений, чем все остальные публикации. В нем я обещал вернуться к теме аккредитации, и, хотя три года на исполнение обещанного еще не прошло, решил к этой теме вернуться. Тем более, что на моем последнем вебинаре о выполнении требований законодательства о персональных данных в кредитных организациях этот вопрос тоже вызвал оживленную дискуссию участников, а к единому мнению прийти не удалось.

Главный вопрос – надо ли аккредитовываться всем, в том числе банкам, для которых использование Единой биометрической системы (ЕБС) является обязательным, а также владельцам собственных систем биометрической идентификации, никак с ЕБС не связанных, и использующих формы биометрии, отсутствующие в ЕБС (дактилоскопию, радужку глаза, рисунок вен и другие). Регулятор (Минцифры), надзор и защитник прав субъектов (Роскомнадзор) на эту тему молчат, разъяснений нет, а те, что есть в частных письмах с ответами на вопросы волнующихся операторов и специалистов однозначных ответов на поставленные вопросы не содержат. Самый наглядный пример – хождение за тремя ответами Алексея Лукацкого.

Что ж, нет разъяснений - будем читать нормативку как положено – буквально и внимательно.

Правила аккредитации операторов, обрабатывающих биометрические персональные данные, определены в Постановлении Правительства РФ от 20 октября 2021 г. № 1799. В самом Постановлении и утвержденных им Правилах ЕБС не упоминается совсем. Там есть отсылки к единому порталу гос- и муниципальных услуг, единой СМЭВ, ЕГРЮЛ, но про ЕБС - молчок.

Правила устанавливают порядок аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по такой идентификации и (или) аутентификации. Опять никаких исключений, при буквальном прочтении очевидно: если организация использует биометрию, то ей надо к 1 сентября бежать в Минцифры с заявлением для подтверждения своих полномочий. 

Но дьявол, как известно, в деталях. Возьмем лупу и внимательно рассмотрим их.

В преамбуле Постановления есть отсылка к частям 18.28, 18.30, 18.31 и 18.33 статьи 14.1 «трехглавого» закона от 27.06.2006 № 149-ФЗ, детально рассматривающей применение биометрии. Что же в этих частях?

В части 18.28 указывается, что аккредитация проводится в отношении организаций, в том числе финансового рынка, указанных в части 18.18 этой же статьи. ОК. А в ней что? Условия сбора и обработки биометрических персональных данных, используемых для аутентификации (как следует из текста остальных частей – без идентификации) в информационных системах этих самых организаций (реализация мер защиты, в том числе применение сертифицированных средств шифрования, наличие согласия субъекта и … аккредитация. Без рекурсии мы никак). Про ЕБС снова ни слова.

Часть 18.30 – про особенности аккредитации иностранных юридических лиц, подпадающих под требования части 18.18. Опять мимо ЕБС.

Часть 18.31 – про отсутствие ограничения срока аккредитации, но не организаций, указанных в части 18.18 и подпадающих под аккредитацию, а про упомянутые в части 18.20. Но мы упорные, разберемся и с этим.

Часть 18.20 – это про еще одну загадку законодательства о биометрии. В ней – о возможности использования биометрии уже включая идентификацию, а не только аутентификацию, организациями, кроме госорганов и органов местного самоуправления, в случаях, установленных Правительством РФ по согласованию с Банком России. Продвинутые читатели уже поняли, что речь идет про Постановление Правительства РФ от 23 октября 2021 г. № 1815, определяющем случаи, когда биометрическую идентификацию и аутентификацию можно использовать в принципе, в том числе в случае отсутствия биометрических персональных данных в ЕБС (это написано не в Постановлении, а в части 18.26 статьи 14.1, требования которой Постановление № 1815 и реализует). То есть, если ЕБС не используется, аккредитовываться точно надо. Но для того, чтобы это было возможно, помимо требований, указанных в части 18.29 (о ней будет дальше) организации надо подключиться к ГосСОПКА. Обязательно. В том числе иностранным юрлицам, которые хотят получить аккредитацию.

Ну, и наконец (будем последовательны) – про часть 18.33. Она - про особенности аккредитации иностранных юридических лиц, подпадающих под требования уже не части 18.18, а части 18.20. И опять мимо ЕБС.

Уфффф, выдохнули…? Не совсем. Странно, что в преамбуле Постановления не упоминается часть 14.29 статьи 14.1, в которой устанавливаются требований к аккредитации, которые как раз реализуются в Постановлении. Может быть потому, что в документе Правительства зачем-то полностью повторяются требования, уже прописанные в законе?

Итоги: читая буквально закон и подзаконные акты, приходим к однозначному выводу, что аккредитация нужна всем операторам, использующим биометрию для аутентификации, аутентификации и идентификации физических лиц, а также оказывающих такие услуги вне зависимости от того взаимодействуют ли они с ЕБС или нет. Даже если биометрия используется для входа в собственные помещения или информационные системы. Кстати, исходя из требований Постановления № 1815, входить в систему по биометрии (например, по «пальчику») будет нельзя.

Про условия аккредитации и требования к заявителям писать не буду. Для чтения на неделе между длинными праздниками-выходными это будет перебор. Скажу лишь, что аккредитоваться, если опять читать нормативку буквально, удастся далеко не всем, даже если использование для них биометрии является обязательным по закону, например, банкам с универсальной лицензией и иностранным участием более 49%. У таких операторов останется только один путь – получение услуг идентификации и аутентификации у счастливых обладателей аккредитации (ВТБ, Сбер?), не безвозмездно, конечно, но обязательно. Статья 7 «антиотмывочного» закона № 115-ФЗ требует.

Но об этом – как-нибудь в следующий раз. При наличии времени и желания.

3 февраля 2022 г.

На Радио Спутник - о 15-летии закона "О персональных данных"

На Радио Спутник в Международный день защиты данных поговорили о ситуации с защитой персональных данных, законе и его трансформации, телефонном мошенничестве и других проблемах, касающихся каждого без исключения человека  в нашей стране, да и не только в ней 



31 января 2022 г.

Коммерческая тайна об отечественных вакцинах от COVID-19

28-29 января российские СМИ дружно сообщали о том, что депутату Госдумы от КПРФ Алексею Куринному, врачу-хирургу в прошлой жизни, в ответ на запрос в прокуратуру, Минздрав сообщил, что вся информация о клинических испытаниях и составе препарата от COVID-19 является коммерческой тайной и не может быть обнародована без согласия разработчика, ссылаясь на статью 18 Федерального закона от 12.04.2010 № 61-ФЗ «Об обращении лекарственных средств». Акцент в ответе, судя по информации «Коммерсанта», делается на состав и содержание информации, входящей в состав регистрационного досье на вакцину.

Прежде чем продолжить свой пост, хочу сразу отметить два принципиальных момента:

1.    Я сторонник прививки от COVID-19 и привит.

2.    Отслеживая ситуацию, связанную с коммерческой тайной в нашей стране с момента принятия и вступления в силу Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне», я давно пришел к выводу, что о ней вспоминают чаще всего тогда, когда надо скрыть правду от общественности, и коммерческая тайна появляется в государственных органах, некоммерческих и даже благотворительных организациях, в которых по закону ее не должно быть в принципе в силу определения данной категории информации.

Исходя из этой диспозиции, давайте попробуем разобраться, насколько отказ Минздрава правомерен.

Здесь тоже есть принципиальные вопросы, и их четыре.

1. Какая информация закрыта в соответствии с законом «Об обращении лекарственных средств»?

Часть 18 статьи 18 закона действительно закрывает информацию о результатах доклинических исследований лекарственных средств и клинических исследований лекарственных препаратов для медицинского применения, представленной заявителем для государственной регистрации лекарственного препарата в Минздрав, на срок 6 лет.

Но! И это очень важно! Речь идет исключительно об использовании этой информации в коммерческих целях, которое возможно ранее 6 лет с даты регистрации только с согласия заявителя, а не о запрете любого доступа к данной информации. И, кстати, понятие «коммерческая тайна» в данной статье закона не упоминается от слова совсем. Какие основания были у Минздрава считать, что депутат Государственной Думы собирается использовать сведения из регистрационного досье в коммерческих целях, да еще с нарушением прав правообладателя - это большой вопрос. И, кстати, понятие «коммерческая тайна» в данной статье закона не упоминается совсем. Почему Минздрав ссылается именно на коммерческую тайну, режим которой если и вводился, то не им, а разработчиком вакцины – тоже интересно. Вернемся к нему при рассмотрении третьего вопроса.

2. Можно ли запрашиваемую информацию отнести к коммерческой тайне?

Закон «О коммерческой тайне» существенно ограничивает отнесение общественно значимой информации к коммерческой тайне. Так, пункт 4 статьи 5 указанного закона прямо запрещает устанавливать режим коммерческой тайны лицами, осуществляющими предпринимательскую деятельность (а не министерствами и ведомствами), в отношении сведений о санитарно-эпидемиологической обстановке и других факторах, оказывающих негативное воздействие на безопасность каждого гражданина и безопасность населения в целом. Сведения о негативных последствиях вакцинации, а тем более о противопоказания и возможных ограничениях (основаниях для медицинских отводов) – это как раз о негативном воздействии на безопасность граждан и населения, а о влиянии вакцинации на развитие пандемии (если они в досье есть) – сведения о санитарно-эпидемиологической обстановке.

Таким образом, некоторые сведения в досье для регистрации вакцины (в первую очередь, ноу-хау, связанные с ее составом, технологией производства и т.д.) могут составлять коммерческую тайну, но есть там и сведения, в режиме коммерческой тайны не охраноспособные, которые к этой категории информации ограниченного доступа закон относить запрещает.

Подводя итог второму вопросу, напомню, что часть 6 статьи 10 закона «О коммерческой тайне» не допускает использования режима коммерческой тайны в целях, противоречащих требованиям защиты здоровья, прав и законных интересов других лиц, обеспечения безопасности государства.

И, судя по информации в СМИ, депутат А. Куринный именно эти сведения и запрашивал.

3. Приняты ли обладателем информации все предусмотренные законом меры по установлению режима коммерческой тайны?

Перефразируя популярный интернет-мем, нельзя вот так просто взять и установить режим коммерческой тайны. Статья 10 закона «О коммерческой тайне» жестко устанавливает, что режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, следующих мер (в скобках в каждом пункте мои пояснения к закону):

1) определение перечня информации, составляющей коммерческую тайну, далее - ИКТ (т.е. у заявителя государственной регистрации вакцины должен быть документ, который прямо относит сведения, указанные в регистрационном досье, к коммерческой тайне);

2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка (т.е. у указанного выше лица должен быть локальный акт, подробно регламентирующий обращение с ИКТ и меры по ограничению доступа к ней);

3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана (как своих работников, так и контрагентов, и органов власти, которым ИКТ была предоставлена и передана);

4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров (т.е. в трудовых договорах с работниками заявителя и его контрагентами, например, производителями вакцины, прямо должно быть прописаны наличие режима коммерческой тайны, порядок идентификации такой информации среди прочей, законом не охраняемой, и порядок обращения с ней);

5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации, его полного наименования и места нахождения (т.е. вся документации по вакцине, включая сведения в электронной форме, а также документы, поданные для государственной регистрации вакцины в Минздрав, должны содержать ограничительный гриф, наименование заявителя и его адрес).

Не выполнено хотя бы одно требование – режима коммерческой тайны нет. Нет и охраны, и защиты государственными институтами прав обладателя сведений. Тому масса подтверждений в судебной практике, о которых я не раз писал в своем блоге.

4. Обязаны ли депутату Куринному предоставить запрашиваемую информацию (на самом деле самый важный вопрос в рассматриваемом контексте)?

Часть 1 статьи 6 закона «О коммерческой тайне» обязывает обладателя ИКТ по мотивированному требованию органа государственной власти, иного государственного органа предоставить им на безвозмездной основе информацию, составляющую коммерческую тайну. Вторая часть этой же статьи предусматривает, что в случае отказа обладателя ИКТ предоставить ее органу государственной власти, такой орган вправе затребовать эту информацию в судебном порядке.

Так что для дальнейшего развития событий законодательство Российской Федерации предоставляет простой и прямой путь: Дума вправе истребовать необходимые сведения у заявителя на государственную регистрацию лекарственного препарата, которые об обязан предоставить, даже если отнес их к ИКТ (с грифом), и потребовать предоставить доказательства правомерности такого отнесения.

Если сведения охраноспособны - хранить их в режиме конфиденциальности, если нет – обнародовать, учитывая общественный и публичный интерес к ним, который после отказа Минздрава существенно вырос и породил подозрения.

26 января 2022 г.

Большое интервью к 15-летию закона "О персональных данных"

 К 15-летию закона "О персональных данных" дал большое интервью главному редактору журнала Business Exsellence Наталье Борисовне Кий о наболевшем - проблемах закона, его правоприменения, влиянии закона на бизнес в России и рисках для бизнеса и граждан.








10 января 2022 г.

Искусство читать нормативку. О биометрии для идентификации и аутентификации

С наступившим вас! Теперь и трудовым.

Начинаем трудиться.

Одна из главных проблем для меня в прошлом году – нормативно-правовые документы по биометрии от новоявленного (новоназначенного?) регулятора – Минцифры России. Казалось бы, каждый новый подзаконный акт должен вносить ясность в общую норму закона, раскладывая по полочкам конкретный порядок действий по ее выполнению. Как бы не так. Последние результаты нормотворчества ситуацию только запутывают, на мой взгляд. О проблемах использования биометрии в конце декабря хорошо написал на своем сайте-блоге Алексей Лукацкий. Но я сейчас немного о другом.

Итак, при выполнении проектов 2021 года наше агентство столкнулось с рядом вопросов заказчиков, касающихся применения биометрии. Сформулирую в более-менее обобщенном виде два основных вопроса ввиду ограниченности формата поста (на самом деле их гораздо больше):

1.     Всем ли можно применять биометрию для идентификации и аутентификации? Например, можно ли небольшому ритейлеру купить и поставить на компьютеры персонала или кассовые аппараты в магазине систему распознавания пользователей по пальчикам, то есть систему дактилоскопической идентификации?   

2.     Можно ли использовать в школе систему идентификации по рисунку вен ладоней для организации доступа на территорию школы, связав ее с системами учета полученного питания и выдачи книг в библиотеках (идея «Ладошек» пока вовсе не умерла, как думают некоторые).

Рассматриваемой биометрии (дактилоскопия и рисунки вен ладони) в Единой биометрической системе (ЕБС) нет. Можно ли их использовать в России? В ответах будет очень много букв. Понимаю, после каникул напряженно, но …

Читаем статью 14.1 ФЗ «Об информации, информационных технологиях и о защите информации» - самую главную в российском законодательстве с точки зрения регулирования использования биометрии. Она и называется соответствующе – «Применение информационных технологий в целях идентификации физических лиц» (хотя почему-то про аутентификацию в названии не упоминается, но порядок ее проведения статья определяет).

Части с 1 по 10 данной статьи регламентируют использование биометрии исключительно в ЕБС, где, как все хорошо знают, только лицо и голос.

Значит, если мы живем вне ЕБС, для нас требования данный статьи обязательными не являются? Нет, просто мы еще не все прочитали.

С 1 января в статье появилась новая часть 10.1, неожиданно расширяющая действие норм, изложенных ранее: контроль и надзор за обработкой персональных данных в ЕБС, а также в информационных системах государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций и индивидуальных предпринимателей, которые осуществляют обработку биометрических персональных данных при идентификации и (или) аутентификации, в том числе при взаимодействии с ЕБС осуществляет Роскомнадзор. Что это его область надзора, на мой взгляд, очевидно и так – глава 5 ФЗ «О персональных данных» для биометрии никаких исключений не содержит. И зачем об этом писать еще и в 149-ФЗ - совершенно не понятно. Важны слова про иные биометрические системы, не связанные с ЕБС – а новая часть их существование прямо допускает.

Про новую редакцию части 11, наделяющую Банк России полномочиями по контролю и надзору за реализацией организационных и технических мер по обеспечению безопасности персональных данных, отсутствующими в ФЗ «О персональных данных», надо писать отдельно, это в границы данного поста не вписывается.

Ну, а дальше, из части 13 статьи 14.1 становится очевидным, что с 01.01.2021 Минцифры регулирует использование любой биометрии в любых системах идентификации и аутентификации любых организаций, включая требования к таким системам (приказы Минцифры от 25.06.2018 № 321 в новой редакции, который утратит силу с 01.03.2022 и от 10.09.2021 № 943, с 01.03.2022 вступающий в силу), формы подтверждения соответствия любых технологий и средств для этих целей (приказ Минцифры от 07.07.21 № 685). Но вот беда: приложение № 3 к приказу № 943 опять только про голос и лицо, соответственно, и № 685 – тоже. Зато приложения №№ 1 и 2 к тому же приказу – про сбор, размещение хранение и использование биометрии и в иных системах тоже.

А дальше читаем крайне внимательно: часть 18.2 дает право организациям использовать ЕБС для аутентификации в целях совершения определенных действий (прохода на территорию, доступа к компьютеру или кассе), но не обязывает использовать только ее. Тем, кто использует ЕБС, необходимо использовать сертифицированную криптографию (часть 18.3), за реализацией мер защиты надзирают ФСБ и ФСТЭК (часть 18.4). И далее –про тех, кто подпадает под часть 18.2, то есть использует ЕБС.

Пока вроде бы никаких препятствий для использования систем, упомянутых в вопросах в начале поста и в тех целях, которые указаны в тех же вопросах, нет. Но это только пока.

С 1 сентября наступившего года вступят в силу новые части статьи 14.1. Части 18.18 и 18.20 определяют условия проведения идентификации и аутентификации с использованием биометрии в собственных информационных системах операторов уже без упоминания и связи с ЕБС. И тогда применение сертифицированной криптографии станет обязательным для нейтрализации актуальных угроз. И самое главное – все операторы, использующие биометрию, должны будут пройти аккредитацию в Минцифре (правила аккредитации утверждены Постановлением Правительства РФ от 20.10.2021 № 1799, вступившем в силу 1 января нового года, хотя статьи об аккредитации закона заработают с 1 сентября). Если же кроме аутентификации операторы захотят проводить и идентификацию с использованием биометрии, то есть создавать шаблоны и базы биометрии, а не только сверять полученные данные с шаблонами, то на них будут распространяться требования безопасности, предъявляемые к значимым объектам КИИ и ГИСам и взаимодействовать с Госсопкой (пункт 2 части 18.20), причем отнесение владельца системы идентификации к субъектам КИИ в качестве критерия здесь не упоминается.

И не менее важное: идентификация либо идентификация и аутентификация допускаются в случаях, установленных Правительством Российской Федерации по согласованию с Центральным банком Российской Федерации (часть 18.26 статьи 14.1). А вот с этой частью – полная засада. Распространяются ли эти случаи только на идентификацию и (или) аутентификацию с использованием ЕСИА и ЕБС или это закрытый перечень случаев биометрической аутентификации, которая выполняется без ЕБС, понять из текста нельзя. Не вносит ясность и Постановление Правительства РФ от 23.10.2021 № 1815, которым этот перечень случаев определен (вступает в силу с 1 марта, а статья закона, требующая его принятия – с 1 сентября).  Постановление ссылается на части 18.20 (в которой ЕБС не упоминается) и 18.26 (в которой использование ЕБС является обязательным). Кроме того, пункт 3 Перечня случаев допускает использование биометрии в СКУД, но кроме случаев входа на объекты, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями, а также режимных объектов, дошкольных и общеобразовательных организаций. В школах биометрия невозможна? Нет в Перечне случаев упоминания и об использовании биометрии товаров и услуг, которая вовсю внедряется сегодня где только можно и нельзя. Так закрытый это перечень случаев или нет? Распространяется ли он только на случаи использования ЕБС или нет? Вопросы, вопросы…

С аккредитацией тоже все очень плохо. Посмотреть можно про нее, если лень разбираться в законе и постановлении правительства, в посте Алексея Лукацкого, ссылка на который есть выше. Здесь уже про это рассказать не удастся, возможно, получится свою точку зрения высказать позже.

Ну, и ответы на поставленные в начале поста вопросы. До 1 сентября все это можно. После 1 сентября, похоже, лавочки придется свернуть.

С удовольствием почитаю мнение коллег – не накосячил ли я чего, разбираясь в законах, постановлениях и приказах, не ошибся ли при интерпретации установленных ими норм. Единственная просьба – указывать конкретные нормы, которые коллегами понимаются по-другому. С цитированием и пояснениями.

С новым вас трудовым годом. Мало, похоже, в нем не покажется. Трудимся.

28 декабря 2021 г.

С Новым 2022 годом!


Уважаемые коллеги!

С наступающим вас новым 2022 годом!

Пусть этот год будет годом, открытым для всего мира, легким и свободным!

Новых вам интересных проектов, удовлетворения от сделанного, достойного вознаграждения за труды и крепкого здоровья, исполнения желаний!

Мира и спокойствия вашим домам, понимания и поддержки окружающих, тепла и уюта!

9 ноября 2021 г.

Об оплате проезда «лицом» в московском метро (система Face Pay)

 С 15 октября на всех линиях и станциях московского метро заработал сервис Face Pay. Он позволит пассажирам оплачивать проезд при помощи системы распознавания лица, нужно лишь посмотреть в камеру на турникете, - сообщил официальный сайт Мэра Москвы.

Антон Нехаенко на портале Banki.ru достаточно подробно разобрал тему внедрения системы оплаты проезда «лицом» Face Pay и возможные последствия ее использования,  в комментировании которой я также поучаствовал, но посчитал нужным более детально разъяснить свою позицию в личном блоге, поскольку проблема касается буквально каждого из нас и связана с большим количеством, мягко скажем, «недоговоренностей», возникших при внедрении системы.

О целях внедрения системы Face Pay. В ответах на вопросы о системе начальник службы платёжных сервисов Московского метрополитена, на первое место ставит транспортную безопасность, поиск преступников, а не удобство прохода для пассажиров. Именно для этой цели установили первые камеры, которые теперь приспособили для оплаты, что несколько странно в такой ситуации.

О том, какие данные о пассажире собирает система и об их защите. На сайте mos.ru, в анонсе новой системы оплаты, указывается, что для ее использования нужно привязать банковскую карту со средствами для оплаты проезда и карту «Тройка» к сервису через приложение «Метро Москвы», но скромно умалчивается о необходимости передать в систему через это приложение еще и изображение лица владельца карты. Стоит обратить внимание на то, что нет ни слова о том, как защищается передаваемая приложением информация, в частности, о средстве платежа и биометрических данных, где и как она будет храниться, кто является в отношении нее оператором персональных данных и несет ответственность за возможные инциденты с персональными данными. Ничего не сообщается о величине допустимых ошибок первого и второго рода (отказать в проходе владельцу или пропустить похожее на него лицо).

Особенно удивляет такая информация в комментариях Департамента транспорта: «Система не способна «связать» фотографию человека с его личностью — у неё просто нет данных для этого: в личном кабинете пассажир привязывает только банковскую карту, номер телефона и «Тройку»»‎. Но ведь банковская карта привязана к конкретному владельцу и к его лицу при его распознавании, иначе и быть не может.

О роли турникета метро в обработке персональных данных. В Департаменте транспорта Москвы рассказали о том, что «вся информация будет надежно зашифрована, камера на турникете считывает биометрический ключ, а не изображение лица или другие персональные данные». Веб-камера не может считывать «биометрический ключ», она может только зафиксировать изображение лица, которое затем надо преобразовать в «биометрический ключ», точнее – в математический шаблон, который и будет сверяться в базе данных с другими шаблонами. Опровержение этого алгоритма содержится в той же публикации: «Когда человек подходит к турникету, камера на нём делает несколько снимков. Лучший кадр по освещённости, положению головы, открытости лица и многим другим параметрам переводится в биометрический вектор, сравнивается с точками в базе». Сложно представить, что такое преобразование выполняется на каждом турникете станций метро, а не передается для обработки на серверы.

Относительно шифрования, используемого для защиты персональных данных. Утверждается, что шаблоны изображений лиц на сервере, которые есть «в каждом вестибюле», зашифрованы. Тогда вопрос: для распознавания по каждому пассажиру шаблоны расшифровываются, или шифруется шаблон и сравнивается с зашифрованными же образами? Как происходит обновление данных на каждом из серверов, какие используются протоколы и алгоритмы шифрования? Все эти вопросы покрыты мраком и даже не обсуждаются. Я уже не говорю про межсетевые экраны, системы обнаружения компьютерных атак и обо всем остальном, что должно быть в любой информационной системе персональных данных и, в соответствии со статьей 18.1 Закона о персональных данных, указываться в политике оператора, размещаемой для неограниченного доступа.

О создании маршрута передвижения пассажира и необходимой для этого информации. Департамент транспорта сообщает: «Посмотреть историю своих маршрутов может только сам пассажир — в личном кабинете, пароль от которого знает только он (при этом вход защищён двухфакторной аутентификацией)». Это значит, что лицо пассажира фиксируется и при выходе со станции, иначе будет невозможно отследить маршрут. Вопрос – зачем и как это связано с оплатой «по лицу» и не является ли распознавание лица пассажира на выходе из метро избыточным для целей оплаты проезда в метро? И, конечно же, ко всему, что лежит в базах данных о передвижениях пассажиров, включая личные кабинеты, имеют доступ администраторы системы.

О технических сбоях системы и «перепутанных» пассажирах. Сообщается, что, если вдруг произойдёт технический сбой и одного пассажира перепутают с другим, он может написать об этом чат-боту Александре, и в течение трёх дней деньги за поездку вернутся. И как тогда будут разрешаться конфликты? Желающих отказаться от поездки и сэкономить найдется достаточно много и всем вернут деньги?

Face Pay и не «привязанные» к ней пассажиры. Ну и вишенка на торте: «Face Pay распознаёт только тех, кто зарегистрировался в системе — на остальных пассажиров камера не реагирует: ей просто не с чем сравнивать» Что значит – не реагирует? Умная камера заранее знает, кого снимать, а кого нет? И по базе данных не прогоняются шаблоны лица всех проходящих через турникет? Этого просто не может быть, такая система работать не сможет.

О согласии пассажиров на обработку их биометрических персональных данных. Мне не удалось найти в мобильном приложении интерфейса для использования Face Pay, текст согласия на обработку биометрических персональных данных (а оно, согласно Закону о персональных данных, должно быть дано в письменной форме и соответствовать по содержанию требованиям законодательства). Текст согласия есть на сайте метрополитена, но закону он совсем не соответствует, оно анонимное, без паспортных данных, адресов субъекта и оператора. Целью обработки биометрических данных, помимо оплаты проезда, указано получение «иных услуг», каких – не сообщается (что тоже не законно), а вот про поиск преступников и обработке с этой целью данных пассажиров в согласии нет ни слова. Согласие дается ГУП «Московский метрополитен», а также организациям, подведомственным Департаменту транспорта и развития дорожно-транспортной инфраструктуры города Москвы и иным лицам, обеспечивающим достижение целей обработки изображения, указанным в пункте 4 настоящего согласия.

Что это за организации, какие у них цели, и что они делают с персональными данными пассажиров? Если исполняют получение обработки, полученное от метрополитена, то эти лица должны быть поименованы с указанием их адреса – это требования Закона о персональных данных. Если решают иные задачи, не связанные с поручением, хотелось бы знать, какие именно, иначе согласие не отвечает требованиям конкретности, информированности и сознательности.

Указано, что согласие действует со дня его выдачи, в том числе в форме электронного документа, подписанного простой электронной подписью, но о том, как его подписать электронной подписью и какой, не сообщается.

Между тем, штраф за согласие, оформленное с нарушением установленных законом требований к составу сведений, включаемых в согласие субъекта в письменной форме, влечет административную ответственность в размере до 150 тысяч рублей по каждому случаю нарушения. Но ГУП «Московский метрополитен», похоже, это совсем не пугает. Интересно, почему? Действительная цель создания системы оправдывает средства?

О скорости оплаты проезда «лицом». Большие сомнения вызывает и декларируемая высокая скорость оплаты проезда. Заммэра Максим Ликсутов оптимистично оценивает количество пользователей системы в 10-15 процентов всех пользующихся метро пассажиров. Сам метрополитен оценивал ежедневный пассажиропоток в 2019 году более, чем в 7 миллионов человек. Предположим, что пассажир в среднем совершает в день две поездки, это значит в базе должно быть не менее 350 тысяч шаблонов изображений лица. Прогнать шаблон фото через 350 тысяч образов быстрее, чем считать данные с «Тройки» и записать на нее? Не верится...  

В целом, предлагаемая система пока гораздо больше похожа на систему контроля, а не оплаты. Так может об этом честно заявить и сделать ее соответствующей закону?

И самое главное - что должен делать пассажир, биометрические данные которого скомпрометированы? Отсутствие во всех подобных внедряемых системах биометрической идентификации и аутентификации, начиная с Единой биометрической системы, сведений о том, что должен делать пользователь, биометрические данные которого скомпрометированы и как ему после этого жить дальше, а также отсутствие процедур разрешения конфликтов при оспаривании транзакций делают риски использования таких систем вообще неприемлемыми.

Использование данной системы для оплаты проезда в метрополитене я считаю крайне рискованным для граждан и ни в коем случае не рекомендую ею пользоваться.

1 сентября 2021 г.

Про парсинг, ВКонтакте, Double Data и запрет пользоваться надписями на заборах

Елена Покатаева из «Банковского обозрения» подготовила интересную и детальную публикацию, а я ее немного прокомментировал.

«Тайна частной жизни и приватность существуют ровно до того момента, когда человек, к которому эти сведения относятся, сам сохраняет их в тайне. Написал на заборе (в соцсети) — забудь о приватности. Ее больше нет».

«Суды пошли еще дальше и пытаются запретить любому использовать то, что написано на заборе. Но вряд ли запреты остановят парсинг и использование его результатов в скоринговых алгоритмах, ведь не воспользоваться тем, что доступно для снижения банковских рисков, просто неразумно. Зато появится возможность выборочно привлекать к ответственности тех, кто в парсинге будет уличен».

Ну, и еще кое-что.

Полный текст здесь https://bosfera.ru/bo/algoritmami-vhod-vospreshchen.

13 мая 2021 г.

17-18 мая: требования законодательства о персональных и все последние изменения к нему

В понедельник-вторник 17 и 18 мая буду вести обновленный курс КП32 "Защита персональных данных" в формате онлайн на площадке Учебного центра "Информзащита".

В программе:

новые редакции ст.13.11 КоАП,

практика по частям 8 и 9,

правоприменение статьи 13.11 в последнее время,

согласие на распространение персональных данных,

изменения, связанные с расширением сферы применения Единой биометрической системы,

судебные прецеденты и результаты проверок последних лет.

Вопросы и обсуждения приветствуются.

Запись в Учебном центре "Информзащита".

8 апреля 2021 г.

Нам 10 лет!

Сегодня, 8 апреля, исполняется ровно 10 лет с того дня, когда наше Консалтинговое агентство «Емельянников, Попова и партнеры» было зарегистрировано как юридическое лицо и вышло на рынок.

Срок вроде бы и не большой, но сколько всего поменялось на рынке за это время! Принимались и изменялись законы и подзаконные акты, появлялись новые трактовки положений, казавшихся очевидными, суды принимали решения, переворачивавшие сложившееся понимание законодательства, вводились новые требования и новые ограничения, и мы вместе с нашими заказчиками лавировали в этом меняющемся, бушующем мире. Наша цель была всегда одна – обеспечить выполнение закона и не просто не дать загнуться бизнесу, порою очень плохо понимавшему, что хочет от него государство и его законодатели, но и обеспечить использование самых передовых информационных технологий, позволяющих оставаться конкурентоспособными, и не только в России, но и в мире.

За эти 10 лет в области нормативного регулирования сферы персональных данных произошли значительные изменения. Вскоре после начала работы нашего агентства, 25 июля 2011 года, Федеральным законом № 261 (помните поменявшийся радикально за две ночи закон Резника-Плигина-Московца?) была введена в действие фактически новая редакция закона о персональных данных. Сколько всего правильного в основном было написано блогерами, которые как никогда были популярны и читаемы в то время, специалистами и заинтересованными участниками рынка (одно обращение Г.А. Тосуняна к президенту страны чего стоило), сколько копий сломано (зря, как правило). Обсуждение 261-ФЗ стало самым, наверное, активным действием профессионального сообщества, пытавшегося повлиять на регуляторику в области безопасности, существенно затрагивающую интересы бизнеса. «Не шмогли» … Но и катастрофы, которой боялись, не произошло ввиду неизменного российского правила исполнения строгих законов.

В 2015 году заработало требование о локализации персональных данных во время их сбора, вызвавшее оторопь у российских дочек международных и иностранных компаний, активно использовавших зарубежные системы материнских компаний, первых, немногочисленных тогда пользователей облаков и SaaS систем. Пережили и это. Посмотрите статистику проверок 2016-2020 годов – про нарушения, связанные с локализацией, там почти ни слова. Все больше про войну с LinkedIn, Twitter и Facebook.

Вот и сейчас озадаченные владельцы сайтов не могут понять, как на них теперь разместить персональные данные, получить согласие субъектов и их представителей на распространение, указать условия и ограничения обработки и перечни, в отношении которых эти ограничения вводятся. Пережили былое, переживем и это… Ищем и найдем решения. 

Наш мир становится все более цифровым. На горизонте – цифровой профиль, новые реестры, которые знают про нас все больше и больше, проникающая в нашу жизнь, как вода в одежду во время ливня, биометрия, которые не все и не очень-то ждут. Интернет вещей с WiFi в каждом утюге и холодильнике. СИМ-карты в шлагбауме, подписывающиеся на новостные рассылки. Скучно в ближайшем будущем не будет точно.

Начав работать 10 лет назад, мы довольно скоро и сознательно сузили свою нишу на рынке. Мы решили отказаться от многих возможных направлений, в которых выполняли весьма успешные проекты, и сосредоточиться на двух – на персональных данных и тайнах (коммерческой, банковской, связи, врачебной и прочих, кроме государственной). Это позволило нам наработать экспертизу того уровня, благодаря которому мы стали консультантами крупнейших мировых ИТ-вендоров, помогая им и их заказчикам соблюдать требования российского законодательства, мировых и российских лидеров в самых разных направлениях экономики – госкорпораций, системообразующих банков страховых компаний, телеком-операторов, интернет-компаний и производителей средств защиты информации, предприятий промышленности, энергетики, фармацевтики, FGCG, медицинских организаций, служб по подбору персонала из разных стран и многих, многих других. Они именно пришли к нам – за все 10 лет мы не истратили на маркетинг ни копейки.   

Мы –партнеры крупнейших юридических компаний, выполняем совместные с ними сложные проекты, требующие понимания не только законодательства России, но и глубокого вникания в суть бизнеса.

Мы искренне стремились выполнить и нашу социальную миссию, в рамках который были проекты в благотворительных фондах для особенных детей, и множество просветительских и образовательных проектов.

Но среди наших заказчиков – не только компании из enterprise сегмента. Это и стартапы, работа с которыми не самая прибыльная, но, как правило – необыкновенно интересная, поскольку готовых решений как выполнить закон для абсолютно новой идеи, нормативно не урегулированной и не имевшей ранее прецедентов, конечно, нет, а вот необходимость вывода бизнеса, и не в серый, а в белый сегмент – есть.

Мы активно занимались образовательными проектами – курсами, семинарами, вебинарами. За 10 лет обучены тысячи специалистов, и с каждым годом доля специалистов по информационной безопасности среди них все меньше и меньше. Наши слушатели – руководители, первые лица организаций, юристы, в том числе находящиеся на очень высоких позициях и работающие в юридических компаниях, кадровики, айтишники и многие другие. Все эти 10 лет мы работаем с нашими главными партнерами по направлению образования – Учебным центром «Информзащита» и «БизнесШколаКонсультант».

Нам есть чем гордиться. Придуманы и реализованы новые формы и форматы консультационных услуг, подготовлено множество экспертных заключений, в том числе выложенных для свободного доступа, которые читали и использовали тысячи специалистов.

На наш блог, который, к сожалению, не удается обновлять постами так часто, как хотелось бы, тем не менее приходят ежедневно сотни и тысячи читателей. И мы не собираемся останавливаться. До новых встреч!  

1 марта 2021 г.

С 27 марта штрафы вновь ужесточили. А ответственности за утечку персональных данных по-прежнему нет

24 февраля подписан Федеральный закон № 19-ФЗ, которым в КоАП РФ вводятся новые виды административных нарушений, связанных с использованием и обеспечением безопасности сети Интернет, ресурсов и сервисов сети, а также устанавливается ответственность за них.

В лучших традициях последних лет в тексте законопроекта для второго чтения появились дополнения и изменения в статью 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных», которые приняты и вступают в силу с 27 марта 2021 года.

Если коротко, срок привлечения к ответственности за нарушения законодательства о персональных данных (ст.4.5 КоАП) увеличивается с 3 месяцев до 1 года, что, учитывая обычный срок подготовки акта проверки и предписания территориальными управлениями Роскомнадзора (от 1 до 2 месяцев), является весьма значимым изменением, увеличивающим риск наложения штрафов на операторов по результатам проверок.

Размер штрафов по большинству составов нарушений, предусмотренных статьей 13.11, вырос в два раза, появились наказания и довольно суровые за повторное нарушение по ряду оснований.

Более подробно новые штрафы указаны в таблице ниже.

Часть

ст.13.11

Нарушение

Размер штрафа, тыс. рублей

Должн. лица

Юрлица

1

Незаконная обработка (в случаях, не предусмотренных законодательством)

10 - 20

60 -100

1.1

Повторное нарушение по основаниям части 1

20 - 50

100 – 300

2

Несоответствие (отсутствие) согласия на обработку в письменной форме

20 - 40

30 – 150

2.1

Повторное нарушение по основаниям части 2

40 - 100

300 – 500

3

Отсутствие неограниченного доступа к политике в отношении обработки персональных данных

6 – 12

30 – 60

4

Непредоставление информации субъекту

8 – 12

40 – 80

5

Невыполнение требований об уточнении, блокировании и уничтожении

8 – 20

50 – 90

5.1

Повторное нарушение по основаниям части 5

30 – 50

300 – 500

6

Нарушение требований безопасности при обработке без средств автоматизации

8 – 20

50 – 100

7

Нарушение правил обезличивания

6 - 12

Про штрафы для физических лиц и индивидуальных предпринимателей не пишу для краткости, они тоже выросли, желающие могут посмотреть в тексте закона.

Но ответственности за утечку персональных данных, от которой как раз и страдают субъекты и о которой столько разговоров было после катастрофического, с точки зрения атак на субъектов, 2020 года, так и не появилось. Для организации таких атак как раз и использовались данные, полученные в результате утечек. Но если звезды зажигают, значит это кому-то нужно…

Об этих и других изменениях, которые произошли для операторов и субъектов персональных данных в 2021 году, мы подробно поговорим на вебинаре в Учебном центре «Информзащита» 17 марта.

Среди горячих тем, которые будут обсуждаться, – «загадочные» персональные данные, разрешенные субъектом персональных данных для распространения, но с условиями и ограничениями (кстати, сегодня, 1 марта – день вступления изменений, внесенных Федеральным законом от 30.12.2020 № 519-ФЗ в силу, а приказ Роскомнадзора о форме согласия на распространение персональных данных так и не подписан?), существенное расширение сферы применения единой биометрической системы и контроль государства над любыми системами биометрической идентификации, электронный нотариат и электронные трудовые книжки, новые правила дистанционной (удаленной) работы. И, конечно же, практика применения Правил государственного контроля и надзора (Постановление Правительства РФ № 146 2019 года) и статьи 13.11 КоАП, включая часть 8 (часть 9 пока не применялась).

Так что приходите, будет интересно: 4 часа обсуждения нововведений в законодательстве, как показала репетиция вебинара с нашими заказчиками абонентского обслуживания, пролетят незаметно.