Полномочия без ответственности
Анастасия Гаврилюк о новом регулировании персональных данных
Поправки к закону о персональных данных, принятие которых ожидается до конца весенней сессии, не на шутку всполошили бизнес-сообщество. За последний месяц с момента одобрения законопроекта в первом чтении различные объединения регулярно писали письма авторам инициативы и в правительство с требованием пересмотреть или доработать проект, исполнение которого может наложить на них «непомерную финансовую и административную нагрузку».
Действительно, хотя на фоне участившихся в последние месяцы утечек персональных данных проект выглядит вполне актуальным, ряд новелл, которые он в себя включает, как минимум не слишком логичны.
В частности, для защиты личной информации россиян законодатели предлагают операторам персональных данных (а это фактически все юридические лица) подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), оператором которой выступает структура ФСБ, хотя ответственным за реализацию требования проекта назначен Роскомнадзор. Система предназначена для расследования атак, в то время как подавляющее количество утечек происходит по вине сотрудников, а не в результате взлома сторонними хакерами. Именно так в открытый доступ попали, например, данные клиентов «Яндекс.Еды», сервиса «Умный дом» «Ростелекома».
При этом неясно, как именно Роскомнадзор сможет обеспечить реагирование на утечки. По словам моих собеседников на рынке, когда в феврале произошла утечка у «Яндекс.Еды», компания менее чем за сутки «сделала все, что смогла» для ликвидации последствий, в том числе попросила Роскомнадзор заблокировать ряд ресурсов, распространяющих скомпрометированные данные. Но блокировка упомянутых сайтов произошла только спустя несколько недель, когда в сети уже появился интерактивный сайт с базой «Яндекс.Еды», да еще и обогащенной дополнительными данными.
В текущей версии проекта поправок, который призван усилить защиту личной информации россиян, предусмотрены только обязанности бизнеса, ответственность государства в нем не прописана: не указан порядок действий Роскомнадзора при получении информации об утечках, нет ответственности ведомства за несвоевременные и недостаточные действия. Неудивительно, что служба поправки активно поддерживает.
Есть вероятность, что необходимые требования мы увидим в подзаконных актах, но многое будет зависеть от того, как пропишут регламент реагирования на инциденты и не окажется ли он забюрократизирован. В текущем же виде проект выглядит скорее способом расширить полномочия Роскомнадзора за счет дополнительной головной боли бизнеса.