Закон о персональных данных, обязывающий компании обеспечить защиту личной информации граждан, вступил в силу еще в 2007 году. Однако массовые проверки Роскомнадзора на предмет нарушения закона начались лишь сейчас, хотя к 1 января 2010 года выполнить его требования должны все компании. Выполнить же их в полной мере за оставшееся время успеют немногие: очень уж они путаные, да и стоит все это недешево. Зато новый закон вполне можно использовать для устранения конкурента.
Все вы теперь — операторы
Персональными данными (ПД) называются любые данные о человеке, например фамилия-имя-отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы.
Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных была подписана Россией в 2001-м, а ратифицирована Госдумой в 2005 году, что и повлекло за собой необходимость принятия специального Закона о персональных данных — ЗоПД.
Разработка закона велась при участии ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК). Принятый закон, как считают эксперты, имеет множество недостатков.
"Закон устанавливает конкретные требования в непринципиальных вопросах, а в принципиальных определенность отсутствует,— удивляется главный аналитик компании InfoWatch Николай Федотов.— Там, где дело касается денег, закон отсылает к постановлению правительства, которое отсылает к ФСТЭК, ФСБ и Роскомнадзору. Они своими ведомственными актами устанавливают такие правила, какие считают нужными, и закон их в этом не ограничивает. Естественно, правила получаются примерно такие: все должны получить у меня сто бумаг, а для этого купить и заказать то, что я укажу. Кроме того, из ЗоПД следует, что каждый оператор должен получить две лицензии: от ФСТЭКа на техническую защиту конфиденциальной информации и от ФСБ на техобслуживание шифровальных средств. В крайнем случае заключить договор с теми, кто такие лицензии имеет. Операторов ПД у нас более 4 млн. Они просто не успеют получить лицензии, а за осуществление лицензируемой деятельности без лицензии, напомню, предусмотрена уголовная ответственность".
Собственно, понимают это и в Роскомнадзоре. Глава этого ведомства Сергей Ситников в своем выступлении 12 мая на расширенном заседании коллегии Министерства связи и массовых коммуникаций высказал сомнение в том, что компании смогут к нужному сроку выполнить все требования этого закона "в силу сложности и финансовой обременительности его методологии для многих операторов".
По закону все компании, в каком-либо виде использующие в своей деятельности ПД, должны были до 1 января 2008 года отправить в Роскомнадзор уведомление об этом.
Все компании-"старички", которые до вступления этого закона в силу, то есть до 27 января 2007 года, обрабатывали ПД, должны обеспечить достаточный уровень защиты к 1 января 2010 года. А вот те, кто установил свои инфосистемы уже после 27 января 2007 года, должны соблюдать требования этого закона с самого начала своей деятельности. Чтобы доказать факт начала обработки данных до вступления закона в силу (и получить таким образом отсрочку), компания должна иметь акт о начале использования системы защиты, именно этот момент считается началом деятельности в качестве оператора ПД. А акта у "старичков" нет, поскольку раньше он и не требовался, следовательно, нет и отсрочки. А значит, в соответствии с новым законом их можно штрафовать или даже приостанавливать их деятельность.
Заметим, что ЗоПД не проходил антикоррупционную комиссию, действующую при правительстве и обычно исследующую новые законодательные акты на предмет возможностей, которые могут использоваться чиновниками в корыстных целях. "Если бы проходил,— сказал эксперт, пожелавший сохранить анонимность,— вряд ли прошел бы. Все правила устанавливают сами ведомства, они же себя и контролируют. А это богатая почва для коррупции".
Кто без греха?
Персональные данные имеют классификацию, ею определяется категория технической защиты, которую оператор ПД должен обеспечить. Например, информация о здоровье, согласно закону, имеет высшую классификацию. То есть, если в школе в архиве информации об учениках, кроме оценок, имени, адреса, контактных данных родителей, есть хотя бы одна запись медицинского характера, учебное заведение будет вынуждено потратиться на средства защиты первого, высшего, класса. Что уж говорить о поликлиниках...
Степень защиты, которую должна обеспечить компания, зависит и от объема ПД. Если записей до тысячи и они не очень важны, это третий класс защиты, самый простой. Большинство компаний попадает именно в этот класс, он требует в основном элементарных правил безопасности при обращении с ПД, а также документирования и регламентации всего процесса. Тем не менее компании и в этом случае придется получать аккредитацию в качестве оператора ПД, то есть вставать на учет в Роскомнадзоре.
"ПД содержатся и в видеонаблюдении, и в психологических тестах, и в записях звонков клиентов. Все это надо защищать,— говорит руководитель направления информбезопасности LETA IT-company Илья Новиков.— А алгоритм работ по защите един. Сначала необходимо выделить процессы, где обрабатываются ПД, категорировать их, классифицировать системы их обработки. Затем сформировать требования к механизмам защиты согласно требованиям и провести их внедрение. Далее нужно запросить подтверждение в лаборатории, что все условия защиты выполнены. После этого можно получить сертификат ФСТЭК или ФСБ. Средства защиты ПД должны входить в реестр сертифицированных средств защиты ФСТЭК или ФСБ. Компания может обладать защитой, аналогичной размещенной в реестре, но если она не имеет сертификата, регулятор сочтет это нарушением".
В списке сертифицированных средств ФСТЭК значится 2153 позиции. Это продукты НР, Cisco, IBM, Microsoft, Oracle, различные антивирусы и т. д. и т. п.
Крупные предприятия, которые заказывали программное обеспечение (ПО) и оборудование "под себя", вынуждены теперь самостоятельно сертифицировать эти технические средства. Испытание сложного устройства, например шумогенератора, может потянуть на 300-400 тыс. руб., которые придется заплатить лаборатории. Сертификации подлежит как отдельный экземпляр, например единственная копия операционной системы (ОС), так и партия продуктов или даже производство целиком.
Сертификацией в России занимается всего десять организаций: шесть в Москве, две в Московской области, одна в Воронеже и одна в Санкт-Петербурге. Директор по развитию направления "Персональные данные" компании "Информзащита" Василий Разувайкин считает: чтобы обеспечить должный уровень защиты конфиденциальной информации, только крупным российским компаниям — а их примерно 10 тыс. — придется потратить около 50 млрд руб.
Средние и мелкие компании, конечно же, тоже интересуют игроков рынка. Например, фирма "Анкад" из Зеленограда предлагает обеспечить третий класс защиты, который потребуется большинству компаний, по цене 1430 руб. за рабочее место.
Согласно недавно опубликованному отчету IDC Russia Security Software 2009-2013 Forecast and 2008 Vendor Shares, в 2008 году объем российского рынка систем информационной безопасности (ИБ) составил $211 млн, что на 46,7% больше, чем в 2007-м. Аналитики компании предполагают, что до 2013 года рынок будет ежегодно расти в среднем на 16%. В кризис темпы роста снизились почти на 30%, но все еще остались на 21% выше, чем темпы роста рынка ПО в целом.
Вместо долговой ямы
Согласно исследованиям Perimetrix, в России персональные данные сегодня крадут у 57% компаний. Например, в прошлом году в МТС была похищена база телефонных номеров, и компании ничего за это не было. Впрочем, если бы то же самое произошло сейчас, после вступления в силу ЗоПД, наказания тоже не последовало бы. Ведь санкции предусмотрены не за утечку, а за "нарушение порядка обработки" ПД, то есть за отсутствие нужных бумаг с печатями. Да и западный опыт показывает, что ни жесткие требования к защите, ни штрафы от кражи ПД не спасают. Согласно исследованиям компании KPMG, за последние три года в мире 280 млн людей пострадали от потери ПД, при этом только 70 млн стали жертвами злоумышленников, остальные инциденты были простой случайностью. Большинство утечек ПД произошло в США, где уже несколько лет закон требует от операторов уведомлять власти об утечках.
Закон о ПД предусматривает ответственность за неисполнение от административной до уголовной. И недавно банк "Петрокоммерц" и компания МТС были вынуждены заплатить штрафы за нарушения закона. Впрочем, дела о нарушениях ЗоПД заводят в основном попутно. В Дагестане компания МТС была оштрафована за шесть незарегистрированных базовых станций, а "прицепом" — за некорректное обращение с ПД. В Самаре Роскомнадзор обнаружил семь базовых станций, работающих без разрешения, а заодно выявил нарушения ЗоПД: МТС забыла попросить согласия у кандидатов на замещение вакансий на обработку их ПД. Но проводятся уже и целенаправленные проверки по соблюдению ЗоПД, под одну из них в Тверской области попала МТС. В Краснодарском крае за нарушение установленного законом порядка обращения с информацией о гражданах для возбуждения дел по ст. 13.11 КоАП РФ в прокуратуру направлено три материала. По одному делу мировым судьей назначены наказания в виде предупреждения должностному лицу и штрафа в размере 5 тыс. руб. юридическому лицу. А две компании оштрафованы на 600 руб. каждая за то, что не отправили уведомления в управление Россвязькомнадзора о работе с ПД. По этой же причине в Краснодаре к административной ответственности привлекли генерального директора компании "Комплит Сервис-К".
Руководитель практики по интеллектуальной собственности юридической фирмы Magisters Павел Садовский отмечает, что за нарушения ЗоПД сегодня в основном привлекают к административной ответственности, однако уже известны попытки использовать возможности уголовного законодательства, предусмотренные ЗоПД. А возможности есть: по ст. 137 УК РФ за незаконное собирание или распространение с использованием служебного положения личных сведений, составляющих личную или семейную тайну, без согласия на то их субъектов грозит штраф от 100 до 300 тыс. руб или в размере заработной платы за один-два года либо арест на срок от четырех до шести месяцев (с 1 января 2010 года наказание ужесточается, и тогда нарушителя могут лишить свободы на срок от одного до четырех лет). Прокуратура города Краснотурьинска (Свердловская обл.) постановила возбудить уголовное дело в отношении юридических лиц, которые опубликовали в СМИ, а также напечатали и распространили в листовках фамилии должников по коммунальным услугам.
Иск вам в руки
Закон о защите персональных данных уже породил множество проблем, а эксперты утверждают, что это только начало. ЗоПД дает легальные основания для взрывного роста жалоб и исков, с которыми власти могут просто не справиться. "Вот простой пример. Если при заключении договора об оказании услуг мобильной связи возможность передачи ПД не оговаривалась в письменном виде (или согласие на такую передачу не было получено впоследствии), то такая передача является незаконной, можно подавать иск",— говорит Павел Садовский.
Неожиданным образом ЗоПД наносит удар по коллекторам. "Незаконной является не вся деятельность коллекторских агентств, а только действия по передаче и последующему использованию ПД,— говорит Павел Садовский.— Но ведь это является ключевым моментом для бизнеса подобных компаний". Уже есть и прецедент. Прокурор города Златоуста подал иск к АО "Комитет городского хозяйства", которое передало данные своих должников в ООО "Региональная организация по возврату долгов". Комитет без согласия гражданина передавал организации сведения о задолженности конкретных лиц за оказанные управляющей компанией жилищно-коммунальные услуги, а также их фамилии, имена, отчества, адреса, сведения о составе семей должников, о номерах лицевых счетов. Спохватившись, многие банки срочно добавили в свои пользовательские договоры пункт, позволяющий передавать данные клиентов с их согласия кому угодно, но договоров, подписанных ранее, это не касается. Впрочем, согласие на обработку ПД, согласно закону, гражданин может и отозвать, и тогда банки столкнутся с проблемами.
И проблем становится все больше. На сайтах многих компаний размещены биографии их акционеров — это прямое использование ПД без согласия субъекта. Чтобы печатать фамилии на счетах, например, за коммунальные услуги, тоже необходимо согласие плательщика. Можно пожаловаться на стоматологическую клинику, которая, как правило, сохраняет сведения о клиентах, и вернуть часть затрат на лечение зубов (а в медицинском учреждении информационная система должна быть сертифицирована и аттестована по высшему классу, по затратам это сопоставимо с защитой гостайны).
"Иски не заставят себя ждать,— уверен руководитель аналитического центра производителя ПО для информационной безопасности Perimetrix Владимир Ульянов.— Как и во всяком деле, новый инструмент может быть использован как во благо (для наказания нерадивых операторов, возмещения ущерба), так и во вред — в качестве нечестного способа борьбы с конкурентом".
Юристы отмечают, что при использовании закона возникает немало сложностей. В частности, в случае с интернетом. По словам Павла Садовского, часто невозможно определить лицо, незаконно использующее (распространяющее) информацию, так как сайт или почтовый ящик может быть зарегистрирован на кого угодно. Тем более если сайт зарегистрирован не в зоне .ru, а сервер находится за пределами России. "В этом случае российский закон может не действовать, и меры ответственности применить нельзя",— объясняет юрист.
И хотя удалось использовать возможности нового закона, чтобы закрыть несколько сайтов, например www.nomer.org.ru с номерами телефонов, крупная онлайновая база сведений о гражданах СНГ Radarix.com по-прежнему вне российской юрисдикции.
Под ударом оказались сети вроде "Одноклассников" и "Вконтакте". К первым уже приходила проверка, и сейчас компания приводит систему в соответствие с требованиями закона о защите ПД. По словам Василия Разувайкина, затраты "Одноклассников" могут составить несколько миллионов рублей, а необходимый уровень защиты, который компания должна обеспечить, соответствует высокому классу из-за огромных объемов ПД, обрабатываемых в системе.
Все эти проблемы заставляют компании надеяться, что закон пересмотрят, а сроки его реализации отодвинут, поэтому многие и не предпринимают никаких действий, чтобы соответствовать требованиям ЗоПД.
"Но я сомневаюсь, что сроки будут изменены,— говорит Владимир Ульянов.— Остается надеяться на то, что проверяющие будут пока ограничиваться предупреждениями и не станут взимать крупные штрафы или отзывать лицензии на основную деятельность".
Впрочем, сегодня данные россиян, которые защищает новый закон, похоже, никому не нужны. Как рассказывают знающие люди, номер соцстрахования американца стоит на черном рынке $16-18 за штуку. Данные россиян продаются по 1 тыс. руб. ($30-35) за диск с 6-8 млн записей. Все дело в том, что это неликвид, эти данные практически невозможно обратить в деньги. И воровать их смысла нет. Это в США или Европе готовы выслать кредитную карточку по почте, а у нас в банк требуется явиться лично с паспортом на руках. Так что мошенникам персональные данные все равно не помогут. Во всяком случае пока.