Личные общедоступные

На прошлой неделе Госдума в первом чтении приняла законопроект, уточняющий порядок обработки персональных данных. Впрочем, как считают специалисты, эти поправки вряд ли изменят ситуацию с соблюдением требований закона "О персональных данных". Компаниям проще заплатить штраф, чем соблюдать этот закон. А гражданам придется по-прежнему мириться с тем, что их персональные данные продаются на каждом углу.

СВЕТЛАНА РАГИМОВА; РИСУНОК — ЛЕОНИД ФИРСОВ

Копеечные дела

В марте прокуратура Ульяновской области возбудила дело в отношении регионального министра здравоохранения. В действиях Владимира Петрова выявили административное нарушение по статье 13.11 КоАП РФ (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах). В конце 2009 года министерство здравоохранения Ульяновской области заключило госконтракт с ООО "Ульяновск Фарм". Цель, которая ставилась перед подрядчиком, была вполне гуманной: компания должна была проследить за тем, как в аптеках граждане обеспечиваются медикаментами. А также учесть рецепты, по которым льготники обратились, но не смогли получить лекарства. Чтобы провести эту работу, "Ульяновск Фарм" требовалась информация о гражданах, имеющих право на получение социальной помощи. Недолго думая, чиновники по электронной почте отправили подрядчикам эти данные, взяв их прямо из Федерального регистра. То есть в чужих руках оказалась полная информация о людях: имя, фамилия, отчество, дата рождения, серия и номер полиса обязательного медицинского страхования и даже страховой номер индивидуального лицевого счета в Пенсионном фонде РФ. Министерство не нарушило бы закон N 152-ФЗ "О персональных данных", если бы заключило с "Ульяновск Фарм" еще один договор — об обработке персональных данных (ПД) и обеспечении их конфиденциальности и безопасности.

Впрочем, максимальный штраф за такое правонарушение — 10 тыс. руб. Ульяновского министра как должностное лицо могут оштрафовать всего на 500-1000 руб. В марте, например, по этой статье и. о. директора филиала Пенжинский ОАО "Коряктеплоэнерго" А. Е. Тюфутин был оштрафован на 500 руб. Чиновника привлекли к ответственности по требованию прокурора Пенжинского района за то, что он расклеивал на стенах жилых домов села Каменское списки граждан, задолжавших за услуги ЖКХ, с указанием адреса, фамилии и инициалов, суммы долга.

В январе Мария Гайдар, замгубернатора Кировской области, написала в своем блоге о своих сотрудниках. Например, о Светлане Вятской: "Она из Богородского района, окончила Волго-Вятскую академию государственной службы. Самый загорелый человек в Кировской области и самая симпатичная сотрудница администрации. Очень ответственный, деликатный и твердый человек". И теперь все читатели блога знают о том, что Александр Вениаминович Игумнов работает в администрации уже 15 лет и любит рыбалку. В прокуратуру поступило требование проверить записи в ЖЖ на соответствие требованиям закона о защите ПД. Подчиненные госпожи Гайдар заявили, что они все знали и были не против. Юристы уверены, что дело закончится ничем, если только сама Гайдар не подаст в суд на того, кто пожаловался в прокуратуру.

Спасательный круг для айтишников

Размеры штрафов, которые начисляют по статье 13.11 КоАП, таковы, что часто предприятиям выгоднее платить их каждый день, чем выполнять все предписанные меры по защите ПД. Гораздо опаснее не штрафы, а возможность приостановки деятельности компании. Скажем, если организация обрабатывает данные, требующие высокой степени защиты (К1; например, сведения о здоровье граждан), то потребуется шифрование данных и особое оборудование, для использования которого необходима лицензия. Если ее нет, то Федеральная служба по техническому и экспортному контролю (ФСТЭК) или ФСБ могут приостановить деятельность компании, которая не позаботилась о приведении своей IT-инфраструктуры в соответствие с законом.

Ведущий аналитик компании InfoWatch Николай Федотов говорит, что отрасль информационной безопасности (ИБ) получила новый поток заказов объемом свыше 100 млн руб. в год. Валерий Андреев, заместитель директора по науке и развитию компании ИВК, считает, что закон привел к формированию нового сегмента рынка ИБ. Работа в этом сегменте смягчила последствия кризиса для многих IT-компаний. "Поток обращений увеличился (до десяти заявок ежедневно), количество проектов по защите ПД — тоже (в среднем три-пять проектов ежемесячно)",— рассказывает Сергей Петренко, эксперт в области непрерывности бизнеса и информационной безопасности компании "АйТи".

Однако на деле реальный уровень защиты персональных данных все еще не соответствует требованиям закона. "Вся защита ПД носит бумажный характер. Реальной защиты после вступления закона в силу не прибавилось, т. к. новых средств никто не приобретал, обходились существующими. Те, кто раньше ответственно относился к защите данных (банки, телекоммуникационные компании), не перестал их защищать, а те, кто раньше не обращал существенного внимания на это, так и продолжают относиться к защите данных по-старому",— говорит Федотов.

LETA IT-company подсчитала, что порядка 30% компаний решили вообще ничего не предпринимать в связи с появлением закона о защите ПД, рассчитывая на то, что проверки обойдут их стороной либо с проверяющими можно будет договориться. Около 50% организаций выполняют требования закона формально и в минимально возможном объеме, о реальной защите особо не задумываясь. И лишь 20% стараются не только выполнить требования закона, но и создать эффективные системы защиты.

Но проблема не только в этом. "В самом законе расставлены неправильные акценты,— говорит Андрей Конусов, гендиректор LETA IT-company.— Сегодня закон, по сути, требует лишь определить существующие угрозы и обеспечить рекомендуемый перечень мер защиты. Ответственность, предусмотренная законом, относится к случаям невыполнения требований по внедрению у себя этих мер. А вот ответственности за доказанный факт утечки персональных данных не предусмотрено, то есть теряется главный смысл закона".

Попросту говоря, если у компании украдут данные о клиентах и начнут продавать в интернете, никого за это не накажут. Штраф выпишут только в том случае, если техсредства оператора не были устроены должным образом. И неважно, помогают они защищать ПД или нет.

"Именно поэтому так много компаний, которые вроде бы полностью выполняют требования закона, не обеспечивая при этом должного уровня защиты данных",— говорит Андрей Конусов.

«Вся защита персональных данных носит бумажный характер. Реальной защиты после вступления закона в силу не прибавилось, т. к. новых средств никто не приобретал, обходились существующими»


Все, что вы хотите узнать

Компании не несут ответственности за утечку персональных данных клиентов, поэтому неудивительно, что их защитные построения зачастую создаются лишь для галочки

Фото: REUTERS/Kim Kyung-Hoon

Эксперты считают, что закон о защите ПД до сих пор не принес пользы. "Реальная защита ПД практически не выросла",— убежден Николай Федотов. А Валерий Андреев полагает, что усиление защиты может привести разве что к росту цен на рынке похищенных ПД, но не к ликвидации этого бизнеса.

"Чтобы черный рынок торговли ПД исчез, необходимо, с одной стороны, усилить защиту ПД, а с другой — исключить возможности для криминального использования персональных данных,— говорит Николай Федотов.— Закон должен способствовать сокращению числа операторов и номенклатуры обрабатываемых данных. Ведь многие операторы, чтобы не исполнять обременительных требований закона о защите ПД, предпочли просто прекратить обработку всех или части ПД. От таких надо избавляться, и эта мера позволит усилить защиту ПД". Что же касается криминального использования персональных данных, то, по мнению Федотова, законодатель даже не подступал к решению этой проблемы.

Андрей Конусов уверен, что, пока не будет введена серьезная финансовая, а в ряде случаев и уголовная ответственность руководителей предприятий и служб информационной безопасности за доказанные факты утечки от них персональных данных, черный рынок будет существовать и процветать.

Сейчас на рынках, где продают ворованные программы, можно легко найти самые разные базы данных. Стоят они всего от 500 до 2 тыс. руб. за диск. Обычно на таком диске несколько миллионов записей. На торрентах можно найти и скачать бесплатно, например, базу данных всех шестизначных номеров ICQ и профайлов и базу данных "Досье РФ", в которой есть сведения о политиках, предпринимателях, а также о государственных органах, коммерческих структурах и т. д., содержащие среди прочего фамилии, имена и отчества, даты рождения, биографическую и другую справочную информацию об интересующих персонах, адресно-телефонные данные.

На сайте bazateka.ru можно за 30 руб. получить доступ на час, за 150 руб. на сутки или за 500 руб. на неделю к различным базам с информацией о жителях Москвы и подмосковных городов, где можно найти: паспортные данные, списки должников по ЖКХ, информацию о получивших загранпаспорта, о сделках с недвижимостью, административных нарушениях, штрафах ГИБДД и т. д.

Новейшая база с паспортными данными москвичей "LARIX-2010 Версия 50.0 Professional", обновленная в феврале нынешнего года, продается на черном рынке за 35 900 руб. В нее также интегрирована информация о сделках с недвижимостью, о правах собственности и т. д. Чем старее информация и чем дальше от столицы расположен интересующий покупателя населенный пункт, тем дешевле база. Например, сведения о более чем 2 млн жителей Приморского края (ФИО, дата рождения, паспортные данные, прописка, ИНН, сведения о всех выданных документах и даже фактические адреса проживания), актуальные на сентябрь 2003 года, стоят всего 1 тыс. руб. Подобные базы с информацией о физических лицах — самый распространенный и ходовой товар на черном рынке. Менее популярный продукт — списки недобросовестных заемщиков и должников по банковским кредитам. Такая база и стоит дешевле — 3000 руб., хотя содержит больше информации — вплоть до места работы, номера мобильного телефона, сведений о судимостях. Правда, она актуальна только на ноябрь 2006 года.

Один из самых свежих продуктов на рынке — база данных индивидуальных предприятий (ИП) Москвы, это копия Единого госреестра по состоянию на февраль 2010 года. Стоит база 44 900 руб. и содержит списки более 2,5 млн ИП с подробными сведениями о руководителях, налоговой отчетности, а также электронные адреса, физические адреса предпринимателей и т. д. Продается этот продукт на сайте egrul.com, который принадлежит компании "Московский центр экономической безопасности". Здесь же можно найти и базу паспортных данных жителей Москвы (правда, старую версию от 2005 года за 35 900 руб.).

Новейшая база с паспортными данными москвичей «LARIX-2010 Версия 50.0 Professional», обновленная в феврале нынешнего года, продается на черном рынке за 35 900 руб.


В пользу чиновников

Повлиять на то, как компании обрабатывают персональные данные, граждане никак не могут. Отказаться предоставить ПД или не дать разрешение на их обработку невозможно — в таком случае компания может отказать в предоставлении услуг (обычно об этом написано мелким шрифтом в договорах), хотя это зачастую и незаконно. Защититься можно лишь в тех случаях, когда мошенники пытаются получить критические ПД непосредственно от человека. Например, обманом выманивают пароль от электронной почты или ПИН-код от банковской карты. "Если же ПД гражданина уже используются не по назначению или без соответствующего разрешения, то у него есть возможность написать жалобу в Роскомнадзор или в прокуратуру. По таким жалобам нарушителей уже начали штрафовать",— говорит Николай Федотов. Правда, никакой денежной компенсации потерпевший не получит. Это возможно, если человек способен доказать материальный ущерб, а это нереально. "Закон предусматривает лишь возмещение убытков,— объясняет Николай Федотов.— А нецелевое использование ПД не причиняет серьезных убытков гражданам. А когда причиняет, то это трудно доказать. К тому же почти любой оператор ПД всегда может сослаться на другого оператора, и от кого именно произошла утечка, установить, как правило, не получается. Операторов, обрабатывающих ПД, сегодня слишком много".

Сейчас на рассмотрении в Госдуме находится законопроект о расширении доступа судебных приставов к персональным данным граждан. Проектом N 332033-5 предусматривается внесение дополнения в статью 14 федерального закона "О судебных приставах", уточняющего, что информация, которую обязаны представлять судебному приставу органы, организации, должностные лица и граждане, может содержать персональные данные физических лиц. Не дожидаясь принятия соответствующих поправок, судебные приставы уже начали требовать предоставления ПД от коммерческих организаций. В декабре прошлого года арбитражный суд Ивановской области рассмотрел жалобу компании "Вымпелком" на пристава-исполнителя Октябрьского районного отдела УФССП по Ивановской области, потребовавшего представить ему номер мобильного телефона должника. Суд встал на сторону пристава, решив, что "Вымпелком" как оператор персональных данных обязан представить приставу личную информацию об абоненте.

По мнению ряда экспертов, закон "О персональных данных" был принят по политическим причинам. Российская Федерация подписала конвенцию Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных" от 28 января 1981 года. Ратифицировав эту конвенцию в декабре 2005 года, Россия приняла на себя обязательства по приведению своего законодательства в соответствие с европейскими стандартами защиты прав субъектов персональных данных. В 2006 году вступил в силу закон "О персональных данных". Однако фактически этот закон стал еще одним средством для того, чтобы "кошмарить бизнес", выжимая деньги за всевозможные сертификации, аттестации, лицензирование и проверки. По словам Николая Федотова, вследствие принятия закона о ПД существенно возросло влияние чиновников Роскомнадзора, ФСТЭК и ФСБ на коммерческие организации.

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...