Дело персональное

Представители крупного IT-бизнеса выразили обеспокоенность поправками к законодательству, которые должны обеспечить доступ представителей силовых органов к коммерческим базам персональных данных. Они считают, что предложенный механизм создает риски информационной безопасности, и предлагают вносить необходимые правки с помощью Единой системы идентификации и аутентификации «Госуслуг». В Госдуме заверяют, что речь идет лишь о доступе к данным некоторых категорий граждан.

Выйти из полноэкранного режима

Развернуть на весь экран

Ассоциация больших данных (АБД; объединяет «Яндекс», VK, «Ростелеком», «МегаФон» и др.) обратилась в Госдуму с предложением уточнить предполагаемый порядок доступа правоохранительных органов к коммерческим базам персональных данных. В письме главы АБД Анны Серебрянниковой главе комитета ГД по информационной политике Сергею Боярскому от 22 января (есть в распоряжении “Ъ”) содержится предложение дать возможность редактировать информацию не напрямую, а через ЕСИА (Единая система идентификации и аутентификации в «Госуслугах»). После этого информация должна будет автоматически обновиться в базах данных банков, операторов связи и цифровых платформ.

В АБД отмечают важность законопроекта, но считают, что некоторые его положения нарушают требования к конфиденциальности информации и могут приводить к «невозможности оказывать услуги таким лицам» банками и операторами связи. Также госпожа Серебрянникова пишет, что поправки могут привести к потере связанности IT-систем, нарушению функционирования баз данных, включая объекты критической инфраструктуры, а также к «рискам утечек» и оборотным штрафам для компаний «даже в случае отсутствия их вины».

По мнению АБД, в нынешнем виде законопроект, подготовленный ко второму чтению, несет риски информационной безопасности для бизнеса, а также может привести к нарушениям прав граждан «из-за бесконтрольного доступа» к базам данных, следует из письма.

Глава комитета Госдумы по информационной политике Сергей Боярский подтвердил получение письма и напомнил “Ъ”, что речи о доступе силовых органов «ко всем базам данных не идет». «Это принципиально разные подходы — доступ ко всем базам и возможность получать доступ, причем в том числе непрямой, к данным специальных категорий лиц, то есть своих сотрудников или защищаемых лиц»,— сказал депутат. По его словам, позицию АБД в комитете «изучили и приняли к сведению».

«Недопустимо изменять или удалять какие-либо данные в базах удаленно третьими лицами. Этот процесс должен строиться через уполномоченных лиц в компаниях»,— заявили в МТС. Там считают, что это негативно повлияет на обслуживание абонентов. В «Вымпелкоме», «МегаФоне», Т2 отказались от комментариев.

«Законопроект содержит существенные риски — от нарушения принципов законности и целостности обработки персональных данных до потенциального конфликта с ФЗ "О персональных данных", а также рисков утечек как личной, так и коммерческой информации»,— считает партнер Digital & Analogue Partners Юрий Брисов.

«Возрастает риск компрометации базы данных за счет третьего лица. Неоднократно были утечки в ГИБДД, взлом и утечка данных ФССП и так далее»,— напоминает директор департамента консалтинга и аудита компании «Информзащита» Александр Барышников.

Напомним, в конце ноября 2024 года Владимир Путин подписал закон, который ужесточает ответственность за нарушения в работе с персональными данными и вводит для организаций оборотные штрафы за утечки. За повторную утечку размер штрафа составит до 3% оборота за год, но не менее 25 млн руб. и не более 500 млн руб. (см. “Ъ” от 27 ноября 2024 года).

Алексей Жабин