Закон о персональных данных: для операторов плюсов нет

Федеральный закон "О персональных данных" по-прежнему вызывает головную боль у большинства компаний, относящихся к категории операторов персональных данных. Как показал прошедший недавно в Казани IT&Security FORUM 2010, ФЗ-152, который после годовой отсрочки должен вступить в силу с 1 января 2011 года, пока что хорошо понятен только регуляторам и вендорам, чего не скажешь о самих операторах персональных данных. На вопросы участников форума в дискуссионной зоне  отвечали признанные эксперты в области информационной безопасности Алексей Сабанов и Алексей Лукацкий.

На дискуссионную панель "Все о персональных данных" с Алексеем Сабановым (Aladdin) и Алексеем Лукацким (Cisco) собрались, как и следовало ожидать, все те, кто имеет отношение к "Закону о персональных данных": представители операторов персональных данных, вендоров, регулирующих и надзорных органов. Дискуссию начал заместитель генерального директора компании Aladdin Алексей Сабанов. Сначала он рассказал о том, как организаторы форума обратились к ним, Сабанову и Лукацкому, с просьбой провести дискуссионную панель на тему защиты персональных данных, предложив поделиться с коллегами опытом и знаниями с этой области. Затем доложил, что они с Лукацким сознательно не стали делать презентаций, заранее предполагая, что все их видели великое множество, "да и ничего нового в этих презентациях давно уж нет". Наконец Сабанов перешел к главному и кратко рассказал о ситуации, сложившейся сегодня вокруг закона "О защите персональных данных", которая, по его словам, "очень простая":

- Все мы знаем, что 152-й закон должен был вступить в силу с 1 января 2010 года, на год эту дату перенесли, и народ расслабился совершенно. Тем не менее, оргмеры применять и технические средства закупать все равно надо, потому что этого никто не отменял, а закон переносить больше не будут.

Разрушив иллюзии на этот счет, Сабанов сказал, что, возможно, появится новый вариант закона о защите персональных данных, "вопрос только – когда".

- Последние парламентские слушания на эту тему были 20 октября 2009 года, следующие пока не запланированы, - сказал он.

Надо полагать, что когда появится этот новый вариант закона, если, конечно, появится, нужно будет применять новые оргмеры и закупать дополнительные техсредства.

- Тенденция, на мой взгляд, такова, что новый вариант закона будет ближе к европейским требованиям, поскольку политика правительства сегодня обращена в сторону Европы, - продолжал эксперт. - На это ориентирует даже такая простая вещь, как трансграницы. У нас свыше 10 миллионов россиян выезжают ежегодно за рубеж в высокоразвитые страны, и персональные данные при этом волей-неволей должны перетекать и обмениваться, поэтому даже с этой только точки зрения требования будут изменяться в сторону европейских.

- Во-первых, я не согласен с Алексеем, - взял слово второй эксперт.

Дружный смех и аплодисменты из зала свидетельствовали о том, что дискуссия началась.

- Закон есть, законопроект выложен, он принят в первом чтении, но, к сожалению, не настолько близок к евроконвенции (Конвенция Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных" от 28 января 1981 года, ратифицирована Россией в декабре 2005 года. – Г.Г.), как того хотелось бы, - отметил Лукацкий.- Там очень много спорных и не всегда понятных моментов, таких, как, например, определение трансграничной передачи. И много других.

Касательно этих "моментов", по словам эксперта, "идут определенные дискуссии, и пока непонятно, чья сторона возьмет - законодательной власти или исполнительной".

Затем Лукацкий рассказал, в каком направлении с технологической точки зрения сейчас развивается тема персональных данных: планируется новая версия документа ФСТЭК (Приказ ФСТЭК России от 5 февраля 2010 г. N 58 о методах и способах защиты информации в системах персональных данных), готовится новый приказ ФСБ, разработаны стандарты Центрального Банка России для финансовых структур, стандарты по безопасности персональных данных для операторов связи, есть рекомендации по персональным данным у минздравсоцразвития и Рособразования, разрабатывают отраслевые стандарты страховщики, Росатом.

- Приказ 58-й - это хорошо, но он задает общую канву. А есть еще отраслевая специфика в области персональных данных, и каждая отраслевая регулирующая или саморегулирующая организация транслирует требования 58-го приказа применительно к себе, - пояснил Лукацкий.

- Все не так радужно, как сказал Алексей, - в свою очередь не согласился Сабанов. - Я только что прилетел из Ростова, где сейчас проходит семинар по безопасности для тех, кто за нее отвечает. Так вот, РЖД, например, просто не может сосчитать, сколько у нее легальных информационных систем и сколько из них содержат персональные данные! Разработка отраслевых стандартов - это огромная работа! Да, типовая модель для типовой поликлиники для региона с населением до 10 тысяч – это, наверное, возможно, да и то с нюансами, ведь у всех разная инфраструктура, разное "железо", разное ПО, и далеко не всё из этого проходило сертификацию на соответствие чему-либо… Это все вопросы будь здоров.

Между тем отраслевые стандарты разрабатываются, а некоторые крупные компании даже создают саморегулируемые организации для оценки своих информационных систем на соответствие требованиям регуляторов.

- В законе о техническом регулировании описаны три формы оценки соответствия: обязательная сертификация, добровольная сертификация и декларация соответствия. Сегодня по линии персональных данных можно идти по первым двум направлениям, поскольку декларация может быть только на соответствие техническому регламенту - ничего там по безопасности нет, и в ближайшее время не появится. В свою очередь добровольная сертификация – это, на первый взгляд, нечто неслыханное в области безопасности. Однако, если мы посмотрим на компанию "Газпром", которая достаточно давно ввела схему добровольной сертификации через саморегулируемую организацию ГАЗПРОМСЕРТ, то увидим: даже если у вас есть сертификация ФСТЭК, вы не попадете в Газпром, не пройдя сертификацию ГАЗПРОМСЕРТ, - рассказал Лукацкий.

- Потому она и добровольная: хочешь работать с Газпромом – проходи, не хочешь – не проходи, - пошутил Сабанов.

- Полная демократия! - подхватил Лукацкий. - То же самое сейчас планируется сделать у энергетиков и в финансовых институтах. Единственный вопрос – в какую из двух схем идти. Для вендоров, наверное, проще идти по первой схеме - она понятнее, привычнее, ходы налажены и т. д. Для заказчика же, а именно с него спрос по использованию сертифицированных оборудования и средств защиты данных, - как правило, второй путь выгоднее, потому что отраслевая организация понимает специфику. Так что тут дело за малым – в увеличении числа этих организаций и более-менее адекватной политике и прозрачности в части сертификации, требований, ответственности и ценовой политики. Пока это хорошо проработано лишь в одном направлении, во втором - очень слабо.

- Я думаю, что все-таки мы идем по пути Венгрии, где закон о защите персональных данных принимали три раза, - вернулся к своей любимой теме Сабанов. - Я вам приведу простой пример: я был в экспертном совете по подготовке второго чтения закона о цифровой подписи. Экспертов там собралось человек 60, если не больше - от академии наук, регуляторов, Думы и так далее. И когда стали принимать закон и я попросил одного из чиновников: "Задай, пожалуйста, вопрос всем присутствующим, кто из них хоть раз пользовался цифровой подписью и вообще знает что это такое?", поднялось меньше половины рук. Это к вопросу о том, кто принимает законы. Так что все равно мы идем своим путем, а когда человек идет своим путем – он, естественно, делает ошибки. Которых, надо полагать, не избежать и нам.

- Мы знаем от экспертов, что где-то 6 процентов ВВП стоит реализация закона. Какова цепочка, по которой можно просить деньги на выполнение закона, в какую статью затрат их относить и у кого просить бюджет? – спросил Александр Антоненков из центра информационных технологий РТ. 

- Когда принимали 152-й закон, на комитете Госдумы спрашивали про финансирование. Тогда представители, кажется, ФСТЭК сказали, что не требуется особого бюджета для предприятий. И действительно, кто занимался защитой - им мало что пришлось докупать – разве что обновить, подкрасить немножко, изменить нормативку, и все (Между тем, по статистике, затраты на приведение, к примеру, банковских систем обработки данных в соответствие с выполнением закона о персональных данных увеличиваются в среднем с 12 до 60 млн. руб. в год – Г.Г.). Вопрос в чем – где взять бюджет или как его обойти? – уточнил Сабанов.

- Где взять, - повторил Антоненков.

- Мне нравится рекомендация минздравсоцразвития, согласованная с ФСТЭК, - вмешался Лукацкий - Там написано, что есть три минимально обязательных требования – поставить файрвол (приложение с функциями межсетевого экрана. – Г.Г.), антивирус и еще что-то, а все остальное только при наличии финансирования. Поскольку документ согласован с регуляторами, эта позиция имеет право на жизнь. То есть можно выполнять не все, что написано, а только то, на что хватает денег.

В общем, ответа на свой вопрос Антоненков так и не услышал.

НЕОЦЕНИМЫЙ УЩЕРБ

Довольно бурное обсуждение развернулось вокруг правоприменительной практики закона о персональных данных, которой, конечно же, нет.

- Как невозможно оценить, например, моральный ущерб, так же невозможно определить и ущерб от разглашения персональных данных, - взялся разъяснять Сабанов. - Самое удивительное здесь то, что у нас граждане почему-то не пишут заявления! А ведь закон о защите персональных данных касается каждого из нас!

- Да потому что ничего из этого не получится! Зачем писать-то?! – крикнул кто-то из зала.

- Во-первых, граждане слабо знают свои права и законы, а во-вторых, почему-то боятся, - продолжал сокрушаться Сабанов.

- Да дело не в боязни! Я обслуживаюсь в определенном банке, и вдруг совершенно "левая" организация узнала мои данные. Я истрачу кучу времени и ничего не добьюсь, - убеждал оппонент эксперта.

- Вы не истратите кучу времени, – не сдавался Сабанов. - У нас создан мощнейший аппарат - Роскомнадзор, который должен по вашему заявлению тут же устроить проверку, ходатайствовать об открытии дела в правоохранительных органах, наказать оператора и т.д. и т.д.

- А я-то что от этого получу? – настаивал на бесполезности мощнейшего аппарата автор риторического вопроса.

- Что захотите, то и получите, - вмешался в разговор начальник информационно-аналитического отдела ФСТЭК по Приволжскому федеральному округу Сергей Ершов.

В аудитории раздался веселый смех.

- Я много изучал этот вопрос, ездил, смотрел… Так вот, в других странах, допустим, в Австралии, всего два человека выполняют функции Роскомнадзора. В Великобритании – 4 человека. А у нас в России - 86 регионов помножьте на 10 – полторы тысячи  человек как минимум! То есть это мощнейший аппарат, который должен защищать права граждан, - продолжал убеждать Сабанов, полагая, видимо, что если должен, значит, и защищает.

- Я опять не согласен, - снова под дружный смех вступил Лукацкий. - В европейской конвенции есть 29-я статья, которая говорит о том, что государство не должно вмешиваться в отношения субъекта и оператора персональных данных, то есть это вмешательство должно быть минимальным. Там все вопросы решаются без уполномоченного органа, между субъектом и оператором персональных данных. И оператор прекрасно понимает, что если он сам не урегулирует вопрос с субъектом без привлечения суда уполномоченного органа, ему будет плохо. У нас это, к сожалению, не работает, потому что максимальный ущерб, который Роскомнадзор теоретически (по ст. 12.11 ЗоПД) может через суд взыскать с оператора, – это 10 тысяч рублей. А на практике это 3-4 тысячи рублей максимум, если суды вообще берутся за это дело (есть гораздо более приоритетные дела, чем заниматься такой мелочью, на самом деле). Поэтому ни один оператор ничего и не делает. Им проще каждый день судиться и платить эти 4 тысячи, чем тратить миллионы на приведение систем в соответствие с требованиями. Сейчас Роскомнадзор планирует изменить сумму штрафа до 1 миллиона рублей. Законопроект внесен, и пока он не будет принят, ситуация с мертвой точки не сдвинется.

- Проблема связана еще и с тем, что оператора наказывают, но не в пользу субъекта, - продолжал Лукацкий. - Придет Роскомнадзор, деньги уйдут в пользу государства, человек же, чьи права были нарушены, не получит ничего. Получить он может только в одном случае – если самостоятельно обратится в суд, причем напишет заявление по уголовной статье (ст.137 УК "Нарушение неприкосновенности частной жизни"). И при условии, что докажет причинение материального ущерба. А его он доказать никогда не сможет, потому что его нет. За моральный ущерб у нас в России можно взыскать максимум 10 тысяч - если повезет. В итоге человеку совершенно невыгодно заниматься судами, учитывая еще и общее недоверие к судебной системе, сроки разбирательств и т.д. и т.д. 4 тысячи рублей штрафа с оператора – это просто несерьезно. И пряника нет, и кнут очень слабый, - резюмировал эксперт.  

Наконец прозвучал и самый главный вопрос, на который предстояло ответить экспертам: "Связано ли выполнение закона о персональных данных хоть с какими-нибудь плюсами для операторов персональных данных, если не принимать во внимание штрафные санкции и прочую ответственность?"

И правда, должна же быть хоть какая-то положительная мотивация выполнять закон.

- Тут надо посмотреть, на чьей стороне вы стоите, - начал отвечать Лукацкий.

Хотя было совершенно очевидно, что спрашивавший стоит на стороне того, кто закон обязан исполнять.

- Лично я представляю сейчас все три стороны, - продолжал эксперт. - Во-первых, я субъект персональных данных, и не хочу, чтобы мои данные "гуляли" где-то, даже если мне не будет нанесено ущерба, а если будет – то тем более. Таким образом, для меня как субъекта этот закон - плюс. Для меня как вендора это тоже плюс – я могу предложить свои сертифицированные решения. А для меня как для оператора персональных данных этот закон - большой минус, собственно почему я и занялся этой темой.

Видимо, состоя членом рабочих групп Центрального Банка России и ассоциации российских банков, Лукацкий вполне примерил на себя лично проблемы операторов персональных данных.

- Есть различные юридические сценарии оптимизации своих усилий и затрат на выполнение закона, поэтому когда мы говорим о плюсах и минусах, нужно смотреть, на чьей мы стороне и с чьей точки зрения смотрим, - повторил эксперт. - Если как законодатели – то наша цель: ратифицированную конвенцию воплотить в виде национального законодательства. У регуляторов – своя точка зрения, свои плюсы и минусы этого закона. А у операторов… плюсов нет. Потому что закон защищает только права субъектов. Оператор только обязан, - заключил Лукацкий.

По его мнению, решить проблему помогает резниковский проект (Документ "О внесении изменений в ФЗ "О персональных данных" внесли в Госдуму 16 ноября 2009 года депутаты Резник, Шипунов, Груздев и др.), где есть попытка решить проблему баланса интересов. Поддержал законопроект Вячеслава Резника и Сабанов. "Это некий промежуточный вариант (между российским законом и евроконвенцией? – Г.Г.). Поэтому мне кажется, что появится новый законопроект, который будет на шаг ближе к европейским требованиям. По крайней мере, такая тенденция как минимум имеет право на жизнь. Так что все нормально. Мы идем куда нужно и идем правильными шагами", - заключил он.

- На этот раз я согласен, - в первый раз согласился с Сабановым Лукацкий.

Время дискуссии истекло.

Гуля Гайнутдинова