Сегодня государство все активнее поднимает вопросы защиты персональных граждан. Однако у меня есть стойкое ощущение, что мы пытаемся ставить заплатки, когда на самом деле пора принципиально пересмотреть подход к проблеме сохранности данных россиян.
Многие годы государство пытается точечно решить задачи информационной безопасности, чиновники рапортуют, что утекает где-то там, а у нас все отлично. Бизнес выкручивается с помощью формальных соглашений об обработке персданных. Роскомнадзор только разводит руками: нет управы на всех операторов ПДн – их миллионы, а оно одно такое. Закон слабоват, а штрафы смехотворные, чтобы вообще как-то беспокоиться об утечках информации. Но по факту страдают все – государство, бизнес, граждане.
Эффекты слабого закона
Сейчас регуляторика такова, что граждане по факту не являются владельцами персональных данных. Это приводит к противоречиям между обязанностями оператора ПДн и правами фактического владельца персданных. К примеру, если российский пользователь оставил свои данные в Facebook или загрузил на Google-диск, то он уже нарушил российский закон – ведь эти данные попадают в хранилища, не расположенные на территории РФ.
К тому же в России крайне непрозрачный оборот ПДн: гражданин, соглашаясь на обработку данных любым оператором, не знает наверняка, что с ними происходит дальше – кому они передаются, где хранятся и для каких дополнительных целей используются. А в случае утечки или мошенничества с использованием ПДн, пострадавшей стороне сложно получить адекватную компенсацию – ведь практически невозможно установить и доказать причинно-следственную связь между утечкой и реальным ущербом от преступных действий.
Проблемы с регуляторикой создают сложности и для бизнеса. Во-первых, соблюсти все требования закона по защите ПДн в РФ крайне сложно из-за их противоречивости. Во-вторых, нет единых четких указаний для всех операторов персданных, как технически должна быть обеспечена защита данных. Более того, непонимание вызывает даже само понятие “оператор персональных данных”, далеко не всегда компании, которые персональные данные обрабатывают, определяют себя как оператора. Поэтому каждый решает сам – хранить сканы паспортов под защитой специализированного ПО или не утруждаться этим. Исключение составляют субъекты критической инфраструктуры (банков, госучреждений, оборонных предприятий и т.п.), но и в этом случае защитные меры касаются в основном внешних атак, риски со стороны инсайдеров остаются без внимания.
Государство также сталкивается с последствиями несовершенного законодательства в области ПДн. Страдает имидж страны – мировое сообщество не воспринимает РФ как надежного оператора ПДн. Ведь Европа с 2018 года использует Общий регламент по защите персональных данных Европейского союза (GDPR), который серьезно штрафует за утечки и в целом надежно регулирует их сбор, обработку и хранение данных. Мы же полагаемся на Федеральный закон «О персональных данных», который не учитывает современные реалии. Ведь в 2007 году, когда он вступил в силу, персональные данные не использовались так активно во всех сферах жизни, а сегодня они стали «топливом» для цифровой экономики и ценным товаром на черном рынке – в даркнете.
Корень проблемы
Конечно, с наскока все проблемы не решить, но можно начать с главного – актуализации Федерального закона «О персональных данных». Именно он в первую очередь регулирует, какие данные о гражданах собираются, как обрабатываются, хранятся и защищаются.
Именно из несовершенного ФЗ-152 вытекают другие регуляторные казусы. К примеру:
• несоразмерность наказания за утечки ПДн: даже массовая утечка данных нескольких тысяч граждан повлечет за собой штраф максимум в 75 000 рублей.
• отсутствие обязательной регистрации для всех операторов ПДн в регулирующем органе (Роскомнадзор). В настоящее время в реестре состоит более 422 000 операторов из, как минимум, 5 млн фактических обработчиков персональных данных.
• Если компания хочет “как лучше” и регистрируется в качестве оператора ПДн, ей нужно быть готовой выполнить более 100 (!) мер по защите. При этом стоимость технических средств для соблюдения этих мер будет измеряться миллионами рублей.
Начать сверху – дополнить федеральный закон
Чтобы улучшить ситуацию, не нужно переписывать весь ФЗ-152, достаточно будет внести два дополнения в отдельные статьи. А именно:
1. Внести требование по использованию технических средств для автоматизированного выявления и категоризации персональных данных, так как проводить эту операцию проводить вручную и однократно бесполезно – картина будет меняться каждый день. Эти требования можно внести в пункт 2, ст. 19 гл. 4, ФЗ-152.
В таком случае оператор ПДн будет точно знать, какие данные собираются, есть ли среди них ПДн, как они изменяются и куда передаются. Появляется реальный контроль над данными.
2. В случае автоматизированной обработки персональных данных обязать использовать автоматизированные средства обеспечения безопасности, чтобы не допустить незаконное разглашение и утечки этих самых данных. Эти дополнения можно внести в ст. 5, гл. 2, ФЗ-152.
Сейчас ответственные организации без каких-либо дополнительных указаний используют DLP для защиты информации. Однако было бы правильно распространить данную практику как требование на всех без исключения операторов ПДн, не полагаясь на личную сознательность руководителей.
Суть этих дополнений сводится к тому, чтобы все операторы персданных придерживались одинаковых четких требований по сбору, обработке и защите информации. Чтобы лучше понимали ответственность, которую они на себя берут, когда решают собирать информацию о гражданах.
Эти минимальные дополнения в Федеральный закон дадут первый импульс для дальнейшего совершенствования регуляторики в области защиты персданных россиян. И приведут к последовательной актуализации требований регуляторов и отраслевых стандартов. Значит, у государства появится шанс взять под контроль ситуацию с массовыми утечками персданных граждан и их преступным использованием.