Защита персональных данных в 2011 году

Среднестатистический злоумышленник может узнать о среднестатистическом законопослушном москвиче, да и о любом россиянине, практически все: паспортные данные, домашний адрес, номер телефона (стационарного и мобильного), профессию, уровень дохода, марку автомобиля, сумму уплаченных налогов, штрафов, страховых взносов, полученных кредитов, сведения о заболеваниях, месте обучения детей и т. д., и т. п.. «Конфиденциал» бурным потоком течет из МВД, ПФР, ФСС, ФНС и других госорганов. Приехав на столичный Митинский рынок или на ту же Горбушку с ее формально строгими антипиратскими стандартами с целью приобрести базу данных какого-либо ведомства, уйти без покупки сложно – ассортимент велик, цены не особо кусаются. Наказанных за «сливы» и кражи в уголовном порядке единицы.

Руководство государства всерьез озаботилось данной проблемой лет 7 назад, делая упор на то, что с сохранностью приватных сведений о гражданах в коммерческих структурах все обстоит не лучше, а даже хуже.

Возмутитель спокойствия

В июле 2006 года был принят Закон № 152-ФЗ «О персональных данных», устанавливающий как для государственных, так и для коммерческих жесткие требования к защите личной информации россиян, их обработке и хранению. Его «чары» должны были распространиться на тысячи организаций (банки, страховые и сотовые компании, турагентства, гостиницы, торговые фирмы, дошкольные учреждения, жилконторы). Представители бизнес-сообщества запаниковали, благо было от чего: статья 19 этого документа обязывала фирмы в кратчайшие сроки установить для сохранности клиентских баз баснословно дорогие (10 млн рублей не предел) сертифицированные программные комплексы, причем не абы какие, а только приглянувшиеся Федеральной службе безопасности и Федеральной службе по техническому и экспортному контролю (ФСТЭК). Денег и времени на приобретение систем ограничения доступа, программ по криптографической и антивирусной защите у бизнеса просто не было, санкции же за невыполнение предписаний вводились самые суровые – от крупных штрафов до отзыва лицензий. Да и сам закон представлялся предпринимателям крайне сырым, нелогичным, коррупционноемким, «делегализующим» существование прямого маркетинга, составление черных списков проблемных клиентов и даже видеонаблюдение за посетителями, приравнивающееся к фиксации биометрических данных человека.

Дело в том, что если трактовать закон буквально (а как же еще?), то на все эти виды деятельности нужно получать письменное согласие гражданина: «Неуважаемый клиент, Вы доставили нам массу неприятностей! Можно, мы занесем Вас в перечень неблагонадежных? Нет? Простите великодушно!» Большие проблемы сулила и норма о получении лицензий на обработку персональных данных.

Претензии коммерсантов были услышаны – на полномасштабное вступление в силу всех новелл документа был наложен мораторий до 1 января 2011 года. Затем отсрочку продлили до 1 июля 2011 года. Бизнес с удовольствием подождал бы еще, однако парламентарии решили, что дальнейшее промедление смерти подобно. Не смягчив, как обещали, а лишь несколько подкорректировав требования к операторам при обработке персональных данных, их трансграничной передаче, срокам хранения, блокированию, уничтожению, депутаты Госдумы подготовили закон к запуску. Совет Федерации, несмотря на протесты предпринимателей, действия своих коллег из нижней палаты парламента одобрил. Кнопку «старт» нажал президент.

Дорого и сердито

Теперь компании, дабы доказать, что они реально, а не на словах заботятся о предотвращении утечек информации о клиентах, защите ее от случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, должны будут затянуть пояса, выложив за приобретение и установку лицензированных и сертифицированных защитных устройств, их обслуживание и техподдержку в лучшем случае половину годового оборота, а то и сумму, эквивалентную доходу за несколько лет.

Любой гражданин, давший согласие на размещение информации о себе в базе коммерческого оператора, а потом решивший, что сделал это опрометчиво, может потребовать заблокировать ее или вовсе стереть, что оператор и должен исполнить в течение недели. В случае потери, утечки, передачи персональной информации или нарушения правил ее обработки клиенты имеют право требовать возмещения морального вреда и убытков.

Дабы не навлечь на себя штрафные санкции, туроператорам и транспортным компаниям отныне предстоит проявлять повышенную бдительность при передаче персональных данных своих клиентов операторам других стран. Они обязаны убедиться в том, что иностранное государство, на территорию которого передаются данные, обеспечивает защиту их обладателя. Ну и, разумеется, сама же передача персональной информации за рубеж не может осуществляться без письменного согласия субъекта.

Из пушки по воробьям?

Обновленный вариант Закона «О персональных данных», как и его первоначальная редакция 2006 года, возмутил коммерсантов до глубины души. Так, по мнению представителей РСПП, выполнение всех норм потребует со стороны бизнеса огромных неоправданных затрат. «Требования к информационным системам безопасности в принятом законопроекте не учитывают особенности и условия обработки персональных данных в различных отраслях экономики и социального сектора, – отмечает пресс-служба РСПП. – По сути, ко всем системам предъявляются завышенные унифицированные требования вне зависимости от того, какого рода информацию о персональных данных они хранят и обрабатывают». Кроме того, как подчеркивается в сообщении организации, «требования в части защиты ПД в условиях отсутствия прозрачного механизма их реализации и контроля создадут существенный административный барьер в деятельности бизнеса, могут являться фактором, способствующим коррупции». Ряд экспертов высказал убежденность, что бизнес в конечном счете просто вынужден будет переложить понесенные издержки на потребителей, подняв цены на свои услуги.

PR-устрашения

А теперь – самое интересное... Несостоятельность критической позиции бизнесменов попытались наглядно продемонстрировать некие неизвестные личности, проведя акцию, которую вполне можно воспринять как вполне добротную, удачную пиар-компанию в поддержку ужесточения норм по сохранности конфиденциальных сведений. Буквально за несколько дней до и через несколько дней после подписания президентом «персональных поправок» в открытый доступ в Интернет попали тысячи СМС-сообщений абонентов компании «МегаФон», адреса, паспортные данные, номера телефонов, суммы заказов, выбранные товары клиентов клиентов 80 online-магазинов, включая секс-шопы. Доступными для всеобщего обозрения оказались также персональные данные покупателей железнодорожных билетов сайтов railwayticket.ru и tutu.ru. Введя в интернетную поисковую строку запрос, любой желающий мог получить фамилию, имя, отчество пассажира, пункты отправления и прибытия, дату и время поездки, а также номера и серии паспортов.

Расследованием скандалов, связанных с утечками, заинтересовались Следственный комитет РФ, МВД, ФСБ, Роскомнадзор. Попытка сделать крайними владельцев поисковиков Google и Yandex, посредством которых можно было найти данную информацию, судя по всему, успехом не увенчается. В «Яндексе», к примеру, ссылаются на то, что в разделе отправки СМС на сайте «МегаФона» по какой-то причине не работала система robots.txt, запрещающая индексацию сообщений поисковиком. Все остальные случаи утечек также списаны на халатность веб-мастеров пострадавших сайтов. В связи с этим Союз потребителей России направил в суд иски по защите неопределенного круга лиц в отношении «МегаФона» и ряда интернет-магазинов. В беседе с корреспондентом «Мосбуха» председатель Союза, экс-депутат Петр Щелищ отметил, что «перспективы у дела очень неплохие» и в случае если действия операторов будут признаны незаконными, их «слитые» клиенты смогут рассчитывать на компенсацию ущерба.

Показательная порка

О причинах произошедшего в духе «случайность – не случайность» можно рассуждать сколько угодно, мнения на сей счет могут быть самыми разными. К примеру, собеседник «Мосбуха», несколько лет проработавший в отделе «К» – подразделении МВД по борьбе с компьютерными преступлениями, озвучил следующую версию: «То, что многие разработчики и администраторы сайтов не уделяют внимания защите информации, ни для кого не секрет. Но поверить в то, что «слив» по большому счету мало кому интересных сведений не был тщательно спланированной, показательной акцией, привязанной к дате подписания поправок в закон о персональных данных, сложно. Не исключаю, что это своего рода посыл общественности, попытка формирования «правильного» общественного мнения путем нагнетания негатива – мол, не месте пострадавших может оказаться любой, так что завинчивать гайки нужно еще туже. И с этим я, кстати, с одной стороны, согласен. Не хочется тратиться на защиту? Ваше право... Но тогда возмещайте убытки, платите штрафы. С другой стороны, в нынешнем виде закон о защите персональных данных действительно может стать прекрасной высококалорийной кормушкой для разных организаций, приближенных к ФСТЭК и ФСБ. Что касается исполнителей и заказчиков этой акции устрашения, то я почти уверен, что никакое следствие их инкогнито не разрушит».