/ Регулирование

Преступления и наказания за утечку

Эксперты: закон о персональных данных требует модернизации и гармонизации с GDPR

В мире сложились три правовых модели использования личной информации граждан. Наиболее эффективным признан Общий регламент защиты персональных данных (ПД) для Евросоюза – GDPR. У России есть все шансы гармонизировать нормативно-правовые акты в сфере ПД с регламентом ЕС. Для этого потребуется модернизация законов, считают эксперты. Общие принципы и методы реализации позволят не ограничивать компании государственными границами. Вероятно, поэтому Китай уже взял курс на GDPR.


ОЩУТИМАЯ РАЗНИЦА

В России судят за незаконное использование персональных данных в основном физических лиц, а не компании. Большинство преступников похищало информацию с места своей работы – офисов и салонов операторов сотовой связи. Согласно исследованию сервиса разведки утечек данных DLBI, число выявленных преступников у операторов выросло с 44 до 67% в 2020 году относительно 2019-го.

В прошлом году российская Фемида добралась до Facebook и Twitter, оштрафовав на 4 млн рублей каждую соцсеть за нарушение закона о ПД, согласно которому информация о российских пользователях должна храниться на территории РФ. В пересчете на валюту сумма составила менее 50 тыс. долларов. Для сравнения: чистая прибыль Facebook по итогам 2019 года равнялась 18,5 млрд долларов.

За рубежом надзорные органы наносят более существенный урон нарушителям закона о персональных данных. Так, в апреле 2020 года федеральный суд США подтвердил решение Федеральной комиссии по торговле (ФКТ) о взыскании с Facebook штрафа в размере 5 млрд долларов за передачу ПД сторонней фирме для использования в маркетинговых целях. В конце 2020 года ирландская Комиссия по защите данных (DPC) оштрафовала компанию Twitter на 450 тыс. долларов за утечку личной информации пользователей в открытый интернет-доступ. Осенью 2019 года ФТК США оштрафовала YouTube на 170 млн долларов за незаконный сбор и продажу личных данных детей. В феврале 2019 года ФТК оштрафовала TikTok на 5,7 млн долларов за размещение ПД детей в открытом доступе.

Законодательство США и Евросоюза действует более жестко в отношении компаний, нарушающих закон о персональных данных

В России уличенные в хищении ПД преступники получают чаще штрафы до 50 тыс. рублей и лишь иногда условные сроки. Самым строгим оказался суд Кузбасса, который в 2020 году приговорил главного экономиста регионального филиала Россельхозбанка к 10 месяцам исправительных работ за кражу информации.

«В России размер штрафов за утечки данных никак не способствует соблюдению законов, в отличие от европейской практики, где санкции измеряются миллионами евро, стимулируя компании серьезно подходить к защите информации», – сообщил RSpectr руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев.

Доцент департамента правового регулирования экономической деятельности Финансового университета при Правительстве РФ Оксана Васильева рассказала RSpectr, что в России законодательная практика в области защиты ПД пока основана на формализации ответственности вместо реальных мер. «Поэтому операторы персональных данных в России соблюдают законы условно, а зарубежные игроки не обращают на них внимания, в крайнем случае отделываются смешными штрафами», – отметила она. Например, в ЕС за незаконную обработку ПД несовершеннолетнего предусмотрены штрафы в 10 млн евро или в 2% от общего годового оборота предприятия.

Если в России по разным статьям уголовного и гражданского кодекса преступники заплатят до 300 тыс. рублей, то в ЕС штрафы могут достигать 4% от годового оборота компании, сообщил RSpectr управляющий ИТ-безопасностью Tet (ранее Lattelecom) Улдис Либиетис.

С 2018 года в ЕС за широкий спектр нарушений Общего регламента по защите ПД (GDPR) наложены штрафы на сумму более 275 млн евро

Нередки случаи, когда государственные органы наказываются регуляторами в соответствии с действующим законодательством. Information Commissioner's Office (ICO) в Великобритании оштрафовал совет графства Гемпшир в августе 2020 года. Регулирующий орган Португалии (CNPD) ранее оштрафовал общественную телекомпанию RTP.

Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников в разговоре с RSpectr выделяет три мировые модели работы с ПД: европейская, американская и китайская. Россия в своем правовом поле дрейфует между ними.

Михаил Емельянников, «Емельянников, Попова и партнеры»:

 – В Евросоюзе GDPR ориентирован на пользователя, а деятельность оператора сильно ограничена. Модель США, где доминирует калифорнийский закон CCPA, больше заточена под бизнес, который вправе обрабатывать ПД для продвижения товаров и услуг. Хотя владелец данных может запретить это делать конкретной компании. В Китае действует закон о защите ПД (Personal Information Protection Law, PIPL), по которому у субъекта ничего не спрашивают. Государство определяет правила работы, а также использует ПД, включая биометрию, по своему усмотрению.

При этом в ЕС и США идет активное противодействие тотальному наблюдению с распознаванием лиц. В США в некоторых городах (Сан-Франциско, Бостон) слежка запрещена. В ЕС также считают, что это вторжение в личную жизнь, отметил эксперт.

В 2018 году Россия подписала обновленную европейскую конвенцию GDPR совместно с 19 странами-участниками. «В течение пяти лет мы должны гармонизировать национальное законодательство с GDPR. Но пока никаких подвижек с российской стороны нет», – считает М.Емельянников.


СХОДСТВА И РАЗЛИЧИЯ ЗАКОНОВ О ПД В РОССИИ И ЕС

По сути и по реализации закон «О персональных данных» (ФЗ-152) и GDPR похожи, рассказал RSpectr руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. Но GDPR имеет лучшую прикладную проработку.

«То, что у нас прописано в требованиях профильного регулятора, у них – в основном законе. Это правильный подход. Потому что далеко не каждый оператор ПД дойдет до регулятора и его требований, которые ссылаются на некий правовой документ. Стоит облегчить понимание закона операторами, чтобы увеличить шансы на его соблюдение», – предлагает А.Парфентьев.

Напомним, что в России нормативно-правовые документы, регулирующие сбор, обработку и хранение ПД, состоят из ФЗ-152, приказов Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ФСБ, а также отраслевых ГОСТов. Какой из них относится к конкретной организации, нужно определить самостоятельно, то есть быть достаточно опытным и профессиональным в этой теме. В GDPR все проще: есть оператор – вот список требований.

Алексей Парфентьев, «СёрчИнформ»:

– Кроме различий в размерах штрафов, есть другое глобальное противоречие закона в ЕС и ФЗ-152. В GDPR все требования и рекомендации обеспечивают защиту прав и свобод граждан. Согласно ФЗ-152, оператор в первую очередь должен соблюдать требования государства, словно оно является владельцем ПД, а не граждане. Правовая коллизия заключается именно в том, что гражданин в РФ по факту владельцем своих ПД не является – он не может свободно распорядиться, как, где и кем должны храниться ПД. На бумаге такого запрета не существует, но практика говорит об обратном. Например, россиянин сохраняет скан своего паспорта в облаке Google – закон не запрещает выкладывать, он запрещает хранить. В таком случае владелец ПД – пользователь, но ответственность наступает для оператора.

Преподаватель Moscow Digital School Олег Блинов объясняет RSpectr, что наш закон принимался в 2006 году и на тот момент был похож на действовавшую в ЕС директиву по персональным данным. Утечек ПД на тот момент в мире почти не происходило. Однако с мая 2018 года заработал GDPR, который предоставил гражданам модернизированный спектр прав. «Например, дал право запрашивать выгрузку собранных о человеке данных в машиночитаемом формате. Таким образом реализована концепция принадлежности субъекту его данных, даже если они хранятся в облачном сервисе. Аналогичных прав в нашем законе нет», – пояснил эксперт.

Руководитель юридического отдела хостинг-провайдера и регистратора доменов REG.RU Павел Патрикеев отмечает в разговоре с RSpectr, что российское законодательство не содержит буквального различения оператора (процессора) и регулятора (контроллера) в отличие от GDPR. Также в европейском законе указаны и иные специфические категории лиц, несвойственные законодательству России.

Павел Патрикеев, REG.RU:

– По логике GDPR, регулятор – лицо, определяющее цели и средства обработки персональных данных, а оператор (процессор) – лицо, которое обрабатывает ПД от имени или по поручению регулятора. Российское законодательство в буквальном смысле таких терминов не содержит. Однако, наряду с оператором ПД, выделяет лиц, обрабатывающих персональные данные по поручению оператора, которые схожи по статусу с оператором (процессором), как в законодательстве ЕС.

Улдис Либиетис рассказал RSpectr, что схожие пункты в GDPR и 152-ФЗ применяются по-разному. Например, организация обязана назначить лицо, ответственное за обработку ПД, – этот пункт имеется в российских и европейских правилах.

Улдис Либиетис, Tet:

– Согласно GDPR, в компаниях должна быть должность Data Protection Officer. Он подчиняется высшему руководству, но в отличие от 152-ФЗ, эту задачу можно поручить стороннему подрядчику. В России организации обязаны наладить процессы обработки ПД в соответствии с законодательством РФ: создавать и внедрять системы защиты, уведомлять Роскомнадзор. Необходимо получить согласие субъектов ПД (в том числе при передаче их ПД третьим лицам), подготовить и опубликовать соответствующие положения на сайте. Кроме того, согласно закону о локализации 242-ФЗ, базы ПД должны находиться на территории России.

GDPR не требует обязательного хранения личных данных в странах ЕС

 Хотя европейские правила во многом перекликаются с российским законодательством, существуют серьезные различия в отношении трансграничной передачи ПД – это возможно только в тех странах, которые, по мнению ЕС, должным образом защищают личные данные.

«Согласно 152-ФЗ, трансграничная передача разрешена всем странам, присоединившимся к Конвенции Совета Европы о защите физических лиц в отношении автоматической обработки ПД, а также ряду неприсоединившихся государств, обеспечивающих хотя бы частичную защиту», – говорит представитель Tet.


МЕЖДУ ТРЕМЯ КИТАМИ

В США нет федерального регулирования ПД, но наибольшую популярность получил закон штата Калифорния (California Consumer Privacy Act, CCPA), вступивший в силу в 2020 году. Основное содержание – права субъектов, в том числе на отказ от продажи своих ПД.

«В соответствии с CCPA к ПД относятся, как и в России, любые данные, позволяющие идентифицировать конкретного человека: биометрия, геолокация, история интернет-просмотров, а также информация о трудоустройстве или образовании», – пояснила О.Васильева.

Говоря о китайском законодательстве, эксперт отметила тенденцию вмешательства государства во все сферы жизни.

Однако

КНР в области защиты ПД стремится следовать по пути европейского закона GDPR. Вырабатываются аналогичные стандарты и механизмы по защите ПД

Оксана Васильева, Финансовый университет при Правительстве РФ:

– Например, в ноябре 2016 года китайский парламент принял закон, запрещающий интернет-провайдерам собирать информацию о пользователях без их согласия. В дополнение к нему в марте 2018 года был выпущен государственный стандарт «Спецификация безопасности личной информации» (TC260), который как раз охватывал сбор, хранение, использование, обмен, передачу и раскрытие личной информации интернет-пользователей КНР. Эти нормативные правовые акты зародили в Китае регулирование оборота ПД. Наблюдается тенденция на имплементацию из европейского в китайское законодательство норм о ПД, касающихся условий согласия пользователей, «права на забвение», формулирования политики конфиденциальности бизнеса и другое.

О.Васильева считает, что российские власти движутся в одном направлении с китайскими. Пытаются найти баланс между формальным невмешательством государства, законодательной охраной оборота ПД и необходимостью сбора и использования информации о гражданах.

П.Патрикеев согласен с О.Васильевой в том, что китайские законы движутся в сторону GDPR, хотя, как и российские нормативные акты, не разделяют категории «процессор» и «регулятор», прибегая к общему термину personal data processor (российский аналог оператора ПД – определяющего цели обработки лица).

Павел Патрикеев, REG.RU:

– Все остальные лица, обрабатывающие ПД по поручению оператора, попадают в категорию «третьих лиц». Китайский закон похож на текущее российское законодательство в этой сфере обязательным требованием о локализации баз данных с ПД граждан на территории соответствующей страны.


В ПОИСКАХ ОБЩЕГО ЗНАМЕНАТЕЛЯ

Готово ли российское законодательство о ПД к унификации с GDPR для эффективной работы компаний на мировом рынке и борьбы с утечками?

 А.Парфентьев считает, что пока не готово. Кроме того, ни тот ни другой закон не формирует реальную потребность для борьбы с утечками. «На сегодня 152-ФЗ компаниям проще не выполнять, так как штрафы смешные. GDPR построен на принципах честности и открытости – что, в свою очередь, не вписывается в ограничительные практики, характерные для методологии защиты от утечек. Также стоит учитывать, что 152-ФЗ требует доработки и дополнений, чтобы соответствовать реальному положению дел», – пояснил эксперт.

Модернизировать закон не так сложно, как исправить практику его применения. В ней тоже есть преграды для гармонизации наших правовых режимов, говорит О.Блинов.

Олег Блинов, Moscow Digital School:

– В ЕС регулятор – независимый государственный орган. Это требование настолько важно, что оно является одним из критериев признания стран адекватными для передачи им персональных данных. Оно есть и в подписанном Россией протоколе. Однако наш регулятор подчинен Минцифры. Перспективы гармонизации есть, но первичным условием является более глубокая проработка вопросов правоприменения.

О.Васильева считает, что

унификация российского законодательства и GDPR возможна и реальна, поскольку идет анализ правовой деятельности западных коллег по защите ПД, а противоречия можно грамотно устранить


ЗАЩИТА ПД В ЕВРАЗИИ

Параллельно Россия будет стремиться к законодательному единообразию в области ПД в рамках Евразийского союза (ЕАЭС). Основатель юридической компании «Катков и партнеры» Павел Катков считает, что страны ЕАЭС будут стремиться создать наднациональную систему правового регулирования ПД. Эксперт полагает, что в целом она будет соответствовать российской нормативной базе.

П.Патрикеев напомнил, что Евразийской экономической комиссией в 2017 году приняты рекомендации №27 «Об общих подходах к политике защиты прав потребителей». В них содержатся общие определения основных терминов из сферы персональных данных и базовые принципы обработки ПД. Однако документ не имеет аналогичной GDPR силы. Таким образом, вопросы оборота ПД регулируется соответствующим законодательством стран-участниц.

«Буквально на днях на заседании Евразийской экономической комиссии была высказана идея создать рабочую группу по цифровой трансформации и регулированию в сфере оборота данных. Поэтому говорить сейчас об унификации рано. В ЕАЭС действуют пять независимых режимов обработки ПД», – сообщил О.Блинов.

Изображение: RSpectr, Pixabay.com

ЕЩЕ ПО ТЕМЕ:

Как ЕС реализует обязательства по внедрению GDPR
Регулирование защиты персональных данных в Европе показывает положительные результаты, но работа должна быть продолжена