Чтобы не было утечек. Забота о персональных данных требует коллективных усилий

Легкость пользования современными средствами связи не подразумевает аналогичной – простой и незамысловатой – защиты конфиденциальной информации пользователей. Отечественный институт защиты персональных данных относительно молод, констатирует руководитель Роскомнадзора Александр Жаров, но, тем не менее, не замыкается в рамках одного государства, а движется по пути международного взаимодействия. Защита станет более эффективной, когда данные россиян будут храниться на территории нашей страны, уверена председатель Совета Федерации ФС РФ Валентина Матвиенко. «События, происходящие на международной арене, подтверждают обоснованность и дальновидность такого подхода», – объяснила она в видеообращении для участников V Международной конференции «Защита персональных данных». Юбилейный форум был организован АНО «Радиочастотный спектр» при поддержке Роскомнадзора и прошел в ноябре в Москве.

Беззащитный профиль

Защита персональных данных (ПД) – один из самых серьезных вызовов, с которым сегодня столкнулось человечество, заявил на конференции заместитель председателя Государственной Думы РФ Сергей Железняк. «Сегодня киберпреступники владеют технологиями, которые в одно мгновение позволяют переписать электронную историю любого человека, завладеть потребительским портретом огромного количества людей из разных стран», – заметил вице-спикер.

Прокурор отдела по надзору за исполнением законов в сфере обеспечения правопорядка, защиты интересов государства и общества Главного управления по надзору за исполнением федерального законодательства Генпрокуратуры РФ Николай Фирсов рассказал, что под контролем ведомства сегодня десятки уголовных дел, связанных с ПД. Среди них, к примеру, незаконная установка оборудования для считывания информации в банкоматах. Или нарушения закона управляющими компаниями, которые размещают в местах общего пользования объявления с личной информацией о гражданах. ПД некорректно используют коллекторские агентства и неправильно хранят банковские служащие. Так, специалист по обслуживанию частных лиц одного из банков оформлял невостребованные кредитные карты как выданные, далее активировал их и получал доступ к денежным средствам.

Не личное дело

Главная угроза для персональных данных в России – это недостаточная ответственность за несоблюдение законодательства операторами ПД, прокомментировал генеральный директор компании Group-IB Илья Сачков. За нарушение хранения и утечку конфиденциальной информации юридические лица в России платят сегодня штраф в размере 10 тыс. рублей. Умышленное сокрытие и распространение ПД не карается законом, вследствие чего в Сети активно функционирует черный рынок данных – продаются кредитные истории заемщиков банков, сведения из Пенсионного фонда и так далее.

53% хищений ПД в российских компаниях являются умышленными действиями. Необходимо в срочном порядке создать общероссийское экспертное сообщество и внедрить практики обязательного независимого выяснения причин подобных инцидентов.

С. Железняк добавил, что на проходившей в ноябре в Монако 83-й сессии Генеральной ассамблеи Интерпола российской стороной предложено разработать документ под эгидой ООН, который позволит активнее бороться с киберпреступностью.

«Универсальность развития электронных технологий должна соответствовать универсальности законодательства, защищающего от вторжения в частную жизнь», – согласен начальник договорно-правового департамента МВД России Александр Авдейко.

Представитель МВД отметил всеобъемлющий характер действующего уже восемь лет российского закона ФЗ-152 «О защите персональных данных», «нормы которого встроены в каждый институт права в стране». При подготовке соглашения между РФ и Европолом представители наблюдательного комитета Евросоюза отметили значительные достижения нашей страны в формировании законодательной базы в сфере защиты ПД, рассказал докладчик.

Данным пора домой

«Крупные компании все чаще осуществляют хранение информации в облачных средах, где невозможно установить местонахождение конкретных данных в текущий момент времени», – объяснил И. Сачков.

Опасения операторов по поводу полного запрета на трансграничную передачу ПД их клиентов не имеют отношения к реальности, заявил Александр Жаров, комментируя вступающий в силу в 2016 году закон[1] о хранении персональных данных граждан России на территории страны.

Кроме того, неверны предположения, что этот документ ограничит права людей на свободное использование личной информации, подчеркнул глава Роскомнадзора.

Локализация баз данных на своей территории не является чем-то новым, аналогичные требования установлены, например, в Китае, Сингапуре, Индии, объяснил А. Жаров.

BigData предупреждает

В то же время эксперты отрасли говорят о том, что локализация баз данных не защитит в полной мере ПД российских граждан, а лишь создаст такую иллюзию.

Компании из-за значительного удешевления технологий обработки и хранения ПД собирают сегодня личную информацию «про запас». В итоге заявленные в законе ограничения и принципы, связанные с конкретными целями обработки, обречены на декларативность, считает старший научный сотрудник НИУ ВШЭ, юрисконсульт IBM Россия/СНГ Александр Савельев.

Эксперт объяснил, что обезличивание ПД не является панацеей: в эпоху Big Data всегда существует техническая возможность деанонимизации информации. Сегодня «большие данные» активно используются для персонализации клиентов. Анализ содержимого личных аккаунтов дает возможность компаниям делать людям уникальные предложения по предоставлению каких-либо услуг. Технологии Big Data применяются банковскими структурами – для определения платежеспособности клиентов и последующих решений о кредитных лимитах.

В качестве правильного пути защиты данных эксперт предложил сконцентрировать регуляторные усилия на крупных операторах ПД (социальные сети, поисковые системы, информационные брокеры) и уделить особое внимание регулированию обработки «метаданных» (информации о трафике и пр.), а также повысить уровень наглядности условий политики конфиденциальности компаний.

В свою очередь регулятор готов к диалогу: вопросы правоприменения ФЗ № 242 обсуждаются экспертным сообществом в формате обмена мнениями. При этом в Роскомнадзоре уверены, что до сентября 2016 года, когда закон вступает в силу, в России будет построено достаточное количество дата-центров, и организации, которые массово обрабатывают данные граждан России, разместят в них свои серверы.

_{[1]ФЗ-242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»}