Данные: мои, твои, наши
Глобальные тренды и российская специфика защиты ПД
Законодательное регулирование персональных данных (ПД) в мире стремительно разрастается и усложняется, констатируют эксперты. Общей тенденцией стал рост внимания к этой сфере со стороны властей. Что стоит за стремлением государств к локализации данных на собственной территории, почему меняются правила борьбы с утечками личной информации и как нужно защищать права субъектов ПД в цифровой среде, обсуждали участники Евразийского конгресса по защите данных.
НАЦИОНАЛИЗИРУЮТ ВСЕ
В настоящее время можно наблюдать глобальную тенденцию укрепления национальной безопасности в отдельных странах и международных объединениях, рассказала представитель компании «РАССЭ Инновации» Алена Геращенко на прошедшем 20 октября Евразийском конгрессе по защите данных.
Год назад округ Колумбия стал первой юрисдикцией в США, утвердившей Единый закон о защите персональных данных (Uniform Personal Data Protection Act, UPDPA). Новая норма сразу вызвала волну критики – сомнения касались его нечеткой терминологии.
Закон носит экстерриториальный характер, а также вводит множество числовых критериев. Например, получение оператором более 50% валового годового дохода в течение года только благодаря обработке ПД. Тем не менее, подчеркнула Алена Геращенко,
UPDPA является отражением роста значимости сферы ПД в США и важен с точки зрения унификации подходов к проблеме их защиты
В Китае за последние годы принято большое количество нормативных актов в сфере защиты ПД. Утвержденный в 2021 году закон Data Security Law носит экстерриториальный характер в жесткой форме, обратила внимание Алена Геращенко. В нем говорится, что организация, занимающаяся обработкой ПД граждан КНР за пределами территории страны, наносит ущерб национальной безопасности и правовым интересам отдельных лиц.
В законе о критической информационной инфраструктуре Китая – Critical Information Infrastructure Security Protection Regulations – указано, что к КИИ можно отнести все объекты, из которых может произойти утечка, влияющая на национальную безопасность.
Как бы то ни было, оборотной стороной глобальной тенденции к контролю данных может стать полноценное, адекватное понимание каждого человека необходимости защиты собственной частной жизни, прогнозирует эксперт.
ЗАПРОС НА ЛОКАЛИЗАЦИЮ
Вместе с национализацией страны стремятся локализовать данные на своей территории, отметила эксперт по приватности из финансовой индустрии, член правления RPPA Марина Юфа в своем выступлении на Евразийском конгрессе по защите данных.
По ее словам, локализация становится все более ограничительной – к 2021 году более двух третей подобных требований предлагают запрет передачи данных. Под влиянием этого тренда возникают новые термины: «стратегические» или «важные» данные.
Интересно, что еще недавно локализация данных воспринималась как требование авторитарных режимов, вступающее в противоречие со свободным рынком.
Марина Юфа, эксперт по приватности:
– Считалось, что беспрепятственное прохождение потоков данных неизбежно должно привести к экономическому процветанию. Сейчас участники рынка рассуждают о том, какие данные должны подпадать под локализацию и какой она должна быть.
Она привела определение Организации экономического сотрудничества и развития (Organisation for Economic Co-operation and Development, OECD):
локализация – это любые юридические нормы, предписывающие прямо или косвенно хранение и обработку ПД в границах определенной юрисдикции
Запрос на локализацию данных возник еще в 1990-х годах и был связан с технологическим развитием отдельных стран, напомнила эксперт. На этом фоне в ООН считают, что Индия и Китай именно с помощью локализации достигли технологического суверенитета и самостоятельности.
В целом новые требования российского закона «О персональных данных» идут в общем потоке развития международного законодательства, считает Марина Юфа.
УВЕДОМЛЕНИЕ И ПРАВО
В европейском законодательстве требование об уведомлении об утечках ПД достаточно давно реализовано, а отечественном появилось только в нынешнем году, отметил в выступлении на Конгрессе бизнес-консультант по безопасности Positive Technologies Алексей Лукацкий. По его словам,
в условиях тотальной цифровизации и резко возросшего числа кибератак вопрос «Утечет информация или нет?» нужно переформулировать на «Когда утечет?»
Алексей Лукацкий, Positive Technologies:
– В случае утечки организация обязана сама собрать информацию о факте и отправить ее в Роскомнадзор и ФСБ в течение суток. Превышение временного лимита будет рассматриваться как попытка скрыть инцидент, которая влечет более жесткое наказание. В качестве него сейчас обсуждается штраф размером в 4% от годового оборота компании.
В целом требования об уведомлениях об инцидентах с ПД в России очень похожи на европейские, но со своей спецификой, подчеркнул эксперт.
Расхождение наблюдается в терминологии – в нормах Евросоюза понятие «утечка» (англ. breach) касается более широкого перечня случаев. В законах РФ существуют два понятия: «инцидент с персональными данными» и «компьютерный инцидент»:
- «Инцидент с ПД» – нужно уведомить Роскомнадзор. Этот термин включает случайное/неправомерное копирование ПД, под которым можно понимать утечку.
- «Компьютерный инцидент» – сообщение нужно отправлять в ФСБ. В этом случае говорится обо всех инцидентах с безопасностью ПД, которые повлекли за собой их неправомерную передачу.
Если в СМИ появились сообщения об утечке данных из компании, а в той уверены, что ничего произошло, Роскомнадзор все равно нужно уведомить и доказать, что инцидента не было. При этом, если база с якобы похищенными ПД оказалась фальшивкой, ведомство также нужно поставить об этом в известность.
Для этого в организации должна функционировать отлаженная система мониторинга инцидентов, только в этом случае можно будет выполнить все требования законодательства, полагает Алексей Лукацкий.
Как правило, похищенные ПД используются в различных мошеннических схемах, например, при оформлении кредитов, рассказала в своем выступлении начальник отдела мониторинга и анализа Центра правовой помощи гражданам в цифровой среде Жанна Николаева.
По ее словам, пострадавшие от неправомерного использования ПД россияне могут получить в Центре бесплатную юридическую помощь. Специалисты помогают гражданам составить письменные иски, претензии и жалобы в суд.
За первое полугодие 2022 года доля выигранных судебных дел Центра правовой помощи гражданам в цифровой среде составила 86 процентов
Жанна Николаева, Центр правовой помощи гражданам в цифровой среде:
– Функции нашего Центра и государственных органов не совпадают, поэтому мы действуем независимо и зачастую одновременно. Следователь или прокурор не уполномочены вести претензионную переписку от лица гражданина или представлять его интересы в качестве стороны процесса в гражданском судопроизводстве. Наши сотрудники как раз занимаются этим.
Кроме того, в организацию обращаются с целью защиты чести и достоинства, деловой репутации, возмещения морального вреда и материального ущерба.
По словам Жанны Николаевой, в планах Центра – организовать онлайн-приемы на площадках МФЦ и усилить просветительскую деятельность среди граждан для обеспечения более глубокого понимания ими важности защиты личной информации.
Тимур Халудоров