И бизнес сыт, и персданные целы
Регулирование / Статьи
информбезопасность персональные данные
6.12.2022

И бизнес сыт, и персданные целы

Возможен ли баланс защиты персональных данных и интересов коммерческих компаний

Россияне вынуждены отдавать организациям или интернет-сервисам максимальное количество сведений о себе, а суды встают не на их сторону, констатируют эксперты. Представители бизнес-сообщества обращают внимание на риски избыточного регулирования в сфере персональных данных (ПД). Как найти баланс между защищенностью личной информации и экономической целесообразностью и какие корректировки в законодательстве необходимы, обсуждали на встрече в Совете Федерации РФ.

СОГЛАШАЙСЯ ИЛИ УХОДИ

Многие интернет-сервисы вынуждают посетителей сразу же предоставлять согласие на обработку своих ПД. Нередко они требуют сведения о семейном и имущественном положениях, образовании и даже параметрах фигуры. Естественно, такие условия никак не отвечают тем целям, с которыми обратился пользователь.

При этом россиянам, решившим бороться с таким произволом, в защите в судах чаще всего отказывают, рассказала директор Центра правовой помощи гражданам в цифровой среде Главного радиочастотного центра (ГРЧЦ), созданного в 2021 году по инициативе Роскомнадзора, Людмила Куровская на круглом столе «Актуальные проблемы защиты персональных данных граждан в цифровом пространстве», прошедшем в Совфеде. По ее словам,

судебные акты фактически поддерживают предложенный операторами ПД принцип – «соглашайся или уходи»

Поэтому ПД должны быть признаны нематериальным благом россиян, так как это позволит упростить защиту их интересов в судах, подчеркнула эксперт.

Людмила Куровская, Центр правовой помощи гражданам в цифровой среде:

– Усматривается серьезная необходимость внести поправки в Гражданский кодекс, а именно, в статью 150, признав персональные данные нематериальным благом. Для этого есть основания: в пункте 2 статьи 2 Гражданского кодекса РФ указан открытый перечень гражданско-правовых отношений, который включает в себя как имущественные, так и личные неимущественные отношения.

Она обратила внимание, что

персональные данные, как любая информация, относящаяся прямо или косвенно к физическому лицу, обладают всеми характеристиками нематериального блага

Они неотчуждаемы и могут возникнуть как с момента рождения человека (биологические данные, дактилоскопические данные), так и в силу закона: фамилия, имя, отчество, место жительства, сведения об образовании, пояснила Людмила Куровская.

По ее мнению, другой проблемой, требующей законодательного решения, является необходимость закрепления принципа минимальной необходимости при обработке ПД.

Людмила Куровская, Центр правовой помощи гражданам в цифровой среде:

– Многие могут сказать, что это уже есть в законе – в части 5 статьи 5 закона «О персональных данных»: обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки. При этом понятие и принципы этой избыточности законом не определены, а ведь подобная практика среди операторов ПД сейчас очень распространена.

Научный сотрудник Института законодательства и сравнительного правоведения при правительстве РФ Светлана Чеховская в своем выступлении отметила растущее коммерческое использование личных сведений, особенно в сферах больших данных и искусственного интеллекта.

По ее прогнозу,

в среднесрочной перспективе российское законодательство придет к тому, что ПД будут рассматриваться в смешанном режиме: как объекты частно- и публично-правового характера

Иначе в РФ будет функционировать неадекватное регулирование, которое не защищает граждан, подчеркнула она.

РАЗРЕШИТЕ УВЕДОМИТЬ

Около 80% сообщений об утечках ПД являются фейковыми – устаревшая информация из открытых источников выдается за актуальные сведения, отметил на совещании в Совете Федерации вице-президент по информационной безопасности «Ростелекома» Игорь Ляпунов.

По его словам, крупных утечек из информсистем федеральных органов исполнительной власти в 2022 году не происходило. В основном подобные инциденты случаются с системами региональных органов исполнительной власти, где кибербезопасность финансируется по остаточному принципу. Он обратил внимание, что

подавляющее большинство (80%) всех утечек приходится на мелких операторов – интернет-магазины и сервисы по продаже различных билетов

Игорь Ляпунов, «Ростелеком»:

– Сейчас наше законодательство в сфере ПД имеет уведомительный характер. Эту ситуацию нужно менять, законодательство должно стать разрешительным, а к операторам можно будет отнести организацию, обрабатывающую определенный объем персданных.

Он привел пример регулирования в Евросоюзе, где согласно Общему регламенту по защите данных (GDPR) оператор обязан получать разрешение на сбор информации.

Заместитель директора Департамента обеспечения кибербезопасности Минцифры Айсалу Бадягина напомнила об основных изменениях в регулировании оборота ПД, которые произошли этим летом:

  • корректировка положений о трансграничной передаче ПД;
  • обязанность уведомлять об утечке конфиденциальной информации;
  • взаимодействие с ГосСОПКА.

Айсалу Бадягина, Минцифры:

– В рамках принятого закона готовится три проекта постановлений, которые связаны с трансграничной передачей ПД. Они касаются порядка принятия решения о запрете трансграничной передачи как Роскомнадзором самостоятельно, так и по представлению уполномоченного органа.

Также Минцифры проработан проект постановления о подтверждении перечня исключительных случаев, когда уведомление о передаче ПД не требуется, отметила она.

По словам представителя Минцифры,

ответственность за утечку ПД будет рассматриваться в том числе с учетом градации баз данных, то есть по количественному признаку. Также предусмотрен ряд смягчающих и отягощающих обстоятельств

Айсалу Бадягина, Минцифры:

– Смягчающие обстоятельства наступают, если оператор уведомил Роскомнадзор и помогал при расследовании. К отягчающим относятся утечки биометрических сведений и отсутствие уведомления об утечке в Роскомнадзор. Также к таким обстоятельствам относится ситуация, когда оператор не сделал ничего, чтобы минимизировать последствия утечки.

Дополнительно обсуждается вопрос о добровольной компенсации жертвам утечки, рассказала Айсалу Бадягина.

НЕ УБИЙ

По мнению заместителя директора по направлению «Эффективное регулирование» АНО «Цифровая экономика» Дмитрия Соболева, информированное согласие пользователя на обработку персональных данных сейчас стало «мифом», ритуальным действием.

Дмитрий Соболев, АНО «Цифровая экономика»:

– Этот механизм был рассчитан на работу с бумажными носителями, а в цифровом пространстве до сих пор не отработаны правила получения такого согласия. При этом без доступа к качественным дата-сетам, к наборам данных, имеющимся у разных компаний, и их объединения невозможно получить развитие новых сервисов и технологий.

По его мнению,

в отечественном законодательстве нет механизма, который позволил бы легально аккумулировать данные, предоставлять к ним доступ третьим лицам

Для цифровых данных, подчеркивает Дмитрий Соболев, должны быть установлены разные уровни регулирования, чтобы защитить ПД и в то же время «не убить бизнес».

Протестировать новые методики позволяет экспериментальный правовой режим (ЭПР), поддержал его замдиректора Департамента развития цифровой экономики Минэкономразвития РФ Сослан Габуев. ЭПР как механизмы совершенствования законодательства могут использоваться для более эффективного применения данных, полагает он.

Сослан Габуев, Минэкономразвития РФ:

– Мы поддерживаем необходимость дальнейшей защиты прав субъектов ПД, но вместе с тем обращаем внимание на то, что законодательство должно меняться, чтобы эта информация служила на пользу обществу и государству. Надеемся, что найдем поддержку у законодательной власти, а также Минцифры и Минздрава.

Вице-президент Федеральной палаты адвокатов РФ Елена Авакян обратила внимание, что

российское законодательство не делает различий между терминами «данные» и «информация»

Она предложила уравнять участников судопроизводства и предоставить адвокатам право обрабатывать определенные категории ПД без согласия субъектов.

Член Комитета Совета Федерации по конституционному законодательству и государственному строительству Николай Владимиров призвал бизнес и госорганы повышать уровень цифровой грамотности населения. Выводы совещания будут использованы в работе над законодательством в сфере ПД, пообещал он.

Тимур Халудоров

Изображение: RSpectr, Adobe Stock

Еще по теме

Насколько эффективной будет маркировка синтезированного нейросетью контента

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании