Защита персональных данных – основа цифровой экономики

Милош Вагнер (Роскомнадзор): «Сбором и обработкой больших объемов персональных данных должны заниматься организации, которые в действительности обеспечивают их защиту».

Президент подписал закон, обязывающий операторов персональных данных (ПД) передавать информацию об инцидентах Роскомнадзору и ФСБ. Документ также меняет правила трансграничной передачи личной информации. Для чего вводится дополнительный контроль за операторами ПД и почему важно актуализировать методологию обезличивания данных, RSpectr рассказал заместитель главы Роскомнадзора Милош Вагнер.

RSpectr: В последние годы растет число киберпреступлений. Нужны ли новые полномочия контролирующих органов?

Милош Вагнер (М.В.): В России, как и во всем мире, последние десятилетия идет ускоренная цифровизация и внедрение новых информационных технологий. Многие из них имеют прямую поддержку государств, реализуются целые программы развития. Такие меры оказывают влияние на качество жизни граждан, предоставляя более удобные, быстрые, проактивные сервисы. Однако вместе с технологиями мы получаем и риски, для противодействия которым уже недостаточно обладать базовыми навыками использования интернета или смартфона.

Профессия в области информационной безопасности – одна из самых востребованных сегодня и в обозримом будущем.

Для рядового пользователя адекватно оценить угрозы, принять необходимые меры безопасности стало не просто сложно, но практически невозможно. Поэтому наметился тренд, когда не только государственные органы, но и сами интернет-компании применяют патерналистский подход к защите граждан и их данных. Вводят все больше мер «защиты по умолчанию», предупреждений о рисках безопасности. Фактически решают за пользователя – что для него безопасно, а что нет.

Думаю, этот тренд получит развитие и дальше в государственном регулировании – компании перестанут быть просто поставщиками услуг или посредниками между пользователями. Владельцы таких сервисов должны иметь установленные законом обязанности и нести ответственность не только за качество, но и за безопасность, в том числе данных граждан, и за устранение рисков совершения с помощью таких сервисов правонарушений.

Компании, которые могут обеспечить уровень защиты ПД граждан России в соответствии с уровнем рисков современных IT-технологий, должны стать партнером государства по защите персональных данных и базисом экосистемы цифровой экономики нашей страны.

Изменения в законе «О персональных данных» повышают роль операторов ПД, стимулируют их к подлинно ответственной обработке вверенных им пользователями данных.

В частности, одна из мер, характерных для ответственного отношения оператора к обработке данных, – реагирование на их утечки. Не стремиться скрыть инцидент, а во взаимодействии с уполномоченными органами постараться снизить возможный ущерб для граждан от компрометации данных. Ведь каждая потеря информации создает условия для широкого круга правонарушений, включая возможное оформление микрозаймов, неправомерный доступ к банковским счетам граждан с использованием методов социальной инженерии, а также для буллинга.

Кроме того,

скомпрометированные ПД могут быть использованы для деанонимизации работников социальной сферы, образования, СМИ, в целях рассылки сообщений с угрозами жизни и здоровью

Именно поэтому в законе предусмотрено информирование уполномоченных органов.

СПРАВКА

Милош Вагнер, заместитель руководителя Роскомнадзора

• В 2002 году окончил физический факультет МГУ им. М.В. Ломоносова.

• До 2009 года работал в коммерческих компаниях.

• С 2009 года – в Департаменте госполитики в области создания и развития электронного правительства Минкомсвязи России.

• С 2012 года – в Управлении президента Российской Федерации по развитию информационно-коммуникационных технологий и инфраструктуры связи.

• Распоряжением правительства РФ от 19.05.2020 № 1318-р назначен заместителем руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
• На позиции заместителя руководителя Роскомнадзора курирует Управление по защите прав субъектов персональных данных и Управление правового обеспечения, международного и общего взаимодействия.

RSpectr: По новому закону операторы ПД должны уведомлять об инцидентах с персональными данными как ФСБ, так и РКН. По каким критериям утечки данных организациям нужно будет делать выбор в пользу того или иного контролирующего органа?

М.В.: Законом предусмотрено взаимодействие между двумя регуляторами, которые могут обмениваться соответствующей информацией. Каждый, в зависимости от своей компетенции, может принимать меры реагирования.

Задача Роскомнадзора в том, чтобы купировать угрозы, связанные с нарушением прав граждан как субъектов персональных данных.

Например, заблокировать ресурс, где появилась база данных, и его копии, потребовать удаления информации от владельца. Принять меры по привлечению к административной ответственности за неудаление данных из общего доступа либо обратиться в суд за признанием владельца ресурса нарушителем законодательства в области ПД.

Цели взаимодействия операторов с системой противодействия компьютерным атакам совершенно иные.

Как показывает практика, причины утечек данных могут быть совершенно различные, и далеко не всегда можно говорить о вине именно оператора за такие инциденты.

RSpectr: В новом законе операторам ПД предлагается при трансграничной передаче данных иностранной партнерской компании сперва уведомить уполномоченный орган. При этом регулятор может запретить операцию. Для чего усложняется жизнь многим компаниям, которые оказывают услуги тем же путешественникам?

М.В.: Трансграничная передача ПД – это вид операций с данными, который можно отнести к повышенному риску. Мало того что после этой процедуры в большинстве случаев оператор теряет контроль над дальнейшей их обработкой, так и пользователь, чьи ПД оказались не в российской юрисдикции, становится весьма ограничен в действиях по защите своих прав.

Более того, мы сегодня наблюдаем, как различные страны и крупные компании в одностороннем порядке вводят ограничения на взаимодействие с российскими компаниями. То, что казалось немыслимым вчера, сегодня воспринимается рядовым явлением.

Поэтому предложенная в законе норма, на наш взгляд, своевременна и адекватна возникшим обстоятельствам.

Важно при этом понимать, что никаких радикально новых положений закон не содержит. Предложенная конструкция – это развитие существующих требований

И до этого закона оператор обязан был проводить оценку рисков обработки данных своим заграничным контрагентом и информировать Роскомнадзор о трансграничной передаче данных. Возможность введения запрета или ограничения на такой трансфер ПД была с самого начала действия закона «О персональных данных», то есть с 2006 года.

Поэтому, на наш взгляд, для операторов, добросовестно исполняющих сегодня закон, выполнить новые требования не составит труда, и уж точно это не станет существенным усложнением деятельности для них.

Ведь уведомлять необходимо не о каждой операции и не о каждом новом партнере, а о стране и целях трансграничной передачи

Фактически законодатель прямо указывает, как именно должна осуществляться ответственная обработка персональных данных. В частности, в законе закреплен механизм воздействия российского оператора на иностранного партнера. Если принимается решение об ограничении или запрете на трансграничную передачу, то оператор должен принять все меры, чтобы зарубежная сторона удалила ранее полученные данные наших граждан. Это вопрос дисциплины и партнерских соглашений, в том числе условий соглашений, санкций за их несоблюдение. При выборе контрагентов отечественным компаниям нужно исходить из того, насколько та сторона готова принимать правила российского законодательства.

Стоит отметить, что такие требования хорошо знакомы операторам внутри России. Если выявляется незаконная обработка ПД, компания должна не только прекратить эту процедуру, но и принять меры по остановке подобной деятельности у своих контрагентов.

RSpectr: Стоит ли ожидать правовых противоречий при требовании к иностранному партнеру из ЕС, который подчиняется Регламенту по защите персональных данных (GDPR) Евросоюза?

М.В.: Российский оператор должен руководствоваться требованиями законодательства РФ и выстраивать свою бизнес-модель так, чтобы его контрагенты были готовы работать с учетом положений нашего правового поля. Не нужно забывать, что речь идет об обработке персональных данных граждан России, а значит, европейское законодательство должно применяться с учетом этого факта. Более того, GDPR также распространяет свое действие на обработку данных граждан Евросоюза, если она происходит за пределами ЕС.

RSpectr: В 2020–2021 годах иностранным медиаплощадкам были выписаны штрафы в размере 48 млн рублей за необеспечение локализации. Все ли они исполнили свои финансовые обязательства?

М.В.: Иностранные организации предпочитают оплачивать штрафы, за редким исключением. Например, Twitter до сих пор не оплатил, но судя по взаимодействию с ним, предпочитает не рвать связь окончательно, а переводит исключительно в формально-юридическую плоскость, ответив, что ему не предоставили документы, подтверждающие требования российского законодательства.

Мы всегда отслеживаем реакцию зарубежных компаний и готовность следовать российскому законодательству. Это позволяет, при невыполнении компанией своих обязательств, повторно привлекать ее к административной ответственности. Это уже штрафы на порядок выше.

Впрочем, для крупных компаний штрафы в несколько миллионов рублей также не являются предметом серьезного рассмотрения.

Получается, что экономически выгоднее платить штрафы, чем тратиться на выполнение требований закона – арендовать ЦОДы или самим создавать системы хранения данных

Полагаем, что в рамках разрабатываемой Минцифры России инициативы по усилению административной ответственности за нарушения в области персональных данных целесообразно обсудить и ответственность за неразмещение баз ПД в России.

RSpectr: Прошлогодний законопроект об обезличивании персональных данных (ОД) все еще обсуждается в Госдуме. Поскольку существуют разные методы и степени анонимизации, как вы оцениваете риски деанонимизации этих данных?

М.В.: Само по себе обезличивание изначально задумывалось как мера обеспечения безопасности ПД, которая снижает вероятность нанесения вреда гражданину в случае компрометации таких данных. Но важно и другое. В законе сейчас написано – по достижении цели обработки оператор должен уничтожить данные либо их обезличить. То есть обезличивание закон рассматривает как альтернативу уничтожению данных.

Но это было написано десять лет назад, когда считалось, что обезличивание может гарантировать невозможность восстановления исходных данных.

Осторожность в регулировании связана именно с тем, что никто не может гарантировать так называемого полного обезличивания. То есть такого преобразования данных, при котором восстановить исходные данные или их часть станет невозможно. Такую же осторожность проводят и европейцы в своем регулировании.

При этом необходимо учитывать, что, если сегодня нет технологий, которые позволяют деобезличить данные, это не значит, что таких технологий не будет через несколько лет.

Например, если пять лет назад изготовить качественную подделку видео с человеком можно было только профессионалу и стоило это дорого, то сегодня технологии «дипфейк» позволяют делать это пользователям соцсетей для развлечения, бесплатно и на лету. Представьте себе, что можно в «два клика» из обезличенных историй болезни или историй покупок, которые будут выведены на рынок, выяснить, кто именно покупал, чем болел, с кем вместе находился и где был. Сегодня эти сведения легально могут получить только те, кто занимается оперативно-розыскной деятельностью, и через суд.

Исходя из этих соображений и прямого прочтения закона данные, которые получаются в результате процедуры обезличивания, не перестают быть персональными. На их обработку требования закона распространяются в полной мере. Если мы говорим про оборот обезличенных данных, то, на наш взгляд, при таком обороте должна обеспечиваться и конфиденциальность, и безопасность таких данных.

Кстати, единственно возможные случаи обработки обезличенных данных сегодня – это статистические и научные цели, а также проведение экспериментов в рамках специальных правовых режимов. Полагаем, что к регулированию обезличенных данных необходимо подходить аккуратно, тщательно проанализировав результаты экспериментальных режимов. Не в последнюю очередь нужно показать, что обработка обезличенных данных действительно приносит пользу обществу, позволяет создавать безопасные технологии, в том числе технологии искусственного интеллекта.

RSpectr: Принятые законодательные поправки внесли самые существенные изменения в требования к обработке персональных данных с момента принятия закона. Какие еще изменения в регулировании оборота ПД актуальны на сегодняшний день?

М.В.: На наш взгляд, необходимо задуматься о таком изменении законодательства, которое минимизирует случаи нарушения конфиденциальности, утечек данных и в целом неправомерной обработки данных.

Ведь ПД – это не только данные о человеке, но, как прямо написано в законе, эти данные составляют основу его права на неприкосновенность частной жизни, личную и семейную тайну. А защита этих прав прямо гарантирована Конституцией России.

Сегодня собирать данные практически в неограниченном объеме может абсолютно любое физическое или юридическое лицо, для этого достаточно получить согласие человека, например, пресловутую «галочку в чекбоксе» на сайте. Или включить условия об обработке массы личных данных в пользовательский договор, не согласиться с которым человек просто не может. Потом уже с удивлением человек узнает, что согласился и на передачу этих данных в третьи организации, и на звонки с рекламой.

Фактически в России сложился «культ получения согласий» вместо культуры получения согласия человека на обработку его данных

Поэтому стоит продумать возможность сбора и обработки больших объемов данных только теми организациями, которые не на бумаге, а в действительности обеспечивают защиту данных, в целом в состоянии такую защиту обеспечить. При этом институт правовых оснований для обработки данных необходимо пересмотреть, чтобы субъект ПД перестал быть слабой стороной в отношениях с оператором, имел возможность предоставлять именно добровольное согласие на их обработку, а сами данные действительно требовались для предоставления сервиса человеку, а не компании для развития бизнеса и рекламы.

Изображение: RSpectr