Доклад М.И. Гришанкова на парламентских слушаниях по ФЗ-152 "О персональных данных"

Уважаемые участники Парламентских слушаний!

В июне 2006 года был принят Федеральный закон №152-ФЗ «О персональных данных» (далее – Закон), в начале 2007 года он вступил в силу. Однако реализация началась существенно позже, поскольку в силу многочисленных административных пертурбаций функции уполномоченного органа по защите прав субъектов персональных данных закреплялись то за одним, то за другим органом исполнительной власти. Подзаконные акты Правительства и ведомств появились также с опозданием, где-то к середине 2008 года. Причем три документа ФСТЭК до сих пор имеют ограничительную отметку «Для служебного пользования». Таким образом проблемы реализации закона стали достаточно очевидными уже к концу 2008 года.

В ноябре 2008 года Комитет по безопасности организовал обсуждение этих проблем на заседании секции Экспертного совета. В рамках подготовки заседания был проведен анализ подзаконных актов. На этом этапе основные проблемы связывались с обеспечением безопасности персональных данных (статья 19 ФЗ).

В течение 2009 года мероприятия, посвященные реализации Федерального закона, проходили чаще, чем раз в месяц. И это понятно – большинство положений Закона уже вступили в силу, а срок приведения в соответствие информационных систем персональных данных (часть 3 статьи 25) неумолимо приближался. Одновременно формировался конфликт интересов, как минимум, четырех групп субъектов:

субъекты персональных данных, которые медленно, но верно стали требовать применения закона (примеры есть в Отчете Роскомнадзора за 2008 г);

операторы информационных систем персональных данных, которые оценив требования регуляторов, стремились уклониться от их исполнения, не отрицая при этом необходимость защиты персональных данных доступными способами и средствами;

поставщики средств защиты информации и услуг по защите информации, заинтересованные в расширении рынков сбыта товаров и услуг;

наконец, государственные регуляторы (Роскомнадзор, ФСБ и ФСТЭК), которые вели себя по-разному, но в целом настаивали на необходимости исполнения своих требований, несмотря на их критику.

Конфликт этот продолжает развиваться, так как компромисс с регуляторами не может быть найден в рамках существующей законодательной базы, к тому же цены поставщиков услуг также не всегда учитывают возможности операторов.

В результате, к сроку вступления в силу всех положений Закона (1 января 2010 года) мы попадаем в ситуацию массового неисполнения закона. Уведомили об обработке персональных данных не более 5% операторов. Данную ситуацию следует осмыслить и найти пути разрешения острых проблем. Эту цель мы ставим перед Парламентскими слушаниями.

Складывающаяся практика применения Федерального закона «О персональных данных» (далее – Закон) выявила несколько групп проблем.

Проблемы правового характера возникли в связи с неоднозначностью положений Закона, которые по-разному трактуются государственными регуляторами и операторами, требуют конкретизации, уточнений и разъяснений. Об этом, видимо скажет представитель Комитета по конституционному законодательству и государственному строительству – ответственный за прохождение закона «О персональных данных».

Предложения по уточнению положений Закона мы получили от участников слушаний, проанализировали, обобщили и включили в проект рекомендаций парламентских слушаний. В отношении правовых проблем реализации статьи 19 я скажу чуть позже.

Организационные проблемы связаны с ограниченным ресурсом уполномоченного органа по защите прав субъектов персональных данных, что не позволяет ему выполнять свои функции в полном объеме. Причем положение о Роскомнадзоре, утвержденное Постановлением Правительства РФ от 16.03.2009 N 228 не в полной мере отражает его полномочия, определенные Законом. Так в положении прямо не отражены право «вносить в Правительство РФ предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных», право «обращаться в суд с исковым заявлением в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде», а также обязанность «организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных». Фактически как раз эти функции не были реализованы в полной мере.

Кроме того, нормативные и методические акты ведомств, содержащие требования к операторам информационных систем персональных данных, сформировали такую систему обеспечения безопасности персональных данных, для реализации которой у операторов нет достаточных ресурсов, а у поставщиков услуг – достаточного потенциала.

Большую часть операторов составляют бюджетные организации в сфере образования, медицинского, социального, жилищно-коммунального обслуживания, не готовые к исполнению требований государственных регуляторов ни организационно, ни материально.

Финансовые проблемы связаны, прежде всего, с тем, что при внесении Правительством РФ в Государственную Думу проекта федерального закона «О персональных данных» затраты на реализацию Закона из средств федерального бюджета не предусматривались. Не заложены они и бюджеты следующего года, особенно в муниципальные бюджеты. Тем не менее, выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований основных регуляторов (ФСТЭК и ФСБ) по обеспечению безопасности обработки персональных данных потребует резкого увеличения расходов из бюджетов всех уровней, которые не планировались и не осуществимы в условиях кризиса. Некоторые расчеты приведены в предложениях ассоциаций, имеющихся в раздаточном материале.

Что же произошло в процессе реализации положений самой затратной статьи Закона – 19-й?

Правительство своим Постановлением от 17 ноября 2007 г. N 781 утвердило Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, в котором заложило достаточно жесткие требования к информационным системам персональных данных (например, обязательное использование технических и программных средств защиты информации, прошедших оценку соответствия – пункт 5), поставило оператора в полную зависимость от ФСТЭК и ФСБ (они определяют возможные каналы утечки информации – пункт 9, методы и способы защиты, а также достаточность принятых мер – пункт 3). Кроме того, данное постановление содержало поручение Минкомсвязи, ФСТЭК и ФСБ установить порядок проведения классификации информационных систем. А из этого порядка, утвержденного совместным приказом и обязательного для исполнения, «проросли» акты ФСТЭК и ФСБ, непонятного правового статуса.

При анализе этих актов выявились противоречия Федеральному закону «О персональных данных», некорректное применение ФЗ «О лицензировании отдельных видов деятельности», включение правообязывающих положений в документы, не прошедшие регистрацию в Минюсте и не относимые авторами к нормативным ПРАВОВЫМ актам.

В части противоречий Закону упомяну только несколько моментов. Это выделение информационных систем персональных данных из информационных систем органов и организаций, защита их самостоятельным правовым режимом персональных данных, дифференциация понятия «персональные данные» (на идентифицирующие субъекта и еще какие-то), разделение технических требований по обеспечению конфиденциальности персональных данных и требований по безопасности персональных данных, отнесение информационных систем, содержащих обезличенные и общедоступные данные (то есть не конфиденциальные!) к типовым информационным системам, в которых требуется обеспечить конфиденциальность персональных данных.

Эти ошибки содержатся в совместном приказе, который был зарегистрирован в Минюсте России.

Не буду раскрывать эти положения, они описаны, в том числе в раздаточном материале. Справедливости ради, должен сказать, что выявленные ошибки отчасти являются следствием отсутствия в российском законодательстве четкой регламентации различных режимов ограниченного доступа, поэтому и персональные данные отнесли к особому режиму, хотя в соответствии с Законом это только вид информации, для которого требование конфиденциальности не абсолютно. Персональные данные могут находиться и в режиме открытого доступа (например, на официальных сайтах органов государственной власти, в профессиональных энциклопедиях и т.п.) А в ряде случаев закон прямо устанавливает такую обязанность, например законодательство о выборах.

Регуляторы считают, что требования по безопасности персональных данных не новые, поэтому операторы должны быть готовы. Это, на наш взгляд, спорная позиция. Но останавливаться на ней не буду.[1]

Что же получилось в итоге?

Подзаконная база сформировала чрезвычайно затратный, запутанный, противоречивый механизм, не учитывающий ни особенности обработки персональных данных в различных сферах деятельности, ни возможности оператора по обеспечению установленных требований. Не все документы общедоступны. Специалисты говорят о неадекватности требований по обработке данных возможным угрозам их утраты и о конфликте требований, установленных разными законами. Как следствие мы получили массовое неисполнение закона.

Следовательно перед нами, законодателями, встала задача совершенствования базового закона и законодательства в целом таким образом, чтобы исключить возможность расширительного толкования его положений и чтобы эти положения были реализуемы.

В отношении совершенствования статьи 19 возможны разные стратегии.

Первая – ничего не менять, тогда срок подготовки операторов к выполнению Закона составит, по общему мнению, 1,5 – 2 года и потребует больших непроизводительных расходов, в том числе бюджетов всех уровней.

Вторая – дать возможность операторам негосударственных информационных систем самостоятельно определять средства и методы защиты персональных данных, устранить излишнюю регламентацию, застраховать негосударственных операторов от дополнительных проверок со стороны трех регуляторов и сбалансировать это усилением ответственности оператора в случае нарушения прав субъектов персональных данных. При этом не переносить срок вступления в силу части 3 статьи 25 Закона.

Здесь возникают другие риски. Есть большая вероятность, что многие операторы так и не осуществят до конца года требуемых Законом мероприятий для обеспечения безопасности персональных данных. Тем более, что многие, как выясняется, просто не знают, как к этому подступиться. Значит им надо помочь, особенно организациям, находящимся в ведении органов местного самоуправления.

Мы предлагаем компромиссный вариант, базирующийся на второй стратегии[2], однако, учитывая международный опыт, экономическую ситуацию в стране и опыт накопленных ошибок, выход из ситуации видится в организации Правительством планомерной работы по подготовке к вступлению в силу Закона.

Для этого целесообразно централизованно разработать отраслевые методические рекомендации по обеспечению безопасности персональных данных. Очевидно, что для школ, 80% которых являются муниципальными, самостоятельная разработка и реализация системы обеспечения безопасности персональных данных не под силу. Им, детским садам, поликлиникам, ЖЭКам требуются типовые подходы, без лишних функций и реализуемые в рамках муниципальных бюджетов. Подобные рекомендации уже готовятся в банковской сфере, операторами связи. Думаю, профессиональные сообщества очень заинтересованы в этой работе.

Далее, необходимо пересмотреть используемые сегодня механизмы государственного регулирования обеспечения безопасности персональных данных: лицензирование деятельности по технической защите информации, сертификацию средств защиты и аттестацию информационных систем.

Под технической защитой конфиденциальной информации, согласно Постановлению Правительства от 15 августа 2006 г. N 504, понимается «комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней».

Исходя из концепции этого постановления регулирующие органы выдвигают требование получения потенциальными операторами лицензии на техническую защиту конфиденциальной информации во всех случаях, включая те, когда обработка персональных данных осуществляется для собственных нужд (например, в рамках трудовых отношений), что не вытекает из положений Федерального закона «О персональных данных» и не соответствует духу Федерального закона «О лицензировании отдельных видов деятельности».

Комитет Государственной Думы по собственности дал по просьбе Комитета по безопасности разъяснения о сфере действия Федерального закона «О лицензировании отдельных видов деятельности», согласно которому «деятельность организаций по технической защите конфиденциальной информации исключительно для собственных нужд лицензированию не подлежит». Кроме того, следует учитывать, что лицензия дает право заниматься какой-либо деятельностью, а защита персональных данных это обязанность субъекта, занимающегося любой деятельностью, связанной с обработкой персональных данных. Если учесть, что обязанность защиты персональных данных возлагается, за малым исключением, на всех юридических лиц, то получение лицензии превращается в чисто фискальную функцию. Следовательно, положения ФЗ «О лицензировании отдельных видов деятельности» и положения указанного постановления Правительства требуют уточнения.

Что касается сертификации, то требование использования для защиты персональных данных только сертифицированных средств защиты информации представляется избыточным по ряду причин. Во-первых, оперативность обновления средств обработки информации не позволяет столь же оперативно осуществлять сертификацию этих средств. Во-вторых, сертифицированные средства защиты информации не всегда возможно интегрировать с другими средствами обработки и передачи информации, в связи с чем данное требование не позволяет эффективно решать задачи защиты персональных данных. В силу этих причин оператор должен иметь возможность выбирать адекватные средства защиты.

Аттестация автоматизированных информационных систем необходима только для получения лицензии на техническую защиту конфиденциальной информации.

Попытка государственных регуляторов предложить принципы классификации информационных систем персональных данных основывалась на стремлении дифференцировать подходы к защите таких систем. Это правильно. Однако требования по защите типовых систем никак не ориентированы на особенности профессиональной деятельности, с чем столкнулись операторы в попытках их реализовать. Кроме того, как свидетельствуют многочисленные исследования и опросы, основную угрозу утечки защищаемых данных, в том числе и персональных данных, представляют, инсайдеры, а не технические разведки. Специалисты говорят о неактуальности установленных требований, что обусловлено закрытым характером их разработки. Это вообще давняя и общая проблема: проекты правительственных и ведомственных нормативных правовых актов, в отличие от проектов законов, как правило, не обсуждаются, не проходят общественную экспертизу, что подчас сказывается на их качестве.

Законом установлено, что контроль и надзор за выполнением требований по обеспечению безопасности персональных данных, установленных Правительством, осуществляют ФСТЭК и ФСБ в пределах их полномочий. В целом процедуры реализации этих функций предельно непрозрачны: отсутствуют объективные критерии для оценки достаточности уровня защиты персональных данных, не ясно в каких правовых рамках будут действовать контролирующие органы[3]. Эти вопросы также следует решать.

Нагрузку на оператора можно снизить за счет разграничения сферы применения обязательных требований по защите персональных данных и рекомендаций по такой защите. Обязательные требования целесообразно отнести к операторам государственных информационных систем, содержащих персональные данные. Как показывает практика именно из этих систем, чаще всего, осуществляется утечка персональных данных, именно в этих системах агрегируется большое количество персональных данных, именно в этих персональных данных заинтересован черный рынок.

Остальные операторы обязаны будут защищать свои системы либо в рамках режимов конфиденциальности, распространяемых на информационную систему в целом (в частности, режимы защиты банковской тайны, налоговой тайны и иных видов тайн, установленных федеральными законами), либо исходя из общих стандартов защиты информации, самостоятельно определяя адекватные методы и средства защиты персональных данных с учетом их природы, объема обрабатываемых данных, стоимости применения мер защиты, характеристик информационных систем оператора и учитывая отраслевые рекомендации.

Для того, чтобы внести изменения в федеральное законодательство нужно время, хотя можно с трудом успеть до конца года. А вот внести изменения в подзаконные акты и осуществить необходимую подготовку к вступлению в силу Закона за оставшиеся месяцы невозможно. Нужны усилия исполнительной власти всех уровней. При четкой организации эту работу, как нам представляется, можно завершить к концу следующего года.

Таким образом, исходя из необходимости осуществления вышеназванных работ, срок вступления в силу части 3 статьи 25 в отношении приведения действующих систем в соответствие с требованиями закона, необходимо продлить на год. Но, повторюсь, это не самоцель! Надо создать приемлемые условия функционирования и для вновь создаваемых информационных систем.

Мы прекрасно понимаем, что наш человек живет по поговорке «пока гром не грянет, мужик не перекрестится». Некоторые операторы, оценив предстоящие затраты на обеспечение безопасности персональных данных, выбрали стратегию административной ответственности. Это путь опасный. Защищать персональные данные все равно придется. Но и требовать с оператора можно только тогда, когда будут установлены понятные, приемлемые и, конечно, открытые правила.