3 февраля '09
Информация об абонентах будет защищена законом
Операторы «большой тройки» взяли на себя обязательство профинансировать проект по защите личных данных об абоненте. Отметим, что правительство постановило, что с 2010 года все компании, которые имеют дело с личной информацией о пользователе, должны сохранять ее конфиденциальность, а также защищать ее от разглашения и утечки. Для сектора связи стандарт разрабатывать будет Инфокоммуникационный Союз (ИКС, организация, которая представляет и защищает интересы операторов связи), документ впоследствии должен быть согласован с Федеральной службой с безопасности, Министерством связи и массовых коммуникаций и Федеральной службой технического и экспортного контроля. Среди компаний, которые занимаются разработкой технических параметров по защите личных данных об абоненте, выделили компанию ReignVox. Компания была организована в 2008 году системным интегратором Bell Integrator и РНТ. ReignVox имеет ряд необходимых лицензий, высококвалифицированный персонал и хороший опыт работы в данной сфере, это и обусловило выбор ИКС ReignVox в качестве разработчика. Отметим, что конкурса на разработчика стандарта не проводилось.
Так, компания ReignVox уже начала анализировать системы защиты личных данных МТС, «Вымпелком», «Мегафон», чтобы выработать стандарт, общий для всех операторов как фиксированной, так и беспроводной связи.
Аналитики говорят, что ввиду закона от 07.2006 № 152-ФЗ «О персональных данных» системы личных данных, имеющиеся в распоряжении операторов связи, должны быть систематизированы в соответствии с требованиями до 1 января 2010 года. Кроме того, мобильные операторы обязаны предоставить пользователям их услуг все данные о лицах, которые имеют доступ к информации подобного рода, а также оповестить абонентов о юридических последствиях для них, которые могут произойти вследствие обработки личных данных. Операторы должны сохранять конфиденциальность информации, а также ввести криптографические средства для защиты персональной информации в случае неправомерного доступа к ней со стороны третьих лиц. Эксперты отмечают, что федеральным законодательством разработаны общие положения по защите и безопасности, в силу этого разработка общего отраслевого стандарта является необходимой мерой.
Некоторые комментаторы считают, что привлечение госорганов, а также представителей отрасли к процессу разработки стандарта о защите персональных данных для телекоммуникационной отрасли является положительным аспектом и отвечает логике закона. Другая часть говорит о том, что требования по защите персональных данных закреплены в нормативных актах Правительством РФ. Однако часть юристов говорит, что ни один из правовых актов не дает право оператору, а также не обязует его вырабатывать собственный отраслевой стандарт по защите персональных данных. Вместе с тем, отмечают эксперты, регулятор требует от операторов связи значительных операционных и материальных затрат на подготовку документа, регламентирующего работу с личной информацией об абонентах. В этом контексте становится очевидным, что лидеры «большой тройки» посредством лоббирования собственных интересов пытаются реализовать требование со стороны правительства с меньшими затратами. Этим и обуславливается выбор разработчика стандарта в лице ReignVox, а также отсутствие тендеров.
Эксклюзивные комментарии:
Эдуард Бабанов, управляющий партнер
Адвокатское бюро «Бабанов, Тарлыгин и партнеры»
«Действительно, в практике работы некоторых государственных органов и ведомств для разработки нормативных актов используются материалы, подготовленные коммерческими структурами. Но, как мне представляется, это не тот случай. Статья 19 этого закона «О персональных данных» предписывает оператору в обязательном порядке принимать необходимые организационные и технические меры, в том числе, использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Требования к обеспечению безопасности персональных данных определяет Правительство РФ. Такие требования сформулированы в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденном Постановлением Правительства РФ от 17 ноября 2007 г. № 781. Контроль и надзор за выполнением указанных требований, осуществляются Федеральной службой безопасности (ФСБ) и Федеральной службой по техническому и экспортному контролю (ФСТЭК России) в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных (п. 3 ст. 19 ФЗ »О персональных данных»). Следует также отметить, что согласно требованиям ст. 17 ФЗ «О лицензировании отдельных видов деятельности» деятельность по технической защите конфиденциальной информации подлежит обязательному лицензированию в порядке и на условиях, определяемых Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным Постановлением Правительства РФ от 15 августа 2006 г. № 504. Ни один из названных нормативных правовых актов не предполагает обязанности или право лицензиата (оператора) на выработку каких-либо собственных или отраслевых стандартов для работы с персональными данными. Вместе с тем, очевидно, что действующее законодательство требует от лица, организующего и (или) осуществляющего обработку персональных данных, значительных организационных и материальных затрат. В связи с этим можно предположить, что движения «большой тройки» по поводу выработки некоего «стандарта», есть не что иное, как лоббирование свих интересов в контролирующих органах с целью подойти к 1 января 2010 года с наименьшими затратами. Этим же можно объяснить и отсутствие приглашений участвовать в конкурсе компаний, работающих на рынке защиты персональных данных, и отсутствие конкурса вообще».
Родион Юрьев, руководитель
«Юридическое бюро Юрьева»
«В соответствии со ст. 19 Федерального закона «О персональных данных» требования к защите информации устанавливаются Правительством РФ. Эти требования установлены Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781. Этими требованиями уже устанавливаются положения о сертификации, которые относятся к компетенции соответствующих служб. Соответственно, нельзя говорить о стандарте по смыслу Федерального закона «О техническом регулировании», значит, на него не распространяются положения об обязательном тендере и прочие процедурные вопросы создания технического регламента. Любая норма права - всегда кем-то впервые сформулирована, и, полагаю, сложно говорить о том, кто является ее разработчиком: любой автор будет лишь осуществлять синтез уже имеющихся в его распоряжении средств решения той или иной проблемы. Поэтому принципиального значения привлечения ReignVox я не вижу: главное, чтобы она выдала качественный продукт».
Наталья Иващенко, руководитель телекоммуникационной группы
Компания «Пепеляев, Гольцблат и партнеры»
«Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» призван урегулировать отношения, связанные с обработкой персональных данных, которую осуществляют и органы государственной власти, и юридические лица (в т.ч. операторы), и физические лица. К защищаемым законом персональным данным относится любая информация о физическом лице (ФИО, дата рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и др.). В законе сделана оговорка о том, что информационные системы персональных данных, созданные до вступления в силу этого закона, должны быть приведены в соответствие с требованиями закона не позднее 1 января 2010 г. Соответственно, перед операторами связи стоит задача менее чем за год адаптировать информационные системы персональных данных к требованиям закона. В целях защиты персональных данных на операторов связи возложена обязанность по получению письменного согласия на обработку персональных данных абонентов, по предоставлению информации абонентам обо всех лицах, имеющих доступ к данным абонентов, о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка персональных данных и др. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных. Для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных оператор обязан принимать организационные и технические меры, включая использование шифровальных (криптографических) средств. Общие требования для обеспечения безопасности персональных данных установлены Правительством РФ в Постановлении от 17.11.2007 № 781. Таким образом, законодательно закреплены только общие требования к обеспечению безопасности и защиты персональных данных. Между тем, для соблюдения этих требований операторам необходим единый отраслевой стандарт, который бы позволил минимизировать риски и осуществлять свою деятельность в соответствии с законом. Положительно, что на этапе разработки такого стандарта в процесс вовлечены как государственные органы, призванные обеспечивать защиту безопасности, технический контроль и надзор за использованием персональных данных, так и операторы связи, обладающие своими наработками в этой сфере. От выработки единого стандарта во многом будет зависеть эффективность действия закона «О персональных данных».