1 августа '11
Персональные данные: скандалы, интриги и право
Новые правила и их последствия
27 июля были опубликованы поправки к федеральному закону №152 «О персональных данных», уточняющие наиболее спорные моменты в разработанном еще 5 лет назад законодательном акте. Выход поправок совпал по времени с несколькими крупными эпизодами разглашения персональных данных, что в очередной раз обратило пристальное внимание на проблему защиты персональных данных.
Законодательная база
Федеральный закон «О персональных данных» начал разрабатываться в 2005 году, и был принят к исполнению 5 лет назад. Несмотря на достаточное развитие информационных технологий в 2005-2006 году проблемы защиты персональных данных все же не стояли так остро, как они стоят сейчас. Почему проблематика персональных данных стала так актуальна именно сегодня? До начала 2000-х возможности для распространения и разглашения личных данных были сравнительно ограниченными, также как и возможности для сбора и организации таких данных. Базы данных по прописке, базы данных ГАИ и другие подобные баз полулегально продавались на рынках уже в начале 2000-х, это было, безусловно, нарушением фундаментального права человека на личные данные, но этих нарушений было сравнительно немного. С развитием технических средств, прежде всего – Интернета и мобильных устройств связи, с входом в обиход интернет-торговли, развитием социальных сетей, с появлением онлайн-сервисов банков, с появлением «выхода в сеть» у крупных государственных баз данных (через сайт gosuslugi) вопрос о сохранении личных данных впервые стал проблемой, требующей как нормативного, так и технического решения. Причем как с точки зрения законодательства, так и сточки зрения технических средств, обеспечить безопасность личных данных довольно сложно.
|
Российские суды пока не имеют ни достаточного опыта, ни достаточно квалифицированных судей для решения «высокотехнологичных дел», что также снижает шансы на признание «Мегафона» виновным |
|
Проблемы законодательного характера, прежде всего, связаны с абстрактностью самого понятия личных данных (а также применимых к ним понятий, таких как «обезличенные» или «персонифицированные» данные). Если здоровье и ущерб ему являются вполне физическими характеристиками, если даже моральный ущерб можно перевести в некий материальный эквивалент, то с личными данными значительно сложнее – граница между «личным» и «не личным» размыта, и ее определение является сложной задачей для академической юриспунденции. Здесь стоило бы посетовать о состоянии российской законодательной системы в целом – российские законодатели часто не справляются с определением гораздо более материальных вещей и от них сложно ожидать разработки четкого и непротиворечивого понятийного аппарата, на основании которого в дальнейшем можно было бы создать рабочий нормативный акт. Еще одна сложность состоит в постоянном появлении новых устройств и сервисов, так или иначе взаимодействующих с персональными данными. В 2005 году мало кто мог представить себе масштабы распространения устройств, обрабатывающих информацию о местонахождении пользователя, а сейчас подобный функционал (зачастую скрытый) встречается в целом ряде неспециализированных устройств, от телефонов до ноутбуков и фотокамер. Все большая интеграция устройств в сеть повышает вероятность утечки. А это лишь одна из сфер, потенциально нарушающих «право на личные данные». Оценивая масштаб угроз личным данным, западные специалисты по безопасности делают заявления вроде «Прайваси больше нет». В то же время в России поправки, вступившие в силу в конце июля, касаются лишь самых примитивных личных данных – в законе перечислены ФИО, данные о рождении, адрес, семейное положение, социальный статус, основные биографические факты и доходы, все остальные возможные виды личных данных (которых довольно много) скрываются под формулировкой «другая информация», а значит остаются на усмотрение судьи, который в российских реалиях скорее всего, окажется не особенно компетентным в том, что касается столь абстрактных понятий.
|
Масштаб и объем утечек персональных данных указывает на слабость как законодательной сферы и технических средств, так и большую роль человеческого фактора в том, что касается охраны личных данных |
|
Принятые в июле поправки в основном носят уточняющий характер и призваны снизить расплывчатость формулировок изначальной редакции документа. Важным для участников телекоммуникационного рынка является новая редакция статьи 18, которая определяет обязанности оператора, обрабатывающего персональные данные. Хотя закон оставляет за оператором право самостоятельно определять меры для охраны персональных данных, эти меры должны отвечать стандартам, которые будут разрабатываться ФСБ и ФСТЭК. Таким образом, новая редакция закона «О персональных данных» оставляет возможность лоббирования определенного стандарта шифрования, системы учета персональных данных или иных программно-технических средств, который будет согласно закону обязательным для внедрения у всех операторов, обрабатывающих персональные данные. В лучшем случае подобное монополизирование может привести к финансовым убыткам у операторов, в худшем – может поставить под угрозу сохранность персональных данных, если такая система будет недостаточно качественной. Впрочем, здесь кроется и другая тонкость: персональные данные вещь настолько вездесущая, что работой с ней занимаются самые разные учреждения – от высокотехнологичных банков и операторов связи, ведущих учет клиентов до деревенской библиотеки, имеющей бумажную картотеку читательских билетов. Внедрение единого технического стандарта, который был бы применим в столь разных условиях – задача неосуществимая, поэтому есть шанс, что в первое время регулирующие органы ограничатся разработкой наиболее общих стандартов, а также выпуском рекомендаций по конкретным типам обработки и хранения информации.
Имело бы смысл обратиться к зарубежному опыту регулирования подобных вопросов. Например, США, законодательство которого в области IT является наиболее прогрессивным, пока ограничиваются нормативными актами, регулирующими отдельные аспекты права на безопасность личных данных, а основной закон об этом пока не принят. В штатах существуют как региональные нормативные акты, так и законы, регулирующие аспекты использования и защиты персональных данных в разных типах организаций: медицинских учреждениях, образовательных учреждениях, банках, страховых компаний с учетом специфики использования данных в этих организациях. Еще один немаловажный пункт американских законов о персональных данных, отсутствующий у нас – обязанность оператора оповещать всех затронутых лиц, а также правоохранительные органы об утечке информации сразу, как только она обнаружена.
Data protection derective – основной документ, обеспечивающий защиту личных данных в Евросоюзе также вводит классификацию личных данных и учреждений их использующих (медицинские данные, финансовые данные и др.), каждая категория таких данных требует отдельных видов защиты. Сходным образом регулируется защита личных данных в законодательстве Великобритании. И Евросоюз, и США, и Соединенное Королевство не устанавливают никаких технических стандартов, оставляя это на усмотрение операторов, законы указывают лишь, что методы по защите данных должны быть «разумными и достаточными» оставляя реализацию этих принципов на откуп самому оператору, который и будет нести всю ответственность в случае, если принятых мер окажется недостаточно.
Утечки неизбежны
Опубликование поправок к закону о личных данных совпало с целым рядом утечек в рунете – 18 июля пользователи обнаружили попавшие в «Яндекс» СМС, которые отправляли через веб-сайт абонентам «Мегафона», чуть позже было обнаружено, что «Яндекс» и Google индексируют внутренние базы данных нескольких Интернет-магазинов, в результате в свободном доступе оказались IP и данные о покупках десятков людей. Довершило картину уязвимости обнаружение в кэше Google внутренних документов ведомств, имеющих вебсайт на домене gov.ru, в том числе ФАС, Счетной палаты, и Минэкономразвития. На этом фоне такие мелочи как сохранение в кэше Google фотографий из закрытых альбомов пользователей социальной сети Вконтакте уже даже не привлекают внимание общественности.
Причины утечки столь разных данных могут быть совершенно различными. По заявлениям Яндекса речь идет о сайтах, администраторы которых проигнорировали необходимость корректного заполнения файла robots.txt, сообщающего роботам поисковых систем о запрете на индексацию отдельных страниц. С другой стороны, повсеместное распространение панелей инструментов, таких как Яндекс Бар или Google Bar также может быть причиной утечек: эти инструменты при некорректной настройке могут играть роль spyware, в том числе отправляя поисковым сервисам информацию о страницах, которые являются недосягаемыми для роботов поисковиков. Представляется наиболее вероятным, что вина за утечки в равной степени лежит как на администраторах сайтов, так и на рядовых пользователях, установивших, но не настроивших корректно соответствующе поисковые инструменты.
К сожалению, на данный момент сложно ожидать что сайты, допустившие утечку персональных данных, станут объектами судебных исков: в СМИ сообщалось лишь о намерении Союза потребителей России подать иск к «Мегафону», допустившему разглашение персональных данных, «Яндекс» в данном иске назван третьей стороной. В свою очередь представители «Мегафона» в общении с прессой обвиняли во всем поисковые системы. Если Союз Потребителей выиграет иск, это даст возможность абонентам «Мегафона», считающим, что им был нанесен ущерб, обратиться в суд за возмещением ущерба. Впрочем, шансов выиграть дело у Союза Потребителей не так много: для начала им придется доказать, что речь действительно идет о разглашении персонифицированных данных (то есть позволяющих установить личности отправителей, или в крайнем случае - адресатов разглашенных СМС), а затем – доказать, что вина за разглашение лежит на «Мегафоне» а не «Яндексе». Российские суды пока не имеют ни достаточного опыта, ни достаточно квалифицированных судей для решения «высокотехнологичных» дел, что также снижает шансы на признание «Мегафона» виновным.
СМС-скандал не является крупнейшей утечкой, в которой оказались замечены российские телекоммуникационные компании – в конце 2010 года произошел куда более серьезный случай – тогда на публичном FTP-сервисе сахалинского филиала ОАО «Дальсвязь» были выложены данные по 11 тыс. клиентов компании, содержащие, в том числе сведения о платежах и финансовую информацию, и паспортные данные. Хотя разглашение паспортных данных не столь эффектно, как обнародование интимной СМС-переписки, и не привлекло внимания сетевой общественности, «Дальсвязь» нарушила право на безопасность личных данных серьезнее, чем «Мегафон»
Утечки информации и компрометирование данных – явление повсеместное. По данным отчета компании Secure IT за прошлый год было зафиксировано 1014 эпизодов утечек данных, причем 89% из них приходится на долю США, где, стоит заметить, самое продвинутое законодательство в области защиты персональных данных. В России за тот же год произошло лишь 34 случая утечек и компрометирования данных. Чаще всего утечки случались в медицинских учреждениях, на втором месте – госорганы, и на третьем – различные образовательные учреждения - это сферы, с одной стороны, обладающие значительными объемами личных данных, а с другой – недостаточно развитыми отделами по защите информации. Показательно, что на долю хакерских атак приходится лишь треть всех утечек, остальные, так или иначе, были следствием ошибок технического либо иного персонала, имеющего доступ к закрытым данным. Среди распространенных каналов утечки помимо уязвимости веб-сайтов – флешки и ноутбуки, содержащие базы данных, которые сотрудники теряли или оставляли без присмотра. Самой крупной утечкой персональных данных можно считать инцидент, когда в 2009 году хакеры взломали базу данных Национальной медицинской службы Великобритании и получили доступ к данным о миллионах пациентов. В 2009 году скандал, связанный с личными данными коснулся также поисковика Google, - в результате ошибки доступными для всех желающих стали документы, загруженные пользователями Google.docs. Если говорить об утечках, принесших наибольший финансовый ущерб можно упомянуть историю с банковскими картами граждан США и Германии - в результате ошибки системы обработки платежей, принадлежащей компании Hertland Payment Systems было скомпрометировано более 130 млн. кредитных карт, убытки превысили $5 млрд. Персональные данные из баз различных государственных служб, образовательных учреждений и даже правоохранительных органов компрометируются или попадают в публичный доступ регулярно, причем даже в США подобные утечки не всегда сопровождаются многомиллиардными судебными исками.
Масштаб и объем утечек персональных данных указывает на слабость как законодательной сферы и технических средств, так и на большую роль человеческого фактора в том, что касается охраны личных данных. Число технических средств и сервисов, представляющих потенциальную угрозу личным данным, растет с развитием прогресса, и это, безусловно, требует пересмотра самого отношения к вопросу о личных данных, анонимности и разглашении информации. Причем пересмотра не только в юридическом и техническом смысле, но и в смысле этическом, пока что право человека на безопасность личных данных скорее утопия, чем реальность.