В ближайшее время в Госдуму планируют внести законопроект, который ужесточит требования к операторам персональных данных (ПДн), а также усилит защиту ПДн, в том числе и биометрических. Об этом заявил глава думского Комитета по информационной политике, информационным технологиям и связи Александр Хинштейн. Игроки рынка считают предложения по большей части одиозными и однозначно поддерживают лишь одно из них - введение обязанности операторов ПДн уведомлять государственные органы об утечках. В Роскомнадзоре (РКН) считают, что введение такой обязанности позволит минимизировать риски, связанные с бесконтрольным распространением ПДн российских граждан и их противоправным использованием.
Ирина
Приборкина
© ComNews
04.04.2022

По мнению Александра Хинштейна, скандал с утечкой базы данных сервиса "Яндекс.Еда" показал, насколько не защищены персональные данные россиян. "И дело здесь не только в условиях хранения и мерах безопасности, которыми компания, вероятно, пренебрегла", - считает депутат. Напомним, что утечка данных пользователей сервиса "Яндекс.Еда" затронула без малого 7 млн человек и стала одной из самых масштабных в России (см. новость ComNews от 25 марта 2022 г.).

В своем Telegram-канале Александр Хинштейн обозначил ряд существующих проблем, связанных с защитой персональных данных. Во-первых, по его словам, операторы обработки ПДн вообще не обязаны уведомлять государство о произошедших утечках. Во-вторых, не существует и никакого взаимодействия между операторами и госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на российские информационные ресурсы. В-третьих, по сути, никак не регулируется трансграничная передача персональных данных россиян, что в сегодняшних условиях, по мнению Александра Хинштейна, особенно опасно. "При этом операторы - например, банки - ультимативно требуют от граждан передачи не только персональных, но и биометрических данных, угрожая иначе отказом в предоставлении услуг. Какой-либо ответственности за это они не несут", - объяснил он. По его словам, отдельная тема - сведения о недвижимости. "Это те же персональные данные, однако сегодня каждый желающий может запросить в ЕГРН выписку на любого гражданина и узнать, что именно ему принадлежит вместе с точными адресами: квартира, дача, офис", - уверен депутат.

В пресс-службе Минцифры России отметили, что, как регулятор, поддерживают усиление защиты персональных данных. "Отмеченные Хинштейном предложения направлены на повышение защищенности данных и в том числе коррелируются с международными положениями, закрепленными по Конвенции 108+", - уточнили в пресс-службе министерства.

По словам пресс-службы Роскомнадзора, в России весьма высокое проникновение цифровых сервисов в повседневную жизнь граждан, поэтому сведения о каждом жителе России хранятся в сотнях баз данных. "Однако и объемы скомпрометированных данных огромны. По некоторым оценкам, в "утекших" за последние несколько лет базах содержится не менее 380 млн записей. Находящимися в сети Интернет персональными данными пользуются в первую очередь злоумышленники для противоправных действий - от относительно безобидных спам-звонков, до 100 тыс. ежедневно, до мошенничества с денежными средствами, угроз и шантажа", - рассказали в пресс-службе ведомства. Также в РКН уточнили, что защита персональных данных граждан является приоритетным направлением деятельности Роскомнадзора и ведомство поддерживает предложения депутатов Государственной Думы РФ, озвученные главой думского Комитета по информационной политике, информационным технологиям и связи. "Установление обязанности операторов ПДн информировать Роскомнадзор об инцидентах с принадлежащими им базами персональных данных позволит минимизировать риски, связанные с бесконтрольным распространением персональных данных российских граждан, противоправным использованием таких данных", - считают в Роскомнадзоре.

Основатель KIP LegalTech, член Комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций Павел Катков считает, что проблемы, обозначенные Александром Хинштейном, действительно нужно решать на уровне федерального закона. "Не исключается также уточнение отдельных положений на уровне подзаконных актов не ниже постановления правительства. Ниже, полагаю, можно спускать только вопросы технического регулирования и регламентации взаимодействия - их могут разрешить Минцифры и РКН", - отмечает юрист.

По его словам, закон о персональных данных №152-ФЗ - не догма, мир меняется, технологии меняются, и правовое регулирование должно соответствовать этим изменениям. "За время его существования закон менялся многократно, изменялся и дополнялся. Поэтому очередная порция поправок - это в целом ожидаемо, это было лишь вопросом времени. Полагаю, что на данные предложения повлияли недавние утечки из базы "Яндекс.Еды" - возможно, парламентарии так решат отреагировать на этот сигнал. Пока не ясен состав рабочей группы, которая будет работать над законопроектом. Он будет решаться, если решится вообще вопрос о том, будет инициироваться законопроект или нет и будет ли ему дан ход главой Государственной Думы на основании депутатской законодательной инициативы. Если да, то целесообразно пригласить к обсуждению самых разных экспертов, включая юридические компании и бизнес, который затронут соответствующие изменения", - уверен Павел Катков.

Источник, пожелавший остаться неназванным, считает, что озвученные предложения охватывают целый ряд разных направлений, которые требуют глубокой экспертной оценки и широкого обсуждения с профессиональным сообществом. "Например, сведения о недвижимости из ЕГРН. Такие сведения являются единственным доказательством существования зарегистрированного права, закрытие доступа к ним нанесет серьезный урон многим процессам. При этом утверждение, что каждый желающий может запросить в ЕГРН выписку на любого гражданина, не вполне точно. Так, предоставление сведений из ЕГРН регулируется ст.62 Федерального закона от 13.07.2015 №218-ФЗ "О государственной регистрации недвижимости". Частью 13 этой статьи установлено, что некоторые наиболее чувствительные сведения из содержащихся в ЕГРН - обобщенные сведения о правах отдельного лица на имеющиеся или имевшиеся у него объекты недвижимости, сведения о признании правообладателя недееспособным или ограниченно дееспособным и др. - могут быть предоставлены лишь ограниченному перечню заявителей. Среди них сами правообладатели, их законные представители и представители по доверенности, руководители и заместители руководителей государственных органов, суды, правоохранительные органы, судебные приставы и подобные субъекты. Соответственно, не приходится говорить о возможности любого лица произвольно получить сведения о другом лице из ЕГРН, - говорит собеседник ComNews. - В 2021 г. эта статья дополнена ч.1.1. и ч.1.2., которые в том числе направлены на защиту персональных данных правообладателей: законодатель закрепил, что персональные данные правообладателей нельзя размещать на официальном сайте Росреестра в открытом доступе. В случае принятия уполномоченными органами решений о наложении запрета на выдачу сведений о защищаемых лицах и их близких, объектах государственной охраны и членах их семей, сведения о таких лицах, содержащиеся в ЕГРН, не предоставляются, за исключением случаев, предусмотренных федеральными законами либо указом президента Российской Федерации".

По словам собеседника ComNews, к инициативе по налаживанию взаимодействия между операторами персональных данных и государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) также следует отнестись с большой осторожностью, понимая цели и последствия. Порядок взаимодействия ГосСОПКА с различными органами и организациями предусмотрен Федеральным законом от 26.07.2017 №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации". Этот закон распространяется на критическую информационную инфраструктуру и ее субъекты, под которыми в первую очередь понимаются владельцы информационной инфраструктуры в ограниченном количестве сфер: здравоохранение, наука, транспорт, связь, энергетика, банки и финансовый рынок, топливно-энергетический комплекс, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность.

"Что касается трансграничной передачи персональных данных, то регулирование в этой области, безусловно, существует и сейчас. Этому вопросу посвящена отдельная статья 12 в Федеральном законе от 27.07.2006 №152-ФЗ "О персональных данных". До начала трансграничной передачи персональных данных оператор обязан убедиться, что иностранным государством, на территорию которого они будут переданы, обеспечивается адекватная защита прав субъектов ПДн. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов, может осуществляться в ограниченном перечне случаев", - говорит собеседник ComNews.

При этом он поддерживает инициативу в ее самом принципиальном вопросе - введении обязанности операторов персональных данных уведомлять государственные органы об утечках. "Недавние случаи громких утечек показали, что субъекты персональных данных недостаточно защищены. К тому же обязанность уведомлять контролирующие органы о таких утечках не является чем-то принципиально новым и предусмотрена в зарубежных правопорядках, в частности в GDPR. На данный момент уже существует ряд законодательных инициатив, направленных на усиление защиты субъектов персональных данных. Например, в части введения отдельного административного состава за невыполнение обязанности по обеспечению конфиденциальности персональных данных, увеличению размера ответственности в случае утечек персональных данных", - отмечает собеседник. По его словам, при этом граждане имеют возможность защищать свои права в судебном порядке, что мы и наблюдаем сейчас в ситуации с одним популярным сервисом доставки, к которому предъявлено несколько коллективных исков.

"На наш взгляд, это хороший инструмент защиты, где граждане могут претендовать на получение компенсационной выплаты. Аналогично, уже существует законопроект, предметом регулирования которого является необоснованный запрос у потребителей персональных данных, получение которых не требуется для оказания услуг законопроекта № 1184356-7. Таким образом, направление в Госдуму второго законопроекта с таким же предметом регулирования было бы избыточным. В то же время важно, чтобы любое регулирование в этой области не запрещало или ограничивало развитие технологий и новых бизнес-моделей, в том числе основанных на работе с данными, что особенно актуально в текущей ситуации и для ИТ-сферы. Ведь такие технологии могут быть не только "вредны" для потребителей, но и полезны, как с точки зрения их безопасности и защиты от злоумышленников, так и с точки зрения доступа к новым возможностям и повышения качества жизни в целом. Для этого и нужна сбалансированная, продуманная регуляторная политика, учитывающая все аспекты", - считает собеседник ComNews.

По мнению, другого источника, пожелавшего остаться неназванным, рациональным представляется только предложение об обязанности операторов персональных данных уведомлять государство об утечке - подобная норма есть в европейском праве. "Однако это не разъясняет последующие действия в отношении компании, данные клиентов которой скомпрометированы. С точки зрения клиента это слабое утешение. Требование банков предоставлять биометрические данные сильно преувеличено - пополнение биометрических систем проводится для удобства и ускорения обслуживания, исключительно с согласия граждан. То же самое можно сказать о сфере недвижимости - по запросу в ЕГРН любой желающий может получить лишь очень ограниченный круг данных. Так что предложения по большей части одиозны", - отмечает собеседник ComNews.

Новости из связанных рубрик