Банковское обозрение

Финансовая сфера

05.12.2019 Аналитика
Преступление и так себе наказание

Общая сумма штрафов за нарушение закона о персональных данных может составить максимум 75 тыс. рублей. По нормам аналогичного закона в Евросоюзе только за факт сокрытия утечки полагается штраф 10 млн евро, или 4% годового оборота компании — в зависимости от того, какая цифра окажется больше


Тимур Аитов
Заместитель генерального директора группы компаний «Программный Продукт», директор по международному развитию Ассоциации «Финансовые инновации», заместитель председателя Комиссии по цифровым финансовым технологиям Совета ТПП РФ по финансово-промышленной и

Много вопросов вызывают «горячие утечки осени», о которых сообщают сегодня СМИ. В списки «неаккуратных» операторов и владельцев данных попали крупнейшие банки, телекомы и даже социальная сеть Instagram, десятки миллионов аккаунтов которой оказались скомпрометированными.

В дополнение ко всему как гром среди ясного неба прозвучало заявление ФСБ о том, что при обработке данных в рамках создаваемой единой инфраструктуры утечка будет грозить всем россиянам, включая тех, кто подлежит госзащите. Почему все происходящее стало возможным? Понесет ли кто-то наказание за компрометацию данных?

ФСБ и раньше высказывала опасения, что создаваемый реестр населения позволит «рассекретить» действующих сотрудников службы, других правоохранительных ведомств, находящихся на оперативной работе. Оператор городского многофункционального центра, у которого имеется доступ к реестру, видит место работы любого гражданина. И даже если оставить пустой графу «место работы», то это вызовет подозрения, потому что ясно: если ты не в реестре, значит, тебе есть что скрывать.

Дополню эти соображения — пострадать могут не только те, кто работает в органах, но и те, кто собирается поступить туда на работу. Скажем, юноша, сдавший биометрию, а потом вдруг решивший связать свою судьбу со службой разведки, будет легко идентифицируем с помощью сервисов Единой биометрической системы или подобных ей. По этим причинам, видимо, пока нет ни одного действующего реестра населения.

Нынешний проект создания цифрового профиля гражданина, о котором нам сообщил замминистра цифрового развития, связи и массовых коммуникаций Максим Паршин на пресс-конференции весной, — не первый.

Напомню, еще в двухтысячных годах была предпринята попытка создания ГРН — Государственного реестра населения, тогда тоже Минкомсвязь действовала как заказчик, в числе исполнителей оказались МВД, Администрация президента, Федеральное агентство правительственной связи (ФАПСИ), Минкомтруд. Генподрядчиком был НИИ «Восход». Проект не «взлетел» — то ли проблемы межведомственного взаимодействия повлияли, то ли и тогда возникли опасения по части утечек.

В этом году в стране запущены сразу два проекта создания реестров населения. Кроме проекта от Минкосвязи (законодательную базу которого представляет законопроекте № 149-ФЗ), альтернативный пилотный проект запустил ЦБ. Он более объемный, в нем 57 параметров, в нем участвуют 20 банков и четыре страховых компании, цель проекта тоже понятна: например, с его помощью банки станут минимизировать риски невозврата кредитов.

Что, возможно, произойдет на самом деле? Стабильность банковской системы от создания данного проекта увеличится и просрочек действительно станет меньше. Однако всем категориям «неимущих» (которых достаточно много в нашей стране) будут поставлены заградительные проценты для получения кредитов, и социальная напряженность в обществе может возрасти.

Что касается проекта Минкомсвязи, то он выглядит продуманным и аккуратным, содержит много атрибутов новой цифровой экономики. Например, предполагается, что согласие на обработку персональных данных гражданин будет давать, не проставляя «галочку в квадратике» (как сейчас), а средствами электронной подписи. Но вот защитит ли наши персональные данные в большей степени эта электронная подпись? Скорее она только снимет ответственность со сборщика данных. Правильнее было бы, чтобы гражданин, подписывая согласие, ставил не галочку или электронную подпись, а скреплял с ее помощью конкретный контракт на обработку ПДн, который закрывал бы все острые вопросы. Например, кто именно и как будет обрабатывать эти ПДн, как он будет их хранить, как будет удалять в случае необходимости, какое наказание понесет, если допустит утечку? Ничего этого в законопроекте 149-ФЗ нет. Сам контракт, конечно, гражданин подписывал бы средствами электронной подписи, тут возражений нет.

Конечно, надо говорить и об острой проблеме «корпоратизации» данных. Потому что много компаний, которые данные собирают, работая в том числе по заказам государственных структур. Что-то они передают, что-то остается у них в виде копий, и постепенно в частных руках скапливается огромные массивы данных. Данных обо всем том, что происходит в городе, стране, включая наши личные ПДн. Как эти частные сборщики будут использовать ПДн, тоже большой вопрос, и это вопрос не только к нашим компаниям — проблема «корпоратизации» существует во всем мире. Ясно одно: что компания, собрав данные, будет использовать их в целях оптимизации собственной прибыли и с этой активностью тоже нужно разбираться, пока этого нигде нет.

Правильнее было бы, чтобы гражданин, подписывая согласие, ставил не галочку или электронную подпись, а скреплял с ее помощью конкретный контракт на обработку ПДн, который закрывал бы все острые вопросы

Пользуясь случаем, хотел бы предложить и по-другому защищать наши ПДн, упростить защиту, разделив ПДн на две большие группы. Первая группа — это данные, которые нужно защищать, вторая — данные, которые защищать не нужно. Защищать не нужно ФИО, адрес регистрации, ИНН, СНИЛС — все эти данные и так известны злоумышленнику. Зачем тратить средства на их дополнительную защиту? А вот, допустим, более чувствительную информацию — биометрику, медицину и, конечно, движение финансовых средств, безусловно, надо очень серьезно защищать. Я напомню читателям, что в Москве раньше существовали киоски Мосгорсправки, в которых можно было легко узнать место прописки и другую информацию о жителе Москвы, никаких возражений эта процедура не вызывала. Зато люди могли четко знать, кто живет рядом с ними по соседству, на какие доходы, платит ли он налоги. Сегодня мы этого не знаем, а эти знания привнесли бы дополнительную стабильность и правопорядок в общество.

Защищать финансовую информацию нужно обязательно: здесь резервов и направлений активности очень много. Например, есть Закон № 152-ФЗ «О персональных данных», в соответствии с которым можно наказать нерадивого оператора, допустившего нарушения и утечку. Общая сумма штрафов по Закону составляет максимум 75 тыс. рублей. Это примерно 1 тыс. евро по официальному курсу ЦБ. По нормам аналогичного закона (GDPR) в Евросоюзе только за факт сокрытия утечки штраф составит 10 млн евро или 4% годового оборота компании — в зависимости от того, какая цифра окажется больше. Сопоставьте: одна тыс. евро (действующее наказание в РФ) и 10 млн. евро в ЕС. Не слышал, чтобы даже эти мизерные по мировым меркам штрафы кто-то заплатил за нынешние «горячие утечки осени».

Уверен, нашим депутатам надо и об этих штрафах задуматься, обсуждая новый законопроект № 149-ФЗ «О цифровом профиле». Если есть серьезное преступление, должно быть и соответствующее наказание. Почему бы, кстати, не прописать в Законе и компенсации пострадавшим субъектам ПД за счет виновной стороны? Эту новацию с благодарностью восприняли бы все пострадавшие от хищений. И, конечно, надо принять во внимание соображения Федеральной службы безопасности, которая зря высказывать свою озабоченность не будет.




Присоединяйся к нам в телеграмм