Банковское обозрение

Финансовая сфера


05.12.2019 Аналитика
Преступление и так себе наказание

Общая сумма штрафов за нарушение закона о персональных данных может составить максимум 75 тыс. рублей. По нормам аналогичного закона в Евросоюзе только за факт сокрытия утечки полагается штраф 10 млн евро, или 4% годового оборота компании — в зависимости от того, какая цифра окажется больше


Много вопросов вызывают «горячие утечки осени», о которых сообщают сегодня СМИ. В списки «неаккуратных» операторов и владельцев данных попали крупнейшие банки, телекомы и даже социальная сеть Instagram, десятки миллионов аккаунтов которой оказались скомпрометированными.

В дополнение ко всему как гром среди ясного неба прозвучало заявление ФСБ о том, что при обработке данных в рамках создаваемой единой инфраструктуры утечка будет грозить всем россиянам, включая тех, кто подлежит госзащите. Почему все происходящее стало возможным? Понесет ли кто-то наказание за компрометацию данных?

ФСБ и раньше высказывала опасения, что создаваемый реестр населения позволит «рассекретить» действующих сотрудников службы, других правоохранительных ведомств, находящихся на оперативной работе. Оператор городского многофункционального центра, у которого имеется доступ к реестру, видит место работы любого гражданина. И даже если оставить пустой графу «место работы», то это вызовет подозрения, потому что ясно: если ты не в реестре, значит, тебе есть что скрывать.

Дополню эти соображения — пострадать могут не только те, кто работает в органах, но и те, кто собирается поступить туда на работу. Скажем, юноша, сдавший биометрию, а потом вдруг решивший связать свою судьбу со службой разведки, будет легко идентифицируем с помощью сервисов Единой биометрической системы или подобных ей. По этим причинам, видимо, пока нет ни одного действующего реестра населения.

Нынешний проект создания цифрового профиля гражданина, о котором нам сообщил замминистра цифрового развития, связи и массовых коммуникаций Максим Паршин на пресс-конференции весной, — не первый.

Напомню, еще в двухтысячных годах была предпринята попытка создания ГРН — Государственного реестра населения, тогда тоже Минкомсвязь действовала как заказчик, в числе исполнителей оказались МВД, Администрация президента, Федеральное агентство правительственной связи (ФАПСИ), Минкомтруд. Генподрядчиком был НИИ «Восход». Проект не «взлетел» — то ли проблемы межведомственного взаимодействия повлияли, то ли и тогда возникли опасения по части утечек.

В этом году в стране запущены сразу два проекта создания реестров населения. Кроме проекта от Минкосвязи (законодательную базу которого представляет законопроекте № 149-ФЗ), альтернативный пилотный проект запустил ЦБ. Он более объемный, в нем 57 параметров, в нем участвуют 20 банков и четыре страховых компании, цель проекта тоже понятна: например, с его помощью банки станут минимизировать риски невозврата кредитов.

Что, возможно, произойдет на самом деле? Стабильность банковской системы от создания данного проекта увеличится и просрочек действительно станет меньше. Однако всем категориям «неимущих» (которых достаточно много в нашей стране) будут поставлены заградительные проценты для получения кредитов, и социальная напряженность в обществе может возрасти.

Что касается проекта Минкомсвязи, то он выглядит продуманным и аккуратным, содержит много атрибутов новой цифровой экономики. Например, предполагается, что согласие на обработку персональных данных гражданин будет давать, не проставляя «галочку в квадратике» (как сейчас), а средствами электронной подписи. Но вот защитит ли наши персональные данные в большей степени эта электронная подпись? Скорее она только снимет ответственность со сборщика данных. Правильнее было бы, чтобы гражданин, подписывая согласие, ставил не галочку или электронную подпись, а скреплял с ее помощью конкретный контракт на обработку ПДн, который закрывал бы все острые вопросы. Например, кто именно и как будет обрабатывать эти ПДн, как он будет их хранить, как будет удалять в случае необходимости, какое наказание понесет, если допустит утечку? Ничего этого в законопроекте 149-ФЗ нет. Сам контракт, конечно, гражданин подписывал бы средствами электронной подписи, тут возражений нет.

Конечно, надо говорить и об острой проблеме «корпоратизации» данных. Потому что много компаний, которые данные собирают, работая в том числе по заказам государственных структур. Что-то они передают, что-то остается у них в виде копий, и постепенно в частных руках скапливается огромные массивы данных. Данных обо всем том, что происходит в городе, стране, включая наши личные ПДн. Как эти частные сборщики будут использовать ПДн, тоже большой вопрос, и это вопрос не только к нашим компаниям — проблема «корпоратизации» существует во всем мире. Ясно одно: что компания, собрав данные, будет использовать их в целях оптимизации собственной прибыли и с этой активностью тоже нужно разбираться, пока этого нигде нет.

Правильнее было бы, чтобы гражданин, подписывая согласие, ставил не галочку или электронную подпись, а скреплял с ее помощью конкретный контракт на обработку ПДн, который закрывал бы все острые вопросы

Пользуясь случаем, хотел бы предложить и по-другому защищать наши ПДн, упростить защиту, разделив ПДн на две большие группы. Первая группа — это данные, которые нужно защищать, вторая — данные, которые защищать не нужно. Защищать не нужно ФИО, адрес регистрации, ИНН, СНИЛС — все эти данные и так известны злоумышленнику. Зачем тратить средства на их дополнительную защиту? А вот, допустим, более чувствительную информацию — биометрику, медицину и, конечно, движение финансовых средств, безусловно, надо очень серьезно защищать. Я напомню читателям, что в Москве раньше существовали киоски Мосгорсправки, в которых можно было легко узнать место прописки и другую информацию о жителе Москвы, никаких возражений эта процедура не вызывала. Зато люди могли четко знать, кто живет рядом с ними по соседству, на какие доходы, платит ли он налоги. Сегодня мы этого не знаем, а эти знания привнесли бы дополнительную стабильность и правопорядок в общество.

Защищать финансовую информацию нужно обязательно: здесь резервов и направлений активности очень много. Например, есть Закон № 152-ФЗ «О персональных данных», в соответствии с которым можно наказать нерадивого оператора, допустившего нарушения и утечку. Общая сумма штрафов по Закону составляет максимум 75 тыс. рублей. Это примерно 1 тыс. евро по официальному курсу ЦБ. По нормам аналогичного закона (GDPR) в Евросоюзе только за факт сокрытия утечки штраф составит 10 млн евро или 4% годового оборота компании — в зависимости от того, какая цифра окажется больше. Сопоставьте: одна тыс. евро (действующее наказание в РФ) и 10 млн. евро в ЕС. Не слышал, чтобы даже эти мизерные по мировым меркам штрафы кто-то заплатил за нынешние «горячие утечки осени».

Уверен, нашим депутатам надо и об этих штрафах задуматься, обсуждая новый законопроект № 149-ФЗ «О цифровом профиле». Если есть серьезное преступление, должно быть и соответствующее наказание. Почему бы, кстати, не прописать в Законе и компенсации пострадавшим субъектам ПД за счет виновной стороны? Эту новацию с благодарностью восприняли бы все пострадавшие от хищений. И, конечно, надо принять во внимание соображения Федеральной службы безопасности, которая зря высказывать свою озабоченность не будет.