Сенаторы и депутаты Госдумы выступили с инициативой, которая направлена на усиление защиты персональных данных граждан, а также блокировку их передачи за границу при необходимости. Соответствующий законопроект уже рассматривает парламент. Основным нововведением может стать введение обязанности операторов принимать меры по защите персональных данных, в то время как раньше они носили рекомендательный характер.
Кроме того, будут созданы инструменты, которые позволят при этом минимизировать риски нарушения прав граждан, и повысят эффективность всей системы защиты персональных данных. Законопроект призван наладить ситуацию в этом направлении, и в случае его принятия, требования к операторам персональных данных значительно изменятся и станут обязательными для каждого.
Законопроект уже одобрил экспертный совет «Единой России».
«Мы считаем, что принятие этого законопроекта серьезно усилит уровень защищенности персональных данных россиян, усилит защищенность конституционного права на неприкосновенность частной жизни и снизит возможности для различных злоупотреблений, преступлений и правонарушений. Дополнительных расходов федерального и иных бюджетов, разумеется, инициатива не повлечет», — отметил председатель комитета Госдумы по информации Александр Хинштейн, следует из информации на официальном сайте «Единой России». С тем, что существующие меры в должной степени не обеспечивают защиту персональных данных и частной жизни граждан, соглашаются многие эксперты.
Высокий спрос
Персональные данные всегда пользуются спросом, так как использовать их можно в самых разных целях, начиная маркетингом и заканчивая преступлениями: заполучив такие данные, злоумышленники могут воровать деньги со счетов, шантажировать, оформлять кредиты и многое другое. Персональные данные в чужих руках — настоящее оружие.
По статистике, число крупных утечек только увеличивается. Так, летом прошлого года на продажу на хакерском форуме выставили базу с 1,3 млн копий паспортов клиентов компании Oriflame. Тогда в компании предположили, что данные утекли в результате хакерской атаки. В феврале этого года в результате «недобросовестных действий одного из сотрудников» компании, в сеть несанкционированно попали данные пользователей сервиса «Яндекс.Еда» — в открытом доступе оказались номера телефонов, адреса, истории заказов клиентов из России, Белоруссии и Казахстана. Также недавно хакеры совершили атаку на Wildberries, но в этой ситуации факт, были ли затронуты чьи-то персональные данные, остается неизвестным. Причины таких утечек, как правило, одни и те же — ошибки или умышленные действия сотрудников, атаки хакеров и беспечность при хранении данных.
«Россия всегда показывала, что обладает такой [в отношении персональных данных] вальяжностью. Соответственно, в критической ситуации это проявляется», — отмечает IT и финтех-эксперт Сергей Вильянов, комментируя рост утечек персональных данных. Он обращает внимание на тот факт, что все данные хранятся в системах, которые создают и настраивают конкретные люди, и они далеко не всегда ответственны и адекватны.
Руководитель агентства Content Review Сергей Половников считает случай с «Яндекс.Едой» ярким примером, когда виновата безответственность при обращении с персональными данными, которая при этом не была толком наказана.
«Обычно зарубежные компании после подобных эксцессов очень долго не могут прийти в себя и им грозят в таких случаях штрафы на сотни миллионов долларов. А у нас «ну утекло и утекло, вот вам 10% скидка на следующий заказ», — замечает эксперт.
Подобное отношение к персональным данным именно у крупных российских IT-компаний носит системный характер, и с этим почти никто ничего не делает, говорит Половников.
«У нас персональные данные не стоят практически ничего. Их можно приобрести в каком угодно объеме, ими можно воспользоваться, например, благодаря развитым цифровым услугам банков. Достаточно взломать базу данных каршеринга, что не афишировалось никогда, но происходило неоднократно, чтобы получить фотографии пользователей с их паспортами, а этого зачастую достаточно для того же оформления кредита в какой-нибудь микрофинансовой организации», — рассказывает эксперт.
Набор инструментов
Все эти ситуации доказывают, что действующая в России система защиты персональных данных не очень эффективна. Поэтому новый законопроект включает в себя целый ряд инструментов, который поможет свести к минимуму риски, связанные с распространением персональных данных.
Во-первых, операторы должны будут в течение суток уведомлять об инцидентах с персональными данными ФСБ и Роскомнадзор, чтобы действия злоумышленников можно было пресекать уже на начальном этапе. Во-вторых, перечень информации, которую представляют в Роскомнадзор в качестве уведомления об обработке персональных данных, будет расширен и привязан к цели обработки, чтобы объективнее оценивать соответствие деятельности оператора уже на предварительном этапе подачи уведомления. В-третьих, операторы должны будут предоставлять в Роскомнадзор сведения о целях и составе обрабатываемых данных. Например, в какие страны они передаются, по каким договорам, потому что сейчас персональные данные россиян передаются за границу без учета того, что они могут попасть к злоумышленникам из недружественных стран. Это уже вопрос госбезопасности, поскольку утекшие данные могут включать в себя номера паспортов, сведения об авиаперелетах, недвижимости, принадлежности к Вооруженным силам или правоохранительным органам и прочие.
«Из личного дела и проблемы отдельно взятого гражданина они превратились в вопрос государственной важности и проблему национальной безопасности», — согласилась в беседе с «Известиями» зампред комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александра Савельева. В связи с этим авторы инициативы, в частности, предлагают в некоторых случаях блокировать передачу персональных данных россиян за рубеж.
Помимо прочего, один из наиболее важных моментов нового законопроекта состоит в том, что ему будет присвоен экстерриториальный статус, то есть подчиняться его параметрам будут обязаны и зарубежные компании, работа которых так или иначе связана с персональными данными российских граждан. Аналогичная практика применяется в США и ЕС — их государственные органы могут проверять то, как иностранные операторы обращаются с персональными данными их граждан.
В совокупности все аспекты закона, в случае его принятия, выведут контроль над защитой персональных данных на принципиально новый уровень. При этом сами операторы будут в большей степени заинтересованы в том, чтобы повысить качество работы с персональными данными россиян через инвестиции в обучение персонала, имеющего доступ к ним, и в соответствующее оборудование.
Сам законопроект уже поддержали эксперты в области защиты персональных данных. По мнению многих из них, новые меры и общая унификация подходов к выстраиванию системы защиты такой чувствительной информации исправят нынешнюю ситуацию в этой области. Так, Сергей Половинков отмечает, что сейчас зарубежные компании в рамках этого вопроса делают все, чтобы не доводить дело до суда и платят щедрые компенсации клиентам в случае каких-либо утечек или нарушений в отношении использования персональных данных. Новый механизм ответственности в России приведет отечественную практику к аналогичному отношению к таким проблемам и в нашей стране.
«Дух этого законопроекта я хорошо представляю, и действительно с персональными данными надо что-то делать», — резюмирует он.