Передача наказуема

Насколько выполнимы законопроекты по упорядочиванию оборота данных из ГИС?

Минкомсвязь предлагает запретить создание общедоступных источников персональных данных, содержащих сведения из государственных информационных систем (ГИС), и ввести штрафы за утечку информации. Соответствующий пакет законопроектов вынесен на общественное обсуждение. Эксперты говорят об избыточном регулировании и предупреждают, что планируемые к принятию требования невыполнимы.

Нельзя, а то…

Министерство цифрового развития, связи и массовых коммуникаций РФ разместило на портале нормативных правовых актов regulation.gov.ru два законопроекта, направленных на ужесточение контроля в сфере персональных данных (ПД).

Первый документ предлагает закрепить в законе «О персональных данных» запрет для частных лиц и компаний на создание общедоступных баз с ПД, собранными из государственных и муниципальных информационных систем (ГИС).

Кроме того, указывается, что

оператор, получивший ПД и поручивший их обработку своим подрядчикам, должен будет контролировать и отвечать за нее

«Порядок осуществления оператором контроля за действиями лица, осуществляющего обработку персональных данных по его поручению, устанавливается оператором самостоятельно», – гласит проект закона.

Согласно документу, состав ПД, размещенных в ГИС, не должен быть избыточным по отношению к заявленным целям их обработки.

Также устанавливается, что хранение ПД в ГИС следует осуществлять по месту возникновения таких данных.

Второй законопроект – поправки в Кодекс об административных правонарушениях – предполагает, что создание общедоступных источников ПД, содержащих сведения из ГИС, влечет предупреждение или штраф: 1–2 тыс. руб. (физлицо), 3–6 тыс. руб. (должностное лицо), 5–10 тыс. руб. (ИП) и 10–30 тыс. руб. (юрлицо).

Штрафы также грозят лицу, осуществляющему обработку персональных данных по поручению, за нарушение требований законодательства РФ в этой сфере и оператору ПД – за невыполнение «надлежащего контроля» за действиями такого подрядчика.

Нечеткая грань

Сегодня можно относительно легко и недорого приобрести базы данных ГИБДД, ФНС, других ведомств (пусть и не всегда самых последних лет), говорит партнер коллегии адвокатов «Ковалев, Тугуши и Партнеры» Сергей Патракеев. При этом ответственность за разглашение ПД лежит на операторе, то есть на том, кто допустил утечку, – соответственно, по словам эксперта, найти виновного нереалистично.

Этим объясняется предложение распространить ответственность за разглашение конфиденциальной информации еще и на «продавца», то есть на того, кто получает выгоду от использования данных из ГИС, считает С. Патракеев.

Кроме того, персональные данные находятся под особой защитой законодательства, любое действие с ними возможно лишь с выраженного согласия субъекта ПД и при условии соблюдения конфиденциальности. Эксперт добавляет, что с этой точки зрения вполне оправданным представляется желание сделать циркуляцию персональных данных из ГИС максимально контролируемой.

С другой стороны, предложенная законопроектом формулировка нормы запрета («Не допускается создание общедоступных источников персональных данных, содержащих сведения из государственных и муниципальных информационных систем персональных данных, неуполномоченными лицами либо в случаях, не установленных федеральными законами») может быть истолкована непредсказуемо широко, подчеркнул С. Патракеев.

Он пояснил, что

в текущей правоприменительной практике придание любой информационной системе статуса ГИС происходит по усмотрению ее создателя

Кроме того, грань между «уполномоченным» и «неуполномоченным» лицом очень легко стирается (к примеру, отозвали доверенность, признали незаключенным договор).

«С учетом этих реалий, конечно же, введение нового запрета требует конкретизации формулировок – чтобы в результате каждый хозяйствующий субъект имел возможность разумно предвидеть, в какой ситуации такой запрет будет применяться, а в какой – нет», – резюмировал С. Патракеев.

Регионы против

О необходимости доработки текущей редакции законопроектов заявили и в Департаменте информационных технологий Москвы (ДИТ).

«Например, неясно, что имеется в виду под формулировкой «надлежащий контроль», порядок которого установлен самим оператором. В совокупности с нормами об ответственности есть вероятность, что данное положение либо не будет работать, либо может стать основанием для возможных злоупотреблений как со стороны операторов, так и со стороны контролирующих лиц», – отметили на запрос RSpectr в пресс-службе ДИТ.

Также эксперты правительства Москвы обратили внимание на то, что в законопроекте предлагается установить запрет на создание общедоступных источников персональных данных неуполномоченными лицами. При этом, согласно действующему законодательству, ПД сами по себе не могут быть общедоступными без соблюдения жестко установленных условий.

«Поэтому неясен смысл введения запрета на то, что и так уже запрещено. Аналогичным образом обстоит дело и с понятием «неуполномоченные лица» – данное определение представляется слишком размытым. Использование подобных формулировок в законодательстве всегда влечет за собой риски последующих злоупотреблений», – добавили в ДИТ.

Эксперты правительства Москвы также обратили внимание на то, что

в документе есть нормы, ущемляющие интересы регионов

Например, в нем утверждается, что особенности учета ПД в ГИС должны быть установлены федеральными законами. «Однако, на наш взгляд, здесь не учтен тот факт, что соответствующие системы создаются не только на общероссийском уровне. Неясно, каким образом предполагается в федеральных законах учитывать все указанные особенности учета ПД в региональных и муниципальных системах. Соответствующее положение при его принятии может значительно ограничить возможности развития регионов», – выразили обеспокоенность в ДИТ.

Избыточное регулирование

Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников уверен, что появление новых запретов обусловлено неспособностью госорганов справляться со своими обязанностями по защите данных.

«Из ГИС систематически происходят утечки ПД, на основе которых создаются различные ресурсы в сети Интернет, в том числе содержащие платный контент. Государство вместо того, чтобы принять меры по защите данных в госорганах, вводит ответственность за их использование. Поскольку никакие оговорки в законопроекте не делаются, он коснется и общедоступных источников, запрет на использование сведений из которых противоречит как букве, так и духу закона «О персональных данных», а также понятию открытых данных в законе «Об информации, информационных технологиях и о защите информации»», – говорит М. Емельянников.

Одновременно эксперт предупреждает, что

требования о контроле оператором соблюдения закона обработчиком не только избыточны, но и не выполнимы

По его словам, организация такого контроля ляжет тяжким бременем на оператора любого масштаба, от микро- до самых крупных компаний. В сегменте среднего и малого бизнеса такой контроль осуществлять просто некому, там нет нужных специалистов, а в крупном бизнесе потребуется создание новых больших структурных подразделений, поскольку число обработчиков у этих компаний исчисляется иногда тысячами.

Невыполним контроль и для крупных обработчиков, уверен М. Емельянников.

«Представьте, сколько «контролеров» придет в большой дата-центр, в котором клиенты размещают свои информационные системы персональных данных», – говорит он.

Отношения оператора и обработчика регулируются частью 3 статьи 6 закона «О персональных данных», напоминает М. Емельянников. «Данные нормы в совокупности представляются вполне достаточными для реализации требований законодательства о ПД и не требуют дополнительного административного вмешательства в виде установления обязанности контролировать деятельность обработчика», – подчеркнул эксперт.

Много или мало?

Ведущий аналитик компании «СёрчИнформ» Алексей Парфентьев концепцию законопроекта поддерживает. «Качественную защиту информации можно обеспечить только за счет ее централизации, поэтому запрет на создание общедоступных баз ПД из ГИС выглядит логичным и правильным», – отмечает он.

Однако, по его словам, размеры предполагаемых штрафов «просто смешные». «Штраф даже в 10–30 тыс. рублей никак не способствует решению проблемы. Для физических или должностных лиц суммы и вовсе мизерные, ни две, ни шесть тысяч рублей – не те суммы, которые могли бы остановить подобный бизнес. Базы не делаются «для себя». Цель их создания – получение прибыли, и доходы в разы больше штрафов».

*  *  *

С одной стороны, предложенные нормы представляются обоснованными, так как стимулируют операторов ПД отвечать за действия подрядчиков, чтобы те не нарушали законодательство. С другой – по мнению экспертов, вряд ли меры сработают: требования трудны для исполнения, штрафы незначительны.

Общественное обсуждение инициатив продлится до 12 декабря.

 Изображение: Lori.ru, freepik.com