Законодательство и бизнес-реалии

- Михаил Валерьевич, расскажите, пожалуйста, какие проекты в области ИБ реализованы в рамках деятельности Национальной Ассоциации Дистанционной Торговли?
- Я бы сказал, что они не реализованы, а находятся на стадии реализации. Во-первых, мы продолжаем работу по нашему отраслевому стандарту безопасной обработки персональных данных. Правда, мы сразу столкнулись с проблемами законодательства. Дело в том, что на сегодняшний день стандарты предполагают дополнительные требования к операторам, но закон предписывает завышенные нормы. Ставить препоны на пути бизнеса никак не входит в задачу нашей ассоциации, поэтому мы приостановили эту работу и сейчас уделяем большое внимание изменению законодательства, точнее внедрению в российское законодательство европейской практики.

- В закон о защите персональных данных каждый год вносятся изменения. Какие меры, на ваш взгляд, могут повысить уровень безопасности ПДн?
- Когда мы говорим о безопасности ПДн, нужно четко понимать, что и зачем мы защищаем. Защищать все ПДн нет никакого смысла. Необходимо обеспечить защиту только тех ПДн, разглашение которых может нанести вред частной жизни человека (субъекта ПДн). Нелепо, на мой взгляд, защищать ФИО, адрес, место, дату рождения и т.п. и уделять этому такое серьезное и пристальное внимание. Но это не означает, что обрабатывать их можно бесконтрольно. Здесь правильнее будет использовать два принципа обработки ПДн, именуемых в европейском законодательстве opt-in и opt-out. В Европе обработка ПДн осуществляется только с согласия клиента. Как и в России, но с той лишь разницей, что основные данные, позволяющие идентифицировать человека, но никак его не характеризующие (фамилия, имя, отчество, дата рождения, контакты) у нас обрабатываются при условии отсутствия возражения, а другие (в нашем законодательстве - специальные и биометрические) - только после подтверждения согласия. Состояние здоровья, банковский счет, вероисповедание - это чувствительная информация, несанкционированная обработка и распространение которой могут нанести существенный вред частной жизни гражданина. Благодаря основному европейскому принципу обработки ПДн во всем мире легально работают справочные бюро, выпускаются телефонные справочники и т.д. - то, чего нет сейчас у нас в России. Раньше можно было получить контактные данные человека, просто обратившись в "Мосгорсправку" (если речь идет о Москве) или в любую городскую справочную службу. Теперь же процедура сильно усложнилась, так как получить со всей 12-миллионной Москвы согласие на обработку ПДн весьма проблематично. А во всем мире это открытая информация.

В 2005-2006 гг., когда наша ассоциация помогала комитету Государственной думы прорабатывать вопросы этого закона, мы обратились к европейской практике: в Финляндии, например, невозможно закрыть свои основные ПДн, это будет означать, что гражданин скрывается от налогов или от полиции.

Закон и право - это две разные вещи. Закон только тогда становится правом, когда он отвечает обычаям и традициям того народа, в котором принят. А ведь русские всегда были открыты и коммуникабельны.

Примечательно, что даже после принятия закона о ПДн люди все равно с удовольствием обмениваются своими контактными данными. Наглядный пример - развитие соцсетей. В итоге получается, что закон живет сам по себе, а общество - совершенно по другим законам. Необходимо это гармонизировать. Невозможно заставить общество изменить свои привычки и традиции, поэтому необходимо менять закон, чтобы он отвечал социальным запросам.

- Но ведь не все готовы сообщать свои данные. Некоторые закрывают какую-то информацию, например возраст. Многие люди не готовы сделать все общедоступным.
- Мы как раз и говорим о принципе opt-in/opt-out: при отсутствии возражений человека разрешается обработка его основных ПДн. В качестве примера все те же соцсети: кто-то оставляет страницу открытой, кто-то ограничивает круг доверенных лиц. Это как раз тот самый пресловутый принцип opt-out.

- Многих не устраивает так называемый спам, который приходит, если страница открыта или когда где-то регистрируешься. Как быть с этим?
- Слово "спам" в России приобрело слишком широкое значение. Даже если называть спамом все электронные рассылки, их инициатором чаще всего выступают не соцсети, а различные сайты, которые в большинстве случаев предупреждают пользователя о том, что после регистрации он будет получать рассылку от компании и партнеров - это своеобразная плата за предоставленный сервис. Я считаю, если гражданин не согласен с предложенными условиями, он должен искать более привлекательную площадку. Кстати, электронные почтовые сервисы неплохо борются с нежелательной информацией, порой даже слишком - в своей почте я часто вытаскиваю из папки "спам" важные письма. Опять же хочется напомнить, что у гражданина всегда есть возможность запретить компании, продвигающей свои услуги таким образом, использовать его адрес и другие персональные данные. Подавляющее большинство компаний выполняют требования пользователей, а в противном случае гражданин имеет право обратиться в контрольно-надзорный орган - Роскомнадзор. Достаточно написать в компанию, чтобы отказаться от ее рассылок! Если же несанкционированная рассылка не прекращается, в силу вступает закон "О защите персональных данных" и административно-правовой кодекс, а контролировать ситуацию должны органы, ответственные за соблюдение законодательства.

Мы поддерживаем инициативы Роскомнадзора об ужесточении наказания за неисполнение и нарушение данного закона. Очень важно, чтобы ответственность, предусмотренная за нарушение законодательства в области ПДн, наступала не за факт нарушения закона, а за его последствия с учетом степени ущерба и возмещением не в пользу (или не только) государства, а в пользу пострадавшего гражданина. Такой подход более продуктивен, чем существующий.

- Михаил Валерьевич, вы упомянули принцип opt-in/opt-out. Расскажите об этом подробнее.
- В нашем законе используется только один принцип - opt-in, то есть необходимость согласия гражданина на обработку его ПДн. Причем никто до сих пор не понимает до конца, что же такое согласие. В суде будут больше обращать внимание на письменное, и причины этого понятны. Но есть случаи, когда его очень проблематично получить. К примеру, когда вам в магазине предлагают дисконтную карту, как-то нелепо просить ваш паспорт. С интернет-магазинами примерно то же самое - сложно доказать само согласие, поставив на сайте "галочку". Сегодня в большинстве случаев компании это делают принудительно: если вы уберете галочку, никакого заказа не будет. Внятных официальных разъяснений закона нет. Из-за того что у нас применяется только принцип opt-in, искажается действительность: общество живет по своим законам, а исполнительная власть пытается применить законы, которые не отвечают социальным запросам. Необходимо в первую очередь говорить о согласии закона и общества.

- Какую роль может сыграть бизнес в разработке необходимых документов?
- Я думаю, прямую и непосредственную. Представители бизнеса, бизнес-сообщества, ассоциации, союзы и т.д. - они, как никто другой, знают проблему и варианты ее решения. Возможно, это звучит слишком оптимистично, но я не знаю таких ассоциаций, чьи предложения не отвечали бы интересам бизнеса и противоречили интересам потребителей. Любые предложения идут согласованно, с сохранением некоего баланса. Мы прекрасно понимаем, что если предложения защищают только бизнес и не учитывают интересы другой стороны, то этот закон не работает, и со стороны потребителей неизбежно недовольство, что, в свою очередь, негативно отразится на бизнесе.

Исполнительной и законодательной власти необходимо собрать вместе все предложения и выработать компромиссные решения. На сегодняшний день мы нашли понимание со стороны Минкомсвязи в области изменения законодательства о ПДн. Им понравился принцип opt-in/opt-out, применяемый в европейском законодательстве. Сейчас мы совместно разрабатываем предложения по закону о ПДн, который в нынешней его редакции тормозит развитие бизнеса, привлечение инвестиций и т.д. Это понимает и Минпромторг, там тоже включились в работу, и мы надеемся, что в ближайшее время предложения по изменению законодательства будут сформулированы. Роль нашей ассоциации - объединить их усилия. В Минкомсвязи ничего не знали о действиях Минпромторга и в итоге начали решать проблемы отрасли без оглядки на другое министерство. Напомню, что Минпромторг все-таки отвечает не только за промышленность, но и за торговлю, а одна из проблем дистанционной торговли - это законодательное регулирование, в частности закон "О персональных данных".

- Как крупная организация, вы часто сталкиваетесь с такой проблемой, как BYOD?
- Начнем с того, что клиентские базы данных - это святая святых и всегда очень хорошо охраняются. Если база перетекает от одной компании к другой, компания теряет очень большие деньги, она таким образом инвестирует в своего конкурента. Конкуренция в дистанционной торговле достаточно серьезная, поэтому базы ПДн, как правило, изолированы от общих сетей. Также имеется четкое разграничение доступа к этой базе. Например, оператор не может видеть ее полностью, права каждого пользователя прописываются. Более того, служба безопасности сразу видит, когда идет перекачка баз. О таких случаях я неоднократно слышал от разных компаний, но службы информационной безопасности, как правило, стоят на страже: компьютер пользователя блокируется, а затем начинается выяснение того, что человек делает на рабочем месте. Но безусловно, говорить о том, что базы защищены на 100%, невозможно, потому что нельзя исключать человеческий фактор. Нередки случаи, когда IT-специалист, переходя с одной работы на другую, забирает базу с собой. Но, как правило, служба безопасности следит, чтобы этого не произошло. Здесь как раз необходимо применять другое законодательство - закон о государственной и коммерческой тайне. По сути дела, это кража интеллектуальной собственности, но никак не закон "О персональных данных".

- В свете вышесказанного, готовы ли вы передать IT на аутсорсинг?
- Несмотря на то что наша ассоциация проводит ежегодную конференцию "Аутсорсинг для интернет-магазинов" и пропагандирует развитие инфраструктуры, большинство крупных и серьезных компаний не готовы отдавать IT на внешнее управление. Конечно, можно предусмотреть в договорах все, что угодно: конфиденциальность, последствия, но это все равно большой риск, потому что база может перетечь от одной компании к другой. Хотя есть операции, которые не передавать на аутсорсинг нельзя. Например, компания получила заказы, сформировала посылки и списком передала на почту. Почта - это уже другое лицо. Да, у них есть договоренность о конфиденциальности, но мы не можем гарантировать, что кто-то из сотрудников почты не передаст эти списки другому заинтересованному лицу, например компании-конкуренту. Хотя во всем мире эта информация не является сверхсекретной.