В феврале 2009 года Президент России Д.А. Медведев заявил на заседании Совета по развитию информационного общества в России: «Мы должны в ближайшие два года создать и информационные, и институциональные предпосылки для интеграции в глобальное информационное общество».
С учетом этой линии и стали развиваться порталы органов государственной власти и местного самоуправления, в том числе судов всех уровней. В госорганах продолжает внедряться система электронного документооборота. Заработал портал gosuslugi.ru, посредством которого многие юридические действия стало возможно совершать не только без очереди, но и не вставая с дивана.
Так, с недавнего времени через Интернет можно отправить заявление о выдаче паспорта, заявление о регистрации по месту жительства и даже исковое заявление в арбитражный суд.
Казалось бы, что может быть лучше. Россиянам хорошо, чиновники отчитались о выполнении планов. Но недавно оказалось, что есть и другая сторона медали.
Оборотная сторона. Хроника событий
В начале прошлой недели в сети Интернет появилась информация о том, что пермские хакеры взломали сайт крупнейшего оператора связи, в результате чего произошла утечка SMS-сообщений, отправленных через сайт. Позже выяснилось, что «Яндекс» проиндексировал и SMS-сообщения, отправленные через пермский сайт prm.ru.
На этой неделе пользователей Интернета взбудоражило сообщение о том, что «Яндекс» рассекретил данные о клиентах интернет-магазинов, в том числе паспортные данные лиц, заказывавших железнодорожные билеты по сети. Как сообщают «Ведомости», представитель компании «Информзащита» разослал журналистам письмо со ссылками на результаты поиска «Яндекса». Аналогичные данные были обнаружены и на других поисковиках – Google, Bing, Mail.ru и др.
Специалисты Роскомнадзора на сайте службы выложили сообщение о том, что выявлено более 80 интернет-магазинов, информация которых, касающаяся персональных данных покупателей, попала в открытый доступ. После установления владельцев сайтов материалы по фактам нарушений требований конфиденциальности персональных данных будут направлены в органы прокуратуры для принятия мер прокурорского реагирования.
26 июля служба направила письмо президенту Национальной ассоциации дистанционной торговли Александру Иванову с приглашением в Роскомнадзор с целью обсуждения сложившейся ситуации и выработки мер по недопущению нарушений требований конфиденциальности персональных данных.
27 июля появилась еще более шокирующая информация. По данным сайта supreme2.ru, поисковик Google проиндексировал конфиденциальные документы, размещенные на официальном сайте органов государственной власти России. Так, при определенном запросе удавалось получить более сотни документов, датированных с 2002 по 2011 годы, под грифом «для служебного пользования» и даже «секретно». Среди них документы Федеральной антимонопольной и миграционной служб, Счетной палаты РФ, Минэкономразвития, Главного управления специальных программ Президента России, Высшей аттестационной комиссии, портала Госзакупок, а также документы ряда региональных отделений органов государственной власти.
Правда, Счетная палата и ФАС официально опровергли эту информацию, сообщив, что документы под гифом «секретно» на сайте не публиковались и не публикуются.
Кто виноват и что делать?
Утечками конфиденциальной информации сразу заинтересовалась Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Одно из ее управлений – Управление по защите прав субъектов персональных данных – является в настоящее время уполномоченным органом по защите прав субъектов персональных данных. Кроме того, меры прокурорского реагирования по фактам утечки конфиденциальной информации планирует принять прокуратура Москвы.
Представитель Роскомнадзора РФ Михаил Воробьев, комментируя «Ведомостям» сложившуюся ситуацию, пояснил, что невозможно привлечь поисковые системы за нарушение закона «О персональных данных»: сами они не размещают персональные данные, а лишь индексируют страницы с персональными данными. Однако Роскомнадзор попросил сайты поисковиков рассмотреть техническую возможность блокировать запрос, который позволяет получить доступ к персональным данным.
Представители же поисковиков заявили, что блокировать содержимое может лишь владелец сайта – через файл robots.txt. Тогда содержимое сайта будет недоступно поисковой системе. Ссылки на незаконное содержимое могут быть удалены при поступлении информации от граждан и организаций о фактах несанкционированного размещения страниц с персональными данными.
Получается, что поисковик, индексирующий те или иные данные, не несет за это никакой ответственности. Обеспечивать информационную безопасность должны сайты, на которых размещены персональные данные.
Заместитель руководителя Управления Роскомнадзора по Пермскому краю Николай Юрьевич Скопин указал, что пока прецедентов привлечения к ответственности за нарушение законодательства о персональных данных в сети Интернет не было. Кто виноват в сложившейся ситуации – пока непонятно, это покажет проверка.
А как по закону?
Напомню, что персональными данными считается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (статья 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Статья 3 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», принятого взамен утратившего силу Федерального закона от 20 февраля 1995 года № 24-ФЗ «Об информации, информатизации и защите информации», определяя принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации, исходит, прежде всего, из свободы поиска, получения, передачи, производства и распространения информации. При этом предусматривается, что доступ к информации может быть ограничен только федеральными законами. Дублируется также и конституционная норма (часть 2 статьи 24 Конституции РФ) о том, что сбор, хранение, использование и распространение информации о частной жизни лица не допускается без его согласия.
В соответствии с Федеральным законом № 149-ФЗ обладатель информации, по общему правилу, вправе разрешать или ограничивать доступ к информации, использовать информацию, в том числе распространять ее, по своему усмотрению. Однако при этом он должен соблюдать права третьих лиц. В любом случае обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами (часть 2 статьи 9 Федерального закона № 149-ФЗ). Федеральный закон № 152-ФЗ (статья 7) также обязывает всех лиц, работающих с персональными данными, обеспечивать их конфиденциальность, за исключением случаев их обезличивания и работы с общедоступными персональными данными.
Статьей 19 Федерального закона № 152-ФЗ установлена обязанность оператора принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
В силу части 1 статьи 12 Федерального закона № 149-ФЗ государственное регулирование отношений в сфере информационных технологий предусматривает создание условий для эффективного использования в Российской Федерации информационно-телекоммуникационных сетей, в том числе сети Интернет и иных подобных информационно-телекоммуникационных сетей.
Часть 5 статьи 15 указанного закона устанавливает, что передача информации посредством использования информационно-телекоммуникационных сетей осуществляется без ограничений при условии соблюдения установленных федеральными законами требований к распространению информации и охране объектов интеллектуальной собственности. Передача информации может быть ограничена только в порядке и на условиях, которые установлены федеральными законами.
Согласно ст. 21 Федерального закона № 152-ФЗ в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
В дополнение к федеральному законодательству существует целый ряд руководящих документов, регулирующих порядок обеспечения информационной безопасности. Постановлением Правительства РФ от 17.11.2007 № 781утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. Гостехкомиссией приняты ГОСТы 34.003-90, ГОСТ 34.601-90, РД 50-680-88, РД 50-34.680-90, касающиеся, в частности, вопросов оценки безопасности информационных систем, защиты их от несанкционированного доступа и других.
Статьей 13.11 Кодекса об административных правонарушениях РФ установлена ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Органом, уполномоченным привлекать виновных лиц к административной ответственности, является уже упоминавшийся Роскомнадзор.
Однако установить в законе мало. Надо еще обеспечить практическую реализацию положений закона. С учетом жизненных реалий, которые показывают, что хакеры зачастую оказываются умнее системных администраторов.
Человеческий фактор
На механико-математическом факультете Пермского государственного классического университета готовят выпускников по специальности «Компьютерная безопасность». Как утверждается на сайте университета, данная специальность является одной из наиболее востребованных на предприятиях, в учреждениях и организациях Пермского края. Запросы на подготовку специалистов в области компьютерной безопасности поступили в ПГУ от администрации Пермского края, Регионального управления ФСБ по Пермскому краю, Главного управления внутренних дел Пермского края, Центра правительственной связи в Пермском крае, а также от предприятий края. Аналогичных специалистов готовят и в Пермском государственном техническом университете.
Вместе с тем, как пояснили на кафедре информационных систем и математических методов в экономике ПГУ, на сегодняшний день не существует моделей систем безопасности, в которой один человек или группа людей не могли бы получить доступ к персональным данным или прочей конфиденциальной информации. Как правило, это администраторы систем.
С ними заключаются особые договоры, в которые обязательно включаются условия о конфиденциальности. Но есть одно «НО»: зарплата этих людей обычно несопоставима с ценностью данных, конфиденциальность которых они обеспечивают. Проверить, было ли с его стороны несанкционированное копирование, практически невозможно. В связи с этим возникает вопрос о моральной ответственности системного администратора.
Как видно, ни одна машина еще не может бесперебойно работать без участия человеческого фактора. Хочется надеяться, что за несанкционированный доступ к персональным данным хотя бы будет установлена жесткая ответственность с соблюдением принципа ее неотвратимости. Тем более что в связи с происшедшим Государственная Дума уже запланировала ужесточение ответственности за несанкционированные действия с персональными данными.
Вместе с тем, по меткому замечанию Николая Юрьевича Скопина, каждый – творец своей судьбы. Если нет такой необходимости – не нужно предоставлять свои персональные данные всем подряд. Так, если в магазине вам дают дисконтную карту и просят при этом заполнить анкету, никто не запретит вам вместо своей реальной фамилии указать, что вы – Иванов Иван Иванович.
Поэтому спасение утопающих, даже в нашем технократическом мире, по сей день и, скорее всего, еще долго будет оставаться делом рук самих утопающих.
Материал подготовлен с использованием справочно-правовой системы «КонсультантПлюс»
Анастасия Пьянкова, лауреат Премии клуба юристов 2009 года в номинации «Дебют»
ИСТОЧНИК// Первый пермский правовой портал
04.08.2011 08:00
