Контакты
Подписка
МЕНЮ
Контакты
Подписка

ФЗ "О персональных данных": новые вопросы

ФЗ "О персональных данных": новые вопросы

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

ФЗ "О персональных данных": новые вопросы

Сергей Нагорный, независимый эксперт
Вадим Донцов, к.т.н., см.с, независимый эксперт

Нормы действующего законодательства

В соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", в зависимости от порядка ее предоста­вления или распространения информация подразделяется на следующие категории:

  • свободно распространяемая информация;
  • информация, предоставляемая по соглашению лиц, уча­ствующих в соответствующих отношениях;
  • информация, которая в соответствии с федеральными зако­нами подлежит предоставлению или распространению;
  • информация, распространение которой в Российской Феде­рации ограничивается или запрещается.

При этом правовое регулирование отношений, возника­ющих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

  • установление ограничений доступа к информации только федеральными законами;
  • обеспечение безопасности РФ при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
  • достоверность информации и своевременность ее предоставления;
  • неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия.

В соответствии с ФЗ-152, персональные данные - "это любая информация, относящаяся к определенному или опреде­ляемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образова­ние, профессия, доходы, другая информация".

Согласно ст. 9 "Ограничение доступа к информации" ФЗ-149:

  • ограничение доступа к информации устанавливается феде­ральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности госу­дарства;
  • обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными за­конами;
  • федеральными законами устанавливаются условия отнесе­ния информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблю­дения конфиденциальности такой информации, а также ответ­ственность за ее разглашение;
  • информация, полученная гражданами (физическими лица­ми) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложе­ны обязанности по соблюдению конфиденциальности такой информации;
  • информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с фе­деральными законами и (или) по решению суда;
  • срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе;
  • запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации,  составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено феде­ральными законами;
  • порядок доступа к персональным данным граждан (физических лиц) устанавливается Федеральным зако­ном о персональных данных.

Рассмотрим в качестве примера отдельные виды тайн, установленные федеральным законодатель­ством РФ (см. таблицу).

Неразрешенные вопросы

Учитывая вышесказанное, возникают следующие не­разрешенные аспекты применения норм, изложенных в ФЗ "О персональных данных":

Противоречия в определениях

Принимая во внимание разделение информации на 4 категории в зависимости от порядка ее предоставления или распространения, представленное выше, необходи­мо определить место информации, классифицируемой как "персональные данные". В противном случае возни­кнет противоречие с "охватываемыми" определением "персональные данные" понятиями медицинской тайны, тайны усыновления и т.п. Кроме того, адвокатская тайна, тайна банковского вклада, страховая тайна в принципе немыслимы без персональных данных, что подтвержда­ется практикой Министерства информационных техноло­гий и связи РФ, как контролирующего органа. А как быть с определением "коммерческая тайна" в части финанси­рования услуг сотовой связи физическими лицами или оплаты штрафов, а также открытости решений судов по гражданским делам?

Конечно, можно сослаться на норму закона, определяющую случаи, когда согласие субъекта ПД на обработку персональных данных не требуется:

  • "обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия операто­ра" (возможна ли обработка ПД без цели и определения круга лиц и оператором без полномочий?);
  • "обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных" (не путать со случаем раскрытия ПД банком недобросовестного заемщика);
  • "обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных" (при выполнении условия обезличивания нет "персональных данных", так как по определению это "информа­ция, относящаяся к определенному или определяемому на основании такой информации физическому лицу");
  • "обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно" (какими нормами федерального законодательства уста­новлены критерии невозможности получения "согласия субъекта персональных данных", если "в случае недее­способности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных"?);
  • "обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи";
  • "обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятель­ности при условии, что при этом не нарушаются права и свободы субъекта персональных данных (в соответствии со ст. 24 Конституции РФ, "сбор, хранение, использование и рас­пространение информации о частной жизни лица без его со­гласия не допускаются").

Противоречия очевидны...

Классификация персональных данных

Федеральным законом "Об информации, информацион-ных технологиях и о защите информации" установлено, что "требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты инфор-мации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям".

Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" установил следующую иерархию требований по защите в зависимости от ценности (конфиденциальности) информации:

"Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.

Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А".

Таким образом, требуется уточнение следующих моментов:

  1. К какой группе требований по защите информации относится класс "персональные данные": государственная тайна, конфиденциальная информация, открытая информация? (В соответствии со ст. 9 ФЗ "Об информации, информационных технологиях и о защите информации", "федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение").
  2. Если предложенная выше классификация удовлетворяет ФЗ "О персональных данных", то можно ли использовать "иерархию требований по защите в зависимости от ценности (конфиденциальности) информации", предложенную в РД "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации"? Если нет, то в чем отличие требований, изложенных в приказе ФСТЭК, ФСБ РФ и Министерства информационных тех-нологий и связи РФ "Об утверждении Порядка проведения классификации информационных систем персональных данных" от вышеназванного РД? Особенно если принять во внимание опыт перевода различных систем под "один знаменатель": "При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться в соответствии с РД "Средства вычисли-тельной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" на классы защищенности АС не ниже (по группам) 3А, 2А, 1А, 1Б, 1В и использовать сертифицированные СВТ:
    • не ниже 4 класса - для класса защищенности АС 1В;
    • не ниже 3 класса - для класса защищенности АС 1Б;
    • не ниже 2 класса - для класса защищенности АС 1А".

Кто за что отвечает

В соответствии с ФЗ-152, "правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных". При этом контроль и надзор за выполнением требований, установленных Правительством РФ, осуществляется "федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий". Однако в постановлении от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" Правительство РФ установило, что "технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации". В свою очередь, "методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий".

Установившаяся система привела к следующему противоречию:

  • "Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (Постановление Правительства РФ от 15 сентября 2008г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"). Теоретически возможны три способа управления процессом: ручной, автоматизированный, автоматический. Основное их отличие определяется степенью участия человека. ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения" раскрывает понятие "автоматизированная система" как "система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций".

Таким образом, становится очевидным следующее противоречие - комплекс "человек, работающий за компьютером" - автоматизированная система, а комплекс "человек, работающий за компьютером и обрабатывающий персональные данные" - неавтоматизированная система.

Комментарий эксперта

Максим Мамчиц, консультант ООО "ИнфоТехноПроект"

Вспоминая студенческую истину, "если нет вопросов, то ли­бо все понятно, либо ничего...", невольно приходишь к выводу, что тема про персональные данные является исключением, так как вопросов много, но никому ничего непонятно. Непонят­но, как выполнить требования по защите ПД, как уложиться в сроки (до 1 января 2010 г. осталось всего ничего) и как при этом не навредить своему бизнесу и самим субъектам ПД? Разобраться во всех хитросплетениях нормативно-правовой базы поможет другая народная мудрость: "Зри в корень!" А "в корне" у нас термины и определения. Именно несогласован­ность понятийного аппарата различных законодательных ак­тов, руководящих и методических документов привела к тако­му хаосу. Однако хаос этот во многом спровоцирован самими операторами ПД. Зачем, например, сплетать понятия "персо­нальные данные" и "неприкосновенность частной жизни" или "семейная тайна"? Персональные данные - это своего рода идентификатор субъекта, позволяющий ему строить свои от­ношения в обществе. Частная жизнь - это информация о процессе развития конкретного человека (род и образ жизни его, быт, деяния, поступки, похождения и пр.1). Право на неприкосновенность частной жизни, личную и семейную тайну закреплено Конституцией Российской Федерации, и никто его пока нарушать не собирается. В то же время предоставлять свои персональные данные иногда просто необходимо для нор­мальной жизни в обществе.

Тем не менее, все мировое сообщество пришло к выводу, что персональные данные не могут быть открытой информацией (за исключением ряда случаев) и их необходимо защищать. В нашей стране требования к защите информации различных категорий были описаны в руководящих документах Гостехкомиссии России, вот только на момент написания этих документов о ПД не шло и речи. С появлением новой категории информации потребовалась некая адаптация руководящих документов Гостехкомиссии, и в итоге в свет вышли четыре документа ФСТЭК и два документа ФСБ. Анализируя требования доку­ментов ФСТЭК и Гостехкомиссии, можно выявить соответствие классов ИСПД и АС, а именно (для многопользовательских систем с различным уровнем доступа):

  1. ИСПД 1-го класса - АС класса 1В;
  2. ИСПД 2-го класса - АС класса 1Г;
  3. ИСПД 3-го класса - АС класса 1Д.

Также определяется и класс СВТ и МЭ, применяемых в ИСПД различных классов.

Однако не стоит забывать, что ИСПД необходимо сертифицировать по требованиям документов ФСТЭК и ФСБ в области ПД. Однако тут есть одна проблема: документы описывают требования к типовым ИСПД, а из ФЗ-152 следует вывод, что все ИСПД заведомо специальные, так как "...оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры... для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распростра­нения персональных данных, а также от иных неправомерных действий". Методики определения класса специальной ИСПД пока не существует, и вряд ли она появится до 01.01.2010 г. Как быть? Похоже, что и на этот вопрос придется отвечать самим операторам ПД.


1 См. В.И. Даль. Толковый словарь живого великорусского языка.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2009
Посещений: 27206

Приобрести этот номер или подписаться
  Автор

 

Сергей Нагорный

начальник центра Федерального бюджетного учреждения "Научно-исследовательский институт информационных и производственных технологий Федеральной службы исполнения наказаний" (ФБУ НИИИиПТ ФСИН)

Всего статей:  8

  Автор

 

Вадим Донцов

начальник лаборатории ФБУ НИИИиПТ ФСИН

Всего статей:  3

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций