28 Jan 09:26 avatar

А. Б. Корсак: «Информационная безопасность: состояние и проблемы»


Автор: Мария Яковлева (Журналист-аналитик RBC daily)
| Источник: RBC daily, 14.12.2005
Интервью с председателем Комитета Государственной думы по безопасности.

Тема незаконного распространения баз данных, содержащих конфиденциальную информацию о гражданах России, в течение последнего месяца приобрела бешеную популярность — после сообщений о ряде задержаний распространителей и изготовителей «черных» баз данных, проведенных правоохранительными органами и сотрудниками ФСБ в столице. Проблема розничной торговли тайнами россиян существует уже не первый год и связана не только с коррумпированностью государственной системы, но и с несовершенством российского законодательства. Наши законы весьма расплывчато определяют как принципы обращения с персональными данными и закрытой информацией вообще, так и ответственность за их незаконное использование.

В конце ноября Государственная дума РФ ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и приняла в первом чтении пакет законопроектов в сфере защиты информации, как выяснилось, нуждающихся в серьезной доработке. Концептуальные замечания к проекту закона «О персональных данных» представили нескольких комитетов Госдумы, в том числе Комитет по безопасности, который, например, высказал сомнения по поводу целесообразности включения в законопроект статьи, касающейся создания единого государственного регистра населения.

Почему в России сейчас возможна торговля персональными данными граждан, и сможет ли новое законодательство защитить россиян от этой напасти? Об этом в интервью RBC daily рассказал председатель Комитета Государственной думы по безопасности Владимир Васильев.

— Почему в свободной продаже появляются закрытые базы данных, и чем это грозит рядовому россиянину?

— Проблема распространения на российском рынке электронных баз данных, содержащих конфиденциальную информацию персонального характера, не нова. По мере того как различные картотеки, реестры с персональными данными, которые ведутся в органах государственной власти, органах местного самоуправления, государственных учреждениях и в коммерческих структурах начали переводиться на электронные носители, персональные данные стали распространяться, если можно так выразиться, в промышленных масштабах. Современные информационные технологии позволяют легко копировать базы персональных данных, объединять их, модифицировать, распространять информацию из таких баз (в том числе по Интернету).

Это создает для человека угрозу стать «прозрачным» для криминальной составляющей общества. Распространение такой информации без согласия человека может нанести ему непоправимый вред. Поэтому персональные данные относятся к так называемой чувствительной информации, обращение с которой требует особой правовой регламентации.

— Какая информация, по Вашим данным, наиболее подвержена незаконному распространению?

— Большую часть циркулирующей в обществе информации составляет непосредственно связанная с конкретным человеком: фамилия, имя, отчество, национальность, место жительства, сведения о заболеваниях, информация о семейной жизни, привычках, увлечениях, различные пристрастия, факты биографии и многое другое. По данным Генеральной прокуратуры РФ, в розничной продаже в Москве находятся такие базы данных на электронных носителях, как «Единый государственный реестр юридических лиц», «Московская городская телефонная сеть», «МТС», «ГИБДД г. Москвы и Московской области», «Водительские удостоверения г. Москвы и Московской области», «ИНН физических и юридических лиц», «Таможня», «Пенсионный фонд», «Проводки Центробанка», «Административные правонарушения», «ЗИЦ ГУВД», «Паспортный стол г. Москвы», «Федеральный розыск», «ДТП г. Москвы», «БТИ».

Этот перечень в определенной степени иллюстрирует источники утечки данных. Хотя названия баз данных не всегда соответствуют их содержанию. Например, база якобы Пенсионного фонда РФ не содержит, как выяснилось, реквизиты, используемые в базах данных Пенсионного фонда, в том числе страховой номер, сумму начисленных взносов на страховую часть, на накопительную часть, по дополнительному тарифу, период работы и время нетрудоспособности. Зато эта база данных содержит характерные для налоговых органов реквизиты — системный номер, ИНН источника дохода, КПП, ОКТ, ИМНС, ИМНС-ФЭЙЛ, вид дохода, сведения о доходах с разбивкой по месяцам, сумма годового дохода, налог и общая сумма налога.

— Ассортимент баз данных в розничной продаже постоянно обновляется. Как вообще, по Вашему мнению, становится возможна регулярная «поставка» закрытой информации на черный рынок?

— Тот факт, что данные периодически обновляются, свидетельствует о наличии постоянных источников информации. Ведомства, из которых происходит утечка персональных данных, как правило, не заинтересованы в огласке этих фактов, а проводимые ими служебные проверки не дают должного результата. Существует мнение, что утечка персональных данных может происходить не только по вине служащих органов госвласти, но и в процессе передачи этих данных по каналам связи. Поэтому необходимо заботиться не только о защите баз данных, но и о защите данных, циркулирующих по телекоммуникационным каналам, в том числе при обмене данными между ведомствами. Кстати говоря, обязанности сторон при таком обмене, и в том числе ограничения по использованию конфиденциальной информации и требования по ее защите, не регламентированы. Правоохранительные органы проводят работу по пресечению распространения баз данных, но пробелы в законодательстве не позволяют создать для этого эффективный правовой механизм.

— Существует ли сегодня возможность наказать торговцев конфиденциальной информацией о гражданах России? Нынешнее законодательство предусматривает какие-то меры в отношении них?

— Некоторая информация, содержащаяся в базах, составляет коммерческую, налоговую и банковскую тайну. За 10 месяцев 2005 г. в ряде субъектов РФ по признакам преступлений, предусмотренных статьей 183 УК РФ («Незаконное собирание сведений, составляющих коммерческую, налоговую или банковскую тайну»), возбуждено 122 уголовных дела, из которых 44 направлено в суд, а остальные расследуются. Большая же часть информации, аккумулируемой в органах государственной власти, органах местного самоуправления и подведомственных им организациях, должна охраняться, по нашему мнению, в режиме служебной тайны. А этот режим в российском законодательстве не регламентирован, требования по защите данных и ответственность за разглашение служебной тайны не установлены. Это является одной из причин утечки конфиденциальной информации.

Отсутствие Федеральных законов «О персональных данных» и «О служебной тайне», наличие в законодательстве большого количества тайн и недостаточная структурированность этого массива, неопределенность правового статуса баз данных, которые ведут органы государственной власти, наконец, отсутствие прямой уголовной ответственности за незаконное распространение персональных данных — все это на руку тем, кто организует утечки данных, и тем, кто распространяет эти базы.

— В последние месяцы законодательством в сфере защиты информации в Государственной думе занялись вплотную. Какова роль Вашего комитета в этом процессе?

— В связи с проблемой распространения конфиденциальной информации Госдума давала несколько поручений Комитету по безопасности. Мы направляли запросы в правоохранительные органы и Генеральную прокуратуру РФ. 17 ноября наш комитет рассматривал на заседании вопрос «О состоянии и мерах по совершенствованию законодательства в сфере борьбы с распространением на российском рынке электронных баз данных, содержащих конфиденциальную информацию персонального характера, аккумулируемую органами исполнительной власти и учреждениями». Для нас очевидно, что защита информации — это комплекс мероприятий, осуществляемых в рамках закона с использованием различных средств, в том числе программно-технических, но прежде всего надо думать о нейтрализации так называемого человеческого фактора. Кроме того, Комитет по безопасности как соисполнитель готовил заключения на законопроекты, внесенные правительством РФ и связанные с защитой персональных данных.

— Да, в конце ноября Госдума рассмотрела этот пакет законопроектов. Среди них — проект закона «О персональных данных». Как Вы считаете, насколько принятие этого закона будет своевременным, а сам документ — эффективным?

— Появления этого законопроекта мы особенно ждали. В прежних созывах Госдумы было несколько попыток внесения и рассмотрения аналогичных законопроектов, но они не увенчались успехом. В 2000 г. был принят Модельный закон стран-участниц Межпарламентской ассамблеи СНГ «О персональных данных», кстати, благодаря усилиям аппарата и экспертов нашего комитета.

Комитет по безопасности рассмотрел законопроект «О персональных данных» на экспертном совете и принял по нему заключение. В целом мы поддержали его концепцию. Необходимость законодательного регулирования общественных отношений, связанных с оборотом персональных данных, назрела. Это необходимо прежде всего для реализации положений Конституции РФ, которая закрепляет право на неприкосновенность частной жизни, охрану личной и семейной тайны, запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. Ратификация Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных также предусматривает обязательства России по формированию законодательства в этой сфере. И, наконец, в ситуации, когда права физических лиц в отношении их персональных данных повсеместно нарушаются, создание эффективных механизмов защиты этих прав просто необходимо. Вместе с тем члены Комитета по безопасности отметили ряд серьезных недостатков, требующих устранения при подготовке проекта ко второму чтению.

— Насколько принципиальны эти претензии?

— Во-первых, наши замечания касаются сферы действия Федерального закона, которая ограничена сбором и обработкой персональных данных и не включает их распространение. Ведь чаще всего права субъектов нарушаются именно в процессе незаконного сбора данных и незаконного же их распространения. Кроме того, в проекте неоднозначно определены субъекты правоотношений, их права и обязанности.

Мы указали на целесообразность дополнения принципов обработки персональных данных положением о запрете объединения массивов персональных данных, собранных для несовместимых между собой целей. Исключение может быть сделано только в целях, определенных в части 3 статьи 55 Конституции РФ. Это было бы дополнительной гарантией защиты прав субъекта персональных данных.

— То есть, по сути, у Вашего комитета вызывает сомнения принцип, который предлагается для формирования единой базы данных о гражданах РФ?

— Исходя из этого принципа, вызывает сомнения и целесообразность включения в проект статьи, касающейся государственного регистра населения РФ. Принципы и порядок создания и использования такой глобальной базы персональных данных должны регулироваться отдельным федеральным законом.

— Часть общественности высказывается не только против создания единого регистра, но и против появления специального органа по контролю за оборотом персональных данных. Как Ваш комитет оценил это положение законопроекта?

— Механизм контроля за обработкой персональных данных является принципиальным элементом концепции законопроекта. Поручить определить уполномоченный орган предлагается правительству РФ, следовательно, им может стать только один из органов исполнительной власти. Он, помимо функций контроля за органами исполнительной, законодательной и судебной системы, будет иметь также право самостоятельно обрабатывать персональные данные.

Эта ситуация представляется нам парадоксальной. Она противоречит конституционному принципу разделения властей и законодательной практике большинства стран, ратифицировавших Конвенцию. Дополнительный протокол к Конвенции недвусмысленно определяет статус контролирующего органа как органа независимого. Как правило, эти функции выполняют омбудсмены.

— Существует мнение, что закон «О персональных данных» негативно отразится на положении служб, занимающихся почтовыми рассылками, рекламных агентств — в общем, для всех организаций, которые используют в своей работе данные из анкет клиентов. Насколько эти опасения обоснованы?

— Если эта деятельность легальна, таким организациям бояться нечего. Однако наши граждане, включая депутатов и работников аппарата Государственной думы, страдают от рассылки незапрошенных сообщений — так называемого спама. Кроме того, именно этим способом рекламируются и распространяются базы данных, содержащие конфиденциальную информацию. Поскольку распространители спама незаконно собирают адреса электронной почты своих адресатов (персональные данные), они будут нести установленную законом ответственность.

— Еще один законопроект, принятый Госдумой в первом чтении, — «Об информации, информационных технологиях и защите информации». Как Вы оцениваете качество этого документа?

— Этот законопроект аналогичным образом рассматривался в Комитете по безопасности. Необходимость его принятия обусловлена как ошибками в концепциях Федеральных законов «Об информации, информатизации и защите информации» и «Об участии в международном информационном обмене», так и новыми представлениями о предмете и средствах правового регулирования в данной сфере общественных отношений. В целом концепция этого законопроекта представляется более прогрессивной и отвечающей требованиям времени. Вместе с тем Комитет по безопасности указал на необходимость существенного уточнения отдельных положений проекта — прежде всего это касается предмета и сферы правового регулирования. Вопрос там, насколько мне известно, непростой и носит методологический характер.

— Как Вы считаете, удастся ли государству в конечном итоге создать такое законодательство, которое могло бы свести возможность утечек и незаконного использования конфиденциальной информации к минимуму?

— Работая над этими законопроектами, мы, конечно, надеемся, что они в совокупности с третьим законопроектом, предусматривающим внесение изменений в другие законы, создадут необходимую правовую базу для защиты персональных данных. Однако хочу вновь обратить Ваше внимание на то, что вряд ли Федеральный закон «О персональных данных» будет панацеей от распространения информации из баз данных, собираемых органами власти. Статус этих баз и режим охраны информации должны определить другие законы, в том числе закон «О служебной тайне».

Эффективность реализации законов зависит также от деятельности правоприменителей. И что еще очень важно, особенно в данном вопросе — вопросе защиты конфиденциальной информации в нашем наполненном информацией мире, так это наша с вами информационная культура, культура обращения с конфиденциальной информацией, уважение «информационной приватности» личности, «культура кибербезопасности». О необходимости формирования, развития и внедрения глобальной культуры кибербезопасности говорится в документах Всемирной встречи на высшем уровне по вопросам информационного общества. Этот призыв обращен к каждому из нас.

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.