Защита персональных данных граждан в сети Интернет



В последние годы возросла актуальность глобальной цифровизации, что безусловно в наше время связано еще и с пандемией коронавируса и так называемой «удалёнкой». И при таких обстоятельствах на первый план выходит вопрос защиты персональных данных граждан, которые, попадая в интернет-пространство становятся весьма уязвимыми с точки зрения права. Ситуация эта обусловлена недостаточным регулированием защиты персональных данных в действующем законодательстве, отдельным проблемам которого и будет посвящена настоящая статья.

Основным нормативным актом, регламентирующим базовые правовые аспекты обработки и защиты персональных данных, в настоящее время является Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее — Федеральный закон) [1]. По смыслу п. 1 ст. 3 названного Федерального закона персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных ) [1].

В указанном нормативном акте имеется также информация о классификации персональных данных, из чего следует, что персональные данные являются информацией ограниченного доступа, соблюдение конфиденциальности которой является обязательным.

По смыслу п. 1 ст. 19 Федерального закона оператор обязан предпринимать меры по обеспечению безопасности персональных данных, а также предотвращать определенные угрозы безопасности. При этом категории персональных данных различаются, они могут быть специальными, биометрическими, общедоступными и иными [1].

Помимо приведенного нормативного акта следует упомянуть также ряд иных, не менее важных источников. К ним относится прежде всего постановление Правительства РФ от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» [2], которым устанавливается необходимость обеспечения доступа к информации для уполномоченных лиц, а также сохранности, целостности и неизменности биометрических персональных данных. Кроме того, меры по обеспечению безопасности персональных данных регулируются приказами ФСБ России, где устанавливаются требования к обеспечению защиты информации ограниченного доступа, которые могут являться государственной тайной. Данные положения направлены на недопущение добывания, уничтожения, искажения или блокирования информации (персональных данных) (например, приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности») [3].

Наличие достаточной нормативной базы, к сожалению, не решило проблему недостаточного урегулирования защиты персональных данных пользователей сети «Интернет», которые подпадают под так называемые «открытые данные». Так, одним из наиболее эффективных способов сбора информации о пользователе считается социальный скоринг, который по своей сути представляет собой метод формирования характеристик на отдельных лиц посредством анализа их деятельности в сети « Интернет» , позволяющий определить поведенческие особенности отдельно взятого субъекта.

Работает это следующим образом. Граждане дают согласие на обработку персональных данных в подписываемых ими пользовательских соглашениях, например, при оформлении кредита, при этом почти никогда не изучая эти соглашения, в том числе из-за сложности текста и объема информации. Между тем, как правило, в таких соглашениях содержится перечень информации о собираемых персональных данных пользователя, а также пункт о свободном распоряжении ими, хранении и обработке. Не секрет также, что большинство государственных мобильных приложений передает данные пользователей третьим лицам. Это происходит за счет встроенных трекеров, т. е. сервисов, принадлежащих сторонним компаниям, которые используются для отслеживания действий пользователей и получения нужной информации через мобильные приложения. Именно благодаря трекерам персональные данные граждан попадают в свободную информационную среду. Подчеркнем, что данные о пользователях собирают и передают не только упомянутые государственные мобильные приложения, но и социальные сети, мессенджеры и поисковики.

Приведем примеры крупнейших утечек информации в России за последние годы, чтобы понять, насколько масштабно незащищенными могут быть наши персональные данные.

1. Утечка данных с сервера ОФД «Дримкас». Тогда в общей сложности около 90 млн записей с различного рода данными о физических и юридических лицах оказались в свободном доступе в сети. Записи содержали сведения с фискального чека о фамилии, имени, отчестве продавца, что является персональными данными. Такие утечки связаны с некорректной работой безопасности, ошибками в конфигурациях систем, а также отсутствием отслеживания ситуации. Причиной утечки стал человеческий фактор. Ответственность за утечку персональных данных была оценена в виде штрафа в размере 75 тыс. рублей [4].
2. Утечка клиентских данных ПАО «Сбербанк. База банка, которая содержала информацию о миллионах держателей карт оказалась в свободном доступе в сети Интернет. Содержание базы включало фамилии, имена и отчества держателей карт, сведения о лимитах кредитных карт и о проведенных операциях по ним. Причиной утечки явилось преступление сотрудников Сбербанка. Расследование инцидента было поручено Банку России, Роскомнадзору и правоохранительным органам [4].
3. Утечка клиентской базы «Билайн». База включала в себя около 8 млн. записей, связанных с абонентами, и содержала информацию о номере договора, фамилию, имя и отчество абонента, домашние и рабочие адреса, контактные телефоны. Данный инцидент расследовался собственной службой безопасности компании с подключением партнеров и даже конкурентов [4].
4. Утечка персональных данных участников программы «РЖД Бонус». В указанной базе находится более чем 1,36 млн записей, включая даты регистрации, параметры авторизации, электронные адреса, логины, пароли. Также имелись фамилии, имена и отчества клиентов, IP –адреса и иные сведения об их устройствах. Причиной утечки также явился человеческий фактор, однако персональные данные были защищены системой безопасности. Только часть персональных данных оказалась в руках злоумышленников. Компания РЖД провела ряд защитных мероприятий, в том числе с рассылку пользователям писем с просьбой сменить пароль [4].
5. При голосовании за поправки в Конституцию РФ в сети оказались паспортные данные проголосовавших. Данные были опубликованы на одном из хакерских форумов. Используя номера серии и паспортов, можно собрать базу под нужды покупателя, добавив некоторые данные, как-то: о кредитной истории, СНИЛС, ИНН [4].
6. Утечка базы данных автомобилистов города Москвы и Московской области. Злоумышленниками была выставлена база данных автомобилистов, в которой содержались фамилия, имя и отчество автовладельца, номера телефонов, марки, модели, годы выпуска, регистрационные номера, регионы регистрации автомобилей. База данных была дополнена данными ПТС и СТС на автомобили [4].

Подводя итог, следует отметить, что в отличие от многих стран, где наблюдается уклон в сторону более простого административного регулирования безопасности данных через повышение штрафов и ужесточение требований, в России регуляторная политика выглядит слишком мягкой. Пострадавшие от утечек могут рассчитывать лишь на небольшие компенсации в размере, редко превышающем 10 тыс. рублей. Увы, такова судебная практика.

Как известно, средством воздействия на субъектов права является юридическая ответственность за нарушение законодательства в сфере обработки и защиты персональных данных. В случае несоблюдения оператором российского законодательства о персональных данных он может понести гражданскую ( ст. 151 , 1099–1101 ГК РФ), административную ( ст. 13.11 КоАП РФ) или даже уголовную ответственность ( ст. 137 УК РФ). Кроме того, возможна также судебная блокировка сайтов, на которых персональные данные обрабатываются с нарушением российского законодательства ( Федеральный закон от 27 июня 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

В ноябре 2019 г. в ст. 13.11 КоАП РФ были внесены изменения, увеличивающие размер штрафа за хранение данных на разных материальных носителях (нелокализацию), за нарушение требований по записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан России с использованием баз данных, находящихся на территории Российской Федерации. Уведомление Роскомнадзора об обработке персональных данных влечет за собой специальную административную ответственность в виде административного штрафа. Однако, как показывает практика, даже уголовная ответственность не является эффективным методом, позволяющим защитить персональные данные. В результате проблема утечки информации и появления персональных данных в открытом доступе становится все более распространенной.

Подводя итог сказанному, следует сделать общий вывод о том, что значение защиты персональных данных пользователей сети Интернет в настоящее время трудно переоценить. В этой связи представляется необходимым дополнить действующее законодательство в названной области. В частности, требуется:

1) ввести ограничения для операторов при осуществлении деятельности, связанной с персональными данными, и ужесточить в этой связи их юридическую ответственность;

2) дополнить положения действующего законодательства в части получения доступа к персональным данным, а также закрепить порядок отзыва персональных данных гражданами на любом этапе;

3) создать единый государственный орган, регулирующий вопросы, связанные с обработкой, защитой, хранением и использованием персональных данных как на бумажных носителях, так и в информационно-коммуникационных сетях;

4) следует усилить гарантии соблюдения прав человека на персональные данные в «виртуальной жизни», для чего следует развивать и внедрять новые институты защиты прав человека в цифровом пространстве;

5) для снижения утечек важно применять более строгие требования к разработке документации, проводить работу с персоналом, с контрагентами, в связи с чем крайне важно следить за эффективностью аппаратных, программных и криптографических средств и систем предотвращения утечек.

Литература:

1. Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
2. Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Электронно-правовая система «Гарант».
3. Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Электронно-правовая система «Гарант».
4. https://www.anti-malware.ru/analytics/Threats_Analysis/Top-10-data-leakage-in-Russia#part21