Госдума во вторник, 24 мая, рассмотрела в первом чтении законопроект, который предусматривает поправки в закон «О персональных данных». Документ ужесточает требования к операторам, работающим с данными граждан, а также вводит запрет на предоставление сведений из ЕГРН третьим лицам без согласия владельца. Мера была предложена для того, чтобы избежать «деанонимизации» представителей власти, следует из пояснительной записки. «Известия» поговорили с представителями отрасли о том, насколько эффективными могут быть предложенные меры и какие шаги в отрасли считают необходимыми для борьбы с утечками.
Ограничения для операторов
Проект документа, подготовленного сразу группой депутатов и сенаторов (в том числе среди авторов — депутат Александр Хинштейн и сенаторы Андрей Клишас и Андрей Яцкин), был внесен в парламент в начале апреля. В первом чтении его рассматривали на пленарном заседании 24 мая.
Анализ инцидентов последних лет, когда персональные данные граждан массово попадали в открытый доступ, «свидетельствует о недостаточности существующих законодательных механизмов в этом вопросе», говорится в сопроводительной записке.
— Широкое распространение получили сервисы в сети интернет, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных (адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т.п.), — говорится в документе.
В том числе речь идет об использовании полученных сведений мошенниками, включая применение методов социальной инженерии, заочное оформление кредитов, кибербуллинг и так далее, отмечают авторы.
В связи с этим предлагается ужесточить требования к операторам, которые занимаются обработкой данных.
В том числе максимальный срок, в который компания должна ответить на запрос Роскомнадзора, касающийся сбора и обработки персональных данных, а также на запросы граждан, предлагается сократить с 30 до 10 дней. Обработку персональных данных по просьбе гражданина операторы должны будут остановить в 30-дневный срок. Дополнительные ограничения вводятся на обработку биометрических персональных данных несовершеннолетних.
Если поправки будут приняты, операторам могут запретить отказывать гражданам в оказании услуг в случае, если они откажутся предоставить персональные данные. «Если такое предоставление не является обязательным».
Также предлагается сделать возможным применение российского законодательства о персональных данных на территории других государств в случае, если речь идет о данных российских граждан.
— Устанавливается возможность вмешательства уполномоченных органов власти в вопросы обработки персональных данных российских граждан на территории других государств, — говорится в документе, с которым ознакомились «Известия».
«Особую тревогу» вызывает «сбор персональных данных в целях идентификации военнослужащих и сотрудников правоохранительных органов (так называемая деанонимизация)», полагают авторы инициативы.
— Это вдвойне опасно, учитывая, что действующее законодательство никак не ограничивает выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания, — говорится в пояснительной записке.
В связи с этим документом также предлагается ввести ограничения на выдачу информации о собственниках объектов, занесенных в Единый государственный реестр недвижимости, которая чаще всего используется для проверки собственника при оформлении сделок. Теперь получить информацию можно будет только с согласия собственника.
Избыточные данные
Предложенные в законопроекте нормы не содержат положений о прямом вмешательстве российских органов в обработку персональных данных на территории других государств. Такое вмешательство в любом случае невозможно, а любое взаимодействие предполагает наличие соглашений и механизмов взаимодействия с иностранными органами власти, уверен Глеб Ситников, партнер адвокатского бюро «Юрлов и партнеры».
— В законопроекте речь идет о том, что российское законодательство о персональных данных касается любой обработки на любой территории, если она затрагивает права российских граждан, — поясняет адвокат. — Реальное же воздействие на иностранных операторов, если они никак не подпадают под нашу юрисдикцию, потребует запросов на содействие в иностранные органы власти.
Эффективность этого зависит от уровня сотрудничества между правительствами, отмечает он.
Не видит оснований для опасений и директор департамента консалтинга и аудита компании «Информзащита» Александр Барышников. Текущие поправки, по его мнению, связаны с естественным «развитием законов и подзаконных актов» в эпоху цифровизации. При этом российское законодательство в этой сфере пока остается мягче, чем Европейский регламент, который действует в странах ЕС (GDPR), и речь идет скорее о приведении отечественных законов в соответствие с требованиями Европейского регламента, который в области защиты персональных данных «считается эталоном», отмечает он.
В частности, в GDPR уже есть похожие требования, касающиеся как контроля за сбором персональных данных пользователей в случаях, когда в этом нет необходимости, так и экстерриториального принципа в применении законодательства в этой сфере.
Это «вполне адекватная норма», направленная в первую очередь на поставщиков онлайн-услуг. В частности, после введения Роскомнадзором требования о предупреждении посетителя сайта о сборе его персональных данных, многие магазины и финансовые организации стали требовать обязательное согласие от субъекта для продолжения ознакомления с информацией на сайте или получения услуг вместо того, чтобы отключить трекеры, которые собирали эти данные, поясняет он.
— Это правильная мера, потому что все другие варианты ведут к дискриминации потребителя, который не может получить цифровую услугу, например, в магазине или фитнес-центре. Это по большому счету факт злоупотребления, его законопроект и будет исключать, — солидарен руководитель группы аналитики компании «СёрчИнформ» Алексей Парфентьев.
Кроме того, в некоторых случаях такие сервисы собирают «избыточные данные», запрашивая в том числе паспортные данные или место регистрации, обращают внимание опрошенные изданием эксперты.
— Что же касается трансграничной передачи персональных данных граждан РФ, то данная норма всегда была в законе, и о такой передаче должен быть уведомлен и сам субъект персональных данных, и Роскомнадзор, когда оператор персональных данных подает сведения о себе в Реестр операторов персональных данных, — напоминает Александр Барышников.
Помимо ограничения на сбор персональных данных в «необязательной» ситуации, на практике в случае принятия поправок для операторов изменятся в первую очередь сроки, в которые они обязаны отреагировать на запрос Роскомнадзора или отдельного человека с просьбой предоставить информацию об имеющихся у оператора персональных данных, считают собеседники издания. Если раньше на это отводилось 30 календарных дней, то теперь остается только десять рабочих.
«Закрытие» ЕГРН
Помимо новых требований к операторам, которые занимаются сбором персональных данных граждан, в законопроекте содержится требование о закрытии данных о собственниках недвижимости, внесенного в ЕГРН. Сейчас выписку из реестра может получить любой желающий, оплатив небольшую пошлину.
— Выписку на объект недвижимости может заказать любой человек или юрлицо, достаточно только знать адрес. В такой выписке будут не только характеристики объекта, но и то, кому он принадлежит, — объясняет исполнительный директор IT-компании HFLabs Константин Степанов.
Других данных, помимо имени владельца, в таком документе не содержится. Как правило, информация используется для проверки собственника во время проведения сделок с недвижимостью, но в некоторых случаях таким образом можно получить доступ к данным о недвижимости чиновников.
Доступ к персональным данным, которые содержатся в ЕГРН, ужесточили еще в 2021 году, напоминает член комиссии ОП РФ по развитию информационного сообщества, СМИ и массовых коммуникаций Сергей Гребенников.
— Тогда в законе закрепили запрет на размещение персональных данных правообладателей на официальном сайте Росреестра в открытом доступе. А в случае принятия уполномоченными органами решений о наложении запрета на выдачу сведений о защищаемых лицах, сведения о таких лицах, содержащиеся в ЕГРН, не предоставляются, кроме случаев, предусмотренных федеральными законами либо указом президента, — поясняет он.
Информация из ЕГРН может быть чувствительной для чиновников или представителей органов власти, вовлеченных в коррупционные схемы, однако для рядовых граждан риски мошеннических схем здесь невелики, полагает Константин Степанов.
— Информация по поводу объектов недвижимости из ЕГРН в большинстве случаев не обладает такой значимостью — например, для тех, кто занимается социальной инженерией. Да, можно узнать, кому принадлежат права на объект недвижимости, но это не означает, что человек там живет или регулярно бывает, — поясняет он.
Сведения из ЕГРН — это единственное доказательство существования зарегистрированного права, и закрытие доступа к ним для пользователей нанесет «серьезный урон многим процессам», убежден Сергей Гребенников.
— В результате будет усложнен оборот объектов недвижимости, что особенно нежелательно в сложной экономической ситуации. Есть риск увеличения случаев мошенничества из-за усложнения доступа для граждан к значимой информации в отношении объектов недвижимости, — рассуждает он.
Если законопроект примут, нужно будет просить продавца предоставить данную выписку. Здесь «появляется новая среда для мошенников», подтверждает заместитель генерального директора по взаимодействию с федеральными и региональными органами власти Cross Technologies Сергей Кобзев.
— Так как доступ закрыт, проверить, что перед тобой действительно тот человек, за кого он себя выдает, становится сложно, — объясняет он.
«Адекватные санкции»
Сейчас наиболее чувствительны утечки, которые происходят в коммерческих структурах, уверен Сергей Кобзев. В частности, в случаях, когда в открытый доступ попадают данные не только о месте жительства человека, но и его номер телефона или суммы сделанных им заказов.
При этом часто компании, допустившие утечку данных своих потребителей, получают только незначительные штрафы, отмечает адвокат Глеб Ситников.
— Например, в 2021 году ООО «Орифлейм косметикс» за утечку оштрафовали на 30 тыс. рублей, а «Яндекс» в этом году — на 60 тыс. рублей, — перечисляет он.
Поэтому, несмотря на то что предложенные меры могут усилить контроль за подобными утечками, для эффективной борьбы с ними необходимо в первую очередь ввести «адекватные санкции», уверен он.
— Установленный в ст. 13.11 КоАП РФ перечень составов и штрафов весьма несовершенен, поскольку допускает ситуации, когда за серьезные нарушения крупные операторы получают маленькие штрафы, а для субъектов малого и среднего предпринимательства, которые допускают нарушения в этой сфере по большей части в связи со сложностью их исполнения, штрафы за менее серьезные нарушения могут пропорционально быть более тяжелыми, — отмечает он.
Вопрос утечки персональных данных нужно решать «не точечно, а масштабно», считает Сергей Кобзев. Для этого, по его мнению, необходимо на государственном уровне разработать и принять концепцию по противодействию утечкам персональных данных граждан. В том числе потребуется провести «анализ всех имеющихся систем и источников, выявить их слабые стороны и однозначно прописать требования и условия», полагает эксперт.
— Главное в данном вопросе — соблюсти баланс интересов государства и граждан, — подчеркивает он.
Кроме того, для эффективной борьбы с утечкой персональных данных в любом случае потребуются регулярные проверки внутри организаций и обучение сотрудников принципам кибер-безопасности, солидарны большинство экспертов.
Однако самым «обязательным, необходимым и ожидаемым изменением» должно быть уточнение самого определения персональных данных, обращает внимание Александр Барышников. По его словам, матрицу персональных данных, которая бы определила, что именно операторам персональных данных надлежит считать таковыми, представители IT-отрасли ждут от Роскомнадзора с 2015 года. «Но именно этого нет в новом проекте документа», — отмечает он.
По итогам рассмотрения на пленарном заседании документ был направлен на второе чтение. «Известия» обратились в профильный комитет по информационной политике, информационным технологиям и связи с просьбой уточнить, какие изменения в него планируют внести, однако к моменту публикации материала ответ получен не был.