На портале regulation.gov.ru опубликован проект постановления правительства, касающийся ограничения передачи личной информации о россиянах за границу. Какие инструменты законодатель хочет ввести для борьбы с утечкой данных жителей страны иностранным структурам и насколько они эффективны, разбирались «Известия».
Требуют знать, с кем дело имеешь
Проект постановления, согласно которому Роскомнадзор будет принимать решение об ограничении трансграничной передачи персональных данных (ПД) граждан по представлению уполномоченного органа, направлен на публичные слушания. Цель таких контрольных мер — защитить нравственность, здоровье, права и законные интересы россиян.
Одно из главных нововведений заключается в том, что оператор еще до начала трансграничной передачи ПД должен направить в РКН либо территориальные подразделения ведомства уведомление о таких действиях.
Что грозит сотруднику за передачу данных и политические акции в соцсетях работодателя?
— Законопроект предполагает, что каждая организация, у которой возникнет необходимость или желание передать персональные данные россиян за рубеж, должна предварительно согласовать это с Роскомнадзором, — пояснил «Известиям» Никита Назаров, технический директор российской IT-компании HFLabs. — В заявлении в ведомство нужно будет объяснить, какие данные, кому, куда и с какой целью передаются. В свою очередь, Роскомнадзор может отказать в трансграничной передаче данных, если, например, зарубежная организация запрещена на территории России или не уделяет должного внимания защите персональных данных.
Именно на оператора ПД возлагается обязанность получать от органов власти иностранного государства (а также иностранных физических и юридических лиц) сведения о мерах по защите личных сведений и информацию о правовом регулировании таких данных в стране. В страны, где не осуществляется должная защита данных, передавать личную информацию россиян РКН не позволит. Оператор должен будет заранее навести справки о том, кому передает ПД россиян. В зависимости от категории получателя информации это могут быть фамилия, имя, контактные телефоны, почтовый и электронный адреса. В постановлении предусмотрено два основания для ограничения. Первое — если содержание и объем передаваемых за границу персональных данных не соответствуют заявленной цели такой передачи. Второе — если заявленной цели передачи не соответствуют категории субъектов персональных данных.
Никита Назаров обращает внимание на важную деталь: законопроект предполагает именно организационные меры:
— Никакие технические средства для защиты персональных данных в нем не рассматриваются, — объясняет собеседник «Известий». — Если организация знает о будущей трансграничной передаче персональных данных, то она идет и спрашивает разрешение у Роскомнадзора. А если ее специалисты, например, упустили этот момент, то остается только вариант, при котором РКН каким-то образом сам о такой передаче узнает. Но вероятность этого, на мой взгляд, невысокая.
Планируется, что документ вступит в силу с 1 марта 2023 года.
Приземлить данные
Трансграничная передача персональных данных — это не только процесс пересылки баз контрагентам. Это могут быть и рутинные операции внутри одной компании.
— Представьте, что организация передает информацию о своих клиентах или пользователях в сторонний сервис, расположенный за рубежом, для аналитической обработки этих данных, — приводит пример Никита Назаров. — Другая ситуация — компания хранит данные в своих же сервисах, но они развернуты в зарубежном облаке.
Сегодня многие страны, в том числе и в Европе, активно поддерживают законы о «приземлении» персональных данных своих граждан. Государства хотят контролировать информацию о своих гражданах, и проще всего это сделать, когда данные находятся внутри страны. В противном случае проследить, чтобы данные того или иного человека были своевременно удалены из оборота или обрабатывались в соответствии с национальным законодательством, практически невозможно, считает Никита Назаров.
Риски реальны и гипотетические
— Классические риски, связанные с попаданием персональных данных в чужие руки, — финансовое мошенничество, кража денег с банковских карт, — говорит Назаров. — Имея на руках персональные данные человека, его номер телефона, место работы, имена близких, намного проще втереться к нему в доверие.
— Если мы говорим про обычные ФИО, то есть общедоступные персональные данные, то в такие риски слабо верится, — считает Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности». — Если же происходит большая утечка, потребуется очень много времени чтобы разобраться, чьи вообще это персональные данные, а разбираться в этом злоумышленникам придется, чтобы как-то этой утечкой воспользоваться. Это достаточно тяжело, так что подобных рисков нет. В целом это (разработка проекта документа — «Известия») связано, скорее, с суверенитетом персональных данных, чем с реальной безопасностью, для того чтобы сервисы даже не пытались хранить данные за границей.
Тем не менее представитель силовых структур, с которым побеседовали «Известия», считает опасной передачу за рубеж сведений о гражданах в условиях геополитического противостояния. К примеру, сразу после объявления частичной мобилизации в России по соцсетям начала гулять фейковая база данных мужчин призывного возраста, которую авторы вброса выдавали за список призывников.
— Уже были случаи, когда мошенники из-за границы пытались манипулировать родственниками военнослужащих, погибших в зоне СВО или попавших в плен, — пояснил источник в силовых структурах. — Это говорит о том, что противник мог располагать базами данных на граждан и легко по адресу вычислить круг его близких, их контакты.
В кругу айтишников существует шутка: «утекать» — это одно из главных свойств данных.
В этой связи возникает вопрос о целесообразности в принципе собирать подробные данные о гражданине,
если они могут попасть в третьи руки на многочисленных этапах обработки.
— С точки зрения служебной необходимости не все сведения имеет смысл вносить в какие-бы то ни было базы данных, доступ к котором есть у условно широкого круга лиц. Особенно это касается секретной информации и данных для служебного пользования, — считает силовик.
По тексту Ивана Петрова