В России вскоре может появиться закон, который должен защитить личную жизнь граждан. На практике же этот документ, скорее всего, лишь позволит чиновникам Минсвязи регулировать рынок программного обеспечения, а не защитит простых граждан от вторжения государства в частную жизнь.
25 ноября Госдума России ратифицировала Конвенцию Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». Одновременно был принят за основу разработанный законопроект, который, практически, извращает благородные либеральные европейские идеи.
Немецкий порядок
Зарубежный опыт законодательной защиты информации персонального характера насчитывает около 30 лет. Внедрение ЭВМ в 70-х годах прошлого века поставило новую проблему: с помощью компьютера можно было собрать компромат на любого гражданина. Канадская комиссия по защите частной жизни приводит такой пример: «Гражданин на автомобиле выезжает со стоянки – компьютер фиксирует время и номер машины. На шоссе он превышает скорость – полицейская система выписывает штраф. Оператор сотовой связи фиксирует звонки. При входе в офис система безопасности считывает его карточку-пропуск. Провайдер архивирует логи – какие сервера открывал пользователь и кому отправлял почту. Имея доступ к архивам данным, можно узнать хоть содержание сахара в мочи пациента – эта информация вносится в больничный компьютер.
Первый закон о защите данных был принят в федеральной земле Гессен (ФРГ) в 1970 году. Германскую модель защиты данных можно считать идеальной. Педантичные немцы действуют по простому принципу: придаваемые гласности сведения обезличиваются таким образом, когда «по отдельным данным невозможно или возможно только при несоразмерных больших затратах составить представление об определенном лице». Например, многие судебные решения публикуются. Из них обязательно убираются фамилии и адреса. Этого достаточно, чтобы истца и ответчика нельзя было найти в таком мегаполисе, как Берлин. Но если речь идет о небольшом городке, то клерк обязан будет вырезать и иные сведения, позволяющие идентифицировать стороны.
В 80-х годах обязательства государства в сфере работы с персональными данными были закреплены в ряде международных документов. Согласно Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, «персональные данные» означают информацию, касающуюся конкретного или могущего быть идентифицированным лица («субъекта данных»).
Хотели как лучше...
Россия подписала Конвенцию еще в ноябре 2001 года, но только сейчас она была ратифицирована (то есть стала обязательной). В парламент было внесено уже более дюжины законопроектов, регулирующих вопрос раскрытия и защиты личных тайн, но пока ни один из них не стал законом. Последний проект «О персональных данных» (http://www.fontanka.ru/153641) был разработан Министерством РФ информатизации и связи. В целом он соответствует Конвенции.
Под персональными данными закон подразумевает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. Проще говоря, самая простая информационная система персональных данных – обычная записная книжка. Подпадает под это понятие и программа электронной почты, и архив бухгалтерии (выплата зарплат) и отдела кадров (личные карточки), и список обслуживаемых сервисной службой клиентов, перечень покупателей и т.д. То есть абсолютно любой массив, содержащий фамилию и любую информацию (хотя бы телефон) о двух и более гражданах.
Передача персональных данных может осуществляться только с согласия самой «персоны». Каждый гражданин имеет право знать о наличии у оператора (владельца информационной системы) относящихся к нему персональных данных, быть с ними ознакомлен, а также требовать их уточнения, а в ряде случаев – их блокирования или уничтожения.
... а получилось как ...
Действие закона не распространяется на отношения, возникающие при сборе и обработке персональных данных физическими лицами исключительно для личных и семейных нужд. То есть при формировании личной записной книжки. А вот адресная база данных стоящего на рабочем компьютере Outlook Express или другой почтовой программы будет считаться уже полноценной информационной системой.
Фактически, закон не будет распространяться и на все государственные базы данных. Ведь согласие гражданина на передачу его персональных данных не требуется, если это «необходимо для выполнения задач, возложенных на органы государственной власти в сфере обороны страны, безопасности государства и охраны правопорядка», когда «персональными данными обмениваются органы государственной власти для выполнения возложенных на них функций» и в ряде других случаев. И как слушало ФСБ и собирало компромат на подозрительных лиц, так и будет собирать.
А вот ничего не подозревающие частные компании обязаны будут серьезно задуматься. Во-первых, с 2007 года вводится обязательная регистрация информационных систем персональных данных. От нее освобождаются базы данных, включающие только фамилию, имя и отчество (если есть графа «телефон» – регистрируйся), а также архивы работодателей о сотрудниках. Регистрация должна производиться на основании простого заявления и бесплатно.
Принимать их будет «уполномоченный орган по защите прав субъектов персональных данных», коим, скорее всего, будет назначено Федеральное агентство по информационным технологиям (входит в структуру Минсвязи). Не исключено, что оно придумает какие-либо иные требования к заявителям. Согласно законопроекту этот «уполномоченный» имеет право бесплатно получать от любых лиц информацию, необходимую для реализации своих полномочий, а также осуществлять проверку заявленных при регистрации информационных систем сведений. Рамки этих полномочий законом не определены.
Windows go home
Еще большую опасность для простых пользователей офисных компьютеров несет статья 17 законопроекта: «Уполномоченный орган ... разрабатывает и утверждает требования к процедурам хранения, обмена и защиты персональных данных и иные условия, которым должны отвечать информационные системы персональных данных».
Фактически это дает вверенному Леониду Рейману ведомству совершенно свободно регулировать рынок программного, а иногда и аппаратного обеспечения. То есть неким техническим актом указать, что Microsoft Windows в целом и программы Access, Excel и тот же Outlook Express не обеспечивают надежную защиту информации (что отчасти соответствует действительно). А поэтому нельзя хранить содержащие персональные данные базы данных (хотя бы список клиентов или адреса электронной почты) на компьютере, на котором установлен Microsoft Windows. По данным исследований службы HotLog продукты этой американской корпорации установлены на компьютерах более 97% пользователей Интернета.
Понятно, что «дырки» можно найти практически в любом программном обеспечении. А это значит, что единственной надежной системой будет, скорее всего, признана какая-нибудь Reyman Windows, разработчиком которой окажется ООО «...Софт Инт.» из создаваемого на проспекте Большевиков в Петербурге технопарка. Причем узнают об этом только те, на кого «уполномоченный» наложит штраф: согласно решению Верховного Суда России, «нормативно-технические акты» Минсвязи могут не публиковаться.
Антон Одынец,
специально для «Фонтанка.ру».