21.09.2009

Почему Роскомнадзор ничего не делает для защиты прав субъектов?

Риторический вопрос в заголовке заметки, я задаю себе в последнее время все чаще. занявшись вплотную темой защиты персональных данных в Европе и США, прихожу к выводу, что наши и "их" регуляторы - это "небо и земля". В Европе и США цель координирующего органа по защите прав субъекта одна - соблюсти баланс интересов субъектов и операторов ПДн. При этом, они делают все, чтобы операторы понимали все требования законодательства, не собирали лишних персональных данных и т.п. В США даже советуют как обезличивать ПДн, чтобы по минимуму подпадать под требования нормативных актов. А у нас?

Ну про ФСТЭК и говорить особо не имеет смысла. Все прекрасно знают, как они предлагают защищать ПДн. Но Роскомнадзор? Он то может облегчить жизнь операторам? Он может выработать рекомендации по защите прав субъектов, по обезличиванию, по снижению объемов обрабатываемых ПДн... Но нет, то ли не досуг ему это делать. То ли он не знает, что рекомендовать. То ли ситуация еще хуже - у него основная цель кошмарить бизнес, приходя с проверками и трактуя законодательство так, как выгодно ему.

А что в других странах? Возьмем, к примеру, близкую к нам Литву. Функции уполномоченного органа в ней выполняет Государственная инспекция по защите персональных данных. В 2004-м году австрийский институт по правам человека имени Людвига Больцмана был запущен проект PHARE, который был направлен на, внимание, повышение осведомленности операторов ПДн в деле защиты этих самых ПДн для многих стран Евросоюза. На сайте инспекции можно найти множество рекомендаций по защите и ПДн и их субъектов, разработанных в рамках этого проекта. Причем эти рекомендации построены таким образом, что понятны неспециалистам в области безопасности и ИТ. Например, рекомендации по защите ПДн в Интернет состоят из следующих разделов:
  • участники Интернет-обмена
  • Интернет-сервисы
  • риски нарушения прав субъектов ПДн
  • применение европейского законодательства по защите ПДн к Интернет
  • инструменты защиты ПДн в Интернет (интересно что помимо анонимизации разрешается и псевдо-анонимизация).

В разделе про Интернет-сервисы рассматриваются почта, Web-серфинг, новостные группы и чаты. По каждому сервису рассматриваются риски, особенности работы с ПДн, рекомендации по защите и т.п. Например, по почте рассматривается не только классическая e-mail по POP3 или SMTP, но и Webmail, а также проблема спама, справочников почтовых адресов и т.п.

И такие рекомендации даны не только для Интернет, но и для судов, правоохранительных органов, общедоступных справочников ПДн, образования, телекоммуникационного сектора и т.п.

Может у них работают сотни сотрудников, которые это все делают? Нет, всего 33 человека! Почему наш уполномоченный и далеко не независимый орган так не может? Вопрос в пустоту...

19 коммент.:

Ригель комментирует...

Ну, ты же сам говоришь - там использованы многовековые наработки Австрии, а у наших за спиной только первый год "в поле", поэтому и старт с разных уровней матерости. На пятом-то все равно встретятся.

Алексей Тесцов комментирует...

:-) ДЕйствительно вопрос в пустоту. ПОтому что в нашей стране ВСЁ так. Потому что Вы, Алексей, не работаете ни в Роскомнадзоре, ни во ФСТЭК. У меня встречный вопрос - Вы никогда не пытались добиться справедливости изнутри - устроившись на работу в эти органы?

Анонимный комментирует...

Автору:
Почему Вы считаете, что защита прав субъектов - это облегчение жизни операторам, выработка для операторов рекомендаций и т.д.?

Отношения оператора и субъекта - сплошной антагонизм, и абсолютного согласия между ними все равно никогда не будет.

И если уполномоченный орган имеет название: по защите прав субъектов, то изначально понятно, чью позицию он будет (и должен по закону) занимать...

itsec.kamaz.ru комментирует...

Как говорит Сергей Безруков в фильме "Каникулы строгого режима" - То ли я чего то не понимаю, то ли лыжи не едут!!!

biakus комментирует...

Это уже политика.. нужно избираться в правительство и лоббировать интересы Cisco :)
Другой способ: Раз нельзя изменить обстоятельства, можно изменить своё к ним отношение...

Quiet Zone комментирует...

Анонимному:

Автор как раз об обратном говорит, о нахождении баланса между защитой прав, с одной стороны, и облегчениеv жизни операторам, с другой. Понятно, что антагонизм извечен, как и между работником и работодаттелем, инспектором ГИБДД и автолюбителем...На деле же пока имеем ситуацию такую - орган по защите прав субъектов больше озабочен нагибанием бизнеса, чем защитой этих самых прав. Иначе говоря - орган по защите прав есть, а защиты прав - нет.

Алексей Лукацкий комментирует...

Ригелю: Проект PHARE был запущен с нуля. Что мешает нашим договориться с австрийцами о переводе их материалов (самый простой путь) или замутить аналогичный проект в России? 3 года уже прошло, а воз и ныне там.

Алексею Тесцову: Ну я и извне этих органов немало делаю ;-) Ну уровне нескольких рабочих групп, которые занимаются практической работой с Правительством, Думой, некоторыми ассоциациями...

Анониму: Потому что защита прав субъекта не может быть реализована без оператора. И если создать ему условия для нормальной работы, то и нарушений прав субъектов будет гораздо меньше.

biakus: А Cisco-то тут причем? Читайте disclaimer на блоге ;-) И почему вы говорите, что нельзя изменить ситуацию - можно ;-) И мы (несколько рабочих групп) ее стараемся изменять. Только пока не все становится достоянием гласности.

Анонимный комментирует...

To Quiet Zone:

Ознакомьтесь с целями УК РФ и КоАП РФ, одними из них также будет защита чьих-то там прав..

Говорить о балансе интересов при "кривом" законодательстве, имхо, не совсем корректно.

И насколько орган этот кого-то "нагнул"? Аж на 5500 руб по ст. 13.11 в 2008 году, судя по их отчету. Очень крутые "нагибальщики"..

Алексей Лукацкий комментирует...

Анониму: Это пока 5000 рублей. Сейчас они вносят изменения в КоАП, где планка с 10000 поднимется до 1 миллиона и вот тогда посмотрим. А когда ФСТЭК начнет в рамках КоАП выписывать штрафы до 300 тысяч + конфискация несертифицированных СЗИ + приостановление деятельности, вот тогда и будет всем весело.

Ригель комментирует...

> Что мешает нашим договориться
> с австрийцами о переводе

Прежде всего, это политика: когда страна решает не калькировать евросоюзную нормативную базу, а создавать некую свою (ее право, не хочу сейчас спорить), то все подзаконные, подподзаконные и подподподзаконные тоже будут свои - это ежу понятно, по-моему. Это не выбор регулятора, а воля свыше ака генеральная линия партии.
Во-вторых, я продолжаю упирать на время: сейчас до этого руки еще не дошли, пока набираются эмпирические шишки, это первая стадия зрелости и т.п.
Просто не все сразу наступает.
Вон приедут в следующем году еврокомиссары - опытом поделятся.

Анонимный комментирует...

А вот мнеие "экспертов"
http://www.reignvox.ru/privacy-comments-us-law-analysis.html
У нас оказывается все даже лучше?

Quiet Zone комментирует...

Анонимному:

Осведомлен, не вижу противоречий.

В чем конкретно выражается "кривость" законодательства? Коллизии были и есть всегда, а защита одних прав всегда соседствует с нарушением других. Это закон диалектики и законодательство тут непричем.
Дело не в амплитуде нагибания (это только начало - они еще научат всех настоящей гуттаперчивости;), а в самом стремлении это нагибание осуществлять. А за размерами у нас никогда дело не стояло - главное нАчать, как известно...

Алексей Лукацкий комментирует...

Ригелю: Дело не в подзаконных актах, а в обучающих материалах. PHARE - это описание того, как защищать ПДн и права субъектов ПДн с упором на то, что большинство операторов ничего не понимают в этом процессе. Все разжевывается.

И потом, что мешало заложить в бюджет и освоить деньги на разработку аналогичных рекомендаций? Ведь можно было же ;-)

Ригель комментирует...

Так я и имел под подподзаконными какие-нибудь там "методические рекомендации" третьего слоя. Суть комментария от этого меняется?

Анонимный комментирует...

Алексей!
Я зачитываюсь Вашими статьями в области безопасности информации, но сейчас Вы меня разочаровали. Создалось впечатление, что, кто-то воспользовался Вашим авторитетом в неких пропагандистских целях. Предлагаю не искажать факты.
Вы говорите Роскомнадзор кошмарит бизнес, но ссылаетесь на требования ФСТЭК. Поскольку Вы человек более близкий к последней структуре, чем к первой, то прекрасно понимаете о чем речь!!! (коллапс и путаница - там не то, что оператор, там у остепененных специалистов голова пухнет от непоследовательности и необоснованности). А если Вы читали не только отчет Роскомнадзора, но и административные материалы, а также присутствовали на форумах, то Ваш "наезд" вообще непонятен. Кто операторов раскручивает на "бабки"? Кому Правительство предоставило право издавать нормативно-методические документы в области безопасности ПДн и требования по оценке соответствия СЗИ? Роскомнадзору? Может ли оператор самостоятельно создать и аттестовать СЗПДн не получив лицензии (только не говорите, что может, а то я разочаруюсь в Вашей осведомленности)? Сколько это стоит? Соглашусь с Вами лишь в одном, что Роскомнадзор мог бы за эти полгода (с учетом смены руководящего состава) изменить данное право в свою пользу и тогда я бы полностью встал на Вашу сторону и в Ваших рядах призывал их к ответу. Но предполагаю, что Вы учавствуете в рабочих группах при Правительстве только в качестве эксперта (советника), а значит не имеете представления насколько это трудно внести изменение в постановление. И чем больше создается таких рабочих групп, тем это сложнее, т.к. в них зачастую создается коньюнктура с интересами не столь дальновидными, как у Вас. И очередной раз восхищаюсь ФСТЭК!!! Так "сделать" всю страну. Взять хотя бы введение новых требований к сертификации средств защиты ПДн и не создать системы сертификации. Это на фоне заявлений высших лиц государства просто классика. Через 3 месяца 2010 год, а обещанных документов так и нет. Прям какая-то "Проблема-2010".

Алексей Лукацкий комментирует...

Ригелю: Меняется, конечно. Методичка РКН и некоммерческий образовательный проект PHARE - суть разные вещи.

Алексей Лукацкий комментирует...

Анониму: По пунктам ;-)

1. Я не близок ни к той, ни к другой структуре ;-) Я сам по себе ;-)
2. Я присутствовал на многих выступлениях РКН и могу уверенно заявлять, что они НИЧЕГО не делают для защиты прав субъектов с точки зрения оператора. Они не выпускают методичек, они не отвечают на непростые вопросы, они не разъясняют положения ФЗ. Они только проводят незаконные плановые и внеплановые проверки и рассказывают об этом на весь Интернет (и ни слова про судебные решения). Да, это больше, чем публикует ФСТЭК и ФСБ, но мало для их положительной оценки.
3. По поводу прав... У нас только у Минкомсвязи есть право вырабатывать требования по безопасности ИСПДн в положении о ведомстве. Для ФСТЭК и ФСБ - это довесок, который изначально у них отсутствовал и сейчас отсутствует в положениях о них. И кто сейчас кричит на каждом углу о внесении изменений в ФЗ и изменении КоАП в сторону увеличения штрафов? РКН, а не ФСТЭК и ФСБ.

Анонимный комментирует...

"..но мало для их положительной оценки.."

Какой орган власти в нашей стране заслуживает положительной оценки в сфере своей деятельности?
Только не смешите, плиз..

Великий и ужасный Алексей Лукацкий обрушился с резкой критикой на Роскомнадзор, потому что Роскомнадзор плохо работает и "..НИЧЕГО не делает."
Чем же так бедный Роскмнадзор обидел великого Алексея?

Автор Вам самому не смешно?

Алексей Лукацкий комментирует...

Анониму: А я вообще веселый человек и не боюсь высказывать свое личное мнение. От своего мнения, не прикрываясь анонимностью ;-)

А под лежачий камень вода не течет. Можно тихо сидеть и ругать за рюмкой коньяка регуляторов, а можно что-то попытаться менять. Мне, по крайней мере, не стыдно за то, что я делаю. И если сын меня спросит, вот ты ругаешь регуляторов, а сам что-то сделал для улучшения, то мне есть, что ему ответить.