Вторая половина сентября ознаменовалась сразу несколькими инициативами по обновлению законодательства РФ в области защиты персональных данных: депутаты предложили ужесточить наказание за нарушение конфиденциальности, а Роспотребнадзор – ограничить практику сбора личной информации.
О том, какой сектор экономики является наиболее привлекательным для злоумышленников, как российское законодательство защищает данные граждан и достаточно ли предлагаемых правовых гарантий для повышения уровня безопасности, в материале РАПСИ, завершающем цикл исследований относительно персональных данных.
Необходимость обновить нормативно-правовую базу в области защиты персональных данных начала формироваться с 2015 года, когда количество утечек конфиденциальной информации начало стремительно расти. В 2019 году Россия и вовсе заняла второе место в мире по распространенности такого рода махинаций, следует из исследования InfoWatch.
И даже в таких условиях проблема не была настолько острой, как сейчас, поскольку крупный бизнес имел возможность действовать на опережение, используя стратегии устойчивого развития и опираясь на внутренние документы.
Однако пандемия коронавируса внесла свои коррективы в способность компаний противостоять злоумышленникам. Во-первых, предпринимательский сектор стал более уязвим для ответа на внешние (хакерские атаки) и внутренние (утечки информации) угрозы ввиду экономического кризиса. Во-вторых, самоизоляция способствовала переходу в онлайн-пространство не только легальных видов деятельности, но и мошенничества. Так, по данным МВД России, число уголовных дел о телефонном и интернет-мошенничестве выросло на 76% в период карантина.
Очевидно, в таких условиях вопрос о совершенствовании мер по защите персональных данных перешел из категории далеких перспектив в злободневную потребность федерального масштаба. В этой связи особый интерес представляет анализ уже действующих норм, а также успешного опыта крупных компаний.
Обязанности и ответственность
Действующий в России ФЗ «О персональных данных» определяет любое физическое или юридическое лицо, осуществляющее обработку персональных данных, как оператора. Тот же закон предусматривает обязанность оператора по оформлению позиции относительно персональных данных и обработке личной информации в соответствии с этими положениями.
В этой связи на сайтах большинства компаний – представителей крупного бизнеса – можно обнаружить раздел с публичной политикой по обработке конфиденциальных сведений. Документ дает субъекту возможность ознакомиться с тем, какие персональные данные обрабатываются оператором, каким образом и зачем, а также в каких случаях может быть отозвано соглашение на обработку.
Александр Зорин, адвокат, к.ю.н.:
«Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.
К таким мерам, в частности, могут относиться следующие действия: осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего ФЗ; ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных и т.д.».
Кроме того, российское законодательство отдельно уточняет необходимость защиты персональных данных работников при трудоустройстве (глава 14 Трудового кодекса РФ), обозначая наличие ряда взаимных прав, обязанностей между сотрудником и работодателем.
Ответственность за нарушение требований по защите персональных данных предусмотрена как статьей 90 ТК РФ, так и соответствующим федеральным законом. А моральный вред, причиненный субъекту персональных данных, подлежит возмещению.
Александр Зорин, адвокат, к.ю.н.:
«Административная ответственность за нарушение законодательства о защите персональных данных закреплена в статье 13.11 Кодекса РФ об административных правонарушениях.
Что касается уголовной ответственности, то в данном аспекте стоит рассматривать ст. 272. УК РФ (неправомерный доступ к компьютерной информации), диспозиция которой говорит о неправомерном доступе к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации.
При определенных обстоятельствах противоправные деяния с конфиденциальными сведениями могут быть квалифицированы по статьям 137 УК РФ (незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации) и 173.2 УК РФ (запрещающее незаконное использование персональных для создания подставного лица при создании юридического лица)».
Если рассмотреть основные пункты актов, касающихся персональных данных, становится очевидно, что предлагаемых мер по ужесточению ответственности или даже ограничению процесса сбора конфиденциальной информации может быть недостаточно.
Так, по мнению адвоката Александра Зорина, российская нормативно-правовая база нуждается в отдельном уголовно-правовом составе за неправомерное использование персональных данных, который позволил бы рассматривать подобные действия как отдельное преступление, а не в контексте хакерских вторжений, подставных лиц или слежки.
Статистика, полученная по итогам исследования «СёрчИнформ», подтверждает необходимость появления нового состава. Ведь в большинстве случаев утечки конфиденциальных сведений происходят по инициативе «инсайдеров» – сотрудников компаний, действующих за вознаграждение со стороны. Аналитики подсчитали, что только за первое полугодие 2020 года 60% утечек произошло по причине преднамеренных действий сотрудников организаций, имевших доступ к базам данных.
Подобные действия сотрудников компании невозможно отнести однозначно ни к одному из вышеописанных составов, а значит, все актуальнее становится запрос юридического сообщества на появление нового уголовно-правового состава.
Действие не равно противодействию: опыт «Роснефти»
Вышеупомянутое исследование демонстрирует, что наиболее часто действиям злоумышленников подвергаются государственные организации: число случаев за отчетный период текущего года составило 15,2% от всех инцидентов.
Зарубежные СМИ еще на фоне принятия Общего положения о защите данных в ЕС (GDPR) пришли к выводу, что энергетический сектор наиболее привлекателен для мошенников по ряду причин.
Во-первых, эта отрасль во всем мире переживает период цифровизации, в результате которой информационные и коммуникационные технологии (ИКТ) все чаще используются во всех направлениях деятельности. Это ведет к растущей оцифровке процессов производства, хранения и потребления, а компании топливно-энергетического комплекса превращаются в хранителей огромных массивов данных. Во-вторых, уязвимость ТЭК и, как следствие, потребность в усиленной защите обусловлены его стратегической значимостью.
Очевидно, что актуальность последнего довода для российского энергетического сектора кратно выше, поскольку страна является одним из мировых лидеров по добыче и экспорту углеводородов.
Наиболее показателен в этой связи опыт ПАО «НК «Роснефть», которое ни разу за все время существования – почти 30 лет – не было замешано в инцидентах, связанных с утечкой персональных данных.
Казалось бы, причина такого результата кроется в максимальной закрытости компании с использованием многоуровневых систем безопасности, ответственности за разглашение данных и других форм секретности. В реальности же «Роснефть» даже на мировом уровне признается одной из наиболее открытых НК: высокая оценка в области прозрачности (Transparency) принесла компании первое место среди российских компаний в рейтинге по соблюдению прав человека (CHRB).
Причем результаты опроса, проведенного PwC, говорят о том, что открытость компаний для клиентов является фактором, позволяющим как приобретать их доверие впервые, так и восстанавливать после разного рода инцидентов.
Еще одной отличительной чертой политики «Роснефти» являются регулярные инвестиции в стратегии управления персоналом. То, что зачастую называют европейским подходом, подразумевая социальные гарантии, мотивационные встречи, равенство поощрений и взысканий, а также главенство правил, присутствует в стратегии «Роснефть-2022». Безусловно, благоприятный климат в коллективе – это причина, препятствующая возникновению внутренних угроз безопасности со стороны ранее упомянутых инсайдеров, т.е. сотрудников компании.
Алексей Парфентьев, руководитель аналитики «СёрчИнформ»:
«Каждый десятый инцидент (в области информационной безопасности – прим.ред.) – это негативные обсуждения событий в компании, коллег, руководства. Это деструктивный фон, который при недостаточном внимании со стороны службы безопасности и руководства может приводить к снижению продуктивности, увольнению ценных сотрудников, саботажу».
Немаловажную роль в предотвращении мошенничества с конфиденциальными сведениями играет использование надежных систем безопасности. После 2017 года, когда компьютеры «Роснефти» и подконтрольной ей «Башнефти» подверглись хакерской атаке, НК стремительно стала наращивать объемы по разработке и использованию собственного программного обеспечения. Таким образом, вероятность внешнего вмешательства в деятельность «Роснефти» с каждым годом пропорционально уменьшается.
Подводя итоги, можно сделать вывод о том, что первостепенной задачей для законодателя в нынешних условиях является формирование новых форм взысканий для нарушителей ФЗ «О персональных данных». Опыт «Роснефти» демонстрирует, что ответственное отношение компании к информации о клиентах и разработках гораздо эффективнее формируется в условиях рыночной конкуренции и необходимости иметь соответствующую репутацию на мировом рынке.
Людмила Кленько
