1 января 2010 г. должен был вступить в силу Федеральный закон «О персональных данных», принятый еще в 2006 году. Однако перед самым Новым годом объявили, что вступление в силу этого закона отложено еще на год. Почему реализацию положений важнейшего документа, призванного обеспечить защиту личной информации от злоумышленников, все время откладывают в дальний ящик?
Мы давно привыкли к тому, что базу данных с номерами мобильных и домашних телефонов, адресами, паспортными данными, номерами машин можно купить за 100-150 руб. с рук на любом рынке, практически в любой палатке. Казалось бы, велика беда? Однако в руках преступников знания оборачиваются разрушительной силой. Благодаря базам данных воры находят состоятельных жертв и обчищают их квартиры. Информация о машинах дает угонщикам все карты в руки. Пользуясь базами данных, мошенники рассылают детальные SMS-сообщения (с упоминанием адресов, имен и т.п.), которые вводят людей в заблуждение, и те по доброй воле расстаются с деньгами, которые моментально уходят в доход злоумышленников.
Уничтожить уже наштампованные базы данных - не такая большая проблема. Значительно сложнее не допустить, чтобы персональные данные воровали и дальше. Такую цель и ставил перед собой Федеральный закон «О персональных данных». Ст. 19 этого закона обязывает все организации принимать необходимые меры для защиты персональных данных от случайного доступа, копирования, неправомерного распространения.
«Такие меры разработаны, и их применение не стоит баснословных денег, - комментирует руководитель Агентства передовых информационных технологий Владимир Коровин. - Большая часть информации утекает из организаций через клерков, которые за умеренную плату выносят данные на обычных дисках или флеш-картах. Чтобы перекрыть им дорогу, достаточно установить в офисах технику, в которой нет гнезд для внешних носителей. Такие технологии уже применяются во многих банках. Кроме того, есть специальные программы, блокирующие любое систематическое копирование сотрудником информации с целью создания из нее базы. В этом случае информация, которую недобросовестный работник уже успел скопировать, автоматически уничтожается, а управление собственной безопасности организации получает предупреждение о данном факте».
Несмотря на доступность подобных технологий, они не применяются в России почти нигде. Лишь 2% предприятий по всей стране обратились в Роскомсвязьнадзор и зарегистрировались как операторы персональных данных, тем самым выразив желание защищать личную информацию своих сотрудников. Остальные 98% даже не начали работать над решением этой проблемы, хотя если бы федеральный закон вступил в силу с нового года, они попали бы в число нарушителей.
«Банки работают над тем, чтобы соответствовать новым требованиям законодательства, - комментирует начальник Правового департамента Ассоциации российских банков Лариса Митяшова. - Однако нам мешает недостаток подзаконных актов, где было бы разъяснено, какие именно технические требования предъявляются к защите персональных данных работников. Формулировка «принимать необходимые организационные и технические меры», на наш взгляд, слишком общая».
«Положения нового закона нуждаются в конкретизации, - добавляет президент Национальной ассоциации дистанционной торговли Александр Иванов. - Когда закон вступит в силу, под предлогом его несоблюдения можно будет закрыть любую организацию. Дескать, она не охраняет персональные данные. А как прикажете охранять, если нет ни одного стандарта в этой области?»
«Мы, законодатели, пока сами не очень понимаем, как упорядочивать систему защиты персональных данных. Хотя такие меры обязательно нужно принимать, - говорит депутат Госдумы Геннадий Гудков. - Положение осложняется тем, что количество персональных данных, нуждающихся в защите, растет из года в год в результате тотальной компьютеризации общества. Информация о взятых гражданами кредитах, обращениях за медицинской помощью, пребывании за границей оцифровывается, заносится в базу и становится потенциальным объектом для кражи. Я боюсь, что вступление закона в силу придется отложить еще не на один год».
Таким образом законодатели безмолвствуют, вместо того чтобы стимулировать организации к защите персональных данных. Кстати, даже если закон вступит в силу в том виде, в каком он принят сейчас, юридические лица вряд ли будут опасаться наказания за его неисполнение. Закон гласит, что виноватые в утечке информации «несут гражданскую, уголовную, административную, дисциплинарную и иную ответственность». Однако наказания, предусмотренные ст. 13.12 кодекса об административных правонарушениях и ст. 137 Уголовного кодекса, на практике применяются крайне редко. Также непонятно, как будет работать положение о гражданской ответственности. Например, вы обнаружили, что номер вашего мобильного телефона стал достоянием общественности. К кому предъявлять претензии через суд - к сотовому оператору? К банку? К страховой компании? Как доказать, что в утечке данных виноваты именно они?