Персональные данные самоурегулируются

Прозрачное общество

Беда в том, что сегодня в обществе наблюдается некоторый ментальный разрыв: киберпреступники уже вовсю распахивают ниву персональных данных (ПД), а люди доверяют свои сокровенные данные буквально первым встречным. Причем, зачастую делают это совершенно добровольно. Так, исследование GfK показало, что 27% интернет-пользователей в 17 странах мира полностью поддерживают идею поделиться своими персональными данными в обмен на преимущества, например, скидки или персонализированный сервис. В возрастной группе 30 - 40 таковых оказалось больше трети (34%). Согласно российскому исследованию, проведенному «Лабораторией Касперского», 39% россиян готовы ради сетевых лайков раскрывать буквально всю «подноготную», включая членов семьи и друзей.

Самая сложная ситуация – с детьми: они прекрасно пользуются современными технологиями, но не понимают всех опасностей виртуального мира. Они сами выкладывают в Сеть огромное количество личной информации, не подозревая, к каким бедам это может привести. Сегодняшним младшим школьникам, наряду с чистыми руками, необходимо прививать навыки «информационной гигиены». Им, а также их родителям, нужно крепко-накрепко запомнить, что те многочисленные опасности, которые сегодня подстерегают людей в Интернете, очень часто связаны с нарушением прав субъектов персональных данных, то есть нас с вами.

Интересно, что обработкой персональных данных активно занимаются вполне добропорядочные компании и организации, для которых это направление, вообще говоря, не связано с основной деятельностью. Скажем, российские школы активно внедряют электронные формы дневников и журналов и требуют от родителей различных сведений о них самих и о ребенке. Согласно нынешним законам, такие проекты являются пилотными и подразумевают исключительно добровольное согласие родителей на предоставление данных о несовершеннолетних.

Другой пример: ИТ-компании предоставляют своим заказчикам услуги мониторинга Интернета, включая сервис проверки благонадежности компании или частного лица на основе сведений, которые они черпают из некоторых баз данных. Здесь, с точки зрения Роскомнадзора России, наблюдается явное нарушение закона, так как ПД граждан могут использоваться лишь в тех целях, ради которых они собирались.

Тем не менее, открытые источники хранения персональных данных процветают, как и повсеместная практика принятия условий пользовательского соглашения «по умолчанию» и предоставление доступа к персональным данным неограниченному кругу лиц, ведь они помогают вести бизнес.

Задача со многими неизвестными

Как можно улучшить ситуацию, если принять во внимание, что в федеральном Реестре операторов ПД (те компании, которые завили о том, что собирают и обрабатывают ПД российских граждан) сегодня почти 371 с половиной тысячи организаций?

Задача очень сложная, ведь все это множество компаний невозможно структурировать, скажем, по отраслевому принципу или по масштабу деятельности. Единственное, что их объединяет, – это обработка ПД и соответствие требованиям закона об условиях безопасности персональных данных. Традиционный механизм ведомственных проверок радикально ситуацию не изменит: виртуальный бизнес необычайно гибок – компания может практически мгновенно начать бизнес в Интернете и так же быстро его прекратить. Да и регулярные проверки сотен тысяч компаний – занятие не очень эффективное, если вести речь идет об оперативных выявлениях специально задуманных нарушений закона.

Между тем, жизнь не стоит на месте: активно развиваются различные метрические интернет-системы типа Яндекс.Метрика или Google Analytics, технологии Big Data переходят в плоскость реальных прикладных ИТ-решений – на рынке уже не редкость – коммерческое предложение «проанализировать соцсети и выявить потенциальных клиентов» и т.п. ИТ-решения таких типов, возможно, стоит приравнять к обработке ПД. Юридическое решение этих вопросов – в самом начале пути.

Роскомнадзор: Выход в саморегулировании

Опираясь на позитивный опыт функционирования саморегулируемых организаций (СРО) в различных отраслях экономики, в своей стратегии развития до 2020 г. Роскомнадзор РФ решил применять методы стимулирования добросовестного поведения компаний в Сети с помощью отраслевого самоконтроля. Принцип отраслевого самоконтроля подразумевает формирование в общественном сознании образа «легитимного оператора ПД». Этот легитимный оператор обязательно зарегистрирован в Реестре операторов персональных данных и строго следует законам РФ в части сбора и обработки ПД, то есть не передает эти данные третьим сторонам, не пытается уклониться от подтверждения конкретным человеком своего согласия на обработку ПД в явном виде и т.д. И, конечно, не может быть речи о продаже ПД мошенникам.

В этой работе Роскомнадзор опирается на профессиональные объединения операторов ПД. Совместно с ними к концу прошлого года был разработан «Кодекс добросовестных практик», в котором сформулированы принципиальные элементы взаимодействия оператора ПД, граждан и государства, необходимые для поддержания баланса их интересов в вопросах надлежащего поведения в сети Интернет.

Например, компания, подписывающая Кодекс, заявляет о том, что она заинтересована в максимально эффективном и безопасном использовании возможностей сети Интернет. В том числе, в снижении рисков, связанных с неосведомленностью всех заинтересованных лиц об угрозах вмешательства в частную жизнь, о требованиях законодательства РФ. Компания также берет обязательство способствовать формированию условий для обеспечения безопасного и правомерного обмена информацией в сети Интернет, а также содействовать внедрению мероприятий по формированию культуры безопасного поведения в сети Интернет.

На настоящий момент «Кодекс добросовестных практик» подписали, например, такие отраслевые объединения, как Ассоциация российских банков, Ассоциация руководителей служб информационной безопасности, Союз субъектов страхового дела «Национальная страховая гильдия», Российский союз автостраховщиков, Ассоциация электронных коммуникаций, а также «Почта России», крупнейшие операторы связи страны и т.д.

Отраслевые сообщества сегодня заняты разработкой отраслевых стандартов обработки ПД. Затем будут выработаны единые требования саморегулируемых организаций в части обработки персональных данных. А на период 2018-2020 гг. запланирован запуск системы рейтингов отраслевых СРО.