Защита персональных данных
Защита персональных данных
Что такое персональная информация? Почему возникла необходимость во всем мире принимать развернутое, детализированное и достаточно жесткое законодательство по защите персональных данных? Обыденная ситуация — мы делаем заказ DVD на сайте. Указываем адрес доставки и контактный телефон. Мы не подозреваем ничего плохого, так надо, чтобы курьер привез выбранные фильмы к нам домой. Через некоторое время в почтовый ящик начинает приходить спам, незнакомые фирмы шлют свои предложения и звонят, называют по имени. Неприятно. Бывают ситуации и с криминальным оттенком. Например, многие пользуются сейчас интернет-банкингом, и случаи воровства данных счетов, пластиковых карт хорошо известны.
Сейчас во многих странах, в том числе и в России, активно реализуется концепция «электронного правительства», в которой также предусмотрена возможность обращения граждан Российской Федерации к правительственным и муниципальным учреждениям через Интернет. Где гарантия сохранности личной информации? Почему вообще наши данные из интернет-магазинов, электронных систем и баз данных попадают в руки мошенников, злоумышленников и просто недобросовестных людей? Причин много — недобросовестность или неквалифицированность персонала веб-ресурсов, целенаправленный взлом баз данных и мное другое.
Защита персональной информации в Евросоюзе
Этой проблемой в Евросоюзе озаботились уже более двадцати лет назад, когда были заложены основные принципы в «Конвенции Совета Европы о защите личности в связи с автоматической обработкой персональных данных». А в 1995 и 1997 гг. были приняты Директивы Совета Европы, детализирующие требования и учитывающие развитие средств коммуникаций, обработки и хранения данных. В этих документах прямо указано, что любые личные сведения, содержащиеся и обрабатываемые в автоматизированных базах данных, должны быть защищены от несанкционированного доступа и нецелевого использования. Приведем основные требования, предъявляемые Советом Европы к защите личной информации.
Персональные данные, проходящие автоматическую обработку:
- должны быть получены и обработаны добросовестным и законным образом;
- должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;
- должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;
- должны быть точными и в случае необходимости обновляться;
- должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.
Более того, каждый человек имеет право знать, включены ли его данные в ту или иную базу, как они обрабатываются. По желанию человека его данные должны быть незамедлительно исключены из любой базы или откорректированы, если он нашел ошибки.
Следует отметить, что директивы Совета Европы учитывают очень быстрое развитие различных технических средств, поэтому в формулировках специально оговаривается, что действие требований распространяется на любые, в том числе и вновь появившиеся средства хранения, обработки и передачи данных. Это очень важно, поскольку за прошедшие 10 лет появились и получили широкое распространение такие способы передачи данных, как Bluetooth, WiFi.
Что же это означает на практике? Если вы используете базу данных для приема заказов в интернет-магазине, то незачем собирать паспортные данные покупателей или, скажем, номера их страховых полисов. Это будет незаконно. Если же страховая компания продает полисы автострахования, то сбор паспортных данных, информации о водительских правах будет вполне допустимым. Тем не менее перед отправкой формы пользователя необходимо предупредить о внесении его данных в базу и в явной форме запросить согласие. В общем, работы веб-мастерам прибавится. То же самое можно сказать и о популярных ныне WiFi-зонах в различных кафе, отелях и т. п. Приведу пример из собственного опыта. Во время отпуска я активно пользовался в отеле услугами WiFi, которые были включены в общий счет. Поскольку при подключении ноутбука к WiFi-сети идентифицировался мой номер гостя, значит, была доступна и информация о моих паспортных данных, месте жительства, которую я предоставил при заселении. Защищены ли мои личные данные?
Вступив в Совет Европы, Россия постепенно приводит свое Законодательство в соответствие с его требованиями. Некоторое время назад часть требований по защите данных в информационных системах была заложена в Законе «Об информации, информатизации и защите информации». В 2005 году была ратифицирована «Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных». Федеральный закон РФ «О персональных данных» определяет основные требования к обеспечению сохранности данных граждан при их обработке и хранении в информационных системах.
Какие сведения относятся к конфиденциальным персональным данным
В первую очередь в нем устанавливается состав данных, относимых к персональным: “персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация”. Как и в европейском законодательстве, допускается сбор только тех данных, которые необходимы для конкретной работы, и хранить их можно только то время, которое потребуется на проведение операции, обслуживания клиента и т. п. Еще одним ограничением является требование на обязательное согласие человека на обработку его данных. Правда, из этого правила есть многочисленные исключения. Например, для обеспечения безопасности государства или в случаях, когда сбор и обработка данных требуются Федеральным законом. На практике это означает, что страховая компания, продающая через свой сайт полисы обязательной автогражданки (ОСАГО), может не запрашивать согласие застрахованного. Также не потребуется получения согласия при обработке данных для получения статистических выборок. В этом случае информация должна быть обезличена. Немаловажно отметить, что аналогичные требования прдъявляются и к работе с биометрическкими данными, о которых так много говорится в последнее время.
Спам под запретом
Отдельная статья Закона посвящена назойливому распространению любой рекламы. Термин «спам» в ней не содержится, однако ясно указано, что адресное направление рекламы любыми средствами коммуникаций допускается только с заранее полученного согласия человека. В противном случае рекламодатель обязан удалить из базы любые имеющиеся у него данные о человеке. Очень хорошее положение, однако для его реализации в Законе не предусмотрено конкретных механизмов. Есть общие положения о федеральном органе по надзору и об ответственности оператора — нарушителя в установленном порядке.
Порядок сертификации средств связи, баз данных, информационных систем
Итак, чтобы получить право на работу с персональными данными, оператор должен пройти процедуру сертификации своих аппаратных и программных средств, к которым относятся:
- автоматизированные системы различного уровня и назначения;
- системы связи, приема, обработки и передачи данных;
- системы отображения и размножения;
- помещения, предназначенные для размещения аппаратно-программных комплексов.
Для перечисленных объектов обязательно использование систем шифрования и криптования информации, как аппаратных, так и программных. Обмен данными должен быть защищен использованием безопасных протоколов.
На государственном уровне обязанности по контролю за соблюдением прав граждан при обработке их персональных данных возложены на «федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных». На практике эти функции сейчас осуществляет Федеральная служба по техническому и экспортному контролю. Она же выдает лицензии организациям, которые имеют право проводить сертификацию и аттестацию операторов. Сейчас таких организаций свыше 200.