29 декабря 2023 г.

С Новым 2024 годом!

 С наступающим 2024 годом!

Новых успехов в новом году!

Новых интересных и значимых проектов, надежных партнеров!

Мира и согласия в ваших семьях, надежных и понимающих друзей!

Позитива во всем и положительных эмоций!



21 декабря 2023 г.

Персональные данные и искусственный интеллект

19 декабря на портале RSpectr опубликована статья Тимура Халудорова «Данные в никуда. Как защитить конфиденциальную информацию при работе с искусственным интеллектом», в которой есть и мои комментарии на тему использования искусственного интеллекта (ИИ) для обработки персональных данных и иной информации ограниченного доступа.

Для тех, кому интересно, публикую полную версию ответов, подготовленных мною при подготовке публикации на портале.

1.  Нужно ли менять подход к защите персональных данных при использовании сотрудниками ИИ в своей работе? Что и как нужно изменить? Возможно ограничить доступ к подобным моделям внутри своей компании или что-то еще? Считаете ли Вы, что ИИ, собирающий чувствительную информацию в принципе перевернет весь комплаенс в сфере персданных?

На сегодняшний день, когда архитектура построения ИИ и схема взаимодействия с внешним миром, сетью Интернет в том числе, пользователям практически неизвестны, как и возможности ИИ передавать ChatGPT и подобным сервисам, использующим ИИ, информацию ограниченного доступа, в том числе персональные данные, на мой взгляд, вообще недопустимо. Совершенно неясно, как ИИ будет использовать полученные данные, где хранить, кому передавать при решении других задач. Буквально на днях появилось сообщение из МТИ и Калифорнийского университета, что саморазвивающиеся модели ИИ могут создавать подсистемы ИИ без помощи и участия человека. Что и как будут обрабатывать эти подсистемы, где это будет происходить, кто получит результаты? Пока однозначных ответов нет, необходимо ограничить использование ИИ для обработки конфиденциальных данных. Революции в комплаенсе пока не предвидится. Но ограничения вводить надо. 

2.  Нужно ли менять подход к организации систем кибербезопасности к защите персональных данных при использовании сотрудниками ИИ в своей работе. Что и как нужно изменить? Возможно ограничить доступ к подобным моделям внутри своей компании или что-то еще? Проще говоря, как защищать и надежно хранить персональные данные в таких условиях?

Ответ простой – не передавать персональные данные ИИ и не хранить их в системах, использующих ИИ. Но соблазн упростить себе жизнь очень велик, значит, надо существенно усилить контроль за движением данных, их выходом за пределы информационных систем операторов. Утечек и так катастрофически много, и добавление к существующим принципиально новых групп риска требует гораздо более жесткого контроля.

3.  Какие регуляторные инициативы могли бы помочь в защите сферы персданных от ИИ?

Необходимо очень четко и конкретно определить, какие данные можно передавать для машинного обучения ИИ. Тенденция к полному отказу от свободного оборота обезличенных данных, которые в законе теперь именуются «персональные данные, полученные в результате обезличивания персональных данных», представляется ошибочной. На статистике построено огромное количество бизнес-процессов в самых разных областях – банковском деле, страховании, медицине, фармацевтике, маркетинге, а вся статистика строится на обезличенных данных. Предъявлять к ним более жесткие требования, чем к данным до обезличивания – путь абсурдный. Так, в законопроекте о поправках в закон о персональных данных, получивших среди специалистов название «закон об обезличивании», принятом в первом чтении, предполагается уничтожать обезличенные данные сертифицированными ФСТЭК или ФСБ средствами защиты информации. Такие требования не выдвигаются в отношении не обезличенных данных, за исключением биометрических.

В то же время до сих пор нет ясности, а как же надо обезличивать данные, чтобы не было возможности соотнести их с конкретным определяемым субъектом. Одна из причин этого – отсутствие в российском законодательстве понятия анонимизации данных и отличия этих действия от обезличивания.

Вот эти вопросы надо решать на регуляторном уровне уже сегодня, и срочно.    

7 марта 2023 г.

18 мая: разбираемся с нормативными актами по реформе законодательства о персональных данных

18 мая в Учебном центре «Информзащита» проведу вебинар «Изменения в законодательстве о персональных данных в 2023 году, действия операторов» по нормативным правовым актам, реализующим новые требования закона «О персональных данных» (внесенные Федеральным законом от 14.07.2022 №266-ФЗ), вступившим в силу 1 сентября 2022 года и 1 марта этого года.

Мы вместе проанализируем 4 постановления Правительства РФ, 5 приказов Роскомнадзора, приказ ФСБ России*.

Разберемся, как будут работать новые правила трансграничной передачи и как долго придется ждать решения по намерению передавать персональные данные за границу в новую страну или с новыми целями, надо ли банкам подавать уведомления о передаче персональных данных в связи с денежным переводом в страну, которая в уведомлении ранее не указывалась, и об автоматическом обмене финансовой информацией с компетентными органами иностранных государств.

Обсудим, когда нужен акт об уничтожении персональных данных, как его подготовить и оформить, что делать, когда уничтожаются данные в «чужих» системах, находящихся в дата-центрах и облаках или используемых по схеме SaaS.

Пройдемся по алгоритму действий в случае утечки персональных данных и порядку подачи первичного и дополнительного уведомления об этом печальном событии, в том числе теми операторами, которые подключены и не подключены к ГосСОПКА.

Попытаемся понять, зачем нужен акт об оценке вреда субъекту в случае нарушения закона и как его правильно оформить.

Напомним, кто и зачем может прийти с проверкой к оператору персональных данных в условиях введенного моратория на надзорные мероприятия.

Выясним, какие изменения произошли в уведомлениях, которые надо подавать в Роскомнадзор и каковы последствия этих изменений для операторов.

Вебинар спланирован таким образом, что значительное его время заложено на ответы на вопросы его слушателей.

Ждем в гости. Скучно не будет точно.    

* - Будут проанализированы изменившиеся требования закона и положения постановлений Правительства РФ от 29.12.2022 № 2526, от 10.01.2023 № 6, от 16.01.2023 № 24, от 04.02.2023 № 161, приказов Роскомнадзора от 05.08.2022 № 128, от 27.10.2022 № 178, от 28.10.2022 № 179. от 28.10.2022 № 180, от 14.11.2022 № 187, приказ ФСБ России от 13.02.2023 № 77.

13 декабря 2022 г.

Оценка вреда: анализируем новые требования

Как знают все интересующиеся, с 1 сентября этого года, в соответствии с новой редакцией пункта 5 части 1 статьи 18.1 закона «О персональных данных», оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения данного закона, должна проводиться оператором в соответствии с требованиями, установленными Роскомнадзором.

Делается эта оценка, как следует из текста закона, для обеспечения соотношения вреда и мер, принимаемых оператором для обеспечения выполнения обязанностей, предусмотренных законом.

То есть чем больше вред, тем больше придется потратить сил и средств для предотвращения его нанесения субъектам. А если вред незначительный, то тратиться особо ни к чему, поскольку в этом случае ничего больше мыши гора все равно не родит.

Кто не помнит, и уровни защищенности должны были быть определены с учетом возможного вреда субъекту, поскольку чем уровень выше, тем больше и объемнее и состав мер по обеспечению безопасности персональных данных. Но в Постановлении Правительства РФ № 1119 от 01.11.2012 про вред нет ни слова, поэтому и уровни мы благополучно определяли без его учета.

С того же 1 сентября вред надо оценивать также при утечке персональных данных и указывать его в уведомлении, направляемом в Роскомнадзор о произошедшей утечке персональных данных, которая деликатно именуется в законе «фактом неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных».

Прежде чем пойти дальше, обратим внимание на два момента, зафиксированных в законе:

·        вред наносится именно субъекту персональных данных (казалось бы, очевидно, но как будет видно ниже, нет);

·        вред возникает при нарушении требований закона «О персональных данных» (даже если субъекту крайне неприятно то, что сделал оператор, но закон не нарушен, перспективы возмещения убытков и компенсации морального вреда более чем туманны). 

И вот 29 ноября свершилось! После согласования и регистрации в Минюсте был опубликован Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"».

Следуя сложившейся в последнее время традиции, текст требований, утвержденных приказом, существенно отличается от того, который был опубликован для обсуждения на портале раскрытия информации regulation.gov.ru. Наверное, потому что были учтены многочисленные предложения и пожелания обсуждавших его специалистов.

Приказ требует от оператора для оценки вреда субъекту определить одну из трех степеней вреда (высокая, средняя, низкая), который может быть причинен субъекту персональных данных в случае нарушения закона (определить для оценки вреда одну из степеней – так буквально и написано в приказе). Правда, зачем это делать оператору, совершенно не понятно, поскольку в приказе случаи, в которых возникает та или иная степень вреда, определены в виде закрытого перечня.

А вот сами случаи, когда возникает та или иная степень вреда, требуют более детального рассмотрения. Внимательно проштудировав приказ, я разделил их на три группы:

·        когда действия оператора прямо нарушают закон;

·        когда обработка (видимо, по мнению авторов приказа) создает высокие риски для субъекта в случае инцидента, но сама по себе закон не нарушает;

·         когда никакого нарушения закона нет или субъекту вообще совершенно безразлично, что делает в данном случае оператор. 

Наличие случаев, не нарушающих закон, но наносящих вред субъекту, мягко говоря, удивляет. Но давайте разбираться дальше.

Действия оператора, нарушающие закон:

·       обработка персональных данных несовершеннолетних для исполнения договора или заключения договора в случаях, не предусмотренных законодательством РФ (интересно только, является ли сама статья 26 ГК РФ случаем, предусматривающих возможность заключения сделок несовершеннолетними, и, соответственно, заключение с договоров с ними предусмотренным законодательством основанием по мнению авторов закона «О персональных данных»?);·         сбор персональных данных в базы данных, находящиеся за пределами РФ;

·        обработка персональных данных в дополнительных целях, отличных от первоначальной цели сбора (правда, слов при отсутствии в этом случае согласия субъекта в приказе нет, но будем считать, что авторы исходили из буквального прочтения принципов обработки, установленных статьей 5);

·        получение согласия на обработку, предусматривающего обработку персональных данных определенным и (или) неопределенным кругом лиц в целях, не совместимых между собой (это одно нарушение или два?).

Действия оператора, закон не нарушающие, но создающие риски для субъекта:

·        обработка специальных категорий персональных данных или биометрии в случаях, когда законами не установлены цели, порядок и условия обработки данных; но и в статье 10, и в статье 11 определено такое основание обработки, как наличие согласия субъекта в письменной форме, и обработка при его наличии в целях, указанных в согласии, закон никак не нарушает; тем не менее приказ относит такую обработку к создающей максимальную, высокую степень вреда;

·        обезличивание персональных данных для скорринга или проведения исследований, отличных от статистических или от (внимание!) иных исследовательских целей (вот прямо так, исследований, отличных от иных исследовательских целей); но в части 1 статьи 6 есть такое основание обработки, как согласие; и что тогда нарушает закон, если субъект с обезличиванием согласился?

·        распространение персональных данных на официальном (а на неофициальном можно?) сайте оператора в сети Интернет, предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия представления (и снова вопрос о согласии как законном основании, прямо предусмотренным статьей 10.1);

·        продвижение товаров, работ, услуг на рынке путем прямых контактов с потребителем с использованием баз персональных данных, владельцем которых является иной оператор (видимо, опять подразумевается отсутствие согласия субъекта на это, но поручение в этом случае обработки, например, обзвона клиентов, колл-центру с передачей базы данных для исполнения поручения и согласии субъекта также закон не нарушает);

·        получение согласия на обработку персональных данных на сайте в сети Интернет (конечно, официальном) без дальнейшей идентификации и (или) аутентификации субъекта; законом такие действия не запрещены и во многих случаях избыточны, например, при заказе доставки товара через сайт.

Действия оператора, соответствующие закону:

·        поручение иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан РФ, которое законом не запрещено;

·        ведение общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Закона о персональных данных; в соответствии с законом – вообще без комментариев;

·        назначение в качестве ответственного за обработку персональных данных лица, не являющегося штатным работником оператора; закон прямо предусматривает такую возможность, а субъекту совершено безразлично в музыкальном, цветовом, ботаническом и иных аспектах, кто там у оператора ответственное лицо.

Извините, но это все. Больше никаких случаев возникновения вреда субъекту в приказе нет. А где же утечки, несанкционированный доступ, размещение на сайтах без согласия субъекта и прочие страшные вещи, которые творят операторы, попирая права и свободы субъекта, нарушая неприкосновенность личной жизни? Их нет у меня в приказе.

Принятый документ вызывает массу вопросов. Основные, с моей точки зрения:

·        зачем такой приказ нужен, и что с ним делать?

·        зачем оператору определять вред, если надзор все уже определил?

·        как оценивать вред в случаях, не указанных в приказе, но явно нарушающих права субъектов, в частности, при утечках, что является обязательным по закону?

Перечень вопросов могу продолжать долго.

В сегодняшнем постике обойдемся без инструкций по применению и рецептов. У меня их нет. А проблема есть.

29 ноября 2022 г.

Трансграничка персональных данных после 1 марта. Инструкция по применению

Думаю, что абсолютно все, кто хоть немного в теме, знают, что с 1 марта 2023 года радикально меняется схема трансграничной передачи персональных данных. От уведомительной системы передачи мы переходим к разрешительной, причем разрешение фактически должно быть получено (ему равноценно отсутствие запрета или ограничений, что в любом случае предполагает уведомление Роскомнадзора) для каждого государства, в которое данные планируется передавать. Тем не менее у наших заказчиков и коллег предстоящая реформа по-прежнему вызывает много вопросов. Постараюсь в посте коротко ответить на наиболее частые.

Отвечать буду, как завещала в научно-практическом комментарии к закону незабвенная Антонина Аркадьевна Приезжева: исходя из буквального толкования, применяемого в правоприменительной практике «по умолчанию».

Первый (и постоянный, и самый частый) вопрос – а что такое трансграничная передача персональных данных? Пункт 11 статьи 3 отвечает на него просто и однозначно: передача на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Что, любая передача? И электронное письмо тоже? Да, любая и мылом тоже. Как только ваш коллега где-нибудь в условной Кракожии получит письмо с вашими ФИО, должностью, номером телефона и адресом электронной почты, худшее уже случилось. Есть персональные данные, иностранное государство, иностранные лица: физическое – получатель письма и юридическое - его работодатель, которому принадлежит почтовый сервер. Все признаки трансграничной передачи в полном наличии. Ссылки на то, что письмо отправил работник, и это деяние не регулируется 152-ФЗ, исходя их пункта 1 части 2 статьи 1 закона, несостоятельны – переписка служебная, ведется в рамках должностных обязанностей, оператор в отношении всех данных в ней – работодатель, и под личные и семейные цели письмо никак не подпадает.

И все остальное – использование зарубежных облаков, ИСПДн за границей, как корпоративных, так и используемых только российским оператором (многие по-прежнему, но, я думаю, уже ненадолго, любят больше Salesforce, Taleo или, например, WorkDay), и бронирование гостиницы в booking.com для работника или работником, и покупка билетов на самолет для загранкомандировки – все это трансграничная передача. Как бы грустно это ни звучало.

Что же дальше? А дальше – строго по тексту новой редакции статьи 12 закона.      

Систематизируем все цели трансграничной передачи, заодно оцениваем, точно ли нам эти цели нужны или дешевле, проще и перспективнее, в том числе с точки зрения перспектив попадания в ту или иную группу тяжести, от чего-то отказаться вообще.

Составляем для каждой цели перечни передаваемых трансгранично персональных данных и оцениваем, точно ли все эти данные так необходимы для заявленной цели, а также какие у нас есть правовые основания передачи третьему лицу. Поклонники GDPR вспоминают, что так уважаемый в Евросоюзе законный интерес в России контроль и надзор убеждает не сильно, и скорее всего в большинстве случаев для каждого субъекта надо будет иметь согласие на передачу третьему лицу (смотрим прошлогоднее Информационное письмо Банка России и Роскомнадзора и еще раз перечитываем статью 88 ТК РФ).

Выявляем всех получателей персональных данных за рубежом: владельцев зарубежных систем, вычислительных мощностей, контрагентов, с которыми ведется переписка, в том числе входящих в международную группу компаний, фиксируем (или получаем, если не было раньше) их контакты, а также сведения о мерах по защите передаваемых персональных данных и об условиях прекращения их обработки. В какой форме, каком объеме и как – похоже, проблема российского оператора.

Определяем адекватность государства, в юрисдикции которого находится каждый получатель, для неадекватных, которым не посчастливилось попасть в Перечень, утвержденный приказом Роскомнадзора от 05.08.2022 № 128, – разбираемся с правовым регулированием обработки персональных данных (не стройте иллюзий: не пытаемся разобраться, а именно разбираемся, а вот как, для меня пока это тайна великая, особенно для обычного, рядового оператора, без мощного подразделения инхаус-юристов и учитывая цены на анализ зарубежного законодательства в юридических компаниях). Очень рекомендую завести специальную форму для фиксации всех этих данных, иначе потом могут возникнуть большие трудности. И не забываем, что уведомление о текущей трансграничной передаче надо направить в Роскомнадзор до 1 марта 2023 года. К этому же времени придется решить для себя все те проблемы, о которых я конспективно упомянул. Что времени еще много, только кажется. Мы с заказчиками пробуем.

О новой трансграничной передаче (в новую страну) уведомляем Роскомнадзор. В адекватные страны, не дожидаясь ответа надзора, данные отправляем, в отношении получателей в неадекватных, типа Штатов – ждем, не получим ли мы требования о запрете или ограничении передачи, и лишь, если их не будет – пишем свои «ненужные» письма. И никак иначе.

Все, что я написал выше, государственным и муниципальным органам знать не обязательно, для них будет отдельное постановление правительства. И, если их работники потратили время на чтение поста, трата была напрасной.

Остались нюансы. Поскольку среди наших клиентов много кредитных и прочих финансовых организаций, нюансы объясню на их примере. В соответствии с частью 5 статьи 5 закона «О национальной платежной системе» перевод денежных средств осуществляется в срок не более трех рабочих дней, начиная со дня списания денежных средств с банковского счета плательщика или со дня предоставления плательщиком наличных денежных средств. Роскомнадзору же на рассмотрение намерения осуществлять трансграничную передачу и подготовку ответа оператору дается 10 рабочих дней, при этом если Роскомнадзор захочет (а он имеет право) запросить дополнительную информацию о получателе и правовом регулировании его национальным законом, указанную выше, но не включаемую в уведомление, рассмотрение прекращается на срок получения этой информации от оператора – до 15 рабочих дней.  

А теперь вполне реальный сценарий. Клиент просит оправить его деньги получателю в государство, которое в уведомлении банка ранее не указывалось. Государство с адекватной защитой прав субъекта – банк деньги отправляет. Не обеспечивающее адекватной защиты – ждет и не отправляет. Какой закон банку в данной ситуации лучше нарушить – о персональных данных или о национальной платежной системе? А нарушить придется. 

И возвращаемся к первому сценарию. Государство с адекватной защитой. Но по причинам, указанным в частях 8 и 12 статьи 12, Роскомнадзор сообщает банку о запрете передачи. А деньги уже ушли. Теперь, в соответствии с частью 14 банк обязан обеспечить уничтожение иностранным банком-получателем ранее переданных ему персональных данных субъекта-отправителя. Вы прочитали все правильно. И да, это не смешно.

И что делать? Не знаю. Точнее – знаю. Исключить переводы денежных средств из-под регулирования статьей 12 152-ФЗ. Но это уже другая история. И не про мои рецепты.


25 июля 2022 г.

Три июньских постановления Правительства РФ про ЕБС и еще кое-какие инициативы в области биометрии. Часть 2. Еще больше биометрии в ЕБС

Продолжение. Часть 1 здесь.

Пока собирался написать второй пост про реформу ЕБС и реализующие ее новые постановления Правительства РФ, подоспел новый закон, меняющий условия использования персональных данных в целом и биометрических данных в частности.

Федеральным законом от 14.07.2022 N 325-ФЗ радикально изменена часть 18.23 статьи 14.1 трехглавого закона. Теперь в случае, если биометрические персональные данные соответствуют используемым в ЕБС, то есть изображению лица и (или) голосу (достаточно одного из двух видов биометрии), то госорганы, организации финансового рынка и вообще любые организации обязаны разместить полученную ими биометрию в ЕБС. При этом никакого согласия субъекта на такие действия (как размещение, так и использование Ростелекомом как оператором ЕБС) не требуется. При этом сдающие в ЕБС биометрию организации должны уведомить субъекта о свершившемся факте, а уж он сам может обратиться к Ростелекому с требованием о блокировании (это как, интересно? Биометрия в ЕБС будет, но использовать ее для аутентификации будет нельзя?) или уничтожении биометрических персональных данных.

Почему, на мой взгляд, этим законом радикально изменены условия использования персональных данных вообще и биометрических в частности?

Отменяются сразу несколько принципов закона «О персональных данных»:

·      ограничение обработки достижением конкретных, заранее определенных целей (часть 2 ст.5) (субъект дал согласие своему работодателю на использование изображения лица в СКУД для прохода на охраняемую территорию или банку для его идентификации при личном обслуживании, а будут использоваться эти данные в ЕБС совсем для других целей, на которые согласия не было);

·      запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой (часть 3 ст.5) (цели прохода на территорию и узнавания для обращения по имени-отчеству в банке между собой заведомо не совместимы);

·      соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки (часть 5 ст.5) (в приведенных примерах при сборе персональных данных никаких целей, реализуемых в ЕБС (совершение определенных действий, подтверждение волеизъявления, подтверждение полномочия лица на совершение определенных действий – часть 18.2 ст.14.1 «трехглавого» закона) оператор не ставил).

Конструкция части 18.23 статьи 14.1 противоречит как букве, так и духу закона «О персональных данных». Закон реализует абсолютно четкую правовую конструкцию: обработка персональных данных всегда должна иметь законное основание, которым является согласие субъекта, а обработка без согласия может осуществляться только в случаях, оформленных в виде закрытых перечней для каждой категории персональных данных. Для биометрии этот закрытый перечень определен в части 2 статьи 11, которая содержит перечень случаев, в которых может быть предусмотрена обработка биометрии без согласия субъекта:

·      реализация международных договоров Российской Федерации о реадмиссии,

·      осуществление правосудия и исполнением судебных актов,

·      проведение обязательной государственной дактилоскопической регистрации,

·      случаи, предусмотренные законодательством Российской Федерации:

o   об обороне,

o   о безопасности,

o   о противодействии терроризму,

o   о транспортной безопасности,

o   о противодействии коррупции,

o   об оперативно-разыскной деятельности,

o   о государственной службе,

o   уголовно-исполнительным законодательством Российской Федерации,

o   законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию,

o   о гражданстве Российской Федерации,

o   законодательством Российской Федерации о нотариате.

Никаких отсылок к законодательству об информации, информационных технологиях, о защите информации, о банках и банковской деятельности, об акционерных обществах и др., на основании которого можно использовать данные из ЕБС для аутентификации субъектов, здесь нет.

Форма согласия на обработку данных в ЕБС предусмотрена законом и определена распоряжением Правительства № 1322-р. Там тоже нет ни слова о согласии на перенос данных в ЕБС из других систем.

На мой взгляд, такой произвольный подход к использованию одного из самых чувствительных для граждан вида персональных данных подрывает веру в правовую систему в целом и законодательство в частности.

У подобного подхода может быть много отрицательных последствий. Вот одно из них. В новой редакции говорится о том, что передать данные в виде изображения лица в ЕБС должны, в том числе, государственные органы из своих государственных информационных систем. Постановлением Правительства РФ от 04.03.2010 № 125 определен перечень персональных данных, записываемых на чип биометрического загранпаспорта. Среди них цветное цифровое фотографическое изображение лица владельца документа, которое прямо в Постановлении отнесено к биометрическим персональным данным владельца документа, хотя биометрическая аутентификация по лицу при пересечении границы пока не проводится.

Это значит, что изображения лиц всех счастливых обладателей загранпаспортов нового образца должны быть перенесены в ЕБС. Может, кто-то уже получал уведомление об этом, предусмотренное законом?

Ну, а теперь про второе Постановление Правительства от 15.06.2022 № 1067, направленное на наполнение ЕБС новыми данными – о случаях и сроках использования биометрических персональных данных, размещенных в ЕБС физическими лицами самостоятельно в порядке, который мы рассмотрели в предыдущем посте. Документ вызывает вопросы сразу же по прочтении. Как он соотносится с Постановлением Правительства от 23.10.2021 № 1815, определившим перечень случаев обработки биометрических персональных данных в информационных системах организаций? Дополняет его? Это открытый или закрытый перечень? Ну, и так далее.

Допустимые случаи использования следующие:

а) экзамены в вузах;

б) операции с использованием платежных карт в организациях торговли и сферы услуг на сумму не более 1000 рублей;

в) дополнительная аутентификация клиента организациями финансового рынка при дистанционном обслуживании при условии, что такой клиент ранее был идентифицирован этой организацией финансового рынка (то есть сдав биометрию самостоятельно, обратиться за услугой дистанционно в банк, клиентом которого субъект не является, не получится);

г) аутентификации клиента - физического лица организациями финансового рынка при его обслуживании при личном присутствии (то есть лично получить услугу в банке можно и без паспорта, если клиент уже был идентифицирован в порядке, уставленным статьей 7 антиотмывочного закона);

д) оплата проезда в г. Москве (в Питере и других городах почему-то нельзя, видимо, системы идентификации у них не той системы);

е) проход на территорию госорганов и организаций посредством СКУД за исключением довольно объемного списка организаций, включая объекты КММ, дошкольные и общеобразовательные организаций;

ж) заключение договоров об оказании услуг связи посредством сети Интернет;

з) выдача персонифицированной карты на посещение спортивных соревнований (активно обсуждаемый сейчас по стадионам ID болельщика, который категорически не хотят получать наиболее радикальные из них);

и) аутентификация на портале госуслуг.

Перспективы пугающие. Сдав биометрию с использованием мобильника, к видеокамере и микрофону которого, а также к каналу связи не выдвигается никаких требований, в отличие от систем сдачи биометрии, например, в банках, которые должны соответствовать требованиям Минцифры, можно зайти в банк представиться клиентом Пупкиным и снять деньги без паспорта, или войти на охраняемую территорию вуз, получит симку на кого-то другого и так далее.

Использовать самостоятельно сданную в ЕБС биометрию можно не более 3 лет, обновлять надо добровольно. Видимо, напоминать никто не должен, в чем я сильно сомневаюсь.

Но какие только риски не примешь ради наполнения ЕБС! И это мы еще до обсуждения инициативы Банка России об обязательной опции сбора биометрии в мобильных приложениях российских банков не добрались.

4 июля 2022 г.

Три июньских постановления Правительства про ЕБС и еще кое-какие инициативы в области биометрии. Часть 1

В июне Правительством России приняты три новых постановления, касающиеся функционирования Единой биометрической системы. Учитывая новость Банка России о необходимости «полной перезагрузки» ЕБС в течение двух ближайших лет, такая активность говорит, с одной стороны, о фактическом провале программы поголовной максимальной фиксации данных граждан страны, обеспечивающих отслеживание их передвижения (биометрия лица) и использование средств связи (биометрия голоса) (на конец 2021 году в системе было немногим больше 200 тысяч аккаунтов), а с другой – о крайней важности этой программы для государства. И банковские услуги, конечно, здесь совсем ни при чем.

Начнем с перезагрузки. Цитирую первого зампреда Банка России О.Н. Скоробогатову по РИА Новости: «Единая биометрическая система, которая была создана в 2018-2019 году, в этом и в следующем году будет полностью «перезагружена». Мы понимаем, что нам не хватает терминалов и мобильных приложений, где люди могут просто сдать свою биометрию, как это было в иностранных приложениях. Развитие системы мы относим на 2022-2023 год». В действительности в иностранных приложениях пользователи никому биометрию не сдают, если верить западным и восточным вендорам. Пользователи фиксировали ее на своем мобильном устройстве для идентификации на нем же, а дальше каждый пользователь, в зависимости от степени параноидальности и веры вендору, принимал решение, использовать ли пальчик или личико вместо пароля для разблокировки устройства или нет.

С ЕБС все по-другому. Там биометрия именно сдается оператору – ПАО Ростелеком, а затем, в соответствии с постановлением Правительства РФ от 28.12.2018 № 1703, в течение одного дня после получения запроса передается спецслужбам – ФСБ и МВД.

Но, чтобы облегчить сдачу биометрии с использованием мобильных приложений, с 30 декабря 2021 года заработали поправки в «трехглавый» закон № 149-ФЗ (часть 1.3 статьи 14.1), позволяющие размещать свои биометрические персональные данные в ЕБС с применением пользовательского оборудования, имеющего в своем составе идентификационный модуль, если личность физического лица при таком размещении подтверждена с использованием загранпаспорта, содержащего электронный носитель с биометрическими персональными данными. А 15 июня 2022 года принято Постановление Правительства РФ № 1066, определяющее порядок размещения физическими лицами своих биометрических персональных данных в ЕБС. Рассмотрим его основные положения.

Минцифры, до конца текущего месяца, должно обеспечить возможность применения прошедших в установленном порядке процедуру оценки соответствия (читаем – сертификации ФСБ России) средств криптографической защиты информации при использовании ЕСИА и ЕБС и обеспечить функционирование технического решения для проверки действительности загранпаспорта с чипом, обычно называемого биометрическим.

Ростелекому к этому же сроку Постановление, как в нем указывается, рекомендует разработать программу и методику оценки алгоритмов обнаружения атак на биометрическое предъявление (так указано в тексте Постановления) в соответствии с требованиями ГОСТ Р 58624.3-2019 и создать российское программное обеспечение (мобильное приложение) для обработки биометрии в ЕБС, согласовать его с ФСБ и Минцифры, а к 30 сентября утвердить согласованный с этими же ведомствами системный проект решения, обеспечивающего самостоятельное размещение физлицами своей биометрии в ЕБС и подключить мобильное приложение к ЕСИА и ЕБС. Как оператор системы уложится в эти более чем сжатые сроки и не просто разработает, но и успешно реализует системный проект, будет видно. ФСБ отведено на согласие системного проекта всего 15 дней.

Тогда же, 30 сентября, вступают в силу Правила самостоятельного размещения физлицами своей биометрии в ЕБС, утвержденные Постановлением Правительства.

Из примечательного в Правилах размещения отметим:

·     обязательность наличия у такого пользователя учётной записи в ЕСИА, полученной при личной явке;

·     необходимость размещения в ЕБС, помимо собственно биометрии, идентификатора из ЕСИА, номера мобильного телефона, адреса электронной почты, даты рождения и сведений о гражданстве (зачем они нужны для проверки предъявляемой биометрии именно в ЕБС при наличии записи в ЕСИА отдельный, скорее, риторический вопрос, тем более, что все сведения, кроме биометрии, в ЕБС и так загружаются из ЕСИА);

·     подтверждение личности субъекта, загружающего в ЕБС свою биометрию, и автоматическая проверка загружаемой биометрии осуществляются с использованием биометрического загранпаспорта путем сопоставления размещаемых биометрических персональных данных его данным, записанным на чип загранпаспорта, и данных владельца со сведениями в ЕСИА;

·     необходимость проверки Ростелекомом отсутствия на мобильном устройстве пользователя вредоносного программного обеспечения (вопрос о способе установки приложения на мобильное устройство в документах деликатно обходится);

·     необходимость выражения согласия субъекта на обработку его биометрии при ее размещении в ЕБС, подписанного, в том числе, простой электронной подписью (видимо, даваемого в том же мобильном приложении).

Продолжение следует.

27 мая 2022 г.

16-17 июня: изменения в законодательстве о персональных данных

16-17 июня я проведу очередной курс КП32 «Защита персональных данных» в Учебном центре «Информзащита». В мае исполнилось 15 лет, как я читаю этот курс, и я даже не пытался подсчитать, сколько слушателей на нем побывало. Много, очень много. Это был первый в стране курс по новому закону «О персональных данных», который за 4 месяца до премьеры курса вступил в силу.

Естественно, содержание курса все эти годы постоянно менялось вместе с изменениями в законе, принятием подзаконных нормативных правовых актов, судебной практикой и практикой правоприменения. Я без ложной скромности скажу, что курс уникальный. Он будет полезен и тому, кто только начинает разбираться в российском законодательстве и сталкивается с большим количеством проблем, пытаясь выполнитель его требования, и тем, кто в этой теме уже давно, но хочет «сверить часы», узнать о произошедших изменениях, разобраться в проблемах, рожденных несовершенством законодательства и практикой его правоприменения на основе толкования, которое тоже меняется время от времени.

Вот и на предстоящих занятиях мы обсудим актуальные новинки.

Поговорим о принятых изменениях в Федеральном законе «О защите прав потребителей» в части запрета на истребование персональных данных, не являющихся необходимыми для совершения сделки, и вводимой административной ответственности за невыполнение этих требований. Обсудим, а нужны ли были изменения и как мы жили без них.

Новеллу проиллюстрируем судебным решением, которым действия страховой компании, хотевшей узнать паспортные данные и сведения о водительских правах для расчета стоимости ОСАГО, были признаны неправомерными, но суд этим не ограничился и потребовал изменить еще и пользовательское соглашение на сайте. Отмечу, что решение было принято до внесения изменений в законодательство. 

Рассмотрим позицию Роскомнадзора, Банка России и ФАС по порядку получения согласия физического лица, являющего стороной договора с оператором или представляющего документы, необходимые для его заключения. Хотя формально информационные письма регуляторов касаются кредитных организаций, но рассматриваемые в них наилучшие, допустимые недопустимые и недобросовестные практики (вот прямо так и написано) полезно знать всем операторам.

Разберемся, что думают территориальные управления Роскомнадзора о сборе персональных данных с использованием веб-форм на сайтах и обязательна ли там «галочка» для выражения согласия с обработкой.

Вникнем в прецедентные решения судов трех инстанций, поддержавших оператора в споре с надзорным органом о том, что такое архивный документ, в какой форме и как долго он должен храниться, всегда ли нужны письменные согласия работников на передачу их персональных данных третьим лицам.

Расскажем о новостях с контрольных и надзорных фронтов, где объявлен мораторий на плановые проверки, но появились новые формы контроля, которые не приостановлены, такие как профилактические визиты и мероприятия без взаимодействия с контролируемым лицом. Узнаем о появлении нового надзорного органа в сфере персональных данных, проверочных листах и самопроверке.

Обсудим самые горячие вопросы очень популярной в последнее времени темы биометрических данных – аккредитацию операторов, допустимые случаи использования биометрии для идентификации и аутентификации, присоединение к Единой биометрической системе и ее условиях.

Конечно, затронем (именно затронем, без погружения) законопроекты, которые могут в ближайшее время существенно поменять ландшафт, в котором используются персональные данные, условия трансграничной передачи, порядок уничтожения персональных данных, их носителей и оформления такого уничтожения и других грядущих изменениях.

Традиционно завершаю: приходите, скучно точно не будет.

Поскольку у курса все-таки круглая дата, будет и бонус. Кто зарегистрируется и оплатит курс, сможет направить мне вопросы по электронной почте mezp11@gmail.com, на которые я отвечу во время чтения курса.  

4 мая 2022 г.

Искусство читать нормативку 2. Эта загадочная аккредитация работающих с биометрией

Посты о биометрии – одни из самых читаемых в моем блоге. Вот и последний из опубликованных, про искусство чтения нашей запутанной нормативки в области биометрии, за последние три месяца собрал на порядок больше прочтений, чем все остальные публикации. В нем я обещал вернуться к теме аккредитации, и, хотя три года на исполнение обещанного еще не прошло, решил к этой теме вернуться. Тем более, что на моем последнем вебинаре о выполнении требований законодательства о персональных данных в кредитных организациях этот вопрос тоже вызвал оживленную дискуссию участников, а к единому мнению прийти не удалось.

Главный вопрос – надо ли аккредитовываться всем, в том числе банкам, для которых использование Единой биометрической системы (ЕБС) является обязательным, а также владельцам собственных систем биометрической идентификации, никак с ЕБС не связанных, и использующих формы биометрии, отсутствующие в ЕБС (дактилоскопию, радужку глаза, рисунок вен и другие). Регулятор (Минцифры), надзор и защитник прав субъектов (Роскомнадзор) на эту тему молчат, разъяснений нет, а те, что есть в частных письмах с ответами на вопросы волнующихся операторов и специалистов однозначных ответов на поставленные вопросы не содержат. Самый наглядный пример – хождение за тремя ответами Алексея Лукацкого.

Что ж, нет разъяснений - будем читать нормативку как положено – буквально и внимательно.

Правила аккредитации операторов, обрабатывающих биометрические персональные данные, определены в Постановлении Правительства РФ от 20 октября 2021 г. № 1799. В самом Постановлении и утвержденных им Правилах ЕБС не упоминается совсем. Там есть отсылки к единому порталу гос- и муниципальных услуг, единой СМЭВ, ЕГРЮЛ, но про ЕБС - молчок.

Правила устанавливают порядок аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по такой идентификации и (или) аутентификации. Опять никаких исключений, при буквальном прочтении очевидно: если организация использует биометрию, то ей надо к 1 сентября бежать в Минцифры с заявлением для подтверждения своих полномочий. 

Но дьявол, как известно, в деталях. Возьмем лупу и внимательно рассмотрим их.

В преамбуле Постановления есть отсылка к частям 18.28, 18.30, 18.31 и 18.33 статьи 14.1 «трехглавого» закона от 27.06.2006 № 149-ФЗ, детально рассматривающей применение биометрии. Что же в этих частях?

В части 18.28 указывается, что аккредитация проводится в отношении организаций, в том числе финансового рынка, указанных в части 18.18 этой же статьи. ОК. А в ней что? Условия сбора и обработки биометрических персональных данных, используемых для аутентификации (как следует из текста остальных частей – без идентификации) в информационных системах этих самых организаций (реализация мер защиты, в том числе применение сертифицированных средств шифрования, наличие согласия субъекта и … аккредитация. Без рекурсии мы никак). Про ЕБС снова ни слова.

Часть 18.30 – про особенности аккредитации иностранных юридических лиц, подпадающих под требования части 18.18. Опять мимо ЕБС.

Часть 18.31 – про отсутствие ограничения срока аккредитации, но не организаций, указанных в части 18.18 и подпадающих под аккредитацию, а про упомянутые в части 18.20. Но мы упорные, разберемся и с этим.

Часть 18.20 – это про еще одну загадку законодательства о биометрии. В ней – о возможности использования биометрии уже включая идентификацию, а не только аутентификацию, организациями, кроме госорганов и органов местного самоуправления, в случаях, установленных Правительством РФ по согласованию с Банком России. Продвинутые читатели уже поняли, что речь идет про Постановление Правительства РФ от 23 октября 2021 г. № 1815, определяющем случаи, когда биометрическую идентификацию и аутентификацию можно использовать в принципе, в том числе в случае отсутствия биометрических персональных данных в ЕБС (это написано не в Постановлении, а в части 18.26 статьи 14.1, требования которой Постановление № 1815 и реализует). То есть, если ЕБС не используется, аккредитовываться точно надо. Но для того, чтобы это было возможно, помимо требований, указанных в части 18.29 (о ней будет дальше) организации надо подключиться к ГосСОПКА. Обязательно. В том числе иностранным юрлицам, которые хотят получить аккредитацию.

Ну, и наконец (будем последовательны) – про часть 18.33. Она - про особенности аккредитации иностранных юридических лиц, подпадающих под требования уже не части 18.18, а части 18.20. И опять мимо ЕБС.

Уфффф, выдохнули…? Не совсем. Странно, что в преамбуле Постановления не упоминается часть 14.29 статьи 14.1, в которой устанавливаются требований к аккредитации, которые как раз реализуются в Постановлении. Может быть потому, что в документе Правительства зачем-то полностью повторяются требования, уже прописанные в законе?

Итоги: читая буквально закон и подзаконные акты, приходим к однозначному выводу, что аккредитация нужна всем операторам, использующим биометрию для аутентификации, аутентификации и идентификации физических лиц, а также оказывающих такие услуги вне зависимости от того взаимодействуют ли они с ЕБС или нет. Даже если биометрия используется для входа в собственные помещения или информационные системы. Кстати, исходя из требований Постановления № 1815, входить в систему по биометрии (например, по «пальчику») будет нельзя.

Про условия аккредитации и требования к заявителям писать не буду. Для чтения на неделе между длинными праздниками-выходными это будет перебор. Скажу лишь, что аккредитоваться, если опять читать нормативку буквально, удастся далеко не всем, даже если использование для них биометрии является обязательным по закону, например, банкам с универсальной лицензией и иностранным участием более 49%. У таких операторов останется только один путь – получение услуг идентификации и аутентификации у счастливых обладателей аккредитации (ВТБ, Сбер?), не безвозмездно, конечно, но обязательно. Статья 7 «антиотмывочного» закона № 115-ФЗ требует.

Но об этом – как-нибудь в следующий раз. При наличии времени и желания.