21 августа 2013 г.

Базаданныхмания

Нас решили внезапно пересчитать, рубрицировать и систематизировать. Разложить по таблицам, полям и записям. Чтобы было о каждом все  учтено и записано. Те, кто писал базы данных, понимает.
За последний месяц (всего месяц!) количество инициатив, связанных со всевозможными формами учета недосчитанных жителей страны, просто зашкаливает. Причем на каждую отдельную базу есть разумное и убедительное обоснование.
ФМС совместно с Росфинмониторингом подготовили законопроект, в соответствии с которым предполагается создать единую базу данных граждан, в которой, помимо фамилии, имени и отчества, будут данные о регистрации и месте пребывания, паспортные данные (если гражданину меньше 14 лет – реквизиты свидетельства о рождении и (внимание!), если гражданин умер – данные свидетельства о смерти), номер индивидуального лицевого счета в системе обязательного пенсионного страхования и информация о судимости. Особенно радует последнее. Обосновывается тем, что отбывание наказания предполагает снятие с регистрационного учета.
Законопроект возлагает на ФМС обязанность вести адресно-справочную работу по предоставлению информации о регистрации граждан по месту пребывания и по месту жительства. Зато при его принятии госорганам будет запрещено требовать от заявителя документы, подтверждающие регистрацию по месту жительства. В открытом доступе законопроекта пока нет. Остается только догадываться, кому и как такая информация будет предоставляться. Среди просочившихся сведений – наличие доступа к этой базе банков, которые давно добиваются такой возможности. О том, смогут ли получить сведения из этой базы сами граждане, правительственный пресс-релиз скромно умалчивает. Депутат Госдумы Вадим Соловьев с коммунистической прямотой утверждает, что создание такой базы в отношении россиян – правильный шаг, она поможет отслеживать уклонение от армии, налогов, алиментов, штрафов.
Возможно существенное расширение круга сведений, включаемых в кредитные истории, а также источников их пополнения. Минэкономики опубликовало финальную версию изменений в закон «О кредитных историях», которая предусматривает введение обязанности передавать данные хотя бы в одно бюро кредитных историй (БКИ) для микрофинансовых организаций, коллекторов, приобретших долги, конкурсных управляющих при банкротстве кредитора. Право передавать данные в бюро получат любые лица, долг перед которыми подтвержден решением суда, а также кредитные кооперативы. Закон вводит обязанность передачи в БКИ сведений о кредитах и долгах индивидуальных предпринимателей, юрлиц – вообще без их согласия. Граждане пока устояли. Но это уже пустая формальность – попробуйте получить кредит без согласия на доступ к кредитной истории.
Руслан Гаттаров, глава комиссии Совета федерации по развитию информационного общества, предлагает создать в России …, естественно, единую базу данных. На этот раз – по запросам ведомств в отношении персональных данных граждан, что «позволит избежать злоупотреблений при использовании персональных данных россиян». Сенатор высказал предположение, что доступ к ней субъекты могли бы получить через личный кабинет на портале госуслуг. Главная проблема при создании такой базы – чтобы «подобная информация не мешала оперативно-разыскной деятельности».
И обращаться за электронными госуслугами, похоже, скоро будет можно только с помощью специально создаваемой электронной почты. Никаких там публичных сервисов и корпоративных ящиков. Обратная связь предполагается …, конечно, с участием «Почты России». Орган власти или местного самоуправления отправляют электронное сообщение на официальный электронный ящик получателя, а его копию — на официальный электронный ящик территориального отделения почтовой связи, ближайшего к адресу места жительства получателя. «Распечатка и конвертирование корреспонденции будет осуществляться на «Почте России» автоматически, в целях сохранения конфиденциальности». Без комментариев.
Минздрав создает базу данных историй болезни с «ограниченным доступом пациентов» через интернет. ФСИН создает базу дактилоскопических данных адвокатов, и при отказе адвоката предоставить пальчики администрация следственных изоляторов препятствует встрече с подзащитными.
Для обеспечения возможности перехода от одного оператора сотовой связи к другому с сохранением номера создадут единую базу этих самых номеров. Ну, а чтобы работа зря не пропала и был какой-никакой задел на будущее, базу создадут с небольшим запасом. Как сообщается, задачей оператора базы данных будет не только перенос номера, но и предоставление запрашиваемой информации как абонентам и операторам связи, так и опять-таки банкам и платежным системам. Общее количество запросов может достигать несколько миллиардов в день. Несколько неожиданно. Банки, платежные системы…
Глава удостоверяющего центра оператора Yota предложил Дмитрию Медведеву повсеместно внедрить сим-карты с поддержкой электронной подписи и, конечно же, данные обо всех сим-картах гражданина хранить в единой базе данных идентификации.
И наконец, на МВД возложено ведение списка лиц (читай – базы данных), которым запрещено посещение официальных спортивных соревнований. Информация о таких лицах будет предоставляться в Министерство спорта РФ. Организаторы официальных спортивных соревнований теперь должны вместе с собственниками или пользователями стадионов и прочих объектов установить требования к продаже входных билетов, препятствующие попаданию на матчи, соревнования и пр. лиц из «черных списков». «Билеты болельщикам «Зенита» на ближайший матч с «Динамо» будут продаваться только по предъявлению паспортов». Стартовали.
Уже вижу вопросы в комментах: «А что, Вы против? Порядка, честности, доступности и т.д.?»
Нет, я за. Но у меня есть условие. Как у субъекта и гражданина. Тот, кто решил эти базы создавать, должен сделать так, чтобы ими не торговали. А если они попадут в продажу – так, чтобы виновные сидели в тюрьме, а организации, этими данными владевшие (а возможно, и их защищавшие) – оказались банкротами или были расформированы.
Напоследок – бинго. «Национальная служба взыскания», безуспешно судившаяся со своим бывшим сотрудником, рассказавшим о методах работы коллекторов правоохранительным органам, активно использовала в своей деятельности базы данных. Перечисляю названия: «Магистраль», «Поток», «Розыск», ЗИЦ, ЦАБ ГУВД Москвы. Вы не знаете, чьи это базы, и где коллекторы их взяли? А теперь добавьте к ним все те, о которых я рассказал выше (болельщиков-буянов для чистоты картины можно не считать). И представьте, что они есть не только у коллекторов. Я думаю, богатого воображения для этого не надо.  

15 августа 2013 г.

Инциденты с персональными данными: почувствуйте разницу

Всего три сухих сообщения последнего месяца.
Проверка транспортной прокуратуры подтвердила факт публикации на одной из страниц официального сайта ОАО «Тюменское центральное агентство воздушных сообщений» персональных данных пассажиров с указанием их фамилии, имени, отчества, даты рождения, места проживания, паспортных данных, маршрутов полетов и прочих личных данных за период с 20 июля 2005 года по 26 июня этого года (8 лет!). Организации придется выплатить штраф – 5000 рублей (!). Виновные в нарушении закона были привлечены к дисциплинарной ответственности, а выявленные нарушения закона о персональных данных обществом устранены.
Американская страховая компания WellPoint Inc, которая специализируется на медицинском страховании, согласилась выплатить $1,7 млн (!) штрафа за утечку персональных данных более 612 тыс. своих клиентов. Личные данные о клиентах из базы данных страховщика попали в Интернет в период с октября 2009 г. по март 2010 г. (полгода!). В результате в свободном доступе оказались имена, даты рождения, адреса, номера социального страхования и мобильных телефонов, а также информация о состоянии здоровья клиентов.
Нью-йоркский велопрокат Citi Bike уведомил своих пользователей о том, что их персональные данные были размещены в общем доступе в интернете и, теоретически (!), могли быть украдены злоумышленниками. Личная информация, включая имена, даты рождения, номера банковских карт, сроки их действия и секретные коды, содержалась в «журнале ошибок» (error log), который был опубликован на сайте Citi Bike 9 мая 2013 года. Об этом говорится в письме, разосланном велосипедистам администрацией сервиса 19 июля.
Помимо размеров штрафов, можно заметить и еще ряд существенных отличий.
Тюмень: количество пострадавших никого не волнует, равно как и их уведомление об инциденте, на взгляд, весьма существенном. Кто, куда, когда и с кем летал – тема более чем интимная. Никто не собирается извиняться перед пострадавшими.
Если посмотреть сообщения о других аналогичных инцидентах «у нас» и «у них», можно увидеть и массу других отличий. Наши суды в своих решениях о привлечении к ответственности никогда не заявляют о праве каждого пострадавшего обратиться с индивидуальным иском о компенсации ущерба и морального вреда. Никто не предлагает после этого потерпевшим оказание в этом помощи (потому как бесполезно). Органы, уполномоченные по защите прав субъектов, не выступают инициаторами исков в защиту интересов неопределенного (или определенного) круга лиц, чьи данные в результате недостаточных действий или бездействия оператора стали общедоступными.
Можно ли после этого говорить, что наш закон направлен на защиту интересов субъекта персональных данных?   
Вопросы риторические. Ответы все знают.
Но разницу все-таки надо почувствовать.

13 августа 2013 г.

В частную жизнь нельзя вмешиваться. Но некоторые ее меняют на скидку

Очередной интересный перевод Евгения Бартова - статья Линды Мастхайлер «Privacy Double Standard: You Can Track Online But Not On Foot» натолкнул на ряд мыслей. Если коротко, суть статьи в том, что покупатели интернет-магазинов уже фактически смирились с отслеживанием их деятельности в сети и на конкретном сайте в частности, однако когда аналогичные действия пытаются выполнить владельцы обычных магазинов с полками и тележками, это вызывает резкое неприятие. Фиксация местоположения покупателя и времени нахождения рядом с каким-либо товаром (с использованием Wi-Fi) и реакция на этот товар (мимика лица, фиксируемая веб-камерой и анализируемая специальной программой) большинством граждан расценивается как недопустимое вмешательство в частную жизнь.
При этом факт ведения видеосъемки в общественных местах – на улицах, в магазинах, в метро, в банках или на территории предприятий давно никаких отрицательных эмоций не вызывают. В этом отношении примечательна много раз обсуждавшаяся ст.152.1 ГК РФ: «Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи …) допускаются только с согласия этого гражданина. Такое согласие не требуется в случаях, когда … изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения…». Никаких ограничений на использование результатов видеосъемки без их обнародования здесь не просматривается.
Но речь в данном случае не об этом. Возмущение сходит на нет, если только что резко осуждавшееся «вмешательство в частную жизнь» сопровождается выдачей «печеньки». Дама, о которой упоминается в этой же статье, заявила, что «она была бы счастлива, если бы на ее телефон сразу приходил соответствующий скидочный купон». Т.е. задержался у витрины, вскинул бровями – и тут же скидка. Тем более, что технологии слежения развиваются быстро, и куда-то же их применять все равно надо.
Вот, например, англичане придумали «умные урны» RENEW ORB, фиксирующие и отслеживающие MAC-адреса мобильных устройств прохожих и вовсю их тестируют на улицах Лондона. А в московском метро появятся датчики, которые позволят следить за пассажирами при помощи считывания информации с SIM-карт, установленных в их мобильных телефонах, и станут частью интеллектуальной системы безопасности. В новосибирском метро решили пойти дальше и установить на станциях видеосистему, которая позволит распознавать лица людей из баз данных, например, находящихся в розыске. Слово «например» в этом сообщении для меня ключевое. Сразу вспоминается Отец Кабани из бессмертного «Трудно быть богом» братьев Стругацких: «Колючки от волков?! Это я, дурак, — от волков… Рудники, рудники оплетать этими колючками… Чтобы не бегали с рудников государственные преступники». Но как только появляется «печенька», все это может перестать иметь значение. По данным, полученным в ходе исследования компанией Infosys, потребители готовы делиться своими персональными данными, если получат в обмен понятные и прозрачные преимущества. Легче всего персональные данные своих потребителей получить докторам, банкирам и продавцам – 90%, 76% и 70% пользователей соответственно готовы предоставить дополнительную информацию, если это поможет им получить что-то взамен. Авторы публикации называют это «очень хорошим звоночком для всех компаний, которые тратят гигантские деньги на сбор и анализ данных о своих клиентах» и идут еще дальше, высказывая мысль, что 78% потребителей мечтают о том, чтобы реклама была должным образом таргетирована. Сделаем скидку на возможного заказчика исследования, но все равно… 
А вот и результат подобных выводов. Крупнейший американский оператор связи - компания AT&T объявила, что начнёт, подобно Verizon, Facebook и другим своим конкурентам (всем можно, а нам нельзя?), использовать данные пользователей в маркетинговых целях. В ближайшие недели компания планирует изменить политику приватности: она начнёт направлять пользователям рекламу, основываясь не только на том, какие приложения они используют, но и где, согласно данным GPS, они находятся. Как отказаться от такого сервиса, компания не сообщила.

Но я не думаю, что желающих отказаться или пожаловаться будет много. Особенно, если вместе с сообщением о ближайшем кинотеатре придет и скидочка процентов на 10 на билет. В таких условиях очень важно оставить пользователю возможность быстро и просто отказаться от подобного рода сервисов.

5 августа 2013 г.

Кто имеет право знать наши тайны?

Весенняя сессия Государственной Думы в очередной раз расширила права органов власти получать информацию, доступ к которой ограничен федеральным законодательством, для осуществления своих функций и реализации возложенных полномочий.
Ситуация выглядит парадоксальной – в стране порядка пятидесяти видов различных тайн, установленных законами, но как только вопрос коснется полномочий того или иного властного института, оказывается, что для него получить скрываемые на законном основании сведения не составляет никакой проблемы. Да и ответственность за неправомерные действия с защищаемыми сведениями в большинстве случаев лишь декларируется, а на деле ограничивается почти не работающей статьей 13.14 КоАП «Разглашение информации с ограниченным доступом» со смешными по нынешним временам максимальными штрафами в 1000 рублей для граждан и 5000 рублей для должностных лиц, да статьей 81 ТК РФ, допускающей увольнение за такое однократное грубое нарушение трудовых обязанностей, как разглашение охраняемой законом тайны, в том числе разглашение персональных данных другого работника. Кстати это сразу вызывает вопрос о последствиях разглашения персональных данных не-работника, а, например, клиента. Это тоже охраняемая законом тайна, но зачем-то ведь работника отметили отдельно?
Ситуация с тайнами, доступом и ответственностью давно требует серьезной систематизации, осмысления и изменения нормативного регулирования, а пока несколько «заметок на полях законов».
В Рунете активно обсуждался Федеральный закон от 23.07.2013 № 205-ФЗ «О внесении изменений в отдельные законодательные акты РФ в связи с уточнением полномочий органов прокуратуры РФ по вопросам обработки персональных данных», наделяющий прокуратуру правами доступа к врачебной тайне без согласия субъекта и судебного решения, но лишь немногие обратили внимание на гораздо более серьезное изменение в законе «О прокуратуре», которое касается не только врачебной тайны, но вообще любых охраняемых законом сведений и наделяет надзорный орган правом получать необходимую для осуществления прокурорского надзора информацию, доступ к которой ограничен в соответствии с федеральными законами. То есть фактически – к любой! Есть там, правда, слова «в установленных законодательством Российской Федерации случаях», но проверка и надзор и есть установленные законом случаи. А вот знакомить гражданина с материалами проверки, затрагивающими его права и свободы, но содержащимисведения, составляющие охраняемую законом тайну, нельзя ни при каких обстоятельствах.
Обязательность представления тем или иным органам власти сведений, доступ к которым органичен законом, регулируется очень большим количеством актов, часто не соответствующих друг другу и противоречивых, и разобраться в них совсем не просто.
Например, в соответствии с законами «О рекламе» и «О защите конкуренции» коммерческие и некоммерческие организации обязаны представлять в антимонопольный орган по его мотивированному требованию в установленный срок информацию, составляющую коммерческую, служебную, иную охраняемую законом тайну. Слово «иную» означает так же, как и в случае с прокуратурой, фактически любую. А в случае отказа такая информация истребуется путем обязания ее предоставления судебным решением. Мотивированность же запроса – понятие относительное и не главное. 
Не захотел, к примеру, в 2007 году «Псковпищепром» предоставлять запрошенные Управлением ФАС по Псковской области сведения об объеме реализации алкогольной продукции и организациях, чья доля составляет на рынке более 10% от общего объема продаж, а суды в первой, апелляционной и кассационной инстанциях с ним не согласились, обязав представить сведения, составляющие на законном основании коммерческую тайну, в УФАС. В отношении мотивированности запроса Федеральный арбитражный суд Северо-Западного округа постановил, как отрезал: «По смыслу положений ст.1, 22, 23 и 25 ФЗ «О защите конкуренции», а также ст.6 ФЗ «О коммерческой тайне», степень конкретизации имеющих правовое значение критериев (мотив, цель, правовое основание запроса) как оценочная категория представляется юридически подчиненной общим задачам и целям соответствующего запроса, равно как и пределам полномочий антимонопольного органа». Чего там мотивировать…
Для многих будет, наверное, неожиданностью, что в отличие от антимонопольных органов права налоговиков на доступ к охраняемым законом сведениям очень ограничены. Если к банковской тайне, как я уже писал, теперь доступ у них фактически неограниченный, то с коммерческой тайной ситуация другая. При проверке налоговиками документов, связанных с исчислением и уплатой обязательных платежей, не являющихся налогами или сборами, пенями, штрафами, предусмотренными Налоговым кодексом, они могут получать необходимые объяснения, справки и сведения, за исключением сведений, составляющих коммерческую тайну, определяемую в установленном законодательством порядке. Т.е. тех, в отношении которых владельцем установлен режим коммерческой тайны.
Например, ООО «Баренц-Алко» при проведении налоговой проверки отказалось ознакомить налоговиков с результатами проведенного по их заказу маркетингового исследования рынка, которое посчитало составляющим коммерческую тайну. Налоговая инспекция требовать ознакомления не стала, а просто посчитала неправомерным отнесение стоимости исследования на расходы, т.к. в договоре на проведение работ отсутствовала цена, а акт выполнения работ и калькуляция не соответствовали требованиям закона «О бухгалтерском учете», и доначислила налоги. И суд кассационной инстанции с инспекцией согласился.
В соответствии с законом «Об организации страхового дела в Российской Федерации» Банк России, получивший функции надзорного органа в отношении субъектов страхового дела, тем не менее не вправе получать (во всяком случае, пока) от страховых компаний сведения, составляющие банковскую тайну.
А вот Агентство страхования вкладов вправе получать информацию, составляющую служебную, коммерческую и банковскую тайну банка, в отношении которого наступил страховой случай, необходимую для осуществления им функций, установленных законом «О страховании вкладов физических лиц в банках Российской Федерации».
Напоследок еще один забавный случай. Истребовала инспекция ФНС по Ленинскому административному округу Омска у местного филиала «Промсвязьбанка» информацию, которую банк посчитал составляющей банковскую тайну. Банк запрос удовлетворить отказался, ссылаясь на то, что запрос таких сведений требует особого подтверждения подлинности, а печать налоговики на письме не поставили.
Инспекция попыталась привлечь банк к административной ответственности за отказ в предоставлении информации, однако банк оспорил это в суде, и во всех трех инстанциях суды с банком согласились. Я, правда, до сих пор не понимаю, почему на письмо нельзя было поставить печать и не доводить рассмотрение этого сложного вопроса до окружного федерального арбитражного суда.

Ну, и рецепт. Читайте внимательно законы, особенно регламентирующие деятельность вашей конкретной организации. Может оказаться, что предоставлять информацию органу власти по его запросу вы не только не обязаны, но и получать такую информацию запрашивающий орган права не имеет.