17 декабря 2014 г.

Базам персональных данных - вернуться на главную базу

Всем готовиться к 1 сентября 2015 года! Незаметно и иносказательно сайт Думы сообщил о переносе сроков вступления в силу Федерального закона 242-ФЗ, получившего неофициальное название «о территориальности персональных данных россиян».
Утреннее пленарное заседание Госдумы сегодня, 17 декабря.
По предложению Романа Чуйченко, выступившего от Комитета по информационной политике, информационным технологиям и связи, депутаты вернули во второе чтение законопроект № 596277-6 «О внесении изменения в статью 4 Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», уточняющий срок вступления закона в силу, а затем приняли законопроект сразу во 2-м и 3-м чтениях.
К документу принята одна поправка:
«Внести в статью 4 Федерального закона от 21 июля 2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» … изменение, изложив ее в следующей редакции:
«Статья 4
Настоящий Федеральный закон вступает в силу с 1 сентября 2015 года».
Дальше начинается казуистика и крючкотворство. Но об этом – как-нибудь позже, когда закон подпишет президент, а у меня появится время.

3 декабря 2014 г.

Про указание ЦБ, идентификацию, хакеров и паспорта

Как мы помним, Указанием Банка России от 21 января 2014 г. N 3179-У, для проверки действительности паспорта физического лица, являющегося гражданином Российской Федерации, кредитная организация должна использовать информационный сервис «Проверка действительности паспорта гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации на территории Российской Федерации» на официальном сайте Федеральной миграционной службы (ФМС) в сети интернет. Правда, порядка проведения такой проверки и документирования ее результатов Положение 262-П и указание о внесении в него изменений не содержат, оставив решение этой непростой проблемы на откуп банков.
Законопослушные банки бросились указание исполнять, сервер ФМС, содержащий ресурс, не являющийся к тому же официальным, естественно, упал, и, полежав на боку некоторое время, восстал из пепла под новым имением «Проверка по списку недействительных (утраченных (похищенных), оформленных на утраченных (похищенных) бланках паспорта гражданина Российской Федерации, выданных в нарушение установленного порядка, а также признанных недействительными) паспортов граждан Российской Федерации, удостоверяющих личность гражданина Российской Федерации на территории Российской Федерации». Т.е. Положение ЦБ есть, а ресурса, который он требует использовать, нет, есть другой, в Положении не упомянутый. Чтобы не перегружать запросами сервер ФМС и не пытаться получить информацию под тяжелым взглядом ожидающего клиента, можно скачать «Список недействительных (утраченных (похищенных), оформленных на утраченных (похищенных) бланках паспорта гражданина Российской Федерации, выданных в нарушение установленного порядка, а также признанных недействительными) паспортах граждан Российской Федерации, удостоверяющих личность гражданина Российской Федерации на территории Российской Федерации», который обновляется по рабочим дням, и встроить его в свою информационную систему.
Насколько этот перечень является достоверным – вопрос непростой. По этому поводу Ассоциация российских банков уже направляла запрос в Банк России, обращая внимание на неполноту базы паспортов и нестабильную работу информационного ресурса, а также отсутствие порядка фиксации обращения банка на сайт ФМС.
Банк России в своем ответе относительно фиксации обращения предложил самостоятельно определять порядок в правилах внутреннего контроля. Проблемы недостоверности сведений и перегруженности сайта ФМС банкам предложено решать с использованием Единой системы межведомственного электронного взаимодействия, к которой банки подключаются как участники Государственной информационной системы о государственных и муниципальных платежах.
При этом ЦБ полагает, что в случае, если при проверке действительности паспорта на сайте ФМС получен ответ «Сведениями по заданным реквизитам не располагаем» либо «В электронных учетах ФМС России в настоящее время не значится», кредитная организация может отказать такому лицу в приеме на обслуживание либо в выполнении распоряжения о совершении операции до получения официального ответа территориального подразделения ФМС России о действительности паспорта данного лица. А если паспорт числится недействительным, банку следует отказать такому лицу в приеме на обслуживание либо в выполнении распоряжения о совершении операции до представления клиентом доказательств, подтверждающих действительность паспорта (например, официального ответа территориального подразделения ФМС о действительности паспорта данного лица).
Проблема заключается в том, что сайт выдает иные варианты ответа «По Вашему запросу о действительности паспорта РФ ____ № _____ получен ответ о том, что данный паспорт «Среди недействительных не значится» или что «данный паспорт недействителен (ЗАМЕНЕН НА НОВЫЙ)».
Но изменения работы, видимо, коснулись не всех. Сегодня городской портал города Перми Properm.ru сообщил, что хакеры взломали сайт областного управления ФМС, получили доступ к номерам паспортов жителей края и немного порезвились, внеся изменения в данные. Поэтому, по сообщению городского портала, многие обратившиеся в банк горожане после обращения работников банка на сайт узнают, что их паспорта недействительны или сведений о них нет, и получают отказ в оказании банковской услуги – см. рекомендации ЦБ выше. Правда, об этих проблемах знают не во всех районных подразделениях города.
Сообщение о недействительности паспорта или отсутствии сведений о нем влечет необходимость личного обращения в подразделение УФМС, получения соответствующей справки или даже замену паспорта. Проблему  со справкой чиновники обещают решить в срок от двух дней до недели.
Почему у Перми есть своя система проверки подлинности паспортов, связана ли она информационно с официальным сайтом ФМС, я не знаю. Тем не менее сведений о моем паспорте в ней нет:
А вот сайт ФМС о моем паспорте знает и подтверждает его подлинность.
Пока очевидно, что с сервисом есть проблемы. На страничке проверки паспортов честно сообщается: «Улучшаем сервис с помощью граждан. Скорректировано сведений в АС «Российский Паспорт»: 80738». Это значит, что граждане сообщили о более чем 80 тысячах записей, являющихся неверными. По сообщению информационного агентства «Гарант.РУ», такая ситуация обеспокоила Национальный совет финансового рынка (НСФР), который, отметив значительный рост отказов банков от обслуживания клиентов-физических лиц, обратился в Управление Роспотребнадзора по г. Москве с предложением об оказании содействия в предотвращении нарушений прав потребителей, вызванных установлением такой обязанности банков. НСФР отмечает, что ресурс ФМС носит исключительно информационной характер, а для получения юридически значимой информации следует обратиться в территориальное подразделение ФМС России. Отказ в оказании банковских услуг – дело серьезное, а тут для такого решения используется неофициальная и, возможно, недостоверная информация…
Я думаю, надо ждать дальнейшего развития событий. Точки ставить рано.
В заключение – благодарность аналитикам нашего агентства, готовящим ежемесячный отчет о правоприменении, за извлечение приведенных фактов из Больших данных интернета J.

1 декабря 2014 г.

И вечный аудит. Покой банкам и не снится

Есть в стандарте Банка России СТО БР ИББС 1.0-2014 требование о наличии в кредитно –финансовой организации, присоединившейся к стандарту, такого документа, как программа аудита. В соответствии с определением, там должны быть сведены планы проведения проверок выполнения требований не только стандарта, но и всех остальных проверок состояния информационной безопасности (ИБ): «Программа аудита ИБ включает всю деятельность, необходимую для планирования, проведения, контроля, анализа и совершенствования аудитов ИБ (и других проверок ИБ)».
За окошком – декабрь, и мы с нашими клиентами корректируем планы работ в новом году. Дошли руки и до программы аудита, как-никак документ во многом базовый, да и стандарт требует периодической корректировки программы.
Банк России рекомендует чередовать самооценку выполнения требований стандарта с аудитами с привлечением внешней проверяющей организации, есть ряд обязательных требований о проведении проверок безопасности и в других документах.
Обобщив и подытожив, получаем картину довольно суровую.
Допустим, банк с учетов выхода новой редакции стандарта провел аудит силами привлекаемой организации. Значит, в соответствии с требованиями стандарта, через два года, в 2016 году, ему целесообразно провести самооценку, а в 2018 – снова аудит.
Между самооценкой и аудитом скучать тоже будет некогда.
1 ноября 2012 года постановлением Правительства № 1119 были утверждены «Требования к защите персональных данных при их обработке в ИСПДн», среди которых – необходимость контроля за их выполнением оператором самостоятельно или с привлечением на договорной основе лицензиатов ФСТЭК не реже 1 раза в 3 года. Эти три года с момента установления нормы истекают как раз в ноябре 2015 года, значит, если банк этого не сделал раньше (а большинство КФУ, по нашим наблюдениям, этого не делало), в 2015 году надо провести проверку выполнения требований к защите персональных данных.
Как мы с вами помним, в соответствии с положением Банка России № 382-П, первая оценка выполнения его требований должна была завершиться не позднее 9 января 2014 года. Периодичность проведения оценок – раз в два года. Значит, до конца 2015 года надо провести и работу по 382-П, и не просто провести, а отчитаться за нее Банку России. Аналогичная работа должна быть проведена и в конце 2017 года, а в 2018 – снова аудит на соответствие СТО БР ИББС с привлечением внешней организации. И так по кругу.
Не будем забывать, что проверка – не самоцель, каждая из них должна заканчиваться анализом полученных результатов и выработкой предложений по результатам проверки, подготовкой и представлением руководству Банка предложений по совершенствованию системы защиты информации и программы аудита, а затем надо обеспечить еще и реализацию всех подготовленных предложений, получив для этого не только «добро» руководства банка, но и необходимые ресурсы.
А между всеми этими проверочными, планирующими и корректирующими мероприятиями должен, как это требует стандарт, вестись непрерывный мониторинг информационной безопасности и контроля защитных мер в банке в целях оперативного и постоянного наблюдения, сбора, анализа и обработки данных для контроля за реализацией положений внутренних документов по обеспечению информационной безопасности в банке, выявления нештатных, в том числе злоумышленных, действий в автоматизированной банковской системе и инцидентов информационной безопасности, а также анализ функционирования системы обеспечения информационной безопасности.
Вот такой вот вечный бой. В заключение – табличка, построенная исходя из того, что внешний аудит проводился банком в 2014 году и первое контрольное мероприятие выполнения требований в защите персональных данных будет в 2015 году.
2014
Аудит соответствия состояния информационной безопасности требованиям стандарта Банка России СТО БР ИББС 1.0-2014
2015 (до ноября)
Проверка выполнения требований к защите персональных данных при их обработке в ИСПДн и эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению их безопасности
2015 (до 9 января 2016)
Оценка выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 09.06.2012 № 382-П
2016
Проведение самооценки соответствия информационной безопасности требованиям стандарта Банка России СТО БР ИББС 1.0-2014
2017 (до 9 января 2018)
Оценка выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 09.06.2012 № 382-П
2018
Аудит соответствия состояния информационной безопасности требованиям стандарта Банка России СТО БР ИББС 1.0-2014

И не забудем отправить в Банк России сведения о результатах оценки выполнения требований 382-П, «Подтверждения соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014» по результатам аудита и самооценки!

25 ноября 2014 г.

И опять про тайну связи – суды и мнения

Уже много раз повторялось, что российское законодательство, вводя ту или иную тайну и вводя ограничение доступа к ней, чаще всего не определяет, какие конкретно сведения относятся к той или иной охраняемой законом тайне. Не знаем мы, что конкретно скрывается за понятием «банковская тайна», тем более что Гражданский кодекс и закон «О банках и банковской деятельности» определяют ее несколько по-разному.
Такая же ситуация и с врачебной тайной, есть только косвенное определение в законе «Об основах охраны здоровья»: сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. «Иные сведения» допускают сколь угодно широкое толкование. Осложняется ситуация невозможностью разделить врачебную тайну и персональные данные, определить, что такое персональные данные, которые нельзя хранить за территорией Российской Федерации. Аналогичная ситуация с большинством видом профессиональных тайн.
Про тайну связи я писал уже не раз – например, здесь и здесь, в том числе – про позицию Конституционного Суда в отношении детализации переговоров.
В рамках завершившихся проектов для наших клиентов мы с тайной связи разбирались детально и провели подробный анализ судебной практики. Тем более, что появились новые решения, новые мнения и высказывания.
Напомню определение Конституционного Суда от 2 октября 2003 года № 345-О. В нем указано, что информацией, составляющей охраняемую Конституцией и действующими на территории Российской Федерации законами тайну телефонных переговоров, считаются любые сведения, передаваемые, сохраняемые и устанавливаемые с помощью телефонной аппаратуры, включая данные о входящих и исходящих сигналах соединения телефонных аппаратов конкретных пользователей связи (т.е. детализация переговоров), а для доступа к указанным сведениям органам, осуществляющим оперативно-разыскную деятельность, необходимо получение судебного решения. Та же позиция была подтверждена в определении Конституционного Суда от 21 октября 2008 г. № 528-О-О.
Отменяя решение Арбитражного суда города Москвы (АСГМ), касающееся тайны связи, Девятый арбитражный апелляционный суд (9ААС), ссылаясь на закон «О Конституционном Суде Российской Федерации», подчеркнул, что решения Конституционного Суда обязательны на всей территории Российской Федерации для всех представительных, исполнительных и судебных органов государственной власти, органов местного самоуправления, предприятий, учреждений, организаций, должностных лиц, граждан и их объединений. Это требование, по смыслу названного Федерального конституционного закона, распространяется на все решения Конституционного Суда Российской Федерации, независимо от того, в какой форме они выносятся, то есть не только на постановления, но и на определения и заключения.
Заодно суд второй инстанции, исходя из логики определения Конституционного Суда, посчитал, что тайну связи составляют также и сведения об IMEI (идентификационных номерах абонентских устройств). Такой вывод основан на том, что абонентские устройства приобретаются абонентом самостоятельно в торговой сети, которая реализует их без предъявления документа, удостоверяющего личность, в связи с этим IMEI абонентского устройства не относится ни к оператору связи, ни к самому абоненту. Абонент вправе использовать любые абонентские устройства, и оператор связи не обязан вести базу данных, содержащую сведения об этих устройствах. Информация об идентификационных номерах абонентских устройств IMEI устанавливается аппаратурой связи лишь при телефонных соединениях, то есть содержится только в протоколах соединений (детализациях) конкретных абонентов, SIM-карты которых использовались в данном телефонном аппарате. Т.е. для получения IMEI надо проанализировать протокол соединения, а это тайна связи, значит, и IMEI тоже.
Позиция суда второй инстанции была подтверждена Федеральным арбитражным судом Московского округа (ФАС МО) при рассмотрении кассационной жалобы. К таким же выводам пришли АСГМ, 9ААС и ФАС МО при оспаривании «Мегафоном» привлечения его ФСФР к ответственности за отказ предоставить детализацию переговоров. В 2014 году судьба сыграла с «Мегафоном» злую шутку, когда по иску Роскомнадзора оператор был оштрафован судом за нарушение лицензионных условий, выразившихся в передаче без согласия абонента детализации счетов, составляющих тайну связи, своей «дочке» – ОАО «Мегафон Ритейл».
К сожалению, в постановлении 9ААС, отменявшего решение АСГМ, о котором указано выше, не нашла оценки еще одна интересная позиция АГСМ: информация относительно абонентских номеров (т.е. номер телефона) не относится к информации, составляющей тайну телефонных переговоров, поскольку эти номера принадлежат операторам сотовой связи и выделены по договору для использования абонентами, следовательно, установление фактов использования абонентских номеров относится исключительно к информации о деятельности оператора сотовой связи.
Аналогичную позицию в марте 2014 года высказал начальник отдела управления Роскомнадзора по Псковской области, отвечая на вопрос руководителя управления территориального управления Роспотребнадзора, насколько легитимна СМС-реклама, поступающая к абонентам без их согласия, и могут ли сотовые операторы передавать номера абонентов для массовых рассылок. Он сообщил, что номер телефона не является собственностью абонента, поэтому говорить о нарушениях распространения персональных данных не приходится, а речь может идти речь только о нарушениях законодательства о рекламе. Так что составляет ли номер телефона тайну связи и относится ли он к персональным данным, мы так и не узнали.
А вот по вопросу о том, являются ли тайной связи адреса электронной почты, одни и те же суды пришли к прямо противоположным выводам. Рассматривая иск «Рамблер Интернет Холдинга» о признании незаконным привлечение его к ответственности за отказ предоставить такие сведения той же ФСФР, АСГМ отменил постановление ФСФР, поскольку при вынесении оспариваемого постановления ФСФР не была дана оценка доводам интернет-компании о том, что предоставление указанной информации невозможно без доступа к содержанию электронных сообщений, что повлечет нарушение тайны переписки. 9ААС посчитал решение суда первой инстанции ошибочным, решение отменил, и с этим выводом согласился суд кассационной инстанции. Причиной такого решения стало отсутствие обязательного предоставления персональных данных при создании почтового ящика в публичном сервисе. Из этого последовал не менее интересный вывод о том, что сведения об адресах электронной почты, с которыми пользователем осуществлялась переписка, не относятся к информации, указанной в п.3 ст.63 Закона о связи, т.е. к тайне связи. Кроме того, истец не предоставил доказательств того, что получение адресов требует доступа к содержанию электронных писем и невозможности перепрограммирования средств, с использованием которых эти адреса извлекаются. Суд кассационной инстанции посчитал эти выводы 9ААС правильными.
Рассматривая совершенно аналогичный иск компании «Мэйл.Ру», тот же АСГМ в удовлетворении его отказал. Но вдруг поменял свою позицию на 180 градусов 9ААС, решение АСГМ отменивший и указавший (внимание!), что судом первой инстанции не учтено, что истец направил в адрес административного органа письмо с отказом в предоставлении сведений об адресах электронной почты и отметил, что информация об адресах электронной почты может быть представлена исключительно через доступ к электронным сообщениям пользователей, что недопустимо. В постановлении прямо так и сказано: «Таким образом, Общество не просто отказалось предоставлять сведения об адресах электронной почты, а обосновало невозможность такого представления». Исходя из этого апелляционный суд пришел к выводу, что предписание о предоставлении документов, вынесенное руководителем ФСФР, не основано на законе, а привлечение к ответственности за отказ предоставить эти сведения подлежит отмене. Отвергая аналогии с делом «Рамблер Интернет Холдингом», 9ААС посчитал, что в рамках данного спора в отличие от предыдущего аналогичного дела интернет-компания обосновала отказ в предоставлении информации, т.е. дела не идентичны по своему содержанию.
Очень занятно, потому что обоснование отказа полностью у обоих истцов абсолютно одинаково. Интересно, будет ли кассационная жалоба, и что решит суд третьей инстанции, если он будет.
И еще одно наблюдение. Привлекая по ст.138 УК к уголовной ответственности за передачу детализации переговоров кому бы то ни было без решения суда и согласия абонента, общеуголовные суды с обоснованием того, что детализация – тайна связи, не заморачиваются. В редких приговорах можно найти анализ определения Конституционного Суда, о котором речь шла в начале поста. А в основном у судей нет никаких сомнений в том, что сведения о соединениях – это тайна, а ее раскрытие – преступление.
Так что разбираться с содержанием тайны связи мы будем еще долго и сложно, ломая копья и ноги. Выход, и очень простой, как мне кажется, есть.  Минкомсвязи могло бы ведомственным актом определить перечень сведений, составляющих тайну связи по аналогии с государственной и коммерческой тайной. Такой же путь предложен законом и для служебной тайны. Похоже, придется откорректировать закон и принять нормативный правовой акт. Как показывают весенняя и осенняя сессии Госдумы, принятые постановления «по закону о блогерах», при желании, это сделать можно было бы очень быстро. При наличии воли.

5 ноября 2014 г.

Персональные данные, из-за которых можно остаться без прав

Речь идет о водительских правах, т.е. водительских удостоверениях.
Сегодня вступило в силу Постановление Правительства РФ от 24.10.2014 № 1097 «О допуске к управлению транспортными средствами» (вместе с «Правилами проведения экзаменов на право управления транспортными средствами и выдачи водительских удостоверений»). Документ подготовлен в лучших традициях создания нормативных правовых актов последних лет. Опубликовано оно было в «Российской газете» 31 октября, т.е. как раз накануне четырехдневных каникул, а применяться стало сегодня, т.е. сразу по их окончанию.
Учитывая название и содержание сего документа, вряд ли его изучение было приоритетным занятием отдыхающего народа, а зря. Большинство читающих этот пост права давно получили, на экзамены не собираются и тратить свое время на изучение ненужного документа не будут. Но это как раз тот случай, когда два пишем, а один – в уме. Название – про одно, содержание – про другое, а последствия – совсем третьи.
Среди прочих нововведений в «Правилах проведения экзаменов» есть пункт 35, определяющий случаи, когда российское национальное или международное водительское удостоверение считается недействительным и подлежит аннулированию. Подпункт «б» относит к таковым изменение содержащихся в водительском удостоверении персональных данных его владельца.
То есть, если дама-водитель вышла замуж и получила паспорт с новой фамилией мужа, ее водительское удостоверение недействительно! Причем уже сегодня. Прямо с утра.
У гаишников появились возможности для нового, 1001 способа изъятия денежных средств граждан. Видите молодую особу в красненьком BMV, явно выглядящем как подарок? Отлично. Останавливаем, просим права, задумчиво рассматриваем и просим паспорт. Если фамилии разные – бинго! Поскольку удостоверение недействительно, есть все основания применять статью 12.7 КоАП «Управление транспортным средством водителем, не имеющим права управления транспортным средством», предусматривающую штраф от 5 до 15 тысяч рублей. Ну, и удостоверение, поскольку оно недействительно, скорее всего изымут. А если рядом сидит муж, который дал супруге порулить, к нему применима часть 3 этой же статьи, предусматривающая за передачу управления транспортным средством лицу, заведомо не имеющему права управления транспортным средством (за исключением учебной езды) или лишенному такого права, наложение штрафа аж в 30 тысяч рублей. Итого – 45 с одной остановки. Выглядит привлекательно.
Если среди ваших знакомых есть люди, недавно поменявшие «персональные данные», проще говоря, паспорт, обратите их внимание на ситуацию. При расхождении любых сведений (у меня, например, знакомый недавно поменял отчество на более благозвучное) надо срочно менять права. Во избежание последствий.
А ответ на вопрос, как и когда это должны были сделать люди, узнавшие о нововведении в период праздников и попавшие в первый же рабочий день под раздачу, оставим на совести авторов документа. 

1 октября 2014 г.

Выплеснутый из коммерческой тайны с 1 октября

Приведение в соответствие нормативной базы заказчиков, регламентирующей обеспечение режима коммерческой тайны в соответствие с изменениями в Гражданском кодексе и соответствующем федеральном законе (35-ФЗ от 12.03.2014), вступающими в силу сегодня (1 октября 2014 года), натолкнули на еще одно неприятное открытие, которое я при первом анализе нововведений законодательства не заметил.
Я уже писал, что совершенно не понимаю сути новых изменений и причин их появления, а также преследуемой этими изменениями цели. Изменения очень существенные, и, похоже, как всегда готовились второпях. Отсюда и возмещение работником убытков работодателя, полученных вследствие разглашения коммерческой тайны, а не прямого действительного ущерба, и возможность использовать коммерческие секреты «для собственных нужд».
Выплеснули законодатели из закона вместе с водой и ребенка, но в мутной воде очередной редакции этого сразу не видно.
Когда готовилась первая редакция четвертой части Гражданского кодекса, и нормы, регулирующие вопросы охраны конфиденциальности коммерческих секретов, распределялись между кодексом и новой редакцией закона «О коммерческой тайне», из закона была исключена статья 12, устанавливающая требования к содержанию гражданско-правого договора, а в кодексе появились статьи, определяющие порядок заключения договора уступки исключительного права на секрет производства и лицензионного договора о предоставлении права использования секрета производства. После «официального развода» понятий с 1 октября эти нормы нельзя применять к информации, составляющей коммерческую тайну (ИКТ), но не являющейся секретом производства, ввиду их специальности, а в законе «О коммерческой тайне» соответствующих требований не появилось.
И еще. В четвертую часть Гражданского кодекса была включена важнейшая, на мой взгляд, статья 1467, устанавливающая норму, в соответствии с которой исключительное право на секрет производства действует до тех пор, пока сохраняется конфиденциальность сведений, составляющих его содержание, а с момента утраты конфиденциальности соответствующих сведений исключительное право на секрет производства прекращается у всех правообладателей. Эта норма в какой-то мере компенсировала отсутствие обязательности государственной регистрации права и прямо указывала обладателю охраноспособной информации на риски, связанные с выбором способа защиты вне области патентного права.
Такой же порядок, исходя из определения, должен устанавливаться и в отношении ИКТ («имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам»), однако в законе и это требование не появилось. Теперь большим вопросом становится правомерность охраны ИКТ в режиме коммерческой тайны после утраты конфиденциальности, когда обладатель пытается, но может реализовать свое предусмотренное законом право требовать от лиц, получивших доступ к ИКТ в результате действий, совершенных случайно или по ошибке, охраны конфиденциальности этой информации или защитить свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами ИКТ.
Опять будем ждать наработки практики правоприменения и очень хочется надеяться, что суды не будут принимать прямо противоположные решения при одних и тех же обстоятельствах, как это было в первые годы после появления ст.183 в Уголовном кодексе и вступления в силу закона «О коммерческой тайне». 

23 сентября 2014 г.

Что изменится в государственном регулировании коммерческой тайны с 1 октября, а также немного о персональных данных

Ближе к осени в наше агентство стало поступать все больше вопросов, связанных с серьезными изменениями законодательства о коммерческой тайне, поэтому я и принял предложение нашего партнера Учебного центра «Информзащита» поучаствовать в конференции по экономической безопасности, которая пройдет 24 сентября 2014 года в рамках выставки Infosecurity.
Тема моего выступления – «Что изменится в государственном регулировании коммерческой тайны с 1 октября». Время и место: 24 сентября, 11:30–12:00. Москва, Крокус Экспо, пав.1 зал 1, конференц-зал D.
О некоторых изменениях я уже писал. Вопросы, которые только затронем (лимит времени, детально – на моих курсах и семинарах):
·         Понятия разделились. Дьявол в деталях.
·         Большие последствия изменения нескольких слов.
·         Какие положения утратили силу.
·         Принципиально новое в ФЗ «О коммерческой тайне».
·         Новые обязанности работника по охране конфиденциальности информации.
·         О возмещении убытков, причиненных разглашением информации.
·         Права работников на вознаграждение.
А после обеда 24-го сентября выступлю с занимательным докладом (дали только 20 минут) в рамках круглого стола «Защита персональных данных», который буду проводить (14:20–17:00 / Зал K2). Запланированы выступления:
·        Что и почему необходимо изменить в законе о персональных данных. Михаил Емельянников, управляющий партнер, консалтинговое агентство "Емельянников, Попова и партнеры".
·        Персональные данные - трудности перевода. Михаил Яценко, исполнительный директор Национальной Ассоциации Дистанционной Торговли. 
·        Практика разрешения судебных споров, связанных с персональными данными. Наталья Храмцовская, ведущий эксперт по управлению документацией ЭОС.
·        Новые инициативы регулирования персональных данных в России: риски для Интернет индустрии. Ирина Левова, руководитель отдела стратегических разработок Российской Ассоциации электронных коммуникаций.
·        Закон о персональных данных и электронная коммерция. Павел Манык, ведущий юрист юридической компании "Зарцын и партнеры". 
·        Защита персональных данных в микрофинансовых организациях: решение проблем правоприменения. Алексей Чирков, советник по правовым вопросам Российского микрофинансового центра. 
·        Закон "О запрете хранения ПДн за границей". Илья Романов, заместитель руководителя отдела консалтинга, ЗАО "ДиалогНаука".
·        Можно ли пользоваться иностранными облачными платформами с точки зрения законодательства РФ в области защиты ПДн? Александр Барышников, руководитель направления отдела консалтинга ДКА ЗАО НИП "Информзащита".

31 августа 2014 г.

Что нового для специалистов по информационной безопасности

Весна и лето этого года были как никогда урожайны на законодательные изменения, затрагивающие вопросы обеспечения информационной безопасности. Про многие из них я писал в своих постах: про коммерческую тайну и секреты производства; про материальное стимулирование работников к созданию охраноспособных секретов; про хранение баз персональных данных россиян на территории России и блокировку сайтов операторов, нарушающих закон, про вывод надзора за выполнением требований законодательства о персональных данных из-под регулирования 294-ФЗ; про блогеров и не-блогеров; про организаторов распространения информации в сети интернет и организацию у них СОРМ; про идентификацию пользователей публичного интернета и уточнение его порядка в новом постановлении правительства и разъяснениях Минкомсвязи.
И это еще не все. Принято еще несколько постановлений правительства, все эти вопросы конкретизирующих или окончательно запутывающих. Готовится приказ Минкомсвязи «Об утверждении требований к оборудованию и программно-техническим средствам, используемым организатором распространения информации в сети «Интернет» в эксплуатируемых им информационных системах». Роскомнадзор активно применяет такую форму надзорной деятельности, как систематическое наблюдение, и блокирует сайты с персональными данными, не дожидаясь 1 октября 2016 года.
Читать посты – это, конечно, хорошо, но мало, чтобы разобраться в проблеме. Тем более, что уже завтра – 1 сентября, начало нового учебного года для всех образовательных учреждений.
В октябре мы, совместно с нашими партнерами, запускаем программу нового семинара – «Изменения в законодательстве о персональных данных и коммерческой тайне, правоприменительной практике и их влияние на бизнес». Семинар рассчитан на тех, кто уже в теме, и хочет оставаться в тренде. Подробно расписывать содержание не вижу смысла, вот его программа:
1.   Изменения в законодательстве о коммерческой тайне
·       Информация, составляющая коммерческую тайну, и секрет производства (ноу-хау) после 1 октября 2014 года. Можно ли защитить секрет производства, не устанавливая режим коммерческой тайны?
·       Права обладателя информации, составляющей коммерческую тайну.
·       Новый порядок возмещения убытков, причиненных обладателю секретов, вследствие разглашения информации, составляющей коммерческую тайну.
·       Материальное поощрение работника, создавшего секрет производства – добрая воля или обязанность работодателя? Постановление Правительства РФ от 04.06.2014 № 512 «Об утверждении Правил выплаты вознаграждения за служебные изобретения, служебные полезные модели, служебные промышленные образцы».
2.   Изменения в законодательстве о персональных данных
·       99-ФЗ: изменения в 14 федеральных законах. Зачем, почему и к чему это приведет. Какие организации могут передавать персональные данные субъектов третьим лицам без согласия и в каких целях. Изменения в Трудовом и Гражданском процессуальном кодексе, законе «Об образовании», касающиеся персональных данных. Изменения в законах, регулирующих конкретные сферы деятельности.
·       242-ФЗ: это закон не только о местах хранения баз персональных данных россиян. Когда и кому можно хранить базы данных за рубежом. Порядок блокировки доступа к сайтам в сети интернет лиц, нарушающих Федеральный закон «О персональных данных». Вывод надзора в сфере персональных данных из юрисдикции Федерального закона № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
·       Полномочия органов прокуратуры в отношении доступа к персональным данным.
·       Передача персональных данных при уступке прав требования. Агентирование при взыскании просроченной задолженности.
·       Доступ к банковской тайне и новая редакция ст.26 закона «О банках и банковской деятельности».
·       Обработка персональных данных при оказании государственных и муниципальных услуг. Нужно ли согласие субъекта на обработку, если да – в каких случаях.
·       97-ФЗ - закон не о блогерах. Блогеры, владельцы сайтов и организаторы распространения информации. Порядок хранения информации о блогерах и посетителях сайтов, оставивших сообщения. Какое отношение блогеры имеют к электронным платежам? Порядок ограничения доступа к информационному ресурсу организатора распространения информации в интернет. Требования постановлений Правительства РФ, принятых в связи с «законом о блогерах».
3.   Новое в правоприменительной практике в сфере персональных данных
·       Блокирование Роскомнадзором сайтов с персональными данными через механизм единого реестра запрещенной информации. За что, почему и как.
·       Мероприятия Роскомнадзора по систематическому наблюдению за операторами персональных данных. Что это такое, как происходит и к каким последствиям приводит.
·       Разъяснения Роскомнадзора по вопросам отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным и особенностям их обработки.
·       Судебная практика, связанная с получением доступа к персональным данным и тайне связи Банком России в рамках противодействия инсайдерской деятельности и манипулированию рынком.
·       Передача персональных данных и иной охраняемой законом тайны дочерним предприятиям, обслуживающим население. Взаимодействие с агентами, заключающими договоры с физическими лицами в интересах оператора персональных данных. Обзор судебных решений.
Премьера курса – 10 октября в Самаре в центре «Технологии управления бизнесом» и 16 октября в Москве, в Учебном центре «Информзащита». Будут ли это разовые мероприятия, или чтение этого курса продолжится и далее, мы еще не решили. Так что желающим разобраться в нововведениях детально, лучше посетить одно из этих двух мероприятий. Учебный центр организует также и дистанционное участие в мероприятии.
Безусловно, новые нормы законодательства и постановлений правительства, указанные в программе, найдут свое отражение и в тех курсах, которые будут проводиться осенью: КП32 «Защита персональных данных» 15-16 сентября и 13-14 октября, КП30 «Реализация режима коммерческой тайны на предприятии 13-14 ноября в Учебном центре «Информзащита», «Сложные проблемы применения законодательства о персональных данных в кредитно-финансовых учреждениях» 25 сентября и «Реализация режима коммерческой тайны» 26 сентября в НП «БизнесШколаКонсультант».

20 августа 2014 г.

Постановление не про WiFi: продолжение последовало. На принтере появилась турбокнопка

Совсем недавно я писал про постановление Правительства от 31.07.2014 № 758 об идентификации пользователей интернета и высказывал предположение о том, что авторы документа не совсем поняли, что же они написали. Подтверждением этого, на мой взгляд, являются впечатляющие комментарии к нормативному акту, в первую очередь от ведомства его написавшего – Минкомсвязи, которое, не указывая номер постановления Правительства, допустило возможность использования провайдерами способов идентификации, правилами оказания услуг связи не предусмотренными. Еще дальше пошел Артем Ермолаев, руководитель департамента информационных технологий Москвы. Он вообще решил опровергнуть введение новых требований. В сложившейся ситуации вынуждено было сказать свое слово устами пресс-секретаря премьера и Правительство. Наталья Тимакова сообщила, что «в закон, норма которого предусматривает запрет на анонимный Wi-Fi, могут быть внесены изменения».
Вчера на сайте Минкомсвязи появился новый комментарий «Утверждены разъяснения к порядку идентификации пользователей для доступа к Wi-Fi в публичных местах». В нем, опять без ссылки на номер и дату постановления Правительства, сообщалось что оператор связи, перед открытием доступа в интернет, может предложить пользователю ввести номер своего мобильного телефона, на который будет направлен код для подтверждения введенных данных, либо указать свою фамилию, имя и отчество, которые подтверждаются учетной записью на Едином портале государственных услуг, документом, удостоверяющим личность, или иным способом, не противоречащим законодательству. Я даже растерялся. Что, опять?!
Наши аналитики исследовали ситуацию и принесли искомую сахарную косточку – Постановление Правительства РФ от 12.08.2014 № 801 с уже «горячо любимым» названием «О внесении изменений в некоторые акты Правительства Российской Федерации».
На самом деле это не про некоторые акты. Это конкретно про правила оказания универсальных, телематических услуг и услуг передачи данных. Тех самых, в которые за две недели до этого уже были внесены изменения тем самым постановлением № 758. Каких-либо упоминаний об этом ни в новом постановлении, ни в комментарии регулятора на официальном сайте, естественно, нет.
Что же поменялось на этот раз? Во всех трех правилах в дополнение к «паспортной» идентификации пользователя интернета добавилась возможность идентификации «либо иным способом, обеспечивающим достоверное установление указанных сведений, в том числе с использованием федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", или достоверного установления абонентского номера, назначенного пользователю в соответствии с договором об оказании услуг подвижной радиотелефонной связи, заключенным с оператором связи». Т.е. те способы, о которых было сообщено в первом комментарии Минкомсвязи, но которых в предыдущем постановлении не было. Изменения вносятся как раз в новые пункты, добавленные в правила 31 июля.
Но это не все. Как это принято для документов с названием «О внесении изменений в некоторые...», там поставлена такая незаметная растяжка, привязанная к чеке небольшой бомбы. В первых абзацах п.24.1 правил оказания услуг передачи данных и п.17.1 правил оказания телематических услуг исключены слова «оператора связи». Простенько так и со вкусом. Как выглядят абзацы теперь, в постановлении и комментарии ведомства, естественно, не сказано.
А редакция у них теперь весьма интересная. «В случае заключения срочного договора об оказании разовых … услуг связи в пунктах коллективного доступа осуществляет идентификацию пользователей и используемого ими оконечного оборудования оператора связи». Простите, а кто же осуществляет теперь идентификацию? Вы уже, конечно, догадались? Да, правильно. Персонал кафе или аэропорта, где установлен Wi-Fi-роутер, администрация парка Горького и московского метрополитена и т.д. Правда, постановлением на них такая обязанность прямо не возложена, и оператору связи, предоставляющему доступ в интернет, придется прямо указать об этом в договоре с клиентом-юридическим лицом, чтобы выполнить требование правил оказания услуг связи. И какая-нибудь «Сладкарница» окажется теперь перед непростым выбором – отказаться от Wi-Fi, из-за которого именно в это, а не другое кафе приходит значительная часть посетителей, требовать с посетителей паспорта и фиксировать эти данные перед выдачей или не соблюдать условия договора с оператором.
Последний вариант раскручивает еще один клубок проблем. Поскольку ответственности за невыполненную идентификацию пока вроде бы нет, владельцу кафе это вроде бы никак не угрожает. Но не будем забывать, что за требованием идентификации стоит СОРМ, несоблюдение требований к которому чревато приостановкой, а то и лишением оператора лицензии. Значит, ответственность владельца кафе будет определяться в рамках регресса, т.е. требования оператором возмещения убытков в связи с приостановкой или отзывом лицензии. Все задумались.
Я понимаю, что призывать думать, прежде чем писать нормативные правовые акты – это голосить в пустыне. Но хоть кто-то за такие перлы должен отвечать? По все чиновничьим нормам господин Ермолаев должен уйти в отставку – он дал заведомо ложную информацию о требованиях постановления правительства страны. Должны полететь головы в Минкомсвязи, которые придумали сначала первый документ, а через две недели, еще немного подумав, изменения в него. Кто-то должен разобраться, в чем причина сложившейся ситуации, и чья конкретно некомпетентность к этому привела.
Владельцам коллективных точек доступа в интернет я теперь не завидую. У них нелегкий выбор, и все стрелки переведены на них.

15 августа 2014 г.

Постановление не про WiFi по паспортам

Появился новый жар, у меня, во всяком случае. Рожден он многочисленными комментариями к появляющимся со скоростью пулеметной очереди нормативным правовым актам. Поскольку актов очень много, они длинные и трудночитаемые, комментаторы, включая депутатов и чиновников, причастных к их принятию, а также журналисты с универсальными знаниями, читают первые пару строк (или абзац в лучшем случае) и комментируют. Потом все это обсуждают.
Алексей Волков уже спокойно (в смысле без паники) и очень точно описал ситуацию с постановлением Правительства РФ от 31.07.2014 № 758 с длинным названием «О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей». Мы с ним на эту тему плотно пообщались, пришли к общему мнению, которое он традиционно точно изложил. Я уж было передумал написать на эту тему, но обилие комментариев теперь и к посту Алексея заставили изменить намерения.
Начну с того, что на 100% уверен, что авторы сего документы написали совсем не то, что было предписано, и до конца не поняли, что написали. Об этом говорят комментарии из Министерства связи и Правительства. Писали очень быстро, впопыхах, и похоже, в двух разных департаментах министерства. Сводить тексты было некому и некогда. Итак, аккуратно смотрим, что получилось на выходе.
Постановление вносит изменения в правила оказания трех видов услуг связи: универсальных, передачи данных и телематических. Соответственно, в нем три пункта с подпунктами.
Первый пункт касается только универсальных услуг, и больше ничего. Универсальные услуги связи в соответствии с законом «О связи» - это «услуги связи, оказание которых любому пользователю услугами связи на всей территории Российской Федерации в заданный срок, с установленным качеством и по доступной цене является обязательным для операторов универсального обслуживания». По-русски если – то это таксофон в глухой деревне, где прокладка меди и установка аппарата никогда не окупится, но скорую помощь иногда вызывать надо. Или компьютер с доступом в интернет в почтовом отделении (оно же и местный банк, как правило). Кстати, этот компьютер на почте и есть пункт коллективного доступа (ПКД), и его функционирование вовсе не предполагает использование WiFi. Это просто возможность почитать электронную почту и посерфить в интернете со скоростью не менее 256 кбит/с с помощью средств, предоставленных оператором (компьютера или WiFi–роутера, например).
У операторов универсальных услуг с государством особые отношения в связи с этим, но нам до этого дела нет, в вашем офисе или кафе-пончиковой за углом оказывается совсем не универсальная услуга. Поэтому даже разбираться с тем, что конкретно представляет собой ПКД, смысла нет. Пусть оператор универсальных услуг разбирается, пункт касается только его. Отметим только (потом понадобится) что сведения о пользователе универсальной услуги, представленные при использовании ПКД (в постановлении указано, какие именно) хранятся оператором связи (не почтой) не менее 6 месяцев.
А вот второй и третий пункты постановления про нас с вами.
Регламентируют они два варианта использования интернета при получении услуг передачи данных и телематических услуг (в комментариях к постановлению много ссылок на их определения и отличия, место тратить не буду, отмечу лишь, что, организовав доступ в интернет в офисе своей компании или шашлычной, вы пользуетесь одной из них или обе).
Подпункты а) в пунктах 2 и 3 – про разовые услуги доступа к интернету с использованием ПКД. Что такое разовые услуги, в правилах их оказания не говорится, но это было написано и до ПП-758, что договор об оказании разовых услуг передачи данных и телематике предполагает использование ПКД, заключается путем осуществления пользователем конклюдентных действий, направленных на получение услуги, и считается заключенным с момента таких действий. ПП-759 дополняет эту норму требованием идентификации пользователя и используемого им оконечного оборудования оператора связи. Обратили внимание? Должно идентифицироваться оборудование оператора связи, а не пользователя. И чего его идентифицировать, если оператор его сам и поставил и точно знает его mac-адрес? Про смартфоны в качестве ПКД я пока не слышал, но и их IMEI, если смартфоны предоставлены оператором, оператор отлично знает. И это первая засада.
Идентификация пользователя осуществляется оператором связи путем установления фамилии, имени, отчества (при наличии) пользователя, подтверждаемых документом, удостоверяющим личность. Если кто не знает, в соответствии с Указом Президента РФ от 13.03.1997 № 232, основным документом, удостоверяющим личность гражданина Российской Федерации на территории Российской Федерации, является паспорт гражданина Российской Федерации. Я искренне удивился, когда читал разъяснения на сайте регулятора про водительские права, СМС и специальную веб-форму. Как оператор будет сличать данные в правах или СМС с основным документом, я не догадываюсь. Но Роскомнадзор к концу месяца обещает придумать методику, тогда и посмотрим. Здесь вторая засада. Нововведения в этих подпунктах накладывают обязанности только на оператора связи, владельцам кафе и гостиниц, администрации парков, аэропортов и метрополитена до этого никакого дела нет, и в их работе ничего не меняется. Требование к ним не относится.
Подпункты б) пунктов 2 и 3 обязывают пользователя телематики и передачи данных (юридическое лицо или индивидуального предпринимателя) собирать и раз в три месяца передавать своему провайдеру список лиц, использующих его (юридического лица или индивидуального предпринимателя) пользовательское (оконечное) оборудование, который содержит сведения об использующих это самое оборудование - фамилию, имя, отчество, место жительства, реквизиты основного документа, удостоверяющего личность. Это третья засада, и самая большая пока.
Очевидно, что работники, которым выдали компьютеры и смартфоны, должны попасть в этот список. А как быть с посетителями, получающими гостевой доступ, в том числе – посетителями кафе или пассажирами аэропортов со своими средствами доступа? А это зависит от того, что такое пользовательское (оконечное) оборудование. Проблема в хот-споте. Устройства, создающие этот самый хот-спот – оконечное оборудование или нет? В законе о связи это «технические средства для передачи и (или) приема сигналов электросвязи по линиям связи, подключенные к абонентским линиям и находящиеся в пользовании абонентов или предназначенные для таких целей». 
А вот в правилах оказания телематических услуг связи (это и есть доступ в интернет, строго говоря) наряду с пользовательским (оконечным) оборудованием используется термин «абонентский терминал» - совокупность технических и программных средств, применяемых абонентом и (или) пользователем при пользовании телематическими услугами связи для передачи, приема и отображения электронных сообщений и (или) формирования, хранения и обработки информации, содержащейся в информационной системе. Ключевыми словами являются здесь отображение, хранение и обработка. Т.е. компьютер – это абонентский терминал, а оконечное оборудование – гораздо шире. И WiFi или проводной роутер под его определение вполне попадает.
Из этого следует весьма неутешительный вывод. При соответствующем желании надзорного органа требование показать список всех, пользующихся доступом в интернет, предоставленным юридическим лицом или ИП, вполне законен. Как к владельцу кафе, так и к оператору связи.
Уткнувшись в нечеткие определения понятий, мы опять получаем избирательность применения права в зависимости от трактовки норм надзирающими.
И в заключение про разных авторов. Помните требования к срокам хранения в п.1, на которые я обращал внимание? В пунктах 2 и 3 никаких сроков нет. Из чего делаю вывод, что писали разные люди, а «сбивать» в единое целое было некогда. Поскольку написал за свою жизнь массу нормативки, имею основания. 
Да, кстати. Требование о предоставлении оператору списков лиц, использующих оконечное оборудование юридического лица, заверенных уполномоченным представителем юридического лица, в котором указаны их фамилии, имена, отчества, места жительства и реквизиты основного документа, удостоверяющего личность, было и есть в Постановление Правительства РФ от 27.08.2005 № 538 «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность». Представители компаний, которым я об этом говорил, неизменно искренне удивлялись. Ни один из них такого списка никогда не предоставлял. Это так, для понимания ситуации.