Тайное станет тайным!

Персональные досье на граждан РФ получат право собирать лишь чиновники из нескольких уполномоченных госструктур. Черный рынок «личных тайн» не исчезнет, но цена на компромат станет на порядок выше… 

Власти предприняли новую попытку упорядочить сбор конфиденциальных сведений о россиянах. В ноябре на территории страны начало действовать правительственное постановление «Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Теперь организации, работающие с персональными данными, будут отвечать за их сохранность от посягательств извне.

В документах, предполагающих наличие конфиденциальных сведений, отныне должны указываться цель их сбора, имя оператора (сборщика данных), а также перечень действий с полученной информацией. Кроме того, в анкетах теперь обязательна графа, в которой гражданин ставит отметку о своем согласии на обработку информации о себе. Весьма серьезной мерой борьбы с утечкой информации, как предполагается, станет и введение единого реестра операторов, имеющих право запрашивать персональные данные.

К формированию такого списка Россвязькомнадзор приступил еще в апреле этого года. В реестр попадут как государственные и муниципальные органы и службы, так и юридические лица (нотариусы, адвокаты). Главное, чтобы их желание собирать и обрабатывать сведения о гражданах было внятно подтверждено служебной необходимостью. Кроме того, уполномоченные структуры будут обязаны четко прописать механизмы защиты информации и обозначить способы ее хранения.

В сборе сведений операторы будут руководствоваться основным документом – Законом «О персональных данных». Последний категорически не допускает обработку персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.

Работа с такими сведениями возможна лишь с личного письменного согласия человека либо в связи с осуществлением правосудия. Например, отстаивая интересы своего подзащитного в суде, адвокат заявляет, что в момент совершения преступления тот находился в клинике, и озвучивает диагноз. В случае утечки конфиденциальных данных каждый человек имеет право обратиться в суд. Такие прецеденты уже были.

Так, в качестве ответчиков привлекались операторы сотовой связи, ставшие виновниками утечки детализаций входящих-исходящих звонков некоторых абонентов. Представали перед судом и медики, из регистратур которых таинственным образом в таблоиды и Интернет утекали сведения, составляющие врачебную тайну. Ведение реестра должно персонализировать ответственность уполномоченных структур перед людьми, предоставившими им свои данные.

Закон не справляется

За последние годы в стране на порядок возросло количество всевозможных баз данных, содержащих информацию персонального характера, держателями которой являются государственные и коммерческие структуры. Потребительские, клиентские и другие базы с частной информацией ведут компании дистанционной торговли, прямых продаж, службы доставки, call-центры, мобильные операторы, банки и страховые компании, многие предприятия торговли и сферы услуг.

Мы порой и сами не замечаем, как пухнет досье на каждого из нас. Происходит это практически ежедневно. В одном месте ответил на вроде бы незатейливые вопросы ресторанной анкеты, в другом – заполнил опросный лист на автозаправке. Пришел домой, зарегистрировался на сайте и оставил там свой электронный адрес. Казалось бы – ну и что такого? Тем временем все эти сведения тщательно собираются в базы данных, которые затем становятся дорогим товаром на рынке информации. А его объем аналитиками оценивается примерно в 200 миллионов рублей в год.

Еще 8 июля 2006 года был принят Федеральный закон № 152 «О персональных данных». Но в процессе его применения на практике выяснилось, что некоторые моменты, и довольно серьезные, в нем упущены.

Простой пример: основываясь на законе, с одной стороны, выстраиваются взаимоотношения клиента с банком, который, естественно, не вправе разглашать информацию, допустим, о размерах вклада, условиях кредита, предметах залога. Банк, интересуясь вашей частной жизнью, делает это на законных основаниях, поскольку рискует своими деньгами. Более того, клиента предупреждают, что служба безопасности будет внимательно изучать его кредитную историю, и он дает согласие на проверку и подписывает соответствующий пункт в договоре.

С другой стороны, в законе детально не прописаны взаимоотношения клиента с организациями, не имеющими права собирать персональные данные, но тем не менее делающими это. Например, супермаркет. Довольно навязчивое предложение покупателю заполнить анкету сулит в перспективе получение дисконтной карты. В расчете на скидку покупатели, практически не задумываясь, делятся с магазином сведениями о себе, своих близких и имуществе. И эти данные отправляются в неизвестном направлении. Хотя почему же в неизвестном?

Достаточно набрать в любом поисковике Интернета ключевую фразу «база данных клиентов ресторана», как вы без труда найдете несколько предложений о ее продаже. Как она оказывается в относительно открытом доступе? Механизм прост. Естественно, ни один сетевой ресторан не будет заниматься составлением этих баз, хотя ее наличие – дело, безусловно, очень полезное для бизнеса. Для составления подобных баз, как правило, приглашаются команды программистов, а уж эти люди, как никто другой, знают ценность персональной информации. Не исключено, что, сформировав из заполненных анкет базы данных, программисты сделают себе копии.

Х-файлы в открытом доступе

Недавно разразился скандал, который не утихает до сих пор. В Интернете на одном русскоязычном ресурсе, зарегистрированном в США, вдруг выложили в открытый доступ практически все имеющиеся на сегодняшний день базы данных о гражданах России. Бесплатно ресурс проработал неделю. За это время все, кто о нем услышал, им с интересом для себя воспользовались, узнав, например, размеры заработной платы своего начальника или бывшего супруга за 2007 год. В настоящее время ресурс продолжает работать, но уже за деньги – минимальный взнос 10 долларов. Платеж – через Интернет.

Можно ли прикрыть эту лавочку? Сделать это практически невозможно, уверяют специалисты: сегодня закроешь один ресурс, завтра ему на смену придут два новых. Шлюзы открылись – вода пошла. «Сегодня наш человек голый, абсолютно голый. Он просвечен, как рентгеном, – возмущается по поводу сложившейся ситуации заместитель председателя Комитета по конституционному законодательству и государственному строительству Государственной думы Виктор Илюхин.

– В коммерческих компаниях собрано огромное количество персональных данных, и это приводит к соблазну их продать. Автосалоны, банки и магазины знают, в каком доме вы живете, на какой машине ездите и как расставлена в квартире мебель, какой мобильный телефон и даже какой цвет обоев вы предпочитаете». Кому и для чего это нужно?

Ответ лежит на поверхности. Откройте свой e-mail, и вы найдете в нем массу предложений о продаже баз данных, представляющих собой справочный архив физических и юридических лиц Москвы и Московской области, всех форм собственности, занимающихся различной деятельностью. За 24 тысячи рублей курьер доставит вам 240-гигабайтный жесткий диск с полусотней баз данных.

Выбор богат и значительно расширяет кругозор пользователя: за эту сумму можно узнать обо всех акционерах банков, о собственниках жилья, о налоговых должниках, о сотрудниках силовых ведомств и адвокатах Москвы, о недобросовестных плательщиках за коммуналку. Круг потребителей данного контента может быть очень широк – от сотрудников резидентур иностранных разведслужб до банальных мошенников.

И совершенно напрасно многие наши граждане думают, что их личная жизнь никого не интересует и потому эта проблема их не касается. Именно из таких баз, например, преступники могут получить информацию о членах вашей семьи и, представившись сотрудником правоохранительных органов, позвонить и сообщить о задержании вашего близкого, освобождение которого стоит немалых денег. Случаев такого вида мошенничества в Москве ежедневно, по самым скромным оценкам, бывает не менее десятка. У этого вида преступности крайне высокая степень латентности – злодеи остаются в тени.

Вероятно, некоторые, к своему удивлению, сталкивались с тем, что практически сразу после угона автомобиля им звонили и предлагали за небольшую сумму предоставить информацию о местонахождении машины. Источник утечки – милицейская база данных «Угон».

Вам еще не звонили из некой страховой компании за несколько дней до истечения срока вашего страхового полиса и, безошибочно назвав марку вашего автомобиля, не предлагали заключить новое соглашение на более выгодных условиях, чем у прежних страховщиков? Ждите, скоро позвонят. Страховые компании ведут жесткую конкуренцию и буквально охотятся за клиентами друг друга.

– Новое постановление принято очень вовремя, потому как существующего закона о защите конфиденциальных данных было явно недостаточно, – считает генеральный директор ГУП «Информзащита» Михаил Чупов. – Множество коммерческих структур стремятся получить максимум информации о клиентах, причем в большинстве случаев она не имеет никакого отношения к предоставляемым услугам.

Особый реестр

Что же предлагается сделать? Прежде всего ограничить распространение баз данных. Способов по сути предлагается два. Первый – гражданам предлагается самим ответственнее относиться к личной информации и в случае чего интересоваться, кто конкретно будет отвечать за конфиденциальность оставленных ими данных. Особенно в ситуациях, которые не оставляют выбора.

Так, при посещении практически любой организации или фирмы охранники требуют предъявить паспорт, номер которого вместе с вашей фамилией и адресом прописки переписывают в некий журнал. Теперь же, и это прописано в новом документе, охраняемые ретивыми секьюрити ведомства должны специальным актом обосновать необходимость существования самого журнала регистрации, а также обеспечить его сохранность. Копирование информации строжайше запрещено.

Способ второй – усилить контроль над хранением информации, оказывающейся в государственных органах. Так, Закон «О персональных данных» в основном касался частных предприятий. К государственным органам требования в законе предусматривались в целом менее строгие, чем к коммерческим структурам, а в ряде случаев и вовсе отсутствовали. Оказывается, зря.

Не секрет, что наиболее ценные базы данных утекают именно из государственных органов. Принятое постановление должно добавить чиновникам персональной ответственности за сохранность конфиденциальных данных. Собственно, для этого и составляется реестр структур, уполномоченных работать с ними. Он, как представляется, станет инструментом, позволяющим определять источник утечки. Вы скажете, это нереально? Ну почему же?

Например, после серии громких утечек ГИБДД смогла заблокировать распространение сведений о владельцах автотранспорта и, по словам экспертов, новая база не всплывает на рынке уже два года. Ни за какие деньги. Факт показательный. А всего-то и надо было жестко и персонально ограничить круг лиц, имеющих доступ к информации. По мнению экспертов по информационной безопасности, именно персональная ответственность является едва ли не основным способом сохранности сведений.

«Можно разрабатывать самые современные системы защиты информации, – говорит Михаил Чупов, – но потом среди сотрудников компании обязательно найдется человек, имеющий доступ к базе данных, который напишет свой персональный пароль на бумажке и приклеит ее к монитору, чтобы каждый раз не смотреть в ежедневник…»

Не все верят, что реестр уполномоченных структур прикроет лазейку для людей, готовых торговать данными. «К сожалению, у нас нет механизма контроля над соблюдением таких норм, – говорит председатель правозащитной организации «Свобода воли» Владимир Химаныч. – Его придется вырабатывать, и, я думаю, без нарушений на начальном этапе не обойтись. Сейчас во всем мире при прохождении паспортного контроля используются биометрические данные. Когда эту систему вводили в Европе, многие высказывали сомнения по поводу сохранности данных. И тогда решили не заносить информацию ни в какую базу, а оставить только на чипе в паспорте».

Конечно, новое постановление, как и уже существующий закон, не решает всех проблем. Вероятно, потребуются дополнительные шаги, направленные на введение новых норм в Уголовный кодекс. Сегодня, если продавец сведений не будет задержан с поличным, ни одно следствие не докажет, что персональные данные клиента «утекли» от конкретного человека или из конкретной организации.

Более того, сотрудники милиции отмечают, что даже при успешном задержании торговцев базами данных (а не курьеров, которые их развозят) обвинить их фактически можно либо в незаконном предпринимательстве, либо в нарушении авторских прав (и та и другая статья очень тяжело доказываются). Да и случаев задержания всей цепочки оперативники в своей практике пока не припомнят.

Кроме того, уже высказываются опасения, что под благим предлогом можно запросто перегнуть палку. «Новое постановление приведет к информационному ослаблению общества, – считает председатель общественного комитета «За гражданские права» Андрей Бабушкин. – Например, кто-то решил разыскать родственника и обратился за помощью к общественным организациям.

Те пишут запросы в ФМС, в Федеральную службу исполнения наказаний, в МВД. А оттуда приходит ответ, мол, господа хорошие, вас нет в реестре, а потому вы не обладаете полномочиями запрашивать информацию». Простому гражданину получить сведения из баз данных на законных основаниях невозможно. В то же время это не значит, что сотрудники структур, вошедших в реестр, получат бесконтрольный доступ к сведениям о гражданах.

В МВД, например, уже сейчас запросить и получить какие-то данные о конкретном человеке невозможно, самому не засветившись. Получая сведения из Главного информационно-аналитического центра МВД России, сотрудник милиции обязан назвать ФИО, звание, должность и номер удостоверения.

Все эти нововведения, к сожалению, не способны искоренить рынок компромата. Скорее они очистят его от случайных людей, что, безусловно, сократит количество утечек. На арене останутся лишь профессионалы – в основном бывшие сотрудники силовых структур, которые, воспользовавшись монополией, взвинтят цены.

Один из сторонников защиты конфиденциальной информации губернатор Ивановской области Михаил Мень уверен: «Вопросы, касающиеся сбора, обработки, хранения и передачи персональных данных, обязательно должны иметь правовое, организационное и техническое обеспечение, а ответственность за несанкционированное получение и использование персональных данных в российском законодательстве должна быть усилена. Полагаю, что особенно важно предотвратить проникновение преступности в базы данных, содержащие конфиденциальную информацию. Меры, предпринимаемые в этом направлении, будут способствовать соблюдению права каждого человека на неприкосновенность частной жизни».

Пожалуй, нет смысла оспаривать обозначенные приоритеты, к тому же в России уже несколько лет существует идея создания электронного досье на каждого гражданина. Пока, правда, не определено даже ведомство, которое будет курировать этот проект. Но «Большой брат» уже у порога: отовсюду на вас смотрят видеокамеры, данные считываются с банковских карт и водительских прав, а потому очень важно, чтобы сведения о каждом из нас были надежно защищены. Ну хотя бы не продавались на каждом перекрестке…

Прайс-лист: все на продажу!

Сегодня на рынке информации спокойно продаются базы данных «Фирмы Москвы» (905 тысяч e-mail-адресов) за 3,5 тысячи рублей, «Физические лица Москвы» (5937 тысяч e-mail-адресов) за 10 тысяч рублей, «Вся Москва» (6842 тысячи e‑mail-адресов) за 12 тысяч рублей, «Фирмы России» (6101 тысяча e-mail-адресов) за 10 тысяч рублей, «Физические лица России» (9840 тысяч e-mail-адресов) за 18 тысяч рублей, «Вся Россия» (15 941 тысяча e-mail-адресов) за 25 тысяч рублей. Вас интересует не только Россия? Пожалуйста, у продавцов в наличии есть адреса Австралии, Аргентины, Великобритании, Германии, Дании, Израиля, Италии, Канады, Норвегии, Сингапура, США, Турции, Украины, Франции, Швейцарии, Японии.

Цены на базы данных силовых структур колеблются от 1,5 до 50 тысяч рублей, некоторые можно купить в Интернете. Самая последняя новость: рассказывают, что сотрудники расформированных Управлений по борьбе с организованной преступностью выбросили на рынок базу данных на высоких милицейских начальников, чиновников и депутатов. Ценник на банные и застольные видео с участием генералов, криминальных авторитетов и развеселых дам якобы начинается от 100 тысяч рублей.

Григорий Санин, Итоги