Банки заявили о рисках доступа силовиков к базам данных для «редактирования»

Ассоциация банков России (АБР) не поддержала законопроект, который наделяет силовые структуры правом на прямой доступ к информационным системам и базам данных клиентов кредитных организаций. Об этом сообщает РБК со ссылкой на письмо АБР в Минцифры и председателю комитета Госдумы по информационной политике, информационным технологиям и связи Александру Хинштейну.

Подлинность письма подтвердил представитель АБР. В ассоциацию входят крупнейшие банки, в том числе Сбербанк, ВТБ, Альфа-банк, «Тинькофф», Газпромбанк и другие. В письме АБР говорится: «По мнению кредитных организаций, концепция законопроекта не может быть поддержана». Ассоциация больших данных (АБД, куда входят «Яндекс», VK, «Ростелеком», «Мегафон» и другие) ранее также выступила против прямого доступа силовых структур к базам персональных данных и их редактированию, писал «Коммерсантъ».  

Депутат Хинштейн рассказал, что законопроект «находится на стадии предварительного рассмотрения». По его словам, необходимость в нем очевидна, особенно в условиях проведения «специальной военной операции»*, когда «защита персональных данных отдельных категорий лиц влияет на национальную безопасность». «Мы изучим позицию АБР и постараемся найти компромиссное решение, но вопросы безопасности все равно останутся в приоритете», — добавил он.

Правительственный законопроект, который предусматривает возможность изымать и редактировать чувствительные поля в информационных системах, был внесен в Госдуму в августе, его рассмотрение планируется в ноябре. Проект предлагает поправки к ряду федеральных законов («О ФСБ», «О государственной защите судей…», «О полиции» и т. п.), которые оговаривают особый порядок работы с персональными данными лиц из ряда категорий. Силовые ведомства смогут удалять и подменять записи, связанные с такими людьми, в том числе посредством удаленного доступа к базам. Документ предусматривает создание отдельного реестра информационных систем, в которых обрабатываются данные силовиков.

Системы будут вноситься в этот перечень по представлению органов госбезопасности, обороны, разведки и т. д. Как следует из пояснительной записки к законопроекту, такая мера необходима для обеспечения защиты информации об отдельных категориях лиц, работающих в силовых ведомствах (должны быть определены указом президента России). В случае неисполнения требований о предоставлении доступа к информационным системам из реестра банкам и другим организациям могут запретить их эксплуатацию. Операторы таких систем также должны будут проводить их мониторинг в целях выявления сведений о ведомственной принадлежности сотрудников спецслужб и незамедлительно информировать силовые структуры о выявлении данных.

В Минцифры сообщили, что письмо АБР туда пока не поступило. В министерстве отметили, что по законопроекту «силовые структуры будут взаимодействовать с информационными системами строго в соответствии с порядком, который установит правительство», а доступ силовых структур предусматривается только к тем информационным системам, «которые будут включены в специальный реестр». Банкиры в своем письме предупреждают:

• Предлагаемый документ входит в противоречие с положениями законодательства, устанавливающими режимы защиты охраняемой законом тайны; нормами, регулирующими безопасность критической информационной инфраструктуры, противодействие отмыванию доходов, полученных преступным путем, и финансированию терроризма, другими требованиями.

• Неограниченный доступ силовиков к персональным данным физических лиц, которые не относятся к специальной категории сотрудников спецслужб и не давали согласие на доступ к их охраняемым персональным данным, в том числе к охраняемой законом тайне, нарушит конституционные права граждан в случае принятия законопроекта.

• Сами банки должны будут предоставить доступ к персональным данным без согласия клиента и без решения суда. Доступ к информации ограничен федеральными законами для ее защиты, а предоставление прямого доступа спецслужбам практически противоречит действующему законодательству.

• В соответствии с антиотмывочным законодательством банки должны по запросу Росфинмониторинга предоставлять данные об операциях клиентов и с определенной периодичностью обновлять информацию о клиентах. Но по законопроекту спецслужбы смогут самостоятельно изменять и удалять данные о своих сотрудниках без уведомления кредитных организаций, а за невыполнение антиотмывочного законодательства банкам может грозить приостановление деятельности.

• Доступ спецслужб к информсистемам может привести к рискам для информационной безопасности — нарушится функционирование баз данных, а информация может быть передана третьим лицам. 

• Инициатива может вызвать технологические риски. К примеру, в случае некорректного изменения информации, необходимой для функционирования процессов, банки могут столкнуться с невозможностью исполнения своих обязательств перед клиентами.

• Возникает риск ненадлежащей идентификации клиента и оценки комплаенс-риска из-за возможного удаления или редактирования сведений о ведомственной принадлежности сотрудников спецслужб.

• Законопроект наделяет спецслужбы правом контролировать обработку персональных данных сотрудников силовых структур. Банки считают это требование избыточным, так как эти функции осуществляет Роскомнадзор.

• Выполнение банками новых требований приведет к существенному увеличению трудозатрат, обширному объему работы и росту издержек.

По мнению АБР, из проекта необходимо исключить требование к операторам баз данных о предоставлении спецслужбам удаленного доступа к ним, говорится в письме. В качестве альтернативы банки предлагают построить взаимодействие со спецслужбами через ФНС или ЦБ. АБР считает возможным наделить силовые структуры правом запрашивать у банков через ЦБ состав сведений о сотрудниках спецслужб и дать одному из силовых ведомств право направлять в банки через ЦБ указания по их изменению или удалению. Другой альтернативный механизм, предложенный банками, предусматривает получение ими права самостоятельно корректировать данные силовиков через механизм официальных запросов от спецслужб.

  *Согласно требованию Роскомнадзора, при подготовке материалов о специальной операции на востоке Украины все российские СМИ обязаны пользоваться информацией только из официальных источников РФ. Мы не можем публиковать материалы, в которых проводимая операция называется «нападением», «вторжением» либо «объявлением войны», если это не прямая цитата (статья 57 ФЗ о СМИ). В случае нарушения требования со СМИ может быть взыскан штраф в размере 5 млн рублей, также может последовать блокировка издания.