РКН хочет создать институт спецоператоров для обработки персональных данных

Анастасия Гаврилюк Редакция Forbes

Фото Sebastian Gollnow / picture alliance via Getty Images

Stub — Фото Sebastian Gollnow / picture alliance via Getty Images

Как выяснил Forbes, Роскомнадзор предложил передать обработку персональных данных, которые собирают малый и средний бизнес, крупному, создав институт спецоператоров персональных данных. По замыслу авторов идеи, у последнего больше компетенций и технических средств для защиты личной информации. Об этом говорится в «Концепции повышения безопасности обработки персональных данных», разработанной в ведомстве. Эксперты утверждают, что идея сырая, и сомневаются в ее жизнеспособности, напоминая, что наиболее серьезные утечки допускают как раз крупнейшие компании

Передай другому

Роскомнадзор (РКН) разработал «Концепцию повышения безопасности обработки персональных данных в России». Документ есть в распоряжении Forbes, его подлинность подтвердили два источника Forbes.

В документе предлагается создать институт спецоператоров персональных данных. Под спецоператором, согласно концепции, понимается юридическое лицо, за плату обрабатывающее все или часть персональных данных небольших компаний, не имеющих компетенций или ресурсов для выполнения всех требований к защите личной информации. Для этого компания, получающая статус спецоператора, должна получить аккредитацию в Роскомнадзоре, иметь лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ) на работу с криптографическими средствами защиты информации, иметь необходимую информационную инфраструктуру и технологии.

Спецоператор будет иметь право получать согласие у гражданина на обработку персональных данных, при этом нести правовую и материальную ответственность за обработку и защиту этой информации в полном объеме, следует из документа. Также концепция предполагает создание национальных стандартов обработки персональных данных, в том числе их обезличивание с учетом особенностей процесса обработки. Перечень типовых процессов обработки персональных данных должно утвердить правительство.

Материал по теме

Дорогие данные

Идею передоверить защиту персональных данных более компетентным организациям руководитель Роскомнадзора Андрей Липов высказал на форуме «Спектр» 24 октября. По его словам, у государства должны быть крупные доверенные партнеры в информационном пространстве, которые способны обеспечить защиту больших объемов персональных данных. «Сейчас человек зачастую оказывается в ситуации один на один с операторами персональных данных», — цитирует Андрея Липова RSpectr.

Вопрос с защитой персональных данных россиян стоит особенно остро, на что власти регулярно обращают внимание. По оценкам F.A.C.C.T. (ранее Group-IB), общее количество строк данных пользователей, содержащихся во всех утечках за 2022 год, превысило 1,4 млрд. Всего за 2022 год в публичном доступе оказалось 311 баз персональных данных, тогда как годом ранее — только 61.

Поправки в КоАП, предполагающие наложение оборотных штрафов за утечки персональных данных, будут внесены на рассмотрение в Госдуму в течение осенней сессии. Эти поправки были представлены на рассмотрение правительству 26 июля сенаторами Андреем Турчаком, Ириной Рукавишниковой и депутатом Александром Хинштейном. Документ предполагает наложение штрафов не за факт утечки личной информации, а за «действия или бездействия оператора персональных данных, повлекшие неправомерную передачу информации, включающей персональные данные».

Предлагается установить штрафы за повторную утечку на уровне 0,1–3% от оборота. Сейчас максимальный штраф для компаний, по вине которых произошла утечка персональных данных, не превышает 100 000 рублей и 300 000 рублей при повторном нарушении.

Материал по теме

«Нежизнеспособная идея»

В Ассоциации больших данных (АБД, объединяет Сбербанк, МТС, ВТБ, «Мегафон», «Яндекс», VK и др.) отметили, что на текущий момент тяжело оценить риски предлагаемого регулирования из-за недостатка информации, представленной регулятором. «В первую очередь требуют пояснения вопросы о порядке взаимодействия между спецоператором и бизнесом, определения стоимости соответствующих услуг и распределения ответственности», — отметили в АБД. Там также напомнили, что подготовили предложения по установлению экспериментального правового режима, в рамках которого предлагается исследовать подходы к созданию и функционированию доверенных посредников в сфере данных: организационной и технической инфраструктуры для безопасной обработки данных для технологий искусственного интеллекта. «Указанные подходы могут быть взяты за основу при создании будущего регулирования», — уверены в АБД.

В Ozon не поддерживают идею создания спецоператоров. «Она недостаточно проработана и не учитывает реальные бизнес-процессы», — пояснили в компании. Предложение Роскомнадзора требует серьезной проработки, в том числе с учетом других законотворческих инициатив в сфере регулирования оборота персональных данных, продолжает источник Forbes в одном из операторов связи.

Материал по теме

Главный юрисконсульт практики интеллектуальной собственности юридической компании «ЭБР» Кирилл Ляхманов считает инициативу Роскомнадзора спорной. «Наиболее серьезные утечки допускают не малый и средний бизнес, а, наоборот, крупнейшие компании: масштабы утечки и ее последствия из банка и из аутлета верхней одежды отличаются в сотни раз», — рассуждает он.

К примеру, в начале сентября о возможной утечке данных 1 млн клиентов МТС-банка сообщил ряд Telegram-каналов. В свободном доступе оказались такие данные, как ФИО, номера телефонов, даты рождения, ИНН, гражданство, а также в частичном виде номера банковских карт. Позже Роскомнадзор подтвердил факт утечки личной информации клиентов МТС.

Ранее произошел целый ряд крупных утечек. Только несколько примеров: 31 декабря 2022 года Telegram-канал Data1eak заявил, что в сети оказалась база с данными клиентов «Спортмастера» с 42 млн номеров телефонов россиян. 9 марта стало известно об утечке данных десятков миллионов пользователей программы лояльности «СберСпасибо» от Сбербанка. По данным SecurityLab, в слитой базе оказалось 47 млн телефонных номеров. В октябре 2023 года стало известно, что хакеры выложили в открытый доступ данные 30 млн клиентов Альфа-банка, сообщил Telegram-канал «Утечки информации». По его сведениям, в слитом файле находится 1 млн строк.

Централизация хранения персональных данных негативно влияет на информационную безопасность, хотя и снижает нагрузку на бизнес, который может делегировать защиту персональной информации третьему лицу, полагает руководитель практики интеллектуальной собственности юридической фирмы DRC Владимир Ожерельев. «Даже при высоком уровне защиты риск утечек остается в силу человеческого фактора и социальной инженерии, а возможность получить много данных в одном месте делает таких спецоператоров удобной мишенью для злоумышленников», — пояснил он.

Генеральный директор Института исследований интернета Карен Казарян сомневается в жизнеспособности идеи Роскомнадзора создать институт спецоператоров. Он напомнил, что любая организация в России обрабатывает персональные данные для решения множества повседневных задач: формирования отчетности, обслуживания клиентов, трудоустройства и др. Передать эту задачу сторонней организации целиком или даже частично невозможно, так как требует перестройки всех бизнес-процессов, размышляет Казарян. Он не исключает, что основной целью создания института спецоператоров может быть введение дополнительных требований к защите информации для компаний, обрабатывающих большой объем персональных данных.

В Минцифры сообщили, что в министерство подобная инициатива не поступала. В самом Роскомнадзоре, как и в комитете Госдумы по информполитике, отказались от комментариев.

Материал по теме