|
|
Обзор
Рынок ИТ: итоги 2009Обзор подготовлен
Степень защиты зависит не только от категории персональных данных, но и от состава угроз при их обработке. Правильная оценка имеющихся, а не гипотетических угроз позволяет резко снизить требования к защите, даже при высокой категории пер-сональных данных. Однако сначала главное – это правильно их категорировать.
Все люди в чем-то похожи и, в то же время, чем-то отличаются друг от друга. За долгие годы от сотворения мира мы научились не только общаться между собой, но и отличать кассира Сидорова от уполномоченного Петрова. Как это происходит? Да по-разному. И все бы было хорошо, если бы в один прекрасный момент не появились компьютеры, и мы не стали обрабатывать информацию с их участием. Тогда мы поняли, что любую информацию о человеке можно использовать как во благо, так и против. И тогда появился закон «О персональных данных», а за ним еще много-много разных нормативов, которые рассказывают что и как надо защищать при обработке информации. А для того, что бы все правильно делать, информацию о человеке (читай персональные данные) решили категорировать – оно и правильно, информацию надо защищать соразмерно тому, какой вред она может принести. А за критерий перехода от одной категории к другой взяли избыточность информации о субъекте относительно его идентификационной информации. Действительно, если о человеке известно, что он Сидоров – это одно, можно и не очень стараться эту информацию защитить, а вот если известно, что Сидоров это кассир – то уж, будь добр, защищай по полной, а то, неровен час и убить могут!
Таким образом, идентификационная информация стала важным пунктиком при выборе требований по защите и, следовательно привлекла к себе повышенный интерес. Все стали спрашивать: а что это такое: информация, которая позволяет идентифицировать субъекта, где ее граница? Естественно, тот, кто обрабатывает информацию, стремится как можно больше расширить состав такой информации: ниже категория – проще защищать, а те чью информацию обрабатывают – сузить. Где же истина? Где эта самая золотая середина, которая может помирить волков и овец? Вопрос не простой и мучает он многих. На портале посвященном проблемам защиты персональных данных, в разделе «Ваши вопросы»1, когда спрашивают о составе минимального набора персональных данных, достаточного для идентификации человека, есть лаконичный ответ: «Указанный минимальный перечень действующим законодательством РФ не установлен…». Более того, Роскомнадзор, утверждает, что совершенно различный состав персональных данных можно найти в 75 международных актах, 13 кодексах, 100 законах и 250 Постановлениях Правительства. Именно поэтому этот уважаемый орган предлагает внести изменения во все эти нормативы в части минимизации перечня персональных данных, что позволит проще их категорировать и выбирать методы защиты. Ну, пока такие предложения будут разработаны, пока будут изменены законы – либо шах, либо ишак помрет. А защищать надо сейчас, и требования выбирать надо сейчас. Посмотрим, а что можно сделать в этом направлении сегодня, как выходить из сложившейся ситуации, и есть ли на сегодня хоть какая-то правовая основа для формирования того самого минимального перечня персональных данных, позволяющих идентифицировать субъекта.
Некто N – оператор связи и, по совместительству, оператор персональных данных своих абонентов, обладает обширной (более 1 00 000 записей) базой данных в которой для своих целей собирает ФИО, паспортные данные, адрес проживания и номера телефонов своих клиентов. Спрашивается, к какой категории персональных данных отнести эту информацию? Вопрос не праздный. Если считать, что ФИО – идентификационные данные субъекта, а паспортные данные, адрес проживания и номера телефонов – дополнительная информация о нем, то это 2 категория и, следовательно, сама информационная система будет отнесена к классу К1, что потребует значительных усилий от N для выполнения требований по защите. Если же удастся доказать, что весь описанный выше набор данных – идентификационная информация, то, согласно Приказу трех2, это будет уже 3 категория, а система, соответственно, класса К2, а это уже совсем другая песня, и некту N потребуется гораздо меньше сил для защиты!
Какие же аргументы в свою защиту может привести некто N? Простые: «Эта информация нужна для исполнения договора с абонентом, вся эта информация собирается по закону «О связи», без нее нельзя правильно рассчитать стоимость услуг связи, только эта информация в полном объеме определяет клиента, как абонента сети, да и вообще, абонент и субъект – это одно и то же, следовательно, все эти данные – идентификационные данные субъекта». Разумные доводы? Разумные. Правильные? Не совсем. Давайте разбираться.
Начнем с главного. Закон определяет абонента3, как некоего пользователя услугами связи (кстати, не обязательно субъекта, это может быть и юридическое лицо), с которым заключен договор и которому выделен абонентский номер или уникальный код идентификации. Другими словами: есть пользователь и его идентификатор – есть абонент, чего-то не хватает – нет абонента. Получается, что пользователя в сети идентифицируют прежде всего по его идентификатору (или номеру), и этот самый идентификатор уже является дополнительной информацией по отношению к нему. Дальше, особо подчеркивая, что сведения об абонентах являются конфиденциальной информацией и подлежат защите, закон говорит, что к таким сведениям относятся4: «…фамилия, имя, отчество или псевдоним абонента-гражданина …, а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование …». Уже в самом этом определении, если смотреть с точки зрения норм русского языка, выделяется три категории сведений: сведения об абоненте (ФИО или псевдоним), дополнительные сведения (адрес самого абонента или оконечного оборудования, абонентские номера) и некие другие данные. Но и это еще не все. Обратите внимание: в одном ряду стоят ФИО и псевдоним! Получается, что наличие только псевдонима и данных об адресе установки оконечного оборудования и абонентском номере уже достаточно для того, что бы идентифицировать лицо, как абонента сети. Но этих данных совсем не достаточно для того, чтобы идентифицировать это лицо, как субъекта персональных данных! Попробуйте установить личность по псевдониму! Вот и получается, что установив абонента, мы не всегда устанавливаем субъекта, а набор сведений, позволяющих определить абонента не совпадает с набором сведений, необходимых для идентификации субъекта. Следуя этой логике мы получим, что в сведениях об абоненте действительно, присутствует часть идентификационной информации о субъекте (например, ФИО), но там же есть и другая информация, которая по отношению к идентификационным данным субъекта является, по крайней мере, избыточной, то есть дополнительной.
Не вдаваясь в такие же детальные подробности (автору жаль времени читателя) аналогичные исследования можно провести и относительно понятий «пациент» для больничек5, или «клиент» для банков6, или «страхователь» для страховых компаний. Да, мало ли еще что! Главное то, что любой субъект одновременно может принадлежать разным сообществам: быть и пациентом, и страхователем, и абонентом одновременно. И в каждом случае сообществу потребуется дополнительная информация о субъекте, чтобы идентифицировать его именно как своего члена. Но и в том, и в другом, и в третьем случае человек всегда останется самим собой, то есть субъектом персональных данных. Процесс в данном случае не двусторонний: всегда есть возможность идентифицировать субъекта, как члена сообщества, но не всегда есть возможность идентифицировать члена сообщества как субъекта. Так, вот ты какой, цветочек аленький! Вот и получается, что с точки зрения логики некто N не прав, относя свою информационную систему к классу К2.
А как же тот факт, что такой набор сведений нужен некту N для исполнения договора? Да ни как! Нужен – пусть собирает. Тем более, что закон этого не только не запрещает, но наоборот, требует. Но как это может повлиять на категорию персональных данных? Такого критерия в нормативах нет. И совершенно не важно: собираешь ты эти данные для исполнения договорных обязательств или для других целей. Собирать – собирай, услуги – предоставляй, но и защищать данные не забывай!
В российском гражданском праве имеется понятие «аналогия закона»7. Оно применяется тогда, когда в жизни возникают ситуации прямо не урегулированные действующими нормами, но пробел может быть устранен применением законодательства, регулирующего сходные отношения и описывающим сходные ситуации. В нашем случае мы как раз и имеем ту ситуацию, когда минимальный набор персональных данных, позволяющих идентифицировать субъекта ни в законе «О персональных данных», ни в каком-либо другом законе напрямую не указан. Но может быть существуют другие ситуации, когда есть необходимость идентифицировать субъекта и они уже как-то описаны в законах? Даже при поверхностной оценке видно: существуют! Первое, что приходит на ум, это тот факт, что каждый гражданин имеет паспорт и, на вопрос «А кто ты такой?», мы гордо достаем краснокожую паспортину и этого, как правило достаточно и банкиру, и билетному кассиру и даже родной милиции. Но что же такого в паспорте, что позволяет это сделать? Ну, во-первых, наверное, то, что законодатель сказал: паспорт – основной документ, удостоверяющий личность8. Это уже хорошо для наших целей – есть хотя бы указание на то, что паспорт может служить для идентификации субъекта. А во-вторых, в Положении о паспорте есть два пункта, которые могут нам помочь. В одном сказано: «В паспорт вносятся следующие сведения о личности гражданина: фамилия, имя, отчество, пол, дата и место рождения»9 (запомним это, это нам еще пригодиться в дальнейшем!), а во втором10добавлено: «В паспорте производятся отметки: о регистрации по месту жительства, об отношении к воинской обязанности…» и прочая, и прочая, и прочая. Во, как! Опять появляются разные категории данных: одна – сведения о личности, другая – некие различные отметки. Но главное то, что именно первая категория данных (ФИО, пол, дата и место рождения) составляет сведения о личности и является главной (не зря же ее выделили в отдельный пункт!) и, следовательно, в силу того, что паспорт удостоверяет эту личность, являются основными при ее идентификации, а остальное – это дополнительная информация, которая, кстати, может и не быть в паспорте в силу тех или иных обстоятельств (к примеру, я БОМЖ и у меня нет регистрации по месту жительства, но от этого я не перестал быть Сидоровым).
А вот еще один случай, когда для закона установление личности, то есть идентификация субъекта, очень важна. Уголовный суд. Установление личности подсудимого11. В ходе судебного заседания председательствующий сначала «…устанавливает личность подсудимого, выясняя его фамилию, имя, отчество, год, месяц, день и место рождения….», а потом «… выясняет владеет ли он языком, на котором ведется уголовное судопроизводство, место жительства, место работы, род занятий, образование, семейное положение и другие данные, касающиеся его личности». Опять две категории данных! Первая – устанавливает личность (ФИО, дата и место рождения – ой, где-то это уже встречалось! Помните?), а вторая – другие, дополнительные данные, касающиеся этой личности.
Получается, что, по крайней мере, в двух очень авторитетных юридических документах упоминается и описывается процедура установления личности, то есть идентификации субъекта и, самое главное, практически полностью совпадает набор данных по которым такая идентификация проводится! Небольшая разница состоит в том, что в судебном заседании не устанавливают пол субъекта, но, автор думает, понятно почему это происходит: субъект-то перед очами судьи, поэтому, эта разница не существенна.
Итак, что мы имеем. Пробел в правовом регулировании отношений при использовании персональных данных. Это раз. Два случая идентификации субъекта, ранее описанные в законах. Это два. Практически полностью совпадающий состав персональных данных по которым можно идентифицировать субъекта. Это три. И наконец, четыре: практически полная аналогия с ситуацией, которая возникает при применении закона «О персональных данных» и определении категории персональных данных. Все это позволяет нам с чистой совестью воспользоваться правом, данным статьей 6 ГК РФ и применить принцип аналогии закона к решаемой проблеме. Это позволяет сказать, что минимальным набором персональных данных, позволяющим идентифицировать личность (в терминах закона «О персональных данных») или удостоверить личность (в терминах других законов, но что, в принципе, одно и то же) является набор, содержащий информацию о фамилии, имени, отчестве, поле, дате и месте рождения субъекта персональных данных. Точка.
Установив минимальный набор персональных данных для идентификации субъекта, мы продвинулись значительно вперед в решении поставленной задачи. Но в жизни все проще. Знакомясь, мы называем свое имя и фамилию и этого, в принципе, достаточно нашему визави для общения. Как же так? Может быть, определенный нами перечень избыточен? Наверное, нет, просто есть какой-то сокращенный набор данных по которому можно идентифицировать субъекта, но с вероятностью ошибки (наличие однофамильцев и полных тезок – не такая уж редкость). Просто в некоторых случаях высокая точность не требуется. Правда, если читатель будет оформлять счет в банке, там потребуется большая уверенность что Имярек это Имярек. Поэтому, скорее всего, с него попросят полный набор данных, идентифицирующих его личность. А может быть и еще дополнительно что-то.
Интересно, можно ли как-то с помощью права определить такой короткий набор данных, который можно считать необходимым, но недостаточным для идентификации субъекта? Давайте вспомним, что у каждого человека с момента его рождения, а не по воле государства появляются определенные права. И среди этих прав весьма достойное место занимает неотчуждаемое неотъемлемое личное право на имя12. Более того именно имя по закону является средством индивидуализации личности и гражданин приобретает и осуществляет свои права и обязанности под своим именем, включающим фамилию и собственно имя, а также еще и отчество, если есть такой национальный обычай13.
Житейская мудрость подсказывает, что, зная дату и место рождения, вряд ли можно разыскать человека, а вот если назвать только ФИО, то может быть и удастся его найти. Вот все и встало на свои места: ФИО – это необходимые, но недостаточные данные для идентификации субъекта, а ФИО, пол, дата и место рождения – необходимые и достаточные данные, по которым можно однозначно идентифицировать субъекта. Каждый вправе выбрать то, что ему нужно. Если требуется высокая точность – полный (необходимый и достаточный) набор, а если нет – короткий (необходимый, но недостаточный). Но и тот, и другой все равно будет набором данных, позволяющим идентифицировать субъекта персональных данных. В этом случае пол, дата и место рождения не будут являться дополнительными данными по отношению к идентификационным, потому, что они-то как раз и служат для уточнения идентификации.
«Позвольте, - кто-то скажет, - А как же ИНН или номер пенсионного страхового свидетельства? По ним же тоже можно идентифицировать!» Попробуйте! Вам, как минимум, кроме ИНН потребуется еще и база в которой эти самые ИНН привязаны к имени субъекта. Иначе ничего не получится. Точно так же и по номеру медицинского и пенсионного страхового свидетельства ничего не получится. В данном случае ИНН и прочая являются вторичными по отношению к идентификационным (полным или неполным) данным и сами по себе ничего не говорят, хотя, в определенных условиях, и могут служить идентификаторами.
Что же теперь все информационные системы выводить на класс К1? Это же сколько денег надо на защиту! Поверьте, автор не призывает для всех систем устанавливать высокий класс защиты. Не в этом суть. Автор лишь говорит, что персональные данные надо правильно категорировать. Это главное. А уж как дальше - как получится, так получится. Степень защиты зависит не только от категории персональных данных, но и от состава тех угроз, которые присутствуют при их обработке. Поверьте, правильная оценка имеющихся, а не гипотетических угроз, составление модели актуальных угроз позволяет резко снизить требования к защите, даже при высокой категории персональных данных.
2 Приказ ФСТЭК России, ФСБ России, Минсвязи России от 13.02.2008 № 55/86/20.
3 Федеральный закон от 07.06.2003 г. № 126-ФЗ «О связи», ст. 2
4 Федеральный закон от 07.06.2003 г. № 126-ФЗ «О связи», ст. 53
5 См. Закон Российской федерации от 22.07.1993 N 5487-1 «Основы законодательства об охране здоровья граждан»
6 См. Закон Российской Федерации от 02.12.1990 N 395-1. «О банках и банковской деятельности», или Федеральный закон от 07.08.2001 г. № 115-ФЗ «О противодействии легализации доходов, полученных преступным путем, и финансированию терроризма»
7 ГК РФ, ст. 6
8 Постановление Правительства РФ от 08.07.1997 г. № 828, «Положение о паспорте гражданина Российской федерации», п. 1
9 Постановление Правительства РФ от 08.07.1997 г. № 828, «Положение о паспорте гражданина Российской федерации», п. 4
10 Постановление Правительства РФ от 08.07.1997 г. № 828, «Положение о паспорте гражданина Российской федерации», п. 5
11 УПК РФ, ст. 265
12 Международный пакт о гражданских и политических правах, Нью-Йорк, 19.12.66 г.
13 ГК РФ, ст. 19
Сергей Вихорев