вторник, 5 июля 2011 г.

Законопроект Резника. Финал?

Завтра, 5 июля, ГД рассмотрит в третьем чтении законопроект Резника, и этот театр абсурда уйдет на антракт. Насколько я понимаю настроение коллег (Евгений Царев , Алексей Волков , Алексей Лукацкий), мы сможем наблюдать продолжение в виде, как минимум, в виде открытого письма Президенту.
С моей точки зрения накал страстей не соответствует предмету.
Во-первых, как уже неоднократно говорилось, в современном мире privacy не существует. Тезис очевиден и вытекает из простого взгляда на развитие Internet.
Во-вторых, у меня есть абсолютная уверенность, что после принятия поправок в предыдущей версии Закон позволил бы игнорировать вопрос безопасности персональных данных. Механизм компенсации вреда субъекту в России пока не работает.
В-третьих, тема защиты персональных данных сейчас в нашей стране не актуальна. Субъекты не обеспокоены, рынка нет, оператор не несет ответственности, пока. Закон явно опережает время поднимая этот вопрос.

Если все это собрать в одну кучу становится понятным, почему необходимы были последние правки с точки зрения обеспечения действия Закона.
Комментировать вносимые изменения не буду, пока законопроект не будет принят. Глядя на его историю все может быть…

UPD: Как и ожидалось законопроект приняли. Чудес и неожиданностей не случилось. Ждем решения Совет Федерации и Президента.

UPD2: Опубликовано открытое письмо Президенту. Подписали Бондаренко Александр, Волков Алексей, Лукацкий Алексей, Токаренко Александр, Царев Евгений. Сбор подписей продолжается в комментах соответствующих журналов тут, тут, тут, тут, тут.

9 комментариев:

  1. Руслан, Вы сами себе противоречите. Если, как Вы говорите,

    > в современном мире privacy не существует

    то откуда берутся страхи того, что

    > в предыдущей версии Закон позволил бы игнорировать вопрос безопасности персональных данных

    ? И закон не опережает время - он безнадежно отстает не только от Конвенции 1981 года, но тем более и от современных трендов вроде "анонимность везде где можно".

    Бессмысленно двигаться вперед в чем-то одном, тормозя остальное. Но ситуация такова, что как раз предыдущая версия ЗоПД могла бы стать локомотивом этого всеобщего движения. Сейчас этого, увы, не произойдет.

    ОтветитьУдалить
  2. И получается, что окружающий мир, включая Интернет, о котором Вы говорите, давно развился, а мы с нашим законодательством топчемся на одном месте, и даже не в 81 году.

    ОтветитьУдалить
  3. Алексей, проблема в том, что Европейская конвенция тоже не соответствует требованиям времени. Защищать надо не абстрактный набор персональных данных, который добровольно выложен субъектом во всяких одноклассниках, фейсбуках, форумах и кадровых агентствах, а идентификацию и аутоинтефикацию субъекта. Именно об этом я говорил, упоминая privacy.
    По поводу несвоевременности, я не говорил о юридической/технической или какой либо другой продвинутости принимаемого закона. Я говорил о самой теме персональных данных. В России эта тема пока не актуальна, из-за того что нет необходимой составляющей – заинтересованности субъекта. Все остальное бантики.
    К сожалению я не вижу другого способа заставить операторов обратить внимание на защиту персданных… Хотя если быть честным до конца я вижу только один разумный довод в защиту этого процесса – подготовка к переходу на полностью электронный документооборот. А всё говорит, что это случится в ближайшие пять лет. И тогда все прелести виртуализации мы огребем в полном объеме. Плюсом текущей ситуации является то, что в результате всего этого цирка у большинства операторов будет стоять нормальный антивирус, а не фейковая фигня, да и некоторые будут знать про сканер уязвимостей…
    И да я с Вами согласен, мы топчемся на одном месте. Время указать не берусь, думаю все же не 81 год. Требования более мене разумны, реализация – без комментариев.

    ОтветитьУдалить
  4. > Требования более мене разумны, реализация – без комментариев.

    Руслан, Вы же умный человек и понимаете, что все ровно то же самое можно реализовать с гораздо большей эффективностью и за гораздо меньшие деньги. Учитывая это, стоимость вот этого

    > Хотя если быть честным до конца я вижу только один разумный довод в защиту этого процесса – подготовка к переходу на полностью электронный документооборот.

    Будет БАСНОСЛОВНОЙ! А у нас детям ходить в садики надо, медицина в дерьме, дороги - сами знаете... Деньги есть куда тратить. А это - бездарное профукивание.

    Это и "добивает".

    ОтветитьУдалить
  5. Алексей, в здесь и есть принципиальное различие наших позиций. Как честный системный интегратор, я видел с десяток способов не создавать систему защиты информации в рамках "старой" версии законопроекта. И не смотря на мое мнение, что защита информации необходима, я не привык делать из партнера лоха, пардон за мой французский.
    Теперь о баснословной цене. А из чего она складывается? Недавно мой знакомый участвовал в вебинаре одной из очень крупных компаний, с представительствами во всех крупных городах РФ, среди прочего занимающейся защитой ПД. У них ценник на обследования сети организации начинается с 200 тыс. руб. У нас, в Новосибирске, есть компании, выставляющие за обследование 4 (четырех) компьютеров подключенных к Internet 370 тыс. руб. Эти ценники только за аналитическую записку и набор моделей. Чем здесь поможет редакция закона? Это проблема не закона или регуляторов, это проблема рынка. Да я понимаю, что жесткое требование сертифицированного решения, не дает рыночным механизмам работать. Ситуация с решениями на сегодняшний день проблемная. Тот кто настраивал ССПТ спорить с этим не будет… Но здесь я очень надеюсь на две вещи: во-первых признание зарубежных проверенных решений, во-вторых проекты типа системы сертификации Евгения Родыгина. Вот здесь всем миром помочь Евгению, а то проект как-то затих с наступлением лета. ;)
    В то же время я видел сети защищенные Defence Center. Без шуток, еще говорили, что лучше Касперского, т.к. более бережно работает с ресурсами.
    А вот про детские сады и дороги не понял. Предыдущая версия снимала бремя с коммерческих фирм, не завязанных на бюджет. Как деньги, не потраченные на защиту ПД попадут в детские сады? Или я что-то пропустил?

    ОтветитьУдалить
  6. У моего знакомого есть магазин. Парфюмерный. арендованная площадь, 4 продавца. Он сам один за всех: и директор, и бухгалтер, и кадровик. Чистая прибыль - около 600 тыс. руб в год. И чего?

    А деньги попадут в детские сады элементарно. Бюджетных-то операторов сколько? А бюджет-то не резиновый. Где-то добавили, где-то - отняли.

    ОтветитьУдалить
  7. Алексей, так Ваш знакомый и не попадает по 152-ФЗ, судя по тому, что Вы сказали.
    А вот про детские сады-то не все так просто, так как в предыдущей версии регулирования со стороны контролеров избегали комерсы, а садики и школы как раз и получали по полной. Или я что-то не понял в предыдущей редакции.
    Кстати этот дисбаланс я считаю одним из основных минусов предыдущей редакции.

    ОтветитьУдалить
  8. > не попадает по 152-ФЗ, судя по тому, что Вы сказали

    простите, на каком основании сделан этот вывод?

    > Или я что-то не понял в предыдущей редакции

    Мы же закон не для регулирования принимаем, так ведь? А для защиты прав субъектов. В этом ключе регулирование никакой защиты не дает, не то что для субъектов, а и для данных. Вот пример - их "отрегулировали": http://anvolkov.blogspot.com/2011/05/blog-post_25.html

    ОтветитьУдалить
  9. Алексей, извините, не заметил 4-х продавцов ;)
    >> Мы же закон не для регулирования принимаем, так ведь?
    C чего бы? Закон во всех виденных мной вариантах написан для регулирования отношений с целью защиты прав субъекта.
    Статья 1. Сфера действия настоящего Федерального закона:
    Действующий вариант:
    1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой …
    Вариант перед вторым чтением:
    1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой…

    Давайте разберемся, как защищает, вариант перед вторым, чтением права субъекта:

    Статья 17. Право на обжалование действий или бездействия оператора
    2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

    Статья 24. Ответственность за нарушение требований настоящего Федерального закона
    2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения прав субъекта персональных данных, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований и стандартов обеспечения безопасности персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

    Т.е. моральный вред возникает только при нарушении стандартов и правил, установленных оператором (ст.19 п.8)? Смешно? И вариант выхода из этой жжжж обращение в суд РКН на предмет не соответствия этих правил требованиям ст.19?
    Таким образом, моральный вред списать можно сразу и навсегда. Остаются убытки. О каких суммах может идти речь, если убытки надо доказывать?
    Где здесь защита субъекта?

    ОтветитьУдалить