"Облака" "споткнулись" о закон о персональных данных?
Как использование облачных вычислений, так и защита персональных данных - относительно новые вопросы, в решении которых российский бизнес пока накопил мало практики. В этой связи сомнения возникают даже по поводу простейших проблем: а можно ли вообще использовать облачные системы для обработки персональных данных? И если такая возможность существует, то что нужно, чтобы выполнить все необходимые требования? Федеральный закон №152 "О персональных данных" (далее - ФЗ-152) не создает принципиальных препятствий для обработки таких данных в "облаке", считает Алексей Лукацкий, менеджер по развитию бизнеса Cisco: "Согласно закону и постановлениям правительства, обработка персональных данных и их защита может быть поручена третьим лицам, среди которых могут быть и облачные провайдеры". Но всегда ли можно выполнить требования ФЗ-152 в условиях облачной площадки? Здесь нет полного согласия даже среди поставщиков облачных вычислений: "ФЗ-152 не делает размещение систем в облаке невозможным, - считает Владимир Савченко, руководитель отдела продаж Softline Cloud Services. - Если система может быть приведена в соответствие с требованиями ФЗ-152 в варианте on-site, то она может быть приведена в соответствие с этими требованиями и в "облаке"". С этим мнением не вполне согласен Алексей Бахтиаров, генеральный директор Infobox: "В отдельных случаях облачную платформу нельзя использовать из-за требований закона, и тогда приходится строить приватное "облако" для заказчика. Сложность таких решений достаточно индивидуальна". В то же время, отмечает Алексей Бахтиаров, названные проблемы касаются лишь некоторых систем: "Многие забывают или не знают, что информационные системы по типам данных, хранящихся в них, делятся на категории", - подчеркивает он. К системам разных категорий предъявляются разные требования, и здесь, по мнению генерального директора Infobox, важно правильно провести оценку и разработать соответствующее решение. При этом оптимизация типов информации и способов ее хранения позволяет избежать чрезмерно строгих требований, предъявляемых регулятором к обеспечению безопасности персональных данных. "Как минимум, необходимо построить модель угроз и внедрить инструменты защиты локализованных систем, в которых обрабатываются персональные данные, - считает Сергей Белик, коммерческий директор "Рустим", - а это огромная работа, требующая совсем других денег, нежели то, что большинством потенциальных пользователей облаков вкладывается сейчас и в информационные технологии, и особенно в информационную безопасности". Таким образом, основные проблемы облачных вычислений, по мнению Сергея Белика, связаны не столько с "облаками" как таковыми, сколько с общим беспорядком в области корпоративных ИТ. Какие проблемы законодательство создает для "облаков"? В условиях избыточного регулирования существует определенный риск, что не все отечественные облачные поставщики действительно соблюдают все требования регуляторов. "У отечественных облачных провайдеров могут возникнуть серьезные проблемы с выполнением всех требований наших регуляторов, в первую очередь, ФСБ, - отмечает Алексей Лукацкий. - Ведь, согласно действующим требованиям, передача по каналам связи персональных данных возможна только с применением сертифицированных криптосредств. Надеяться же на то, что у всех заказчиков облачных услуг такие средства есть и что они совпадают со средствами провайдера, не приходится". Что касается банковского сектора, то существуют сомнения в принципиальной осуществимости требований законодательства в условиях реальной бизнес-практики российских банков: "Банки не могли при всем желании и до сих пор не могут выполнить многие пункты ФЗ-152, связанные с обеспечением прав клиента", - говорит Тимур Аитов, исполнительный директор АРБ. В качестве примера популярной услуги, которую невозможно оказать клиенту в рамках действующего законодательства, Тимур Аитов называет денежный перевод без открытия банковского счета без предварительного согласия со стороны получателя. Есть и другие вопросы. Например, неясно, как можно выполнить требование клиента о прекращении обработки персональных данных в условиях реальных банковских ИТ-систем: "Предположим, в системе уже совершена транзакция с участием клиента, данные которого предполагается удалить. Если мы уберем одну строку с транзакцией этого клиента, то балансы свести уже не получится", - замечает Тимур Аитов. Ситуация усугубляется тем, что при обработке персональные данные клиентов определенным образом архивируются в цифровых хранилищах и помещаются в отчетность. Как извлекать и удалять данные из архивов и отчетности, неизвестно. Впрочем, если говорить о российских банках, то не только ФЗ-152 является препятствием для передачи данных облачному поставщику: "Банки боятся передачи персональных данных не из-за ФЗ-152, а потому, что не хотят допускать попадания клиентской базы в руки конкурентов", - сообщает Тимур Аитов. По мнению исполнительного директора АРБ, сегодняшний банковский рынок близок к насыщению, и все люди, которые обладали достаточными финансовыми возможностями для открытия банковского счета, уже это сделали, в связи с чем "в ближайшие 3-4 года конкурентная борьба будет преимущественно сводиться к переманиванию клиентов". Нужно ли специальное согласие на обработку данных в "облаке"? Важно понимать, что представляет собой обработка персональных данных в "облаке" в контексте действующего законодательства. Существует мнение, что облачный провайдер выступает как юридический представитель оператора, поэтому для обработки данных на облачной площадке не требуется получения дополнительного согласия со стороны субъектов персональных данных. Алексей Лукацкий с такой точкой зрения не согласен: "В настоящей редакции закон четко говорит о том, что на передачу персональных данных третьим лицам (а облачный провайдер именно таковым и является) необходимо согласие субъекта персональных данных. Если же облачный провайдер получил персональные данные от третьего лица, то он обязан уведомить субъекта о начале обработки персональных данных. Если субъект не запретит это, то облачный провайдер имеет право обрабатывать такие персональные данные. В целом же, этот вопрос сейчас не урегулирован, в отличие от Европы, где существуют определенные разъяснения по этому вопросу". Итак, для обработки персональных данных в публичном "облаке" требуется получение специального согласия. Из ст. 9 ФЗ-152 следует, что при получении согласия от субъектов персональных данных операторы должны указывать, в частности, наименования своих облачных поставщиков и перечислять те действия с персональными данными, которые будут осуществляться на облачной площадке.
Несмотря на то, что мнение Алексея Лукацкого опирается на конкретные положения закона, опыт общения с ИТ-директорами CNews показывает, что на практике многие компании предпочитают отталкиваться не от буквальных требований законодательства, а от собственного понимания связанных с его несоблюдением рисков. Общеизвестно, что требования регуляторов к российскому бизнесу обременительны, и буквальное их соблюдение может привести к понижению конкурентоспособности, а порой и к остановке бизнес-процессов. Неудивительно, что и в вопросе обработки персональных данных компании предпочитают ничего не менять в своих бизнес-процессах до того, как они столкнутся с реальными трудностями и проявлением недовольства со стороны клиентов. Насколько далеко ушла Европа? Европейское законодательство в области защиты персональных данных, во многом определившее ФЗ-152, в самой Европе уже повсеместно признано устаревшим. И одна из причин связана именно с распространением облачных технологий. Сегодня при получении интернет-услуги данные пользователя могут пересечь целый ряд границ и "осесть" в каких угодно юрисдикциях, причем, по пути они будут обработаны на серверах целого ряда разных поставщиков в разных странах, с которыми пользователю никогда не придется вступать в прямые отношения. Нынешнее законодательство очень плохо приспособлено для применения в таких условиях. Европейцы это понимают, и адаптация законодательства к облачным вычислениям является одним из приоритетов в работе европейского комиссара по цифровому развитию Нили Крус. В мае 2011 г. она инициировала общественное обсуждение европейской облачной стратегии, в ходе которого все желающие могут высказать свое мнение на специальном веб-сайте до 31 августа 2011 г. Реформирование законодательства - один из основных аспектов общественного обсуждения. Насколько страшна трансграничная передача? Согласно ст. 12 ФЗ-152, трансграничная передача персональных данных допускается без дополнительных ограничений для тех государств, которые обеспечивают "адекватную защиту прав субъектов персональных данных". Однако какие страны в состоянии это сделать? Не надежнее ли будет оставить все данные в Российской Федерации? "Это как раз та тема, которой надо меньше всего опасаться, - считает Алексей Лукацкий. - Передача персональных данных в любую страну Евросоюза возможна без каких-либо ограничений, за исключением необходимости получения согласия субъекта персональных данных на передачу его данных третьему лицу. Если же страна, в которую передаются персональные данные, не входит в список с адекватной защитой прав субъекта, то согласие субъекта должно быть в письменной форме с соблюдением обязательной формы, указанной в федеральном законе". Мнение Алексея Лукацкого подтверждается и содержанием письма Министерства связи и массовых коммуникаций РФ от 13 мая 2009 г. № ДС-П11-250-2 "Об осуществлении трансграничной передачи персональных данных", согласно которому факт ратификации Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. может считаться свидетельством достаточного уровня защиты персональных данных в данной стране. Конвенцию ратифицировали фактически все европейские страны. Как ни парадоксально, обработка данных за границей может даже упростить, а не усложнить, ситуацию для российских пользователей облачных вычислений: "Если мы говорим об облачных провайдерах, находящихся за границей, то им вообще не надо беспокоиться о том, что думает ФСТЭК и ФСБ, - отмечает Алексей Лукацкий. - Во-первых, они находятся в другой стране и на них не распространяется компетенция наших правоохранительных органов. Во-вторых, они выполняют рекомендации по защите, принятые в своих странах. А эти рекомендации гораздо более здравые, чем наши". Кроме того, сообщает Алексей Лукацкий, европейская конвенция специально запрещает накладывать какие-либо дополнительные требования и ограничения при осуществлении трансграничной передачи персональных данных, если это не обусловлено требованиями национальной безопасности, в связи с чем требования ФСБ об использовании сертифицированных средств криптографии отпадают сами собой.
Страница сайта http://silicontaiga.ru
Оригинал находится по адресу http://silicontaiga.ru/home.asp?artId=11270 |