Чудны дела твои, РКН.

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(5)
()
Опубликовано в:
Запись участвует в конкурсе "Лучший автор BISA" (список работ).

В очередной раз очередной «регулятор» засветился с очередной … инициативой. Речь идёт о Комментариях Роскомнадзора к 152-ФЗ «О персональных данных». 

Сразу уточняю: Комментарии не читал! Того, что представлено в посте А.Прозорова от 18.06.2015, вполне достаточно для анализа.

Равно как для анализа крови пациента нет необходимости выкачивать из него всю кровь, а для анализа кала нет необходимости нести в лабораторию даже его суточную дозу.

Первое, что бросилось в глаза мне, так это упоминание о том, что указанный комментарий носит научно-практический характер. Слово «научно» воодушевило: ну, наконец-то, пусть не законодатель, но хотя бы «регулятор» повернулся лицом к науке!

Действительность оказалась не столь радужной. Разочарование началось с прочтения первых же цитат из Комментария и, как это ни странно, с осознания его несостоятельности, в первую очередь, в практическом плане. Так, разъяснения по поводу определения понятия «персональные данные», приведённого в 152-ФЗ, не имеют никакой юридической силы и только создают когнитивный диссонанс у вдумчивого читателя: Росконадзору не предоставлено право толкования терминов, используемых в законе, а разъяснения, право на которые у Роскомнадзора имеется, носят исключительно рекомендательный характер. Это следует из ответа заместителя руководителя Роскомадзора Р.В.Шередина, данного в феврале 2013 года на мой запрос по этому поводу:

  

Поэтому, как были персональные данные «любой информацией, относящейся к прямо или косвенно определённому или определяемому физическому лицу», так ими и останутся. А уточнение о том, что «данные должны быть отнесены к персональным данным только в том случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо", порождает массу вопросов. И первый из них – что есть, по мнению РКН, «идентификатор»?

Фамилия, кстати, тоже есть идентификатор. Логин и пароль – тоже идентификаторы, но физическое лицо не определяют. Отсюда, по логике РКН, следует, что если логин и пароль хранятся совместно с фамилией, именем, отчеством, адресом проживания, электронным адресом, номером телефона и датой рождения человека, то такие данные к категории «персональные данные» отнесены быть не должны!?

Отсюда началось разочарование в логичности (а, значит, и научности) Комментария.

Вызвало сомнение и логичность того, что «биометрическая информация должна характеризоваться уникальными физиологическими и биологическими данными». Это как: «биометрическая информация должна характеризоваться биологическими данными»?! Какими биологическими данными должна и может характеризоваться биометрическая информация? По логике: биометрическая информация – это то, что ХАРАКТЕРИЗУЕТ физиологические и биологические особенности организма человека, но сама биометрическая информация никак не может характеризоваться ни физиологическими, ни биологическими данными, хотя бы потому, что не является биологическим объектом.

Дальше: «которые свойственны исключительно для одного субъекта персональных данных, носят более или менее неизменный характер» - это о чём? По логике РКН получается, что рост, вес, цвет глаз и цвет волос, размер ушной раковины, группа крови и т.д. и т.п. – не относятся к биометрической информации, т.к. ни каждый из этих параметров, ни даже все они вместе не характеризуют исключительно одного субъекта. Думаю, медики с такой точкой зрения не согласятся. А на «материальном носителе в виде цифровой, графической и иной кодовой информации» сегодня может быть отражено всё, что угодно. Кстати, почерк человека – явление уникальное, свойственно только и исключительно одному субъекту, носит более неизменный характер, чем, например, цвет волос, рост и даже размер носа, может быть отражён на материальном носителе. Исходя из определения, данного РКН в Комментариях, почерк – биометрические данные и его следует защищать по всей строгости 152-ФЗ?! Тем более что почерк используется для идентификации и подтверждения личности с применением «особых методов установления личности»!?

Ещё один «научный» шедевр: «Под информированным согласием подразумевается уведомительное, сообщающее намерение о подтверждении того или иного события, факта, действия». Про «информированное согласие» я уже писал в своих комментариях к 152-ФЗ, поэтому здесь останавливаться не буду, а вот то, что под «согласием» предлагается понимать «намерение» - это в науке, по-моему, новелла. И не просто «намерение», а «уведомительное и сообщающее»?! Это, скорее всего, ноу-хау. По крайней мере, я ещё нигде не встречал (а перечитал всякого немало), чтобы намерение было «уведомительным» и «сообщающим». Меня почему-то особенно впечатлило «сообщающее намерение». Не «субъект, сообщающий о своих намерениях», а само намерение сообщает. По-моему, это круто!

В Комментарии используется новое понятие – «специализированная категория ПДн», вернее, даже так – «специализированная категория данных о состоянии здоровья»?! В законе – «специальная категория» (что тоже антинаучно), а в комментарии – «специализированная» и не просто, а «категория данных о состоянии здоровья»! Это что? Каким законом введена? Какой наукой обоснована?

И, как и следовало ожидать, главный перл – в конце. Не очень научно, но очень практично: "Вред должен определяться исходя из оценки всех неблагоприятных последствий, которые может повлечь несоблюдение требований Закона о персональных данных, от размера штрафных санкций до репутационных рисков и судебных издержек". А субъект-то персональных данных где??? Где его интересы??? И по науке, и по здравому смыслу ПДн нужно защищать, чтобы оградить от неприятностей субъекта ПДн! А по логике РКН ПДн нужно защищать для того, чтобы они – РКН – не наложили штрафные санкции?! Довольно странно читать такие откровения под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. По сути – это официальное признание того, что главной угрозой оператору персональных данных является РКН!? Не злоумышленник, который, воспользовавшись добытыми незаконным путём ПДн, может причинить субъекту этих ПДн вред, а РКН, который может наложить на оператора штрафные санкции и направить материалы в суд. Не готов дать квалифицированную юридическую оценку подобным высказываниям, но, по моему непросвещённому мнению, - это типичная коррупциогенная составляющая.

 

Так что, судя по цитатам, приведённым в блоге А.Прозорова, от науки Комментарий РКН так же далёк, как и комментируемый закон. А вот что касается практичности (правда, с одним лишь уточнением - с точки зрения интересов РКН), то это бесспорно. Подтверждается это ещё и тем, что распространяется этот комментарий за деньги. По-моему, это тоже новелла. Комментарий к закону от государственной структуры – за деньги! Разве не новелла? Или ноу-хау? Возможно, кроме коммерческого интереса в этом есть и какой-то другой – латентный (т.е. скрытый от нас) – аспект?

 

Запись участвует в конкурсе

Оцените материал:
Total votes: 461
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Николай Овчинников

Геннадий Альбертович, чисто мое субъективное мнение на счет того, где вы сказали, что пароли и логины, которые хранятся совместно с фамилией не будут относится к персональным данным. Я считаю, что формулировку  "данные должны быть отнесены к персональным данным только в том случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо" следует понимать: если данные (в данном случае пароли и логины) хранятся совместно с индикаторами, которые определяют физичсекое лицо (фамилия), то эти данные относят к персональным.

up
16 users have voted.
Аватар пользователя Атаманов Геннадий

Николай, это не я сказал. Это вытекает из логики РКН. И, несомненно, то, что Вы предлагаете, будет правильнее, чем то, что написано в Комментарии. Но в целом же, это высказывание как было, так и останется … ложным. Чтобы показать это, воспользуемся методом аналогии: заменим «данные» на «вещи» и дадим определение понятию «персональные (т.е. личные) вещи» в логике законодателя и в логике РКН.
По логике законодателя: Персональные вещи – любые вещи, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных вещей).
По логике РКН: Персональные вещи – любые вещи, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных вещей), которые хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо.
Другими словами, по логике РКН персональными (личными) вещами могут считаться только те вещи, на которых имеется идентификатор, указывающий на то, что она принадлежит именно этому субъекту. Как в армии, где для того, чтобы солдаты не брали чужие противогазы, на противогазных сумках нашивают бирки с фамилиями, а чтобы не воровали друг у друга форму, на ней выжигают свои фамилии хлоркой. По логике РКН: нет выжженного хлоркой идентификатора – брюки, пилотка, куртка, ремень, сапоги и т.д. не твои. Даже трусы, если на них нет нашивки или не вытравлена хлоркой твоя фамилия, не твои. И даже уникальная, отсутствующая на любых других трусах, например, дырка (по аналогии с ПДн – родинка, ампутированная конечность, оторванное ухо и т.д.) – не могут служить идентификаторами вещи. Гитлеровцы, следуя этой логике, пошли дальше – выкалывали на руке пленного уникальный, только ему присущий, номер и всё - вопрос с идентификатором, который однозначно определяет физическое лицо, решён: Ивановых в России много, а с этим (уникальным) номером – один. И есть на вещи твой номер, она - твоя, нет - извини, подвинься.

up
18 users have voted.
Аватар пользователя Атаманов Геннадий

Кстати, если следовать логике РКН дальше, то получим, что «к числу [вещей], которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: [брюки, рубашка, туфли, ремень, галстук, шляпа, носовой платок]. Вместе – персональные (личные) вещи, по отдельности – нет!
Представьте такой диалог:
Субъект: Да это же мои носки!
РКН: А докажи! Где на них идентификатор, который это определяет?
Субъект: А мой размер, рисунок сбоку, чек на их покупку! Дырка в районе большого пальца, в конце концов!
РКН: А где туфли и всё остальное, что МЫ относим к категории персональные вещи? Без них - это не твои [персональные] носки! Они – ничьи!
По-моему, нагляднее показать абсурдность подхода РКН к трактовке понятия "ПДн" невозможно.

up
29 users have voted.
Аватар пользователя Атаманов Геннадий

Решение, кстати, здесь очень и очень простое: понятие «персональные данные» можно трактовать и так, как это сделано в 152-ФЗ, но защищать нужно не все ПДн, а только, например, по отдельности «то-то» и «то-то» или в совокупности «это, это и вот это».
Но, в очередной раз: в 152-ФЗ допущено множество грубейших логических ошибок. И, в первую очередь, - отождествление части и целого: не всё, что имеет отношение к персоне – персональные данные, а защищать из этого нужно ещё меньше – только то, противоправное использование чего (по отдельности или в совокупности) может причинить этой персоне вред!
А РКН, пытаясь хоть как-то исправить недостатки, имеющиеся в 152-ФЗ, порождает ещё большие. 
О причинах такого явления я многократно писал в своих статьях, посвящённых именно информационной безопасности (в правильном понимании этого термина). Но, как показывает практика, не многие их читали и ещё меньшее количество поняло, о чём речь. А вот здесь - http://www.elektron2000.com/article/1659.html - об этом же, но только в более доходчивой форме. Рекомендую.

up
16 users have voted.
Аватар пользователя Николай Овчинников

Абсолютно с Вами согласен. Спасибо.

up
15 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.