суббота, 11 сентября 2010 г.

Письма лично на почту? Да ну...


Сегодня анонимный читатель этого блога (друзья, пожалуйста, подписывайтесь - это занимает не очень много времени, но позволяет мне хотя бы сказать "необезличенное" "спасибо"), в продолжение темы "Письма лично на почту ношу..." прислал ссылку на очень интересную статью под названием "Собственные нужды оператора ПДн - миф или реальность?".
Размещена она на сайте fz152.ru, принадлежащем некоей организации "Ассоциация "Электронные системы" ООО "Научно-исследовательский центр "ФОРС", автор произведения - директор по развитию этого ООО, господин Шмелев Павел Владимирович.

Честно говоря, я не раз читал и слышал массу всяческих доводов в пользу необходимости и обязательности получения лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ), однако такого развернутого, масштабного и исчерпывающего объяснения мне встречать еще не доводилось. Творение, безусловно, заслуживает полного прочтения, что я и сделал - от корки до корки. А потому могу позволить себе высказать свои комментарии по поводу прочитанного.

Начнем с названия и привязки. Красной нитью в статье проходит мысль о том, что "собственные нужды" и "защита персональных данных" - вещи несовместимые. И это действительно так. Оператор, защищая персональные данные граждан, по идее действует не в своих интересах - а в интересах самих граждан. Но это только по идее. На самом деле граждане - вторичны, первично же - желание "не подставиться" перед регуляторами, а для этого необходимо соблюдать и ФЗ, и ПП и все остальное, что перечислено в статье.

Также не будем забывать, что логическая цепочка "Гражданский кодекс" - "128-ФЗ" является де-юро незыблемой, а это значит, что выражение "деятельность" в рамках лицензирования эквивалентно термину "предпринимательская деятельность". И это правда: ведь лицензия выдается именно на "деятельность", и поэтому ФСТЭК заставляет потенциального лицензиата внести в учредительные документы изменения, дающие последнему право такой деятельностью заниматься и, теоретически, извлекать из нее прибыль. Однако ни о ГК, ни о "деятельности" согласно ГК в статье вообще не упоминается и, следуя приведенной в статье логике, все без исключения операторы (включая некоммерческие организации и государственные учреждения) просто обязаны получать лицензию. Автор, очевидно, полагает, что все операторы осуществляют "деятельность", направленную не на извлечение прибыли, а на соблюдение законодательства.

Пропуская длиииииинное "бла-бла-бла" про "собственные нужды" (хотя много что заслуживает отдельного поста), я позволю себе остановиться на этом предложении:

Оппонентам, оставшимся после прочтения этой статьи при своей точке зрения, хотелось бы порекомендовать пойти чуть дальше в своих умозаключениях, раскрыв понятие «собственные нужды» в терминах действующего законодательства и с учетом положений ФЗ 152.

Уважаемый Павел Владимирович! Я, безусловно, отношусь к любому труду с уважением.  Учитывая то, что Ваша организация занимается услугами в области защиты ПДн, и то, что получить лицензию простому желающему, самостоятельно, без посредников и "блата", весьма проблематично и ОЧЕНЬ дорого, Вы, публикуя такого рода материалы, отлично справляетесь со своим функционалом!

Однако, потратив время на прочтение, я остался при своей точке зрения, в силу, очевидно, "недалекого ума". Свои "недальновидные умозаключения" по поводу неправильности выбора вектора и смещения его от понятия "деятельность" к понятию "собственные нужды" я уже сделал. Позволю себе еще парочку. Фразы, предваряющие указанное выше предложение, выглядят совершенно чудесным образом:

Осмысление проблем, стоящих перед бизнесом в свете требований ФЗ 152 приводит к выводу о необходимости соблюдения баланса между интересами личности и интересами бизнеса. Введение отраслевых стандартов (а, в дальнейшем, вероятно, и института саморегулирования) в этой сфере - есть эффективный инструмент достижения этой цели. В то же время, несмотря на очевидный антагонизм прав личности и потребностей бизнеса, такие документы, бесспорно, обязаны учитывать не только «нужды» членов отрасли. В первую очередь они должны учитывать интересы личности.

Судя по всему, автор всерьез полагает, что наличие весьма дорогостоящей лицензии ТЗКИ у оператора дает гражданину - субъекту ПДн - возможность чувствовать себя как "у Христа за пазухой", передавая тому свои персональные данные? Или что владелец небольшого фотосалона с 5 сотрудниками и 300-ми клиентами сможет осилить полтора миллиона за лицензию плюсом к стартовому капиталу в 200 тысяч рублей за весь фотосалон? Вряд ли. Лицензия ТЗКИ ровным счетом ничего не дает субъекту, и отнимает средства у без того небогатых операторов в пользу государственных органов, которые, как показывает практика, и являются главными источниками утечек персональных данных граждан. Автору можно порекомендовать зайти на рынок, купить базу данных ГИБДД, отыскать там себя и обратиться в суд с иском против ГИБДД. Как вы думаете - отсудит ли что-нибудь автор в качестве компенсации морального ущерба? Вопрос риторический. И таким он останется даже в том случае, если ГИБДД получит лицензию ФСТЭК на ТЗКИ (прости Господи) - согласно дальновидных умозаключений автора, "гаишники" просто обязаны это сделать.

Всему виной терминологическая путаница: стоило назвать 128-ФЗ "О лицензировании отдельных видов ПРЕДПРИНИМАТЕЛЬСКОЙ деятельности" - вопросов бы ни у кого не возникло. Вряд ли кто-то из уважаемых экспертов сочтет мероприятия, связанные с защитой оператором ПДн субъектов, "предпринимательской деятельностью" - в противном случае все без исключения операторы, в том числе и ГИБДД, являются "предпринимателями" со всеми вытекающими. Однако эти нюансы исправлять никто не спешит - наоборот, постоянно идет "подогрев" общественного сознания - а значит, это кому-то выгодно. Поэтому, ни о каком балансе и ни о каких интересах личности говорить, увы, не приходится. Ну а для ООО, топ-менеждером которого является автор обсуждаемого материала, эта тема - хлеб, поэтому, как говорится, приятного ему аппетита!

PS. Всем, кому интересна еще одна тема - про казуистику российского законодательства в области автоматизированной и неавтоматизированной обработки ПДн - очень рекомендую зайти сюда.

17 комментариев :

  1. Ах, они таки упорствуют в распространении спама))
    У нас тоже как-то наследили http://a-datum.ru/forum/viewtopic.php?f=52&t=403
    Также были замечены на юрклубе: http://forum.yurclub.ru/index.php?showtopic=276938
    и банкире: http://dom.bankir.ru/showthread.php?t=102089

    ОтветитьУдалить
  2. Спасибо, Артем - теперь все понятно :). Странную товарищи выбрали стратегию - ведь любой здравомыслящий человек перед выбором подрядчика прежде всего поузнает что о нем говорят другие - пороется в Интернете. А тут - такое "разводилово"... Ну да Бог с ними - нам с ними не работать, ну а операторам нужно быть очень осторожными - чтоб не нарваться на таких вот "ястребов".

    Что касается указанных выше ссылок - прочитал их все. Общее мнение осталось неизменным. Документ, выдаваемый ФСТЭК, по уму, должен называться "Лицензия на осуществление предпринимательской деятельности по технической защите информации" (БЕЗ слова "конфиденциальной"), и давать право лицензиату зарабатывать деньги на оказании услуг и выполнении работ по технической защите информации тем, у кого такой лицензии нет - то есть вести предпринимательскую деятельность под контролем государства, нести определенную ответственность перед клиентами и платить соответствующие налоги с заработанных на этом денег. Проще говоря - хочешь срубить бабла на этом - раскошелься на лицензию. Это логично и понятно, и по идее не пускать на рынок ИБ "проходимцев". К сожалению, только по идее.

    Попытки представить эту лицензию как документ, дающий право "защищать" персональные данные, дающий субъектам ПДн какую-то гарантию от утечек и уж тем более утверждать об обязательности ее получения всеми операторами ПДн только потому, что так велит закон - от "лукавого".

    Все-таки работа по модернизации законодательства в этой сфере понемногу ведется - об этом говорит и п. 4 статьи 10 проекта нового закона "О лицензировании отдельных видов деятельности", находящегося на рассмотрении в Госдуме: "К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, а также требования к конкретным видам и объемам выпускаемой (планируемой к выпуску) продукции (работ, услуг)."

    Поскольку наше государство - единственное в мире, которое жестко регламентирует требования по защите ПДн и контролирует их соблюдение операторами - возможно, когда-нибудь такой документ будет изобретен, вот только называться он будет иначе.

    ОтветитьУдалить
  3. Добавлю еще 2 веточки с банкира ;) :
    - http://dom.bankir.ru/showthread.php?t=102454
    - http://dom.bankir.ru/showthread.php?t=102539

    ОтветитьУдалить
  4. Анонимный13.9.10

    Ох не хотелось бы об этом думать, но всё же статейка-то "заказная". От кого еще можно слышать, что 100% нужна лицензия (или отдача на аутсорсинг), если не от компании, которая сама имеет лицензию и продает измерительное оборудование? ;)
    http://elsystems.ru/services/defenceinfo/
    Отдел представляет продукцию ведущих российских производителей «Сюртель», «РЭЙ», «Информзащита», «Инфотекс», «НЭЛК», «Аладдин» и др.
    ---------
    Андрей_см.

    ОтветитьУдалить
  5. to toparenko: не зря, ох не зря мы делали исследование ;)

    ОтветитьУдалить
  6. to Andrey_cm: один известный рок-гитарист как-то сказал в интервью музыкальному телеканалу: "Знаете, я вообще очень люблю классическую музыку. Но чтоб заработать денег, нужно играть совсем другое..." Здесь налицо экстраполяция этой мысли на ПДн. Вряд ли те, кто пишет подобный материал, сами разделяют свое собственное мнение. Но чтоб заработать... ;)

    ОтветитьУдалить
  7. to toparenko: наследил и я на Банкире:

    http://dom.bankir.ru/showpost.php?p=2773015&postcount=15

    Посмотрим, что скажет уважаемый г-н Шмелев. Бодаться с Лукацким - оно конечно сильно... ;)

    ОтветитьУдалить
  8. >Бодаться с Лукацким - оно конечно сильно...

    А в чем проблема :-D
    Я вот два года назад бодался с Алексеем и Малотавром - http://dom.bankir.ru/showthread.php?t=83894

    Кстати, одним из моих аргументов был вот этот суд - http://www.securitylab.ru/blog/personal/Security_is_not_a_product/9898.php

    ОтветитьУдалить
  9. to toparenko:

    > Я вот два года назад бодался с Алексеем и Малотавром

    Прочитал тред. Это - не бодания, а нормальная дискуссия - ну пусть с шутками-прибаутками но все же факты, аргументы, выдержки, все как надо.

    Указанные выше ветки таковой не являются. ИМХО.

    ОтветитьУдалить
  10. В вашем дискуте с г. Шмелевым вы спорите на тему согласия. На портале Роскомнадзора в рубрике "Ваши вопросы" есть официальный ответ.
    http://pd.rsoc.ru/faq/faq21.htm

    -------------------------------------------
    Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?
    =====
    При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.

    Кроме того, оператор вправе ввести в вэб – форму заявки обязательные для заполнения дополнительные поля, устанавливающие условие согласия субъекта персональных данных на обработку его персональных данных, при условии последующего проведения мероприятий по проверке достоверности представленных персональных данных.

    В остальных случаях согласие на обработку персональных данных, равно как и его отзыв, может оформляться только в письменной форме.

    Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

    ОтветитьУдалить
  11. to Андрей_СМ: :) спасибо! Я сейчас же размещу это сообщение! Хотя я и не сторонник такого подхода...

    ОтветитьУдалить
  12. Шмелев17.9.10

    Ну кое-какие точки над Ё мы уже с Вами , Алексей, расставили на днях. В целом же должен сказать, что изложенные в статье доводы могут и должны быть предметом дискуссий. Для того она и писАлась. Высказанные (в мой адрес) замечания и претензии являются по сути претензиями к несовершенству НПА. Зеркало тут совершенно ни при чем. Кроме того (этогопочему то никто не заметил) статья была не про лицензию (надо\не надо) а про собственные нужды. Пока никто так и не опроверг мои доказательства в отсутствтии таковых в природе. Все предпочитают покритиковать алчного интегратора, а где аргументы?
    Что касается "заработать" - наверное, мне или компании должно быть неловко и стыдно за это стремление. Я тут пытался вызвать в себе это чувство стыда - не получилось.
    Про последний пост - откомментирую на банкире. Удачи!

    ОтветитьУдалить
  13. to Шмелев: без бури не бывает штиля :) Это - совершенно нормальная ситуация. Не бывает абсолютно правых и абсолютно неправых: всем свойственно ошибаться. Все остальное я уже сказал на Банкире ;)

    > статья была не про лицензию (надо\не надо) а про собственные нужды.

    Только почему-то вывод был про лицензию - НАДО. Хотя одно из другого ну никак не следует. А про собственные нужды я в самом начале сказал. Это и так понятно.

    > Все предпочитают покритиковать алчного интегратора, а где аргументы?

    Никто не говорил что интегратор - АЛЧНЫЙ. Просто стратегия продвижения не понравилась, в т.ч. и мне. Сами знаете, что о лицензиях спорят не один год и не два. И никто так ничего и не добился. Стоит она весьма недешево. Так зачем же людей в заблуждение вводить, да еще такими несвязанными выводами (см. выше)?

    > Я тут пытался вызвать в себе это чувство стыда - не получилось

    Я тоже, знаете ли, бываю порой не "стыдлив" в вопросах взаимоотношений с так называемыми "интеграторами" и их представителями.

    Вам удачи!

    ОтветитьУдалить
  14. Доктор Хаос17.9.10

    Ознакомившись с содержанием поста, форума, комментариев и оных инсинуаций считаю необходимым заявить следующее. Термин "собственные нужды" применим для определения наличия в "деятельности" признаков "предпринимательской" - вторым свойством которой является извлечение прибыли. Никто не будет спорить, что если я настраиваю компьютер другу, то эта "деятельность" считается "предпринимательской" только потому, что я делаю ее "не для себя"? Учитывая мой (немалый) юридический опыт (придется поверить на слово), посоветовал бы коллеге Шмелеву найти в себе смелость, не смотря на очевидную разницу в возрасте и желание Волкова грызть землю в поисках правды не взирая на этические нормы, на этот раз признать свою неправоту. Коллеге Волкову повторно советую посетить высшее учебное заведение, где готовят юристов, дабы прекратить раз и навсегда сеять вакханалию в юриспруденции, ибо умение правильно мыслить и правильно излагать свои мысли в этой науке - совершенно разные вещи.

    ОтветитьУдалить
  15. to Доктор Хаос: грызть землю в поисках правды - в условиях общих проблем отечественной НПБ - занятие неблагодарное. Я не прав абсолютно в одном: на этические нормы нужно взирать не смотря ни на что. Буду над собой работать, равно как и в юридическом направлении. Лет-то, как Вы выразились, мне маловато - есть еще запас ;)

    ОтветитьУдалить
  16. topless_freak18.9.10

    И щас я всех аткаментирую:
    Волкову: Шмелев сказал что хочет денег - а в этом деле все средства хороши. В чем проблема?
    Шмелеву: Волков не любит разводил - это патология?
    Волкову и Шмелеву: помиритесь и не парьтесь.
    Хаосу: они оба не правы - прав я и Вы (как всегда)

    ОтветитьУдалить
  17. Шмелев20.9.10

    Мы вроде так и не успели поссориться. Должен заметить, однако, что все комментсы удивительно не по существу. А по существу статьи есть что сказать? Попытка приклеивания ярлыков не заменяет конструктивного обсуждения.

    ОтветитьУдалить