Computerworld, США

Возможно, для того чтобы обеспечить выполнение вступившего в силу с 1 января 2007 года закона о личных данных, компаниям придется ввести новую должность

Торнтон Мэй обладает обширным опытом работы в качестве обозревателя ИТ-индустрии. Электронную почту ему можно направлять по адресу thorntonamay @aol.comПять лет назад конфиденциальность превратилась в одну из самых популярных и животрепещущих тем. Организации, входящие в список Forbes Global 2000, стремились превзойти друг друга в разработке политик конфиденциальности. «Директор по защите конфиденциальной информации (Chief Privacy Officer, CPO) — это должность, время которой еще придет», — говорил тогда известный специалист в вопросах безопасности, бывший руководитель программы исследований проблем информационной безопасности Gartner Билл Малик.

А теперь давайте перенесемся в день сегодняшний. Мы по-прежнему с надеждой ждем эффективного, способного поднять курс акций компании и удовлетворить потребности клиентов директора по защите конфиденциальной информации, присутствие которого в организации сразу станет ощутимым. В 2006 году многие поверили в то, что человечество стоит на пороге крупнейшей со времен изобретения огня технологической экспансии, способной изменить всю нашу жизнь. (Показательно, что закон Сарбейнса-Оксли — изначально рекламированный как новаторский нормативный акт, который помимо полного трудоустройства бюрократов принесет государству и дополнительные преимущества, — в конечном итоге можно считать мощнейшим ускорителем движения к истинно цифровому сообществу.) Организации, ориентирующиеся на будущее, перед большим скачком приводят свой дом информационного управления в порядок и укрепляют внутренние процессы. Тема управления конфиденциальностью и круг задач, решаемых директором по защите конфиденциальной информации, относятся к вопросам, которые сегодня требуют переосмысления.

А следовательно, имеет смысл повнимательнее посмотреть на то, что делают люди, исполняющие обязанности CPO, и почему они должны это делать.

Что должен делать CPO?

Хотелось бы послушать читателей, которые могут ответить на этот вопрос. Дело в том, что для людей, принимающих корпоративные, социальные и потребительские решения, специалисты по защите конфиденциальной информации в большинстве случаев остаются за кадром. Будучи антропологом, изучающим корпоративное и потребительское племя, одну из своих задач я вижу в том, чтобы регистрировать все повседневные действия и процедуры, выполняемые людьми, которые принимают решения. И я пришел к выводу, что специалистам по защите конфиденциальной информации не уделяется практически никакого внимания. Почему?

Для многих, наверное, это станет откровением, но в мире существует целая отрасль, деятельность которой направлена на защиту конфиденциальной информации. Международная ассоциация специалистов в области защиты конфиденциальной информации (International Association of Privacy Professionals, IAPP) насчитывает около 3 тыс. членов из 23 стран.

А между тем многие обозреватели считают, что специалисты такого рода чересчур замкнуты в себе. Конфиденциальность у них возведена в ранг абсолюта. Подобно сектантам, они предпочитают не высовываться, а если и делают это, то исключительно для организации закрытых собраний, на которых присутствуют лишь избранные. Большинство событий, связанных с конфиденциальностью, представляют собой беседы специалистов в этой области с себе подобными.

Каково отношение к конфиденциальности в обществе?

В статье, опубликованной в газете The Washington Post в прошлом сентябре, Роберт Самюэльсон написал, что Сеть породила крупнейший в человеческой истории взрыв массового эксгибиционизма. Недавний опрос Pew Internet & American Life Project показал, что 61% молодых людей в возрасте от 13 до 17 лет имеют свои персональные профили в Web. В статье обозревателя газеты The New York Sun Катарины Херрап, специализирующейся на вопросах культуры и стиля, утверждается, что американцы хотят конфиденциальности. Им нужно лишь очертить грань, за которой выставление напоказ своей жизни становится чрезмерным. Похоже, что они просто не знают, как сформулировать критерии конфиденциальности.

Спрос и предложение

Сегодня нам еще далеко до того, чтобы четко определить потребительский спрос на защиту конфиденциальной информации. У людей пока не сложилось определенного мнения в отношении того, какая конфиденциальность им нужна. Предложения также выглядят довольно сомнительными. Проведенное RSA Security исследование показало: почти половина американцев «не уверены» в том, что организации предпринимают адекватные меры к тому, чтобы защитить их персональные данные. А когда авторы исследования Ponemon Institute/MSNBC задали вопрос: «Кому вы больше доверяете в вопросах обеспечения конфиденциальности — госструктурам или коммерческим компаниям?», почти 88% респондентов выбрали вариант — «никому».

Для чего нужна конфиденциальность?

Известный предприниматель и красноречивый оратор Сет Годин в свое время сформулировал концепцию «рассылки по запросу» (permission marketing). Он классифицировал разновидности рекламы, начиная от ее наихудшего проявления — спама, понимаемого как незваное вторжение в жизнь человека в коммерческих целях, и заканчивая так называемым «внутривенным» маркетингом (инициативами, которые построены на доверительных отношениях, а следовательно, предполагают оперативную рассылку информации о новых продуктах и ценах на них). Единственный способ перехода от спама к внутривенному маркетингу заключается в том, чтобы получить у потребителей разрешение на сбор информации личного характера. А для этого нужно продемонстрировать клиентам, что собранная о них информация позволяет лучше их обслуживать.

Таким образом, обеспечение конфиденциальности помогает компании поднять цену на свои акции.

А теперь пришла пора определить поле деятельности для директора по защите конфиденциальной информации и заняться решением соответствующих вопросов. 


Персональные данные россиян — под защитой закона

1 января вступил в силу российский федеральный закон «О персональных данных», призванный защитить права граждан на неприкосновенность частной жизни при сборе и обработке персональных данных. Под персональными данными понимают любую информацию, относящуюся к физическому лицу, — фамилию, имя, отчество, год и место рождения, адрес, семейное, социальное, имущественное, служебное положение, образование, профессия, доходы и др.

С письменного согласия субъекта персональных данных в общедоступные источники — справочники, телефонные и адресные книги — может включаться его фамилия, имя, отчество, место жительства, номер телефона, сведения о профессии. При этом впоследствии по его требованию такие сведения должны быть исключены из общедоступных источников.

Согласно закону, от субъекта персональных данных можно получать только те данные, которые необходимы для достижения цели их обработки, и только при его согласии; при этом должна быть обеспечена конфиденциальность полученной информации. Не допускается обработка особых категорий персональных данных, таких как национальность, политические и религиозные взгляды, интимная жизнь, судимость. Вместе с тем правоохранительные органы могут получить персональные данные о лицах, совершивших преступление или административное правонарушение. Не допускается и обработка персональных данных без согласия их субъекта в рекламных целях и для политической агитации.

Между тем, несмотря на вступление в силу нового закона, а также на ратификацию Госдумой европейской конвенции о защите физических лиц при автоматизированной обработке персональных данных, диски с такого рода информацией по-прежнему продаются на компьютерных рынках, на развалах в метро и т. п.