Википедия следующее определение электронной коммерции: «...сфера экономики, которая включает в себя все финансовые и торговые транзакции, осуществляемые при помощи компьютерных сетей, и бизнес-процессы, связанные с проведением таких транзакций». В этой области решается широкий круг проблем: организация электронного обмена информацией, электронное движение капитала, электронная торговля и деньги, электронный маркетинг, банкинг и страховые услуги. Одним из наиболее важных преимуществ электронной коммерции для потребителей считается анонимность покупок при наличии персонализации, что и вызвало ряд проблем при попытке спроецировать эту схему на ФЗ-152.
Учитывая, что для продажи и доставки товаров и услуг конечному потребителю все субъекты интернет-коммерции должны как-то идентифицировать клиента, все они могут попасть под определение оператора персональных данных, принятое в ФЗ-152: «…юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных».
Проблемы электронной коммерции в терминах ФЗ-152
Если интернет-магазин является оператором персональных данных, то на него распространяются все обязанности, налагаемые законом:
- предоставить доказательство получения согласия субъекта на обработку его персональных данных;
- обработать персональные данные в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи можно только при условии предварительного согласия субъекта.
Итак, интернет-магазину надо доказать, что у него есть согласие конкретного физического лица, которое попросило предоставить ему товар (услугу). При этом чаще всего установить это самое лицо у магазина нет возможности – его или его представителя увидит только курьер при доставке товара, а до этого момента пройдет много времени, в течение которого персональные данные будут обрабатываться. Как здесь быть с анонимностью, сказать трудно.
Заказ клиент делает чаще всего двумя простыми способами: заполняя форму на сайте магазина или позвонив по указанному там же телефону, и в обоих случаях точно идентифицировать его невозможно. Часто заказ формируется в интересах третьего лица (выгодоприобретателя), которому с использованием возможностей Интернета делается подарок или данные о нем включаются в заказ (например, при бронировании авиабилетов). Главный контролер в области законодательства о персональных данных – Роскомнадзор по этому поводу думает следующее: «При заполнении веб-формы заявки на покупку товара на сайте интернет-магазина … критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи. Кроме того, оператор вправе ввести в веб-форму заявки обязательные для заполнения дополнительные поля, устанавливающие условие согласия субъекта персональных данных на обработку его персональных данных, при условии последующего проведения мероприятий по проверке достоверности представленных персональных данных. В остальных случаях согласие на обработку персональных данных, равно как и его отзыв, может оформляться только в письменной форме. Получение согласия на обработку персональных данных по телефону, посредством SMS действующим законодательством Российской Федерации не установлено».
Ясно, что для интернет-магазина такие требования неприемлемы. При этом ФЗ-152 определяет исчерпывающий перечень случаев, в которых необходимо согласие субъекта в письменной форме, и данная ситуация к ним однозначно не относится. Наличие у клиента сертификата ЭЦП или подписанного ЭЦП файла сводит на нет все преимущества электронных продаж, не требующих предварительного установления отношений между покупателем и продавцом. В Сети уже появились интернет-магазины, напуганные ФЗ-152 и требующие при доставке у получателя паспорт. Но покупатель его справедливо показывать не хочет, ведь все остальные традиционные покупки он делает без паспорта.
Про согласие по телефону и говорить нечего — бизнес огромного количества предприятий, занимающихся поставкой товаров по телефонному заказу, бронированием и предоставлением услуг, оказывается вне закона. Строго говоря, нельзя записать продиктованную по телефону фамилию желающего подстричься или заказать столик в ресторане. Всем им надо сообщить, что данные следовало бы как-то обезличить или зайти под псевдонимом. С точки зрения Гражданского кодекса, предусматривающего свободу договора, данная ситуация также не очень вяжется — договор однозначно может быть заключен в устной форме, если кодекс или закон не требуют иного. Заключить устно можно, а сообщить реквизиты сторон – нельзя. Вот такие парадоксы.
На вопрос «Вправе ли физическое лицо представлять персональные данные своих близких родственников?» Роскомнадзор на своем сайте четко и однозначно отвечает: «Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами». Если кто-то захочет сделать через интернет-магазин подарок родителям, детям или другим членам семьи, он должен получить на это их письменное согласие (кстати, опять вопрос – почему, ведь закон этого не требует?) и при заказе передать это согласие в интернет-магазин. Естественно, если абсолютно то же самое делается через Amazon, ничего этого не требуется, передавайте ему все, что хотите.
Рассмотрим в терминах ФЗ-152 стандартную ситуацию. Я хочу организовать доставку букета приятельнице, проживающей в Барбадосе — стране с неадекватной, с точки зрения Роскомнадзора, защитой. Есть масса компаний, в том числе российских, которые с удовольствием за мои деньги это сделают. Я сообщаю свои персональные данные, необходимые для оплаты заказа, в веб-форме на сайте или по телефону оператору, а поскольку платить собираюсь пластиковой картой, больше никаких контактов у меня с поставщиком услуги не будет. Итак, первое нарушение оператора – обработка персональных данных без проверяемого согласия субъекта. Далее я указываю адрес получателя и ставлю галочку в поле «Звонок получателю. Звонок возможен только перед вручением. Это сюрприз». Второе нарушение — продавец начнет обработку персональных данных получателя, полученных не от него самого, без его предварительного уведомления, предусмотренного частью 3 ст.18 ФЗ-152. А сообщить надо будет ни много ни мало - наименование и адрес оператора, цель обработки им персональных данных и ее правовое основание, предполагаемых пользователей персональных данных, установленные Федеральным законом права субъекта персональных данных. Особенно загадочна фраза «до начала обработки», при том что сбор персональных данных к обработке уже отнесен.
Для выполнения моего заказа оператор должен сообщить персональные данные получателя своему партнеру на Барбадосе, который фактически и выполнит мой заказ, тем самым допустив третье нарушение – трансграничную передачу данных в страну с неадекватной защитой без письменного согласия субъекта.
Представители регуляторов на различного рода мероприятиях не раз давали советы использовать в качестве средств защиты кусачки, если денег на другие меры нет. То есть отказаться от использования информационных систем для обработки персональных данных или заняться другим бизнесом, если требования закона выполнить не удается.
Dura lex, sed lex
Безусловно, необходимо добиваться улучшения законодательства, приближения его к реальной жизни и условиям ведения бизнеса, но если закон принят – его надо выполнять. Советом Федерации в июле 2011 года были одобрены поправки к ФЗ-152, а Президент подписал данную редакцию, год проходившую мучительное согласование в самых разных инстанциях. Однако эти изменения практически не затронули электронный бизнес с точки зрения использования персональных данных. Значит, выполнять надо то, что есть, но как?
Первый шаг. Владельцу интернет-магазина надо провести инвентаризацию своих информационных систем и выявить те, которые реально обрабатывают персональные данные. Решения для интернет-магазинов, как отечественные, так и зарубежные, создавались разработчиками без оглядки на требования ФЗ-152, другие нормативные акты Правительства РФ и рекомендации регуляторов. Оператору, выявившему все информационные системы персональных данных (ИСПДн) в своем ИТ-хозяйстве, придется сделать и второй шаг – проанализировать и уточнить их архитектуру. При этом для снижения затрат на обеспечение безопасности крайне желательным представляется разделение веб-сервера, сервера приложений и сервера баз данных на самостоятельные сегменты с использованием сертифицированных межсетевых экранов, ну и, естественно, экранирование всей структуры на границе с Сетью. В ходе предварительной классификации ИСПДн на этом этапе необходимо тщательно проанализировать категории обрабатываемых в каждом сегменте персональных данных (составить перечни), условия функционирования ИСПДн и имеющиеся в наличии средства защиты информации. На этом же этапе целесообразно провести оценку возможности снижения классов подсистем за счет обезличивания персональных данных, принятия различного рода организационных мер и даже исключения части данных из обработки. Анализ имеющихся механизмов и средств защиты информации должен дать ответ о наличии у них сертификатов ФСТЭК и ФСБ по требованиям безопасности или перспективы проведения такой сертификации.
Третий шаг. Интернет-магазину придется заняться нормотворчеством — созданием процедур и описывающих их локальных нормативных актов, которые в новой редакции ФЗ-152 определены как меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом. К таковым закон относит назначение оператором ответственного за организацию обработки персональных данных и издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
В законе определено, что оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. А в новой статье 22.1 закона четко определены обязанности лиц, ответственных за организацию обработки персональных данных, причем об этих лицах придется проинформировать Роскомнадзор.
На этом этапе представляется крайне необходимым пересмотреть публичные оферты, предлагаемые интернет-магазином своим покупателям в части сбора, обработки и правомерности получения персональных данных, а также сформировать формы-шаблоны о согласии на обработку и ответственности за правомерность и достоверность предоставляемых данных, которые должны подтверждаться покупателем при заказе товара. Однако все это полумеры, поскольку, как мы уже выяснили, в качестве подтверждения согласия на обработку регулятор их рассматривать не склонен. Но это все-таки лучше, чем полное отсутствие каких-либо мер, подтверждающих стремление оператора к выполнению закона, например предусмотрев, как рекомендуется на сайте Роскомнадзора, простановку галочки напротив фразы «Я подтверждаю свое согласие на передачу информации по открытым каналам связи».
Целесообразно также пересмотреть и уточнить форму документа, подтверждающего оказание услуги (доставку товара) там, где это возможно, а если сделать этого нельзя (в счет-фактуре, например, содержание которой жестко определено), разработать отдельную форму с подтверждением согласия, которую покупатель будет подписывать при получении товара. Поскольку содержание этого согласия законом не установлено, оно может быть произвольным, например, таким: «Я, Иванов Иван Иванович, подтверждаю согласие на обработку моих персональные данных, необходимых для исполнения акцептованного мною (моим представителем) договора публичной оферты с … (наименование оператора персональных данных) в течение срока, необходимого для оказания услуги, а также предусмотренного законодательством Российской Федерации, и мое согласие не может быть отозвано до истечения этого срока».
Четвертый шаг. Необходимо разработать частную модель угроз информационным системам персональных данных и документально оформить классификацию ИСПДн, обычно в виде акта, составленного специально назначенной комиссией и утвержденного руководителем оператора. Мнение о том, что актуализировать модель угроз надо только для специальных систем персональных данных, представляется ошибочным, поскольку в постановлении Правительства 2007 года № 781 ни типовых, ни специальных систем нет, а модель угроз формировать требуется.
Пятый шаг. Исходя из модели угроз, класса и условий функционирования ИСПДн, надо спроектировать и построить подсистему безопасности ИСПДн. Подсистема должна в полном объеме реализовывать выбранные в проекте методы и средства защиты персональных данных. Алгоритм действий здесь очевиден: для каждой актуальной угрозы определяется способ ее нейтрализации с учетом методических рекомендаций ФСТЭК и ФСБ, и устанавливаются конкретные функциональные требования к выбранным механизмам защиты. Затем из числа сертифицированных средств защиты выбираются реализующие необходимые функции:
- межсетевое экранирование на границе с Интернетом;
- распределенное межсетевое экранирование внутри ИСПДн;
- обнаружение/предупреждения вторжений;
- мониторинг защищенности;
- антивирусная защита;
- разграничение доступа работников оператора к персональным данным клиентов;
- доверенная загрузка для серверов;
- защита виртуальной инфраструктуры (при ее наличии).
И здесь возникает существенная проблема, с которой сталкиваются практически все проектировщики и пользователи систем информационной безопасности. Речь идет о «зоопарке» средств защиты, созданных разными производителями и плохо взаимодействующих, а иногда и конфликтующих между собой, требующих для каждого из них свои системы управления, отчетности и т. д. Поэтому целесообразно использовать системы защиты производителей, имеющих максимально полную линейку сертифицированных продуктов, которые нейтрализуют угрозы, как определенные регуляторами в качестве типовых, так и не являющиеся таковыми, но представляющие реальную опасность для оператора, занимающегося электронной коммерцией. В таблице приведен пример одного из возможных наборов средств защиты.
Шестой шаг. Сформулировать и направить уведомления в Роскомнадзор об обработке персональных данных.
| Класс СЗИ | Продукт | ИСПДн класса К3 | ИСПДн класса К2 | ИСПДн класса К1 |
|---|---|---|---|---|
| Средства защиты информации от несанкционированного доступа | Secret Net | • | • | • |
| vGate | • | • | • | |
| Межсетевые экраны | АПКШ «Континент» | • | • | • |
| TrustAccess (для ключевых ресурсов внутри сети и снижения стоимости ИСПДн) | • | • | • | |
| Security Studio Endpoint Protection | • | • | • | |
| Средство доверенной загрузки | Электронный замок «Соболь» | • | • | • |
| Защита от вторжений и антивирусы | Honeypot Manager | • | • | • |
| Security Studio Endpoint Protection | • | • | • | |
| Security Studio Endpoint Protection | • | • | • | |
| Соответствие стандартам и сертифицированная инвентаризация | «Код Безопасности: Инвентаризация» | • | • | • |
| Средство необходимо для построения системы безопасности ИСПДн | ||||
| Средство рекомендуется для построения системы безопасности ИСПДн | ||||
Уведомлять или нет?
Неуведомление о факте обработки персональных данных – наиболее часто выявляемое территориальными органами Роскомнадзора нарушение; например, по результатам проведенных в 2009 году проверок операторам было выдано 557 предписаний об устранении выявленных нарушений законодательства РФ в области персональных данных, составлено и направлено в суды 54 протокола об административных правонарушениях. В 2010 году выдано уже 1908 предписаний об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 2996 протоколов об административных правонарушениях, причем практически все выявленные нарушения были классифицированы по ст.19.7 КоАП – «Непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или в искаженном виде». По результатам надзорной деятельности судами в 2010 году вынесены постановления о привлечении операторов к административной ответственности в форме штрафа на общую сумму 4 млн 480 тыс. руб. против 75 тыс. руб. в 2009 году. В то же время часть 2 ст.22 ФЗ-152 определяет, что в некоторых случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа. Применительно к интернет-магазинам наиболее интересны два исключения, касающиеся обработки персональных данных:
- относящихся к субъектам, которых связывают с оператором трудовые отношения;
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются или не предоставляются третьим лицам без согласия субъекта персональных данных.
Представляется, что в интернет-магазине никаких других данных, кроме данных работников и клиентов, с которыми установлены или устанавливаются договорные отношения, не должно быть. А если таковые и есть, их проще вывести из автоматизированной обработки. Поэтому и в отправке уведомления необходимости нет. Но, прежде чем отказаться от уведомления, тщательно продумайте свои аргументы, поскольку уполномоченный орган может иметь иное мнение на этот счет. Видимо, по причине сложности обоснования своей позиции и нежелания обострять отношения с регуляторами уведомление об обработке персональных данных еще в декабре 2007 года направил владелец интернет-магазина «Озон». Описывая категории обрабатываемых данных, этот оператор указал: «работники, состоящие в трудовых отношениях с ООО 'Интернет Решения', физические лица (клиенты), состоящие в договорных отношениях с ООО 'Интернет Решения'». То есть именно те, которые и являются в терминах закона теми самыми исключениями.
***
Описанный здесь путь достижения соответствия закону сложен и дорог, но это типовой вариант, и на каждом из этапов, в зависимости от квалификации специалистов оператора или внешней привлеченной организации, возможны свои шаги по минимизации затрат.
Михаил Емельянников (emeliyannikov.blogspot.com) — экcперт в области информационной безопасности и безопасности бизнеса (Москва).
