ОПРОВЕРЖЕНИЕ «ОПРОВЕРЖЕНИЯ»
Анатолий Борисович Вифлеемский,
действительный член Академии педагогических и социальных наук, доктор экономических наук
В начале своей статьи «Дневник.ру: мифы и реальность», опубликованной в № 7 «Народного образования» за 2012 год автор отмечает, что ООО «Дневник.ру» после публикации в № 2 за 2012 год его статьи «Электронные журналы и защита персональных данных» рассылает электронные письма руководителям органов управлений образования, но не обращается с претензиями ни в редакцию журнала, ни к автору статьи. В результате вполне прогнозируемо последовало опровержение генерального директора этой компании Г.Д. Леви, которое было опубликовано в предыдущем номере журнала (№ 10 за 2012 год).
Как известно, в споре рождается истина. Поэтому посмотрим, насколько точны и оправданны суждения и выводы, сделанные автором в оспариваемой статье.
• образовательный интернет-проект • защита персональных данных
• трансграничная передача персональных данных • реклама
Что опровергает ГД Леви?
«Опровержение» начинается с фразы: «По мнению сотрудников компании «Дневник.ру», — а это один из крупнейших в России образовательных интернет-проектов, материал наносит ущерб её репутации». Вместе с тем, в «Опровержении» не приведено ни одной моей фразы, которую г. Леви назвал бы не соответствующей действительности и доказал бы это. Между тем в соответствии со статьёй 44 Закона РФ от 27.12.1991 № 2124-1 «О средствах массовой информации» в опровержении должно быть указано, какие сведения не
соответствуют действительности. Приведу ещё одно требование закона: «Объём опровержения не может более чем вдвое превышать объём опровергаемого фрагмента распространённого сообщения или материала».
Объём «Опровержения», представленного Г.Д. Леви, весьма велик, но не приведено ни одного фрагмента моей статьи, который он бы и опровергал. Таким образом, представленный им текст не отвечает требованиям, предъявляемым к тексту опровержения, установленным статьёй 44 Закона РФ от 27.12.1991 № 2124-1 «О средствах массовой информации». При этом я полностью поддерживаю решение редакции, предоставившей Г.Д. Ле-ви возможность напечатать своё мнение
на страницах журнала, так как право на ответ предоставлено статьёй 46 данного закона. И мы можем это мнение Г.Д. Леви обсуждать.
Итак, следующее предложение первого абзаца «Опровержения»: «Автор публикации А.Б. Вифлеемский сомневается в базовых принципах «Дневник.ру»: бесплатности для пользователей и надёжности защиты персональных данных».
И вот уже здесь Г.Д. Леви несколько извращает мой текст. Я не знаю и не писал ни про какие «базовые принципы «Дневник.ру», но я действительно сомневаюсь в том, что эта программа бесплатная (так или иначе, но за неё приходится платить, в том числе пользователям, персональные данных которых используются этой коммерческой организацией в рекламных целях), и я сомневаюсь в том, что деятельность этой компании в полной мере соответствует требованиям Федерального закона № 152-ФЗ и Минобрнауки России.
Насколько обоснованы мои сомнения — судить читателям.
В статье мною разбирались следующие вопросы:
1. «Кто заплатит ООО «Дневник.ру?», где
обосновывалось, что так или иначе заплатить за этот сервис придётся.
2. «Дневник.ру» и защита персональных данных», где был сделан вывод о том, что использование персональных данных учащихся и их родителей, которое осуществляется ООО «Дневник.ру», нарушает законодательство
о защите персональных данных.
3. «Трансграничная передача персональных данных», где цитировались высказывания с сайта «Дневник.ру» о трансграничной передаче персональных данных и на этой основе высказывалось суждение о нарушении требований законодательства.
Ни один из указанных выводов и суждений Г.Д. Леви не оспорил, вместо этого он написал, что «есть смысл поподробнее рассказать
о работе ООО «Дневник.ру» и снять возникающие вопросы».
Давайте проанализируем этот рассказ.
«Дневник.ру» соответствует всем требованиям?
Рассказав в двух абзацах про пятилетнюю историю своей «работы над «Дневник.ру», Г.Д. Леви приводит «убийственный» аргумент: «ресурс полностью отвечает требованиям Министерства образования и науки России, о чём говорит аналитика, доступная на сайте компании в разделе «Справочный центр». К сожалению, никаких доказательств своего суждения Г.Д. Леви не приводит. Просто посылает на сайт к некой аналитике. Между тем в моей статье приводились основания, почему я полагал (и до сих пор так считаю), что «Дневник.ру» соответствует не всем требованиям, установленным Минобрнауки России.
Прежде всего, Единые требования «Системы ведения журналов успеваемости учащихся в электронном виде в общеобразовательных учреждениях Российской Федерации» (шифр «Электронный журнал») не допускают трансграничной передачи персональных данных при ведении электронных классных журналов и дневников.
Про трансграничную передачу персональных данных Г.Д. Леви ничего не говорит, он лишь задаёт на эту тему вопрос некоему эксперту. Однако он заявляет в «Опровержении», что «техническая площадка» её информационной системы — «в дата-центре Linxtelecom». Г.Д. Леви также говорит о том, что этот дата-центр расположен в г. Санкт-Петербург на ул. Репищева, д. 20а, правда, его утверждение плохо состыкуется с ответом «независимого эксперта» на его же вопрос, который приводит уже другой адрес дата-центра Linxtelecom: Санкт-Петербург, R20a».
На сайте указанной компании таких сведений я не видел и про «техническую площадку» ничего в статье не писал. Воспользовавшись распространённой системой 2ГИС, первый адрес я смог найти, второй — нет. И по первому адресу ни слова про дата-центр не говорится, хотя, возможно, что какие-то помещения в бизнес-центре Sky trade занимает и данная компания. В 2ГИС приведены сведения лишь о пяти организациях, включая торгово-сервисную компанию, интернет-магазин и текстильную компанию.
А вот приведённые в статье сведения о месте расположения Центра управления сети этой компании (NOC) в Таллинне (Эстония) и место нахождения Главного офиса (Амстердам) — это сведения с сайта компании Linxtelecom. И их Г.Д. Леви не опровергает, тем более, что все желающие могут зайти на сайт Linxtelecom и проверить приведённые мною сведения. А вот кто сможет пойти по приведённому в «Опровержении» адресу «Санкт-Петербург, R20a», чтобы посмотреть, что же там располагается?
Не опровергает Г.Д. Леви и приведённую мною цитату, взятую с сайта его же компании про трансграничную передачу персональных данных. Поэтому повторим её: «Хранение персональных данных и их трансграничная передача в зашифрованном виде по сетям общего пользования полностью соответствует требованиям ФЗ № 152 «О персональных данных». Или по адресу «http://company.dnevnik.ru/ presscenter/ 189992» размещена недостоверная информация? Так что сведения о трансграничной передаче персональных данных при их обработке в «Дневник.ру» предоставлены самим ООО «Дневник.ру», размещены на официальном сайте этой компании, и у меня сомневаться в достоверности этих сведений нет оснований.
Понятно, что после опубликованной в журнале «Народное образование» статьи, где указывалось на то, что трансграничная передача персональных данных не соответствует
Единым требованиям Минобрнауки, предъявляемым к электронным журналам, Г.Д. Леви попытался откреститься от этого. Но слишком многие уже прочитали информацию по приведённой выше ссылке, к тому же аналогичные тексты были разосланы этой компанией органам управления образованием по всей стране и достоверность приведённой мною цитаты все могут проверить самостоятельно.
«Независимого эксперта» Г.Д. Леви тоже спросил про «трансграничную передачу». И этот эксперт дал весьма оригинальную трактовку приведённой мною цитате Федерального закона «О персональных данных». Он выразился так: «Почему-то не нравится А.Б. Вифлеемскому тезис о хранении и передаче данных в зашифрованном виде, что гарантирует «Дневник.ру». Его фраза: «Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях...» — говорит о том, что автор полагает, будто защиты данных не происходит. Но всё дело в том, что шифрование информации и является адекватной защитой!».
Независимый эксперт, возможно, просто не смог понять, что речь идёт не о технической защите персональных данных, которую осуществляет «Дневник.ру», а об иностранных государствах, которые обеспечивают или не обеспечивают «адекватную защиту прав субъектов персональных данных». В моей статье читатели всего лишь предупреждались о наличии особых требований в случае трансграничной передачи персональных данных и дословно цитировались нормы права. И автор ничего при этом не «полагал».
Итак, про трансграничную передачу персональных данных вполне официально заявляли сами представители ООО «Дневник.ру»: эта информация до сих пор на сайте самой компании и на многих других сайтах.
Приведу ещё одну цитату с достаточно известной интернет-площадки (http://habrahabr.ru/ company/microsoft/ blog/152645/): «Применение облачного хранилища Windows Azure помогает «Дневник. ру» сократить затраты за счёт оплаты только реально существующих и используемых данных. ...Благодаря применению Windows Azure контент размещается на ближайших серверах к клиенту». Таким образом, данные размещаются не на одном, а на многих серверах. Причём, облачные технологии именно в том и заключаются, такова их специфическая особенность. И лично мне понятны особенности облачных технологий, которые, на мой взгляд, нельзя применять для электронных дневников и учащихся.
И ещё одна цитата с того же сайта: «Компания «Дневник. ру» планирует расширить использование геораспределённых центров обработки данных для уменьшения времени доставки контента конечным пользователям» (подчёркнуто мною. — А.В.).
Следующее несоответствие «Дневника.ру» установленным требованиям связано с тем, что Единые требования Минобрнауки России определяют требования к защите информации от несанкционированного доступа. В соответствии с ними «Информация об учащихся должна быть доступна исключительно сотрудникам образовательного учреждения, участвующим в учебном процессе». В «Дневник.ру» данная информация доступна и используется также сотрудниками ООО «Дневник.ру», в том числе для целей рекламы (к этому вопросу мы ещё вернёмся далее).
Процитирую также второй, сделанный мною вывод, касающийся соответствия Единым требованиям Минобрнауки России: «уже сегодня ООО «Дневник.ру» предоставляет платный сервис (если выполнять в полном объёме Единые требования Минобрнауки России)». Г.Д. Леви не опровергает этот вывод, когда в своём «Опровержении» перечисляет ряд своих бесплатных сервисов.
Согласно Единым требованиям, «ЭЖ должен обеспечивать функции информирования о ходе и результатах учебного процесса (ЭД) либо взаимодействие с ИС, реализующей функции ЭД». «Дневник.ру», безуслов-
но, обеспечивает указанные функции, однако данная функция уже не является бесплатной. Такие виды информирования, как втв-информирование или информирование по электронной почте уже объявлены как «дополнительные» и реализуются на платной основе. И Г.Д. Леви не опровергает свои же слова об «активном продвижении СМС-оповещений».
Согласно Единым требованиям, «в ЭЖ должна быть предусмотрена возможность резервного копирования информации ответственным сотрудником ОУ (по расписанию и/или принудительно), в том числе на внешние электронные носители», однако изучение Руководства администратора, размещённого на сайте «Дневник.ру», не позволило найти реализацию этой возможности. Конечно, не работая с этой программой, я не могу твёрдо утверждать, что этой возможности в «Дневник.ру» нет, но скорее всего, это так. И среди «бесплатных сервисов» Г.Д. Леви этот обязательный, согласно требованиям Минобрнауки России, не приводит.
Я думаю, что пользователям «Днев-ник.ру» следует самостоятельно изучить Единые требования, утверждённые Ми-нобрнауки России, и соотнести их с возможностями этого ресурса, а затем сделать вывод о соответствии выбранной реализации ЭЖ требованиям настоящего документа.
Что же касается утверждений Г.Д. Ле-ви о том, что «Компания ООО «Дневник.ру».... полностью соответствует требованиям законодательства о защите персональных данных» и что это подтверждает сертификат ФСТЭК, да ещё есть ряд лицензий, то мы говорили не о технической стороне, а о несоответствии осуществляемой ООО «Дневник.ру» деятельности по обработке персональных данных (в т.ч. в рекламных целях) заявленным целям их обработки и невыполнении ряда других
требований Федерального закона «О персональных данных».
Между тем изучение лицензий, размещённых на сайте «Дневник.ру» и о которых говорит Г.Д. Леви, позволяет сделать вывод о наличии признаков и других нарушений в деятельности ООО «Дневник.ру». Думаю, что все директора школ меня хорошо поймут, так как также лицензируют помещения для ведения образовательной деятельности и знают понятие «место осуществления образовательной деятельности».
В лицензиях, о которых пишет Г.Д. Леви, даётся разрешение на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и (или) производству средств защиты конфиденциальной информации. В обеих лицензиях в качестве места осуществления лицензируемой деятельности указан такой адрес: «194044, г. Санкт-Петербург, Пироговская наб., д. 21, литер А, офис 71». Однако, как пишет Г.Д. Леви в своём «Опровержении», «техническая площадка» и «защищённый сервер» компании расположены совсем по другому адресу — в дата-центре Linxtelecom...
Так что получается одно из двух: либо нарушаются условия выданных лицензий и лицензируемая деятельность осуществляется ООО «Дневник.ру» за пределами места ведения лицензируемой деятельности, либо деятельности по защите конфиденциальной информации по указанному генеральным директором этой компании адресу не ведётся.
Специально для господина Леви процитирую ст. 18 Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»: «Лицензия подлежит переоформлению в случаях реорганизации юридического лица в форме преобразования, изменения его наименования, адреса места нахождения, а также в случаях изменения места жительства, имени, фамилии и (в случае, если имеется)
отчества индивидуального предпринимателя, реквизитов документа, удостоверяющего его личность, адресов мест осуществления юридическим лицом или индивидуальным предпринимателем лицензируемого вида деятельности, перечня выполняемых работ, оказываемых услуг, составляющих лицензируемый вид деятельности».
Нарушение же лицензионных требований влечёт за собой установленную действующим законодательством ответственность.
О бесплатности «Дневника.ру» и рекламе
Это может показаться странным, но подтвердить «бесплатность для пользователей» «Дневник.ру» попросил своего коммерческого директора. Но разве можно опровергнуть то, что прямо написано в статье 50 Гражданского кодекса РФ? Это же закон! И Гражданский кодекс РФ однозначно устанавливает, что цель деятельности коммерческой организации — извлечение прибыли. Поэтому ни генеральный, ни коммерческий директор ООО «Дневник.ру» не могут опровергнуть, что и деятельность этого ООО как коммерческой организации направлена на извлечение прибыли. Другой вопрос, как эта прибыль извлекается?!
Коммерческий директор говорит о том, что «это делается за счёт привлечённых инвестиций, рекламной деятельности и предложения пользователям дополнительных платных услуг, которые не являются обязательными». А ещё коммерческий директор, называет своих рекламодателей партнёрами...
Определение инвестиций дано в Законе
РСФСР от 26.06.1991 № 1488-1
«Об инвестиционной деятельности в РСФСР». Под ними понимаются вложения денежных средств и иного имущества в объекты предпринимательской либо иной деятельности с целью достижения
прибыли или иного положительного социального эффекта. Естественно, что инвестиции в коммерческую организацию осуществляются прежде всего в целях получения прибыли инвесторами. Инвесторы рассчитывают на то, что прибыль должна образоваться вследствие деятельности ООО «Дневник.ру». А образуется она или нет — это уже инвестиционные риски (получат ли инвесторы доход от своих вложений).
Кроме того, коммерческий директор заявила, что «реклама на внутришкольных страницах Сети не размещается». Что она имела в виду, я не знаю, но все желающие могут посмотреть в моей статье прайс-лист на размещение рекламы на страницах авторизованных пользователей, в том числе в разделе «Мой дневник». При этом цена рекламы, согласно прайсу, зависит от персональных данных учащихся — включая успеваемость и иную информацию в профиле.
То, что реклама размещается по данным расценкам и с приведёнными условиями, ни генеральный, ни коммерческий директор ООО «Дневник.ру» опровергать не стали.
Зато говорить про рекламу генеральный директор ООО «Дневник.ру» доверил зачем-то ещё и некоему «независимому эксперту», который простодушно заявил: «поскольку сервис бесплатный для учеников и родителей, то «Дневник.ру» размещает на своём ресурсе целевую рекламу, применяя принцип выборки. Далее независимый специалист фактически подтвердил выводы моей статьи: «... персональные данные не разглашаются, а остаются в системе, причём в зашифрованном виде. Доступ к ним имеет только владелец ресурса».
Процитирую теперь уже свою статью: «.производится передача персональных данных учащихся и их родителей третьим лицам (представителям сервиса), их обработка за пределами школы, так как именно представители сервиса на своих компьютерах обрабатывают персональные данные за пределами школы».
Я не писал в статье, что персональные данные передаются рекламодателям. Речь идёт о том, что обработка данных представителями ООО
«Дневник.ру» (путём выборки данных по заказам рекламодателей) является нарушением Федерального закона
О персональных данных», так как согласия на это ни учащиеся, ни их родители не давали.
Ни Г.Д. Леви, ни привлечённые им лица в «Опровержении» не опровергают написанное мною в статье: «Таким образом, ООО «Дневник.ру» в рекламных целях активно использует персональные данные учащихся, родителей и учителей, включая специальные категории персональных данных (данные о здоровье). Это позволяет говорить о нарушении ООО «Дневник.ру» требования части 2 статьи 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», устанавливающего в качестве принципа обработки персональных данных: «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных».
Если согласие на обработку персональных данных в целях предоставления рекламы будет получено ООО «Днев-ник.ру», то формально нарушения Закона № 152-ФЗ не будет. Однако в этом случае официально изменится и цель обработки персональных данных — к обработке для образовательных целей будет добавлена обработка в рекламных целях.
А с чем же согласен ГД. Леви?
Если считать, что «молчание — знак согласия», то Г.Д. Леви согласен с тем, что «следует задуматься и о педагогической целесообразности сочетания электронных дневников с социальными сетями». Ведь «Дневник.ру» — это прежде всего социальная сеть, пусть и позиционируемая в качестве школьной.
Полагаю, что ключевой момент для педагогической общественности и органов управления образованием в моей статье связан именно с этим — использование для оказания государственных (муниципальных) услуг ведения электронных журналов успеваемости и электронных дневников социальных сетей и тем самым их продвижение среди детей. Считаю, что этого делать не следует: и без того уже слишком многих учеников «засосали» различные социальные сети.
* * *
В заключение хотелось бы обратить внимание на один весьма интересный аспект взаимоотношений с ООО «Дневник.ру» и, опосредованно, с его инвесторами, а также Linxtelecom, тем более, что Г.Д. Леви подтвердил, что в этом дата-центре находятся персональные данные миллионов российских детей.
В перечне руководителей компании Linxtelecom, согласно данным их сайта, сплошь иностранные имена и фамилии: скорее всего, это отнюдь не граждане Российской Федерации. И что за «инвесторы» фи-
нансируют деятельность ООО «Дневник.ру», нам пока не известно. (В скобках замечу специально для Г.Д. Леви и «независимых экспертов» — я не называл никого шпионами!)
Речь совсем о другом: в условиях постиндустриального «общества знаний» такое явление, как «утечка мозгов» весьма ощутимо влияет на конкурентоспособность страны в мировой экономике, причём как принимающей страны (которая от этого сильно выигрывает), так и той страны, из которой эти «мозги утекают». В роли последней, к сожалению, часто выступает Россия.
Кто-нибудь сомневается, что представители принимающих стран заинтересованы получить доступ к детальным данным о подрастающем поколении (включая информацию об их успеваемости в школе, вузе, об их интересах и заболеваемости)? Я не против международных обменов и только за развитие международного сотрудничества, но считаю, что даже вероятность доступа к персональным данным наших учащихся, размещённых в дата-центре иностранной компании, представляет угрозу для безопасности России. НО