CC BY
29
УДК 342.9 DOI 10.24411/2073-0454-2020-10289
ББК 67 © С.И. Конев, 2020
Научная специальность 12.00.14 — административное право, административный процесс
УНИФИКАЦИЯ РАЗРЕШИТЕЛЬНЫХ МЕТОДОВ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПРОСТРАНСТВЕ ОДКБ
Сергей Игоревич Конев, старший преподаватель кафедры административного и энергетического права РГУ нефти и газа (НИУ) имени И.М. Губкина (119991, Москва, Ленинский пр-т, д. 65) E-mail: sj-13@yandex.ru
Научный руководитель: доктор юридических наук, профессор С.М. Зырянов
Аннотация. Одним из методов обеспечения информационной безопасности и безопасности персональных данных является разрешительный метод регулирования этих отношений. На основе системного анализа правовых актов, регулирующих данную сферу общественных отношений, делается вывод, что на пространстве Организации договора коллективной безопасности нет единства как в правовом регулировании самого понятия и режима «персональные данные», так и разрешительных процедур, определяющих сущность и содержание требований к их защите. В силу этого автор обращается к аналогичным правовым нормам европейских государств и предлагает на основе адаптации положений Регламента GDPR разработать Рекомендации по совершенствованию национального законодательства государств - членов ОДКБ в сфере защиты физических лиц в связи с обработкой персональных данных.
Ключевые слова: разрешительный режим, режим персональных данных, защита персональных данных, наднациональное регулирование.
UNIFICATION OF LICENSING METHODS FOR ENSURING THE SECURITY OF PERSONAL DATA IN THE CSTO SPACE
Sergey I. Konev, Senior Lecturer of the Department of Administrative and Energy Law National University of Oil and Gas «Gubkin University» (119991, Moscow, Leninskiy pr-t, d. 65) E-mail: sj-13@yandex.ru
Research Supervisor: Doctor of Legal Sciences, Professor S.M. Zyryanov
Abstract. One of the methods for ensuring information security and personal data security is a permissive method for regulating these relations. Based on a systematic analysis of the legal acts governing this sphere of public relations, the author concludes that in the space of the Collective Security Treaty Organization there is no unity in both legal regulation of the concept and the «personal data» regime and licensing procedures that determine the nature and content of the requirements for them protection. By virtue of this, the author finds it possible to turn to similar legal norms of European states. In particular, based on the adaptation of the provisions of the GDPR Regulation, develop Recommendations on improving the national legislation of the CSTO member states in the field of protection of individuals in connection with the processing of personal data.
Keywords: permissive regime, personal data regime, personal data protection, supranational regulation.
Citation-индекс в электронной библиотеке НИИОН
Для цитирования: Конев С.И. Унификация разрешительных методов обеспечения безопасности персональных данных на пространстве ОДКБ. Вестник Московского университета МВД России. 2020;(5):194-197.
Сложные процессы, связанные с построением информационного государства и цифровизацией общественных отношений поставили перед государством задачу обеспечения информационной безопасности. При этом защита этого публичного интереса достигается, в числе прочего, и через установление разрешительных режимов деятельности в данной сфере.
Разрешительные режимы известны в отечественном праве с давних пор, еще в Соборном Уложении 1649 г. в гл. 25 содержалась норма, предусматривавшая ответственность за незаконное производство и торговлю вином1. Н.В. Субанова, исследуя пласт нормативных документов начиная с Древней Руси и заканчивая советским периодом, отмечает как распространенность разрешительного метода регулиро-
вания отношений, так и типичные его проблемы, связанные с широтой усмотрения со стороны органов государственной власти [3, с. 18-21]. С.М. Зырянов считает разрешительный способ правового регулирования общественных отношений наиболее распространенным и эффективным в механизма административно-правового регулирования [1, с. 13-22; 2, с. 39-48].
Разрешительная система постоянно оптимизируется и, несмотря на иные методы (например, дерегулирование или страхование ответственности), остается одним самых совершенных механизмов для обеспечения баланса интересов в целях обеспечения
1 Соборное уложение // URL://http://www.hist.msu.ru/ER/E-text/1649/whole .htm#25
соблюдения требований к какой-либо деятельности, в том числе и в области обеспечения информационной безопасности.
Специфика обеспечения последней такова, что для достижения цели минимизации угроз, как правило, требуется несколько разрешений одновременно. Например, разрешения в области технической и криптографической защиты информации, наличие квали-цированного аттестованного персонала, применение сертифицированных средств защиты в аккредитованных помещениях являются условиями получения лицензии для проведения работ или оказания услуг в области государственной тайны. Основными формами разрешений являются: лицензии, сертификаты, допуски к работе, аттестация. Часть разрешительных требований установлена в отношении деятельности заинтересованного субъекта, а другая — к объектам.
При этом обеспечение данного публичного интереса можно рассматривать как через призму национального права, так и наднациональных подходов. В контексте данной статьи мы остановимся на Организации договора коллективной безопасности (далее — ОДКБ или Организация). В силу того, что согласно уставным документам Организации ее цель — обеспечение безопасности и укрепление мира на пространстве стран-участниц. (ст.3 Устава ОДКБ от 7 октября 2002 г.).
Одним из важных аспектов информационной безопасности является обеспечение безопасности личности, в частности защита персональных данных. Не случайно, стратегические документы государств, входящих в Организацию, интересы личности в информационной сфере не просто стоят на одном уровне с интересами государств, но перед ними. Так, согласно ст. 5 Закона Республики Казахстан от 6 января 2012 г. № 527-ГУ «О национальной безопасности», определяющей национальные интересы Республики Казахстан в области обеспечения безопасности (в том числе и информационной), на первом месте стоят права и свободы человека. Концепция о национальной безопасности Кыргызской Республики, утвержденная Указом Президента Кыргызской Республики от 9 июня 2012 г. № 120, определяет информационную безопасность как состояние защищенности, прежде всего, личности, а потом уже — общества и государства от информационных угроз. Концептуальные акты других стран ОДКБ содержат схожие положения.
Обеспечение безопасности персональных данных — является предметом отдельного исследования. Однако, в целом можно констатировать, что на пространстве ОДКБ нет единства как в правовом регулировании самого понятия и режима «персональные данные», так и разрешительных процедур, определяющих сущность и содержание требований к их защите. В силу того, что законодательство ни одной из стран-участниц Организации не может выступать в качестве модели регулирования, автор полагает возможным обратиться к аналогичном правовым нормам европейских государств.
Последний документ, посвещенный защите персональных данных на пространстве Европейского Союза (далее — ЕС), появился в 2016 г. — Регламент (ЕС) 2016/679 «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46 / ЕС» (далее — Регламент GDPR) от 27 апреля 2016 г. Два года страны ЕС создавали условия для реализации предписаний этого акта, а 25 мая 2018 г. он окончательно вступил в силу.
Обратимся к анализу норм, которые могут быть адаптированы для соответствующих разрешительных процедур. В этом смысле представляет интерес круг участников отношений в данной сфере, помимо лица, чьи данные обрабатываются, который охватывает и контроллера, и оператора, и надзорный орган. Контроллер — лицо, осуществляющее сбор информации, определяет цели и способы обработки. Контроллером могут быть физические лица, юридические лица, публичные учреждения и иные структуры (п. 7 ст. 4 Регламента GDPR). Процессор (оператор, в привычной нам терминологии) — также любой субъект, обрабатывающий персональные данные от имени контроллера (п. 8 ст. 4 Регламента GDPR). Надзор же за исполнением предписаний Регламента GDPR осуществляется публичным учреждением, создаваемым государством ЕС для этой функции (ч. 1 ст. 51 Регламента GDPR).
Персональными данными является любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Кроме того, Регламент GDPR последовательно перечислил дополнительные признаки персональных данных — фамилия, имя, данные о местоположении, любые иные идентификаторы, характерные именно для этого субъекта (п. 1 ч. 4 Регламента GDPR). Среди прав субъекта персональных данных последовательно перечислены
право на доступ к персональным данным, право на перенос персональных данных между различными участниками правоотношений, право ограничить обработку персональных данных, право на забвение, право возражения об обработке, право знать о факте взлома (ст. 11-22 Регламента GDPR). Таким образом, нормативный акт ЕС устанавливает требования не только в отношении персональных данных, но и в отношении информации обработанной другими субъектами, при помощи цифровых технологий и предназначенной для целей, определяемых обработчиком информации (т.е. социальных данных).
Регламент GDPR является технологически нейтральным документом, не содержащим указаний на конкретные способы и методы защиты, они должны обеспечивать стойкость к выявленным рискам безопасности и обеспечивать возможность шифрования информации. Статья 25 Регламента GDPR говорит о защите личной информации по умолчанию и проектируемой защите (Data protection by design and by default). Для построения модели безопасности можно воспользоваться Международным стандартом ISO/IEC 29134 «Информационная технология. Методы и средства обеспечения безопасности. Руководящие указания по оценке воздействия на конфиденциальность». Кроме того, в области технической защиты персональных данных применяются ISO/IEC 29100:2011 «Информационная технология. Методы и средства обеспечения безопасности. Концепция защиты персональных данных», ISO/IEC FDIS 29151 «Информационные технологии — Методы обеспечения безопасности — Свод практики по защите персональных данных» и др.
Среди технических мер названы обезличивание (псевдонимизация) и шифрование информации, а так же такие требования к системам защиты, как: устойчивость и бесперебойность функционирования; способность к восстановлению в случае инцидента (ст. 32 Регламента GDPR). Кроме того, рекомендуется, чтобы технические меры прошли процедуру сертификации для наглядной демонстрации соответствия требованиям этого акта (ст. 42 Регламента GDPR).
Организационные меры связаны с процедурой оценки рисков конфиденциальности информации и адекватности, применимых для защиты персональных данных мер. Эта процедура получила название Data Protection Impact Assessment (далее — DPIA) и, по сути, она является отличительной особенностью Регламента GDPR. Регулируется она и самим регла-
ментом GDPR и Руководством по оценке воздействия на защиту данных от 4 апреля 2017 г. (далее — Руководство по DPIA).
Процедура DPIA обязательна при использовании инновационных способов защиты информации, высокой степени риска для прав и свобод лиц, в связи с обработкой персональных данных, автоматизированной обработке персональных данных, обработке особых категорий личной информации и массовости обработки, связанной с мониторингом публично доступной области (ст. 35 Регламента GDPR). В ходе процедуры DPIA происходит описание процессов обработки личной информации; оценка ее необходимости и пропорциональности, а так же оценка рисков и мер по их устранению (разд. 1 Руководства по DPIA). Процедура носит универсальный характер и может применяться любым заинтересованным лицом, при условии совпадения целей, операций обработки, обрабатываемой информации и рисков (разд. 3 Руководства по DPIA).
Методология проведения DPIA включает в себя (приложение 2 Руководства по DPIA):
1. Описание процессов обработки персональных данных. При этом, необходимо обосновать характер, объем и цели обработки, кто участвует в обработке и периоды хранения персональных данных. Кроме того, необходимо функциональное описание операций (включая передачу, в том числе и трансграничную) с персональными данными, а так же характеристика средств обработки (включая программные и аппаратные средства, сети, системы и персонал, отвечающий за указанные средства).
2. Оценка соразмерности и необходимости обработки. Положительный результат этой оценки — соответствие оговоренным целям обработки, правомерность обработки данных, достаточность и обработка идет в предусмотренной для субъекта данных форме. Кроме того, оцениваются меры реализации прав субъекта, в том числе права запросов к процессорам и контроллерам.
3. Оценка рисков правам субъекта в связи с обработкой персональных данных и мер противодействия им. В том числе источники риска, его специфика и вероятность реализации. Кроме того, исследуется потенциальное воздействие на права субъекта персональных данных в случае реализации незаконного доступа к информации, ее модификации, уничтожению и др.
4. Оценка эффективности мер противодействия рискам. Помимо внедрения системы безопасности
контроллеры и обработчики персональных данных должны регулировать систему реагирования на инциденты, которая в течение 72 часов с момента инцидента оповещает надзорные органы и субъектов.
Правовыми мерами по защите персональных данных по Регламенту GDPR является обязанность обработчиков и контроллеров персональных данных:
♦ разработать политику по обработке и защите персональных данных (ч. 2 ст. 24 Регламента GDPR);
♦ реестр действий по обработке персональных данных (ст. 30 Регламента GDPR);
♦ утвердить форму уведомления надзорного органа (ст. 33 Регламента GDPR);
♦ утвердить форму уведомления субъекта персональных данных о фактах инцидентов (ст. 34 Регламента GDPR);
♦ утвердить политику хранения персональных данных (ч. 1 ст. 13 Регламента GDPR).
Автор полагает, что вышеуказанною документацию можно объединить термином «политика безопасности в отношении персональных данных».
Таким образом, Регламент GDPR регулируют совокупность технических, организационных и правовых мер по защите прав субъекта персональных данных в связи с обработкой его информации. Данный акт является экстерриториальным и применяется вне зависимости от факта нахождения государства в составе ЕС. Страны-участники двух региональных организаций, ОДКБ и ЕС, несмотря на политические факторы, продолжают взаимодействовать между собой, и защита персональных данных представляется важной задачей. Принимая во внимание, что на пространстве ОДКБ нет единой модели регулирования как самих персональных данных, так и разрешительных процедур с ними связанных, автор полагает целесообразным Парламентской Ассамблее ОДКБ на основе адаптации положений Регламента GDPR разработать Рекомендации по совершенствованию национального законодательства государств - членов ОДКБ в сфере защиты физических лиц в связи с обработкой персональных данных.
В данных рекомендациях необходимо отразить понятие и виды персональных данных, принципы их обработки, права и обязанности участников отношений в этой сфере. Выбор формы разрешения — вопрос дискуссионный, важно обеспечить обязательность выполнения требования по защите персональных данных, при этом не перейти грань, где начинается
бюрократизация. Решение этого вопроса видится автору в декларации соответствия уполномоченному органу. С одной стороны, соискатель гарантирует наличие у него необходимых средств защиты информации, факт проведения оценки рисков конфиденциальности информации и адекватности, применимых для защиты персональных данных мер (проведенной по методологии, о которой мы говорили выше) и разработку политики безопасности в отношении персональных данных; с другой, — соискатель получает право ведения деятельности, без каких-либо дополнительных барьеров. Таким образом, мы получаем наднациональный регулятор, который, унифицирует законодательство стран-членов ОДКБ в части защиты физических лиц в связи с обработкой персональных данных, а так же облегчает взаимодействие национальных структур с европейскими. Следует заметить, что отдельные государства ОДКБ уже работают в этом направлении. В России существуют Рекомендации Роскомнадзора (Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций) от 31 июля 2017 г. «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных в порядке, установленном Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных». В Республике Беларусь — проект закона «О персональных данных», внесенный в парламент 13 марта 2019 г. Однако, указанные документы не содержат подробной процедуры оценки рисков конфиденциальности информации и адекватности применимых для защиты персональных данных мер.
Литература
1. Зырянов С.М. Разрешительные полномочия федеральных органов исполнительной власти // Журнал российского права. 2013. № 5. С. 13-22.
2. Зырянов С.М. Разрешительные режимы в российском административном праве // Журнал российского права. 2012. № 11. С. 39-48.
3. Субанова Н.В. Публичная разрешительная деятельность в России: историко-правовой аспект // История государства и права. 2012. № 5. С. 18-21.
References
1. Zyryanov S.M. Razreshitel'nye polnomochiya fede-ral'nykh organov ispolnitel'noy vlasti // Zhurnal rossiyskogo prava. 2013. № 5. S. 13-22.
2. Zyryanov S.M. Razreshitel'nye rezhimy v rossiyskom ad-ministrativnom prave // Zhurnal rossiyskogo prava. 2012. № 11. S. 39-48.
3. Subanova N.V. Publichnaya razreshitel'naya deyatel'nost' v Rossii: istoriko-pravovoy aspekt // Istoriya gosudarstva i prava. 2012. № 5. S. 18-21.
