現在採用されている個人データ保護対策を決定するためのスキームは、基本的に慣習に反しています。 慣例によれば、情報を処理する人は、どのような手段で保護できるかを独自に決定できます。 しかし、国内法自体がそのような要件を確立し、その失敗に対する責任を規定しています。 さらに、書簡の著者によると、これらの要件は「20年前の国家機密を保護する方法と方法」です。 法案の本文自体はもともと妥協案であり、個人データオペレーターが救済策を選択する際の行動の自由度を高めていました。 しかし、養子縁組の過程で、彼の文章は変更されました。 それでは、どのような修正を見てみましょう。
法律は何に適用されますか?
少し前まで、私たちは以前のバージョンでこの法律をすでに検討していました。 そして、注意を払うべき最初の瞬間は、その行動の範囲でした。 残念なことに、法律自体では、大衆向けには完全には説明されていません。その要件は、「 自動化ツールを使用して実行される 」または「 個人データで実行されるアクション(操作)の性質に対応するデータ処理にのみ適用されます 」 自動化ツールを使用します 。」 これはどのような性格であるかは、規則で明らかにされており、原則として誰も読まない。
法の最初の記事のテキストが変更され、この特定の点に関する説明が追加されました。データ処理は、「特定のアルゴリズムに従って、物理メディアに記録された個人データを検索できる場合、「自動化ツールを使用して」ファイルキャビネットまたは他の体系的な個人データのコレクションに含まれている、および(または)そのような個人データへのアクセス。」 前の記事で述べたように、PDの法則は大量のデータ処理にのみ適用されます。 今では、テキストで明確に示されています。 ただし、この追加の特異性は、個人データの概念そのものの変更によって相殺されました。 以前は、それらの定義には、「そのような情報に基づいて決定または決定された特定の人物に関する情報 」が含まれていました 。 現在、PDは「 特定または決定可能な自然人に直接的または間接的に関連する情報 」を指します。 これらの変更により、法律の範囲は想像を絶する限界まで拡大します。 現在、個人情報は、少なくとも何らかの形で特定の人物に関連する情報であると考えられていますが、その基礎として性格を確立できるかどうか、または他のソースからのデータと比較する必要があるかどうかは関係ありません。
法律の規制により、インターネット上のすべてのサイトは、姓を含む名前を保存していないサイトも含めてすぐに落ちます。 電子メールアドレスは、追加情報がなくても、指定された個人に間接的に関連するため、既に個人データです。 ブログエントリ、インターネットメッセンジャーのアドレス、その他の多くの情報のように、成績表の成績まで。 この不確実性は、法が「神が魂に捧げる」ように解釈されるという事実に必然的につながり(そしてすでにつながる)、誰でもPDと働くための手順に違反することで罰せられる可能性があります。 したがって、それは古い法律の期間中でしたが、変更はそのような慣行のより広範な普及に貢献します。
さらに、法律の4番目の条項は、PDの保護の分野で規制を採用できる機関の範囲を広げています。これらには、ロシア銀行と地方自治体が追加されています。 これは、個人データ処理の「過剰規制」を増加させる法律の一般的な方針と一致しています。
いつ同意を求める必要はありませんか?
個人データを処理するための一般的な条件は、被験者(つまり、このデータが関係する人物)の同意を得ることです。 法律は、そのような同意が必要とされない多くの状況を規定しています。 旧版は明らかに現代の現実を満たしていなかったため、このような状況のリストは修正によって大幅に拡大されました。 そのような状況のリストに、例えば、司法の執行と司法行為の執行が追加されました。 この根拠が以前は法律になかったという事実は、明らかな省略です。
公共サービスの提供において、被験者の同意を求めることはできません。 そのような状況のリストに加えて、「 個人データの対象の権利と自由が侵害されない限り、 「 オペレーターまたは第三者の権利と正当な利益を行使するため、または社会的に重要な目標を達成するために個人データの処理が必要である 」ときに追加されました。 ご存知のように、「 社会的に重要な目標 」、たとえば、さまざまな種類の「ブラックリスト」が含まれるサイトの場合、かなり多くのことが理解できます。おそらく、これが彼らが言及する法律のポイントです。 個人データの主題によって公開された情報の処理がある場合、同意を求めることはできません。 奇妙なことに、前のバージョンの法律にはそのような例外はありませんでした。つまり、公的に利用可能なデータの処理にも正式に同意が必要でした。
このような同意を得るための手順を説明する法律の第9条も、大幅に変更されました。 以前のバージョンでは、書面でのみ指定でき、ドキュメントには手書きの署名が含まれている必要がありました。 簡単に言えば、それは紙であることになっていた。 民法は、電子的なものを含む文書を交換することにより、書面で取引を行う可能性を規定していますが、手書きの署名の要件は、この可能性の運営者と個人データを奪いました。 紙の同意に代わるものは、電子署名で署名された文書のみであり、ロシアでの有病率は非常に小さかった。
しかし、まず、「 電子署名に関する法律」が変更されました。新しいバージョンでは、暗号化ソフトウェアの助けだけでなく、パスワード、確認コード、およびその他のアクションの助けを借りて文書に署名できます。 以前は、手書きの署名の類似物と呼ばれていましたが、新しい法律の下では「署名」にもなりました。
PDに関する法律の修正の著者はさらに進んで、「連邦法によって別途規定されない限り、その受領の事実を確認することを可能にする任意の形式で」処理への同意を得ることができました。 法律では、書面が必要な場合があります。その場合、署名は電子的なものでもかまいません。 サイト登録フォームに「同意する」チェックマークを含めます。 実際、法律は最初に手書きの署名を必要としませんでしたが、その必要性はそれを修正することによって確立されました。 現在、これらの突発的な変更はロールバックされています。 さらに、PDオペレーターの義務を定義する第18条も修正されました。被験者から個人データを受け取っていない場合、個人データを処理することを被験者に通知できない場合、状況のリストが拡張されました。 法律は、たとえば統計やその他の研究目的で処理が実行される場合、またはジャーナリストの活動を実行する場合、そのような通知を免除します。
...そして今、何が変わるのでしょうか?
さて、今度は記事( 19番 )に行きます。この記事では、データのセキュリティを確保するための手段を規制しています。 法律の他の条項とは異なり、修正は一切行われていません。 修正版は法案から単に破棄されました。 一方、データオペレーターの重要な免除も含まれていました。 現在のバージョンでは、情報の保護に必要な措置を講じる必要がありますが、セキュリティ要件は政府によって確立されています。 このルールに例外はありません。 しかし、法案に含まれていたそのバージョンの記事は、リベラルな革新も提供していました。
オペレーターが取らなければならない「必要な対策」は、データの量と処理の性質、リークによって引き起こされる可能性のある損害、およびその他の要因に依存しています。 しかし、最も重要なのは、政府が州および地方自治体の機関に対してのみ義務的な保護要件を決定する権利を受け取ったことです。 他のすべての組織が情報を保護する方法は、完全に良心に任されていました。
この質問が基本的である理由は、ロシアで認定情報システムの実装がどのように進んでいるかを知っていれば簡単に理解できます。 良い例は、有名なEGAISで 、そのタスクは「ロシアのすべてのアルコールボトル」を制御することでした。 システムはこのタスクに対処しませんでしたが、主に認証された機器の未測定のコストとそのメンテナンス作業のために、すでに莫大なお金がその実装に費やされています。 確かに、システム用のソフトウェア自体は専用に作成されたものであり、個人データの保護のために、既存の認定プログラムを使用することが可能になります。
しかし、認定されたコンピューターのサプライヤーの欲求を予測することは困難です。たとえば、蒸留所のEGAIS機器の典型的なセットは65万ルーブルの費用がかかります。 前述の大統領宛書簡の署名者は、過剰な費用についても言及しました。彼らの推定によると、法律の要件を満たすための費用は、国内総生産の6%に達する可能性があります。 そして、法律の主な仕事が個人データの本当の保護であると考えた場合、あなたはひどく間違っていました。 それは単にリークからそれを保護することができません。それどころか、それに含まれる厳しい要件は電子サービスの受領を複雑にするだけです。
上記で書いたように、私たちの法律は、義務的な情報保護要件の不遵守に対する責任を定めています。 しかし同時に、何らかの種類のデータ漏洩が実際に発生した場合、これに対する制裁は単純に想定されていません。データ処理のための「法律の確立された手順の違反」に対して、行政犯罪法の第13.11条にのみ基づいてデータオペレータを関与させることは可能です。 この記事では、単純な違反と何らかの損害を引き起こした違反を区別していません。 さらに、データ漏洩に関する情報を隠す責任はありません。 行政犯罪法のもう1つの「実行中の」記事は19.7であり、「法律で規定されている情報の提供の失敗」に対する責任を定めています。 これは、オペレーターがRoskomnadzorに個人データの処理を開始したことを通知しない場合に使用されます。このような義務は、PD法第22条で規定されています 。 ご覧のように、ここでは、違反が原因で損害が発生したかどうかに関係なく、正式な要件への違反に対しても責任が適用されます。 しかし、法律は、認定されたコンピューターとプログラムの販売を完全に刺激できます。