Базы возьмут силой
Силовики работают над совместным допуском к персональным данным защищенного круга лиц
Силовые ведомства представили совместный проект приказа, который дополнит поправки к закону «О персональных данных» об обеспечении доступа представителей органов к коммерческим базам данных. Доступ к базам сведений о «защищаемых лицах» (сотрудниках самих структур или участниках следственных мероприятий) предлагается предоставлять по ведомственному предписанию, без решения суда. Однако инициатива не учитывает особенности и специфику работы современных информсистем, что может привести к угрозам в области кибербезопасности, опасаются представители отрасли.
Фото: Дмитрий Лебедев, Коммерсантъ
Фото: Дмитрий Лебедев, Коммерсантъ
“Ъ” ознакомился с проектом совместного приказа (ФСБ, СВР, Минобороны, ФСО, МВД) об установлении порядка предоставления доступа к информационным системам (ИС) и базам данных, содержащим персональные данные лиц специальных категорий: сотрудников силовых структур, судей и др., а также свидетелей, информаторов и потерпевших, которые находятся под защитой силовых органов. Проект приказа размещен на портале правовых актов 7 мая.
Основным механизмом станет выдача владельцам ИС предписания, что должно потенциально упростить и ускорить доступ силовых ведомств к ИС и базам данных в целом. Приказ может вступить в силу с 1 июля 2025 года.
Проект стал продолжением поправок к 152-ФЗ «О персональных данных» и отдельным законодательным актам, вступившим в силу 28 февраля 2025 года. Еще на стадии законопроекта новые правила вызвали ряд вопросов у представителей бизнеса, работающих с персональными данными (см. “Ъ” от 11 февраля).
Текущий механизм получения персональных данных силовиками имеет несколько режимов в зависимости от правовых оснований запроса. Например, при проведении оперативно-разыскных мероприятий допуск к сведениям о банковских счетах и движении денежных средств по ним (банковская тайна) или сведениям о приобретаемом имуществе (нотариальная тайна) сотрудники ФСБ и полиции могли получить по соответствующему судебному решению.
«Суды удовлетворяли практически 100% ходатайств силовиков»,— отмечает управляющий партнер ЮК «Альтависта» Владимир Воронин. Проект же вводит особый режим, в рамках которого будет достаточно предписания сотрудника уполномоченного органа.
Несмотря на то что в проекте приказа говорится о получении доступа к данным защищенного круга лиц, источники “Ъ” на телеком-рынке отмечают, что операторы персональных данных технически не способны ограничить доступ к информационной системе лишь определенными записями, поскольку они не могут заранее определить, чьи именно данные будут обрабатываться при запросе. Для владельца ИС возникнет практическая проблема разграничения доступа, считает советник практики интеллектуальной собственности ЮК ЭБР Артем Евсеев.
«Проект требует предоставить нужные записи, но одновременно запрещает раскрывать "лишнее". Большинство корпоративных систем не выгружает "фрагмент" информации, не раскрывая всего файла»,— дополняет он. Также эксперт обращает внимание на сроки предоставления доступа. Стандартный запрос, согласно проекту, нужно исполнить за 24 часа, а срочный — всего за 3. Для компаний, где IT-подразделения работают в режиме с 9 до 18, появится необходимость создания круглосуточного дежурства, резервных каналов связи и т. д., допускает господин Евсеев.
Проект приказа требует внесения ряда уточнений и детализации в связи с недостаточной прозрачностью формулировок, считают представители Ассоциации больших данных («Яндекс», VK, «Ростелеком» и т. д.). Так, например, требование о доступе без раскрытия предыдущего содержания записей пользователей слишком расплывчато. Также источники “Ъ” на телеком-рынке считают, что для минимизации рисков и эффективного решения задач критически важен персонализированный подход, учитывающий интересы и технические аспекты всех участников процесса.