В России обсуждается введение специальной аккредитации для операторов, работающих с большими объемами персональных данных (ПД). Инициатива, призванная повысить уровень защиты конфиденциальной информации, вызвала неоднозначную реакцию экспертов. Одни видят в ней необходимый шаг для борьбы с утечками данных, другие считают ее бюрократической мерой, не гарантирующей реального результата. В статье обсудим, что такое аккредитация операторов персональных данных: инструмент для защиты или формальность?
В основе дискуссии об актуальности аккредитации операторов ПД лежит тревожная статистика. По данным компании InfoWatch, в первой половине 2024 года в сеть «утекло» 986 млн строк персональных данных россиян — почти на 34% больше, чем за аналогичный период 2023 года. Количество зарегистрированных утечек также выросло — с 377 до 415.
На фоне ужесточения законодательства в области персональных данных и растущих рисков для бизнеса многие компании уже активно инвестируют в кибербезопасность. Однако, как показывают цифры, этих мер недостаточно.
«Хранилище» для персональных данных
Идею введения аккредитации для операторов персональных данных активно продвигает комитет Государственной Думы по информационной политике. Как сообщил ComNews председатель комитета Александр Хинштейн, в осеннюю сессию парламентарии планируют обсудить соответствующий законопроект совместно с Роскомнадзором.
«По нашему замыслу, должны появиться юридические лица, структуры, которые будут с точки зрения профессиональной подготовленности и подтверждения качества их работы уполномоченными органами хранить персональные данные других», — отметил Хинштейн.
По его словам, сегодня по закону «О персональных данных» оператором считается любая организация, которая обрабатывает данные хотя бы двух граждан.
«Если учесть, что в России есть более 5 млн юридических лиц, включая индивидуальных предпринимателей, то каждый из них — оператор ПД».
Александр Хинштейн, председатель комитета ГД по информационной политике
Однако далеко не все компании готовы вкладываться в защиту персональных данных.
«Ситуация неправильная, — считает Хинштейн. — Нужно дать компаниям возможность передавать эти данные какому-то уполномоченному лицу, по аналогии с банковским хранилищем, или, как это работает по закону о хранении оружия, когда каждый гражданин, кто владеет оружием, в любой момент может сдать его на хранение государству. Такая же норма должна заработать и здесь, ведь утечки данных по-прежнему остаются одной из ключевых проблем в цифровой среде».
Новый институт специализированных операторов
Идею введения аккредитации уже поддержали в Минэкономразвития и Роскомнадзоре. В Минэкономразвития сообщили ТАСС, что от обязательной аккредитации следует освободить социально ориентированные НКО и субъекты малого и среднего предпринимательства, так как для них получение аккредитации может стать излишней административной нагрузкой.
«В части введения специальной аккредитации операторов, обрабатывающих большое количество персональных данных, выражаем поддержку целесообразности проработки такого нововведения и готовность рассмотреть соответствующие предложения о внесении изменений в нормативно-правовые акты Российской Федерации в установленном порядке».
Максим Колесников, заместитель министра экономического развития
В Роскомнадзоре, по данным ТАСС, предлагают пойти еще дальше и создать отдельный институт аккредитованных специализированных операторов, которые будут обладать исключительным правом на обработку больших объемов персональных данных. К ним будут предъявляться повышенные требования по обеспечению информационной безопасности, а также установлена повышенная ответственность за утечки данных.
«Оператор должен быть российским юридическим лицом; иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора; иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки персональных данных в сумме не менее 100 млн рублей».
Милош Вагнер, заместитель руководителя Роскомнадзора
В свою очередь, заместитель председателя Совета по развитию цифровой экономики при Совете Федерации, сенатор Артем Шейкин отметил: «Я полагаю, что процедура аккредитации должна быть стандартной, путем подачи оператором заявления и прилагаемых к нему документов в Роскомнадзор».
Сомнения и риски
Однако не все эксперты разделяют оптимизм относительно аккредитации операторов ПД. Они указывают на то, что получение сертификата само по себе не гарантирует защиту от утечек данных. Более того, новая мера может стать дополнительной бюрократической нагрузкой на бизнес и создать барьеры для входа на рынок.
«На данный момент опять возникает какой-то промежуточный оператор, который наделяет возможностью обрабатывать персональные данные, агрегировать их. Зачем это нужно, не очень понятно, потому что законы сегодня накладывают на существующих операторов персданных уже обязательства по их защите и т. д. Это никак не помогает избавиться от их утечек. Аккредитация операторов персональных данных, в общем-то, никак не влияет на защиту этих данных… Это не техническое решение. Это решение, когда мы фактически те данные, которые уже существуют, пытаемся каким-то образом размножить».
Эльдар Муртазин, ведущий аналитик Mobile Research Group
По словам Муртазина, гораздо важнее сосредоточиться на разработке и внедрении технических регламентов, которые действительно повысят уровень защиты персональных данных.
В поисках баланса
Таким образом, введение аккредитации операторов персональных данных — это сложный и неоднозначный вопрос. С одной стороны, эта мера может стимулировать рынок к повышению стандартов кибербезопасности. С другой стороны, она несет в себе риски дополнительной бюрократической нагрузки и создания препятствий для развития бизнеса.
В случае, если требования к аккредитации окажутся слишком жесткими, она может привести к монополизации рынка и увеличению стоимости услуг по обработке персональных данных. Кроме того, важно помнить, что ни одна мера безопасности не может дать 100%-й гарантии защиты от утечек данных. Поэтому необходимо искать комплексные решения, включающие в себя как технические, так и организационные меры.