Впечатления о конференции «Защита персональных данных». Часть 1

Михаил Емельянников 11 Ноября 2015 - 13:03

...

Вчера, 10 ноября, прошла Международная конференция «Защита персональных данных», организатором которой выступил Роскомнадзор, – одно из немногих мероприятий, напрямую затрагивающих вопросы информационной безопасности, и проводимое по инициативе органа государственной власти. Кроме него, вспоминается лишь конференция ФСТЭК «Актуальные вопросы защиты информации», организуемая в рамках форума «Технологии безопасности», и магнитогорский форум по информационной безопасности банковской сферы, но его инициатор – Банк России – все-таки не орган власти.

Меня пригласили на этой конференции модерировать секцию «Регулирование сферы информационной безопасности в условиях новых вызовов и угроз», на которой присутствовали и выступили представители всех регуляторов, кроме Минкомсвязи, а также ряда коммерческих организаций.

На первом планарном заседании, на которое я попасть смог лишь к самому концу, выступил с приветствием руководитель Роскомнадзора А.А. Жаров, но я его, к сожалению, не слышал. Судя по сегодняшним публикациям в СМИ, которых много, в выступлении прозвучали совершенно конкретные тезисы: Twitter вновь возвращен в ряд операторов персональных данных, и к нему вновь предъявляются требования о переносе баз данных российских пользователей на территорию России, в плане проверок на 2016 год могут появиться иностранные компании, не присутствующие юридически в нашей стране.

Секция, которую я модерировал, открылась выступлением начальника управления по защите прав субъектов персональных данных Роскомнадзора Ю.Е. Контемирова. Из интересного, коротко с моими комментариями:

за неполные 11 месяцев 2015 года проведено 805 проверок, 746 плановых и 58 – внеплановых (так было на слайде), в ходе мероприятий систематического наблюдения выявлено 1188 нарушений (похоже, этот вид контроля постепенно становится главным в деятельности надзорного органа), выдано 613 предписаний об устранении нарушений;

статистика нарушений: 847 нарушений требований статьи 18.1 закона «О персональных данных» (отсутствие политики в отношении обработки, в том числе на сайте, если он используется для сбора персональных данных, и иных документов, предусмотренных законом); 126 нарушений – обработка персональных данных без согласия субъекта и несоответствие формы письменного согласия, установленной ст.9 закона; 113 нарушений – обработка персональных данных после достижения установленных целей; 89 – нарушение конфиденциальности персональных данных (не пояснялось, но, я так понимаю, передача третьим лицам без согласия субъекта); всего лишь 67 – неуведомление Роскомнадзора об обработке персональных данных (похоже, что-то в тактике Роскомнадзора серьезно изменилось).

По оценке надзорного органа, сейчас в стране от 5 до 7 млн. операторов (если считать с индивидуальными предпринимателями и физлицами (адвокатами, нотариусами, журналистами-фрилансерами и т.п. – похоже на правду).

Заявлено о направленности контроля на ближайшую перспективу. В первую очередь, он будет проводиться в отношении операторов, на которых поступает наибольшее количество жалоб субъектов (коллекторам и организациям ЖКХ – не расслабляться!), и тех, кто обрабатывает персональные данные большого количества субъектов (страховые компании, банки и телекомы никогда из поля зрения надзора и не выходили, есть и еще кандидаты по этому признаку, как я понимаю).

Созданы типовые программы проведения проверок, что способствует выработке единых подходов к организации проверок и их содержанию (по пресс-релизам надзорного органа и территориальных управлений, особенно по результатам систематического наблюдения, это заметно, мы давно в своих отчетах это отмечаем).

Выход из-под регулирования 294-ФЗ при осуществлении контроля и надзора за соблюдением законодательства о персональных данных не означает изменения сложившегося порядка его проведения, менять работающие механизмы смысла нет, но появятся новые формы контроля, будут совершенствоваться имеющиеся. Постановления Правительства по этому поводу нет, Роскомнадзор при проверках руководствуется Административным регламентом (как показали первые два месяца после 1 сентября, ничего страшного и не страшного тоже не произошло, без закона и даже без постановления можно, оказывается, спокойно жить). Но вот с прокуратурой план проверок на 2016 год уже согласовываться не будет (меня это очень смущает, не понятно, почему так настойчиво Роскомнадзор дистанцируется от прокуратуры, надзирающей за соблюдением прав и свобод граждан; видимо, сказывается привлечение прокурорами к ответственности инспекторов Роскомнадзора за проведение внеплановых проверок без оснований, предусмотренных 294-ФЗ).

Об уведомлении Роскомнадзора о месте нахождения баз персональных данных. Минкомсвязи подготовило приказ о внесении изменений в форму уведомления (я так понимаю, в Административный регламент о ведении Реестра операторов персональных данных), который передан на регистрацию в Минюст. А пока оператор может в инициативном порядке уведомить об этом Роскомнадзор (территориальные управления). После опубликования приказа операторам надо будет соотнести содержание ранее поданного уведомления и представить дополнительные сведения. Такая позиция мне не кажется вытекающей из закона. Когда в 2011 году, в связи с изменением содержания уведомления, потребовалось представление новых сведений, об этом было прямо указано в законе: «Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года» - сейчас такого требования не выдвигается. Кроме того, в соответствии с частью 7 ст.22, дополнительная информация предоставляется в случае изменения сведений, указанных в части 3 этой статьи, в течение 10 дней с даты возникновения таких изменений, а в предыдущих уведомлениях этих сведений не было, значит, ничего не изменилось. Явный просчет законодателей, но так написано в законе.

Ю.Е. Контемиров еще раз обратил внимание на то, что в Реестр нарушителей операторы попадают исключительно на основании вступившего в законную силу решения суда, и никак иначе. С 1 сентября туда «залетело» более 100 сайтов, примерно 60 разблокированы поле устранения нарушений, к 40 сайтам доступ по-прежнему ограничен.

Об остальных выступлениях – в следующем посте. Анонсирую в чем-то сенсационную позицию ФСТЭК России по данной тематике. Кому интересно – ждите.

Впечатления о конференции «Защита персональных данных». Часть 2

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Яков Шпунт 10 Марта 2026 - 11:58

GenAI (генеративный искусственный интеллект)Соответствие законодательству РФ Домашние пользователи Государство Соответствие требованиям регуляторов

Россияне получат право отказаться от услуг с ИИ

Россияне могут получить право отказываться от услуг с использованием искусственного интеллекта (ИИ) и требовать их оказания без привлечения нейросетевых инструментов. Такая норма содержится в законопроекте, разработанном Минцифры и регулирующем использование ИИ в России.

О наличии этой нормы сообщили «Известия» со ссылкой на свои источники. Сейчас документ проходит процедуры согласования. Ориентировочно он может вступить в силу 1 сентября 2027 года.

При этом в версии документа, оказавшейся в распоряжении «Известий», механизмы реализации права на отказ от ИИ не прописаны. Хотя, как утверждают источники издания, в более ранних редакциях они присутствовали. По их мнению, по мере доработки документа эти положения могут быть возвращены.

«Развитие перспективных технологий, в том числе искусственного интеллекта, — одно из важных направлений деятельности ведомства. При этом любая технология должна применяться исключительно с соблюдением прав и интересов граждан», — прокомментировали документ в пресс-службе Минцифры.

В министерстве также подчеркнули, что документ пока находится на стадии согласования, поэтому его содержание ещё может измениться.

«Необходимость введения данной нормы продиктована стремлением обеспечить законное право потребителя на выбор формата взаимодействия, включая живое общение. Проект документа закрепляет функцию человеческого контроля, что особенно важно в социально значимых сферах», — прокомментировал эту норму ведущий эксперт в области ИИ «Университета 2035» Ярослав Селиверстов.

По его мнению, в первую очередь речь может идти о ситуациях, где цена возможной ошибки особенно высока или требуется учитывать уникальные обстоятельства. Кроме того, отказ от ИИ может быть востребован там, где человеку важно общение с живым специалистом, например, в стрессовых ситуациях, когда формальные ответы автоинформатора неуместны. Наконец, для некоторых пользователей, особенно не имеющих опыта взаимодействия с ИИ, такой формат может создавать дополнительные трудности, а не помогать.

В то же время директор Института исследования интернета Карен Казарян назвал эту норму «сырой» и недостаточно проработанной. По его оценке, для ряда компаний её исполнение может обернуться значительными издержками из-за необходимости резко расширять штат контакт-центров, а следствием этого может стать рост цен и тарифов. В зону риска он отнёс операторов связи, авиакомпании и банки. По его мнению, важно создать такие условия, при которых оператор сможет быстро исправить ошибку.

Руководитель направления «Разрешение IT&IP-споров» фирмы «Рустам Курмаев и партнёры» Ярослав Шицле считает, что законопроект пытается очертить принципы добросовестных отношений между исполнителем и заказчиком на фоне расширения сфер применения ИИ. По его мнению, на законодательном уровне может быть предусмотрена обязанность получать согласие на использование ИИ — по аналогии с согласием на сбор и обработку персональных данных.

«В сервисе необходимо соблюдать баланс между роботизацией и привлечением операторов. Действительно, есть группы пользователей, которым может быть сложно взаимодействовать с ИИ, — это люди с инвалидностью, а также пользователи в возрасте от 60–65 лет и старше. Для них можно сохранить возможность отказаться от систем на базе ИИ, — отметила официальный представитель оператора Т2 Дарья Колесникова. — Роботов ценят за скорость решения вопросов. Отказ от них привёл бы к замедлению обслуживания и ухудшению клиентского опыта. Хотелось бы, чтобы новое регулирование не обернулось необоснованным запретом на использование нейросетей в сервисе».

«Для нас важно обеспечивать прозрачность и не вводить потребителей в заблуждение. Искусственный интеллект уже стал неотъемлемой частью сервисов в нашей индустрии, поэтому при регулировании его применения принципиально важно не допустить ухудшения пользовательского опыта», — прокомментировали в пресс-службе Wildberries&Russ. Там также назвали использование ИИ частью комплексной технологической стратегии развития компании.

Как напомнил партнёр ComNews Research Леонид Коник, уже сейчас в ЕС и Южной Корее действует требование предупреждать потребителей об использовании ИИ. В частности, компании обязаны уведомлять клиентов об обслуживании с помощью ИИ-сервисов, если это не очевидно, например, когда взаимодействие происходит через голосовых чат-ботов.

Регулирование должно быть чётким, чтобы не оставлять пространства для разночтений и не блокировать использование искусственного интеллекта как такового, считает генеральный директор TelecomDaily Денис Кусков. По его оценке, положения, связанные с отказом от использования ИИ, требуют детальной проработки действий обеих сторон. При этом, подчёркивает он, избыточное регулирование в этой сфере недопустимо.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!