Не берусь судить о нашем законодательстве в целом, но законодательные акты, затрагивающие сферу информационных технологий, зачастую весьма курьезны. Взять хотя бы Федеральный закон № 152 «О персональных данных», принятый Госдумой в третьем чтении 8 июля 2006 года. Понятно, что пока гром не грянет, мужик не перекрестится. На приведение систем работы с персональными данными в соответствие с упомянутым законом остался месяц с хвостиком, а у многих операторов таких данных осталось — конь не валялся. Спрашивается, на что же рассчитывают руководящие ими до сих пор не перекрестившиеся мужики?
На сентябрьской конференции «Защита персональных данных на предприятии: от законодательных актов к практическим шагам», которую провело Агентство OSP-Con совместно с еженедельником Computerworld Россия, можно было услышать множество рецептов выхода из ситуации. Конечно, нашлись те, кто сделал ставку на всеянварское похмелье, которое даст время подтянуть системы обработки персональных данных до необходимого уровня. Другие полагают, что у Роскомнадзора попросту не хватит сотрудников, дабы накрыть проверками все предприятия, оперирующие ПД. Более того, имеется список организаций, подлежащих плановым проверкам Роскомнадзора до конца 2009 года. Конечно, проверки могут быть и неплановыми, и все-таки многие ИТ-руководители могут спать спокойнее.
Прозвучала рекомендация предприятиям взять в штат сильных юристов (если таковых еще нет), способных в суде доказать несостоятельность заключения Роскомнадзора о нарушениях, выявленных в ходе проверок. Но и без юристов можно обойтись. 152-ФЗ составлен настолько мудро, что дает оператору ПД возможность самому определять тип используемых им систем обработки персональных данных, а главное, строить модель имеющихся угроз. В такой модели большинство угроз может быть признано несостоятельными, оспорить же эту модель регулятор не имеет права. Или вот лазейка: прибегнуть к услугам аутсорсера, предлагающего услуги хранения и обработки персональных данных, и тогда защита их — не ваша забота. А если вывести ПД и связанную с ними часть информационной системы за границу, то придраться вообще будет не к чему.
На мероприятии на ту же тему, которое состоялось в Сочи за пару недель до упомянутой конференции, представители Роскомнадзора недвусмысленно дали понять, что каких-либо поблажек в отношении соблюдения требований 152-ФЗ не будет, и час «X» наступит аккурат 1 января 2010 года. Но мы-то с вами понимаем, что «излишняя строгость российских законов…».
Как сообщает ComNews, уже в ходе текущей осенней сессии Госдума может рассмотреть 23 поправки к законодательным актам, связанные с 152-ФЗ. Они были представлены парламентариям еще в 2005 году, но затем оказались под сукном. Одновременно Минкомсвязи согласовывает с Минфином и Минэкономразвития законопроект «О внесении изменений в федеральный закон «О персональных данных», в котором агрегированы 162 предложения по изменению этого закона, поступившие летом от российского бизнес-сообщества. Активизация отраслевого регулятора и законодателей за два месяца до вступления требований 152-ФЗ в силу представляется неоправданно поспешной: зачем устраивать законодательную гонку перед Новым Годом, если за поправки лучше взяться на трезвую голову?
Пардон, законодателю виднее. Многие помнят мучительный процесс разработки и принятия ФЗ «О связи», который сначала года два дожидался толкования на уровне подзаконных актов и регламентирующих документов, а затем неоднократно подвергался критике участников рынка. Особый скепсис вызывало введение категорий зоновых и существенных операторов. Года полтора назад в «Ведомостях» промелькнуло сообщение о том, что зоновых операторов регулятор, вроде, намерен упразднить за ненадобностью. А в конце октября «РБК Daily» сообщила, что ФАС предлагает отменить устаревшее понятие «существенный оператор», необходимость введения которого прежние руководители отраслевого министерства отстаивали с пеной у рта.
Смешно: принимаемые федеральные законы устаревают сразу после принятия, если не раньше. Может, едем чересчур быстро? Или запрягаем долго?
Павел Иванов, научный редактор, psi@osp.ru