Некоторые проблемы обеспечения безопасности персональных данных в банковской системе Российской Федерации

Костомаров К.В.

Банковская система Российской Федерации включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков [1, ст.2].

Объектом публикации необходимо обозначить правоотношения по защите персональных данных клиентов в кредитных организациях.

Целью - выявление некоторых проблем в осуществлении данных правоотношений, поиск направлений их решения, предложения по их внедрению уполномоченным на то органам.

Безусловно, для кредитной организации основной целью функционирования информационной безопасности является предотвращение ущерба интересам банка. На сегодняшний день, активная криминализация банковской сферы идет по самым различным направлениям. Но чаще всего, вне зависимости от механизма совершения преступлений, к возможности злоупотребления в данной сфере приводит свободный доступ к защищенной банковской информации со стороны злоумышленников. С одной стороны, такого рода доступ предоставляется вопреки всем нормам банковской тайны, обозначенным в федеральном законодательстве, и в нарушение норм закона «О персональных данных» - с другой.

Банковская тайна - это особый правовой режим, не сводимый ни к одному другому правовому режиму информации, например, режиму коммерческой тайны [1, ст.26].

Термин «Персональные данные» в российском законодательстве формировался достаточно хаотично, поскольку изначально был лишь частью иных урегулированных правом общественных отношений.

Так, Конституция РФ [2, ст.23] устанавливает запрет на сбор, хранение, использование, и распространение информации о частной жизни лица без его согласия. Уголовный Кодекс РФ [3, cт.137] устанавливает уголовную ответственность «за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну».

После вступления в силу в 2006 году закона «О персональных данных» в российском законодательстве был закреплен институт персональных данных и установлен режим его правового регулирования. Однако в последующем была выявлена недостаточная теоретическая разработка основных понятий и принципов с большим углублением в технологические проблемы, что более свойственно скорее инструкциям или подведомственным актам, нежели нормативно-правовым актам федерального уровня.

Данный перечень относительно недавно дополнил закон "О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации" термином «инсайдерская информация» [4, ст.2], также включающий в себя «в том числе сведения, составляющие коммерческую, служебную, банковскую тайну, тайну связи (в части информации о почтовых переводах денежных средств) и иную охраняемую законом тайну».

В таких условиях рядовому сотруднику банковской организации тяжело с ходу сориентироваться для того чтобы на основе вышеперечисленных нормативно-правовых актов обеспечить безопасность персональных данных в сфере банковских организаций. Поправкой от 25 июля 2011 года к 152-ФЗ «О персональных данных» Банк России был наделен правами на разработку отраслевых нормативных документов по отдельным вопросам, касающимся обработки персональных данных [5, ч.2 ст.2]. Данная поправка узаконила существующий Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации в качестве отраслевого стандарта обеспечения безопасности персональных данных, но не решила полностью ключевых проблем.

Одна из них состоит в том, что в соответствии с Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» - статус стандартов остается рекомендательным.

Безусловно, в тех банках, которые добровольно приняли решение о присоединении к данным стандартам, они подлежат обязательному исполнению. Таких кредитных организаций, которые уже приняли, либо планируют принять стандарт порядка 66% от общего количества в стране [6, c.11]. Причем отмечается, что темпы присоединения значительно упали, тем самым скоро будет достигнут некий предел метода убеждения. В лучшем случае окончательный результат прогнозируется на уровне 75 - 80% от всех кредитных организаций в банковской системе РФ.

На практике, отмечается целый комплекс проблем при внедрении обозначенных стандартов безопасности, который может стать непреодолимым барьером для регионального банка [6, с.22].

Парадоксальным остается вопрос о работах по оценке соответствия требованиям СТО БР ИББС-1.0: такого рода проверку провели 358 организаций Банковской Системы РФ. Из них – 80% проводили оценку самостоятельно. Можно поставить вопрос о смысле внедрения стандарта, внешний контроль за исполнением которого фактически не исполняется: насколько реальную картину соответствия стандарту покажет внутренний контроль банковских организаций? Контроль в этой сфере необходимо усиливать. В противном случае работа по стандартизации ограничится лишь формальным установлением требований.

Трудно недооценить тот огромный объем работы, который был проведен в последние годы в направлении реализации законодательства по защите персональных данных. Однако в текущих мировых экономических условиях кажется наивным полагать, что кто-то возьмет на себя значительные финансовые затраты по внедрению стандартов безопасности добровольно.

В этом контексте необходимо обозначить еще одну проблему российской действительности. Несмотря на то, что де-юре комплекс документов Банка России СТО БР ИББС носит рекомендательный характер, по факту - инспекционные проверки Банка России проводились до недавнего времени именно в соответствии с требованиями СТО БР ИББС [7, с.100].

Помимо этого факта, с 1 июля 2012 г. в полную силу вступил Закон "О национальной платежной системе" и разработанные для его исполнения нормативные документы Правительства России и Банка России. В результате, выявилось, что методика оценки соответствия, предложенная в рамках законодательства о национальной платежной системе (НПС), и методика оценки соответствия СТО БР ИББС могут серьезно расходиться в итоговых значениях. При этом оценка по первой методике, разработанной для национальной платежной системы стала обязательной, в то время как оценка по СТО БР ИББС по-прежнему де-юре носит рекомендательный характер [7, с.100].

К этому необходимо добавить нормы Федерального закона "О персональных данных", которые также устанавливают требования по оценке соответствия, но не устанавливают при этом ни формы аудита, ни сроков и периодичности проведения, ни требований к организациям, проводящих такой аудит. Однако, на данном этапе контроль коммерческих организаций в области обеспечения информационной безопасности персональных данных осуществлять по данному Закону некому. В части же защиты прав субъектов персональных данных (клиентов) – эту задачу осуществляет Роскомнадзор.

На основании произведенного выше анализа состояния законодательной сферы в части регулирования отношений защиты персональных данных клиентов кредитных организаций можно сделать вывод о необходимости вмешательства в данный вопрос представительных органов федеральной власти с целью законодательного урегулирования всех противоречий.

Возможны несколько направлений, в которых данная сфера получила бы своё развитие. При любом из них первостепенен вопрос нормативной унификации данных отношений.

1. Направление, предложенное Банком России, взявшим на себя роль методолога в части определения как пути обеспечения безопасности персональных данных, так и оценки уровня соответствия требованиям [8, с.84].

На этом фоне адекватными выглядят предложения о предоставлении больших прав Центральному Банку как отраслевому регулятору. В этом случае, необходимо отметить опасения ряда банков о перспективе обязательного внедрения Стандарта Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации, в силу того, что множество из них не в состоянии финансово обеспечить внедрение и выполнение данного стандарта.

Помимо этого – никто не будет оспаривать факт отсутствия идеальных стандартов, которые бы разрешали проблему раз и навсегда. Любой стандарт всегда несет в себе недостатки, ограничения, пробелы и т.д. Более того, приведение стандартов на должный качественный уровень – это длительный процесс изменений с учетом практики их внедрения. А последующие изменения любого стандарта – это вновь финансовые вливания со стороны банков по изменению системы безопасности для приведения её в соответствие. Нет необходимости объяснять на ком впоследствии отразятся данные финансовые затраты в дальнейшем – на клиентах. Всё это необходимо воспринимать как минусы данного подхода.

2. Общее направление, сформулированное в Законе № 152-ФЗ и документах ФСТЭК, в которых требования к системам и операторам обозначены, с одной стороны, достаточно абстрактно и широко трактуемо, а с другой - без конкретизации оценки уровня соответствия, а значит с широкими возможностями принятия решения регулятором при проведении оценки соответствия [8, с.84].

Такой подход в чистом виде чреват коррупциогенностью. Возможно, более логичным стало бы применение успешного зарубежного опыта в сфере контроля за безопасностью персональных данных в банковской сфере. Речь идет о возможности внедрение норм на уровне федерального законодательства, обязывающих компании сообщать о произошедших утечках персональных данных под угрозой серьезных штрафов (которые могут даже обанкротить кредитной организации), при сохранении свободы в выборе системы контроля за безопасностью персональных данных. Такая практика очень хорошо зарекомендовала себя в США [9, с.235].

При наличии такого рода норм сохраняются возможности применения кредитными организациями альтернативных стандартов безопасности в зависимости от условий функционирования банка и его финансовых возможностей при сохранении контроля со стороны Центрального Банка.

В свою очередь, действующий Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации мог бы выступить как эталон организации безопасности внутри Банка, отклонения от которого бы фиксировались не приводя к санкциям (штрафы, отзыв лицензий). С этой точки зрения – банковские организации будут стремиться к совершенствованию систем безопасности согласно рекомендуемую стандарта, однако пути совершенствования и срок реализации они могут избирать самостоятельно - это значительно упростит существование банкам и сократит расходы. При таком подходе основным регулятором выступит рынок: захочет ли клиент держать свои деньги в банке, который утратил его персональные данные? Это его личное дело, однако оповестить его об утечке банк будет обязан.

Такая парадигма в сфере защиты персональных данных клиентов кредитных организаций позволит выявить близкую к реальной картину утечек, даст банкам возможность более быстрого и гибкого реагирования на новые угрозы, позволит клиентам выступить фактически в качестве аудиторов предоставляемых им услуг и делать выбор на основании предоставленных объективных сведений.

Литература

  1. О банках и банковской деятельности: Федеральный закон от 02 декабря 1990 № 395-1 (ред. от 28 июля 2012) // Собрание законодательства РФ. 05.02.1996. N 6, ст. 492.
  2. Конституция российской федерации (принята всенародным голосованием 12 декабря 1993 г., с учетом поправок, внесенных законами Российской Федерации о поправках к конституции Российской Федерации от 30.12.2008 № 6-фкз и от 30.12.2008 № 7-фкз) // Собрание законодательства РФ. 26.01.2009. N 4. ст. 445.
  3. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 30 декабря 2012). // Собрание законодательства РФ. 17.06.1996. N 25. ст. 2954.
  4. О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации: Федеральный закон от 27.07.2010 № 224-ФЗ (ред. от 28.07.2012) // Собрание законодательства РФ. 02.08.2010. N 31. ст. 4193.
  5. О персональных данных: Федеральный закон от 27 июля 2006 № 152-ФЗ (ред. от 25 июля 2011) // Собрание законодательства РФ. 31.07.2006. N 31 (1 ч.). ст. 3451.
  6. Курило А.П. Реализация отраслевого подхода к обеспечению информационной безопасности (включая персональные данные) в банковской системе Российской Федерации [сайт]. URL: www.ib-bank.ru/arhiv/05/01/kurilo.pptx (дата обращения 12.01.2013).
  7. Лукацкий А. Аудит информационной безопасности: какой, кому, зачем? // Банковское обозрение. 2012. № 10. С. 98 - 104.
  8. Винников М.Б. Внутренний контроль и информационная безопасность // Внутренний контроль в кредитной организации. 2011. № 4. С. 80 – 95.
  9. Костомаров К.В. Особенности правового регулирования защиты персональных данных клиентов банков в Соединенных Штатах Америки // Право в современном мире: Материалы Международной научно-практической конференции, Екатеринбург: УИ – филиал РАНХиГС при Президенте РФ. 2012. С.232-236.

Костомаров К.В.

Некоторые проблемы обеспечения безопасности персональных данных в банковской системе Российской Федерации

  • Теория и практика юридической науки


Яндекс.Метрика