В Роскомнадзоре заявили о необходимости разработки отраслевых стандартов работы с данными.
Заявил ТАСС заместитель руководителя Роскомнадзора (РКН) Милош Вагнер.
О чем говорит регулятор
«В России должны быть разработаны отраслевые стандарты работы с данными. Разрабатываться они должны по итогам тщательного исследования каждой отрасли, изучения обоснованных потребностей субъектов правоотношений в тех или иных персональных данных», – сказал представитель РКН.
По мнению регулятора, избыточный сбор сведений противоречит одному из ключевых принципов обработки персональных данных: «обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».
«Профильным ведомствам целесообразно сформулировать и контролировать – какой конкретно набор данных действительно минимально необходимый для достижения тех или иных целей, какие особенности работы именно в каждом конкретном случае», – считают в РКН.
Чем это поможет
Отказ от избыточного сбора персональных сведений – это возможность избежать критичности последствий утечек данных, уверен член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. «Это эффективная превентивная мера защиты пользовательской информации, в реализации которой должен быть заинтересован сам бизнес. Эффективность метода подтверждается международной практикой, при этом никаких инвестиций для реализации подхода практически не требуется, чего нельзя сказать, например, об инвестициях в информационную безопасность в случае сбора больших объемов персданных. Однако этот инструмент все еще упорно игнорируется, несмотря на скорое ужесточение ответственности за допущение утечек», – сказал депутат.
Организации зачастую пользуются незнанием и низким уровнем навыков цифровой грамотности граждан в части передачи и обработки персональных данных. «Действующее законодательство предполагает сбор сведений под достижение конкретных целей. Например, для заказа в онлайн-магазине потребуется указать адрес, но предоставление информации о фамилии или о текущем местоположении пользователя вряд ли повлияет на оформление заказа. При этом очень часто отказаться от предоставления таких данных невозможно – передача избыточных сведений может быть обязательным критерием», – отметил Немкин.
Отрасли достаточно сильно различаются по данным, которые они используют, поэтому выработка стандартов для каждой – необходимый шаг. «Сейчас организации исходят из принципа «все и больше». Как результат, сведения, собираемые финансовой организацией, могут быть приравнены к данным, собранным ритейлом. При этом разница в обеспечении информбезопасности между ними колоссальная», – подчеркнул Немкин. Именно поэтому на сегодняшний день сфера ритейла – одна из самых атакуемых в России, добавил депутат. По данным исследования StormWall, во втором квартале 2024 года ритейл вошел в лидирующую по количеству ИБ-инцидентов группу, а по итогам 2023 года, по данным компании «SearchInform», до 67% компаний сегмента столкнулись с утечками данных.
По мнению Немкина, при выработке стандартов необходимо опираться на принцип минимального сбора сведений. «Кроме того, необходимо разработать универсальные критерии избыточности сбора персональных данных. Но важно вести работу не только с организациями, но и с гражданами, прежде всего, в части просвещения. Они должны знать, какую информацию можно не представлять, как отозвать согласие на обработку персональных данных и как обезопасить свои личные сведения», – подчеркнул депутат.