28-го января, в международный день приватности (защиты прав субъектов персональных данных), проект «Инфокультура» опубликовал исследование о приватности государственных мобильных приложений, сделанных в России. Интерес «Инфокультуры», которая занимается различными аспектами работы с данными, понятен. Как, собственно, понятно и желание государства оснастить своими приложениями мобильные устройства граждан, делая жазнь последних проще и удобнее. Я бы хотел посмотреть на эту проблему немного с иной стороны, а именно с точки зрения информационной безопасности и соблюдения госорганами требований законодательства по ИБ.
Итак, что выяснила «Инфокультура»? 88% из проанализированных приложений, среди которых «Мои документы», «Московский транспорт», «Активный гражданин», «Парковки», «МВД», «Госуслуги» и т.п., имеют как минимум один встроенный трекер. Некоторые имеют 3, 4, 5 и даже 9 трекеров. Большинство приложений используют трекеры Google и Facebook, сервера которых размещаются за пределами РФ. Более того, далеко не всегда можно объяснить, зачем в мобильное приложение встроен тот или иной трекер. Например, зачем парковочному приложению отдавать что-то в Facebook? Ну да ладно, это не является предметом данной заметки. Если резюмировать, программное обеспечение государственной организации, часто являющееся частью государственной информационной системы, а то и объекта КИИ (например, «ковидные» приложения, Мосэнергосбыт или Дептранс, которые работают в сферах здравоохранения, энергетики или транспорта согласно ФЗ-187), осуществляет трансграничную передачу информации за пределы Российской Федерации. При этом сами приложения устанавливается также с серверов, находящихся за пределами Российской Федерации. А теперь посмотрим, что нам говорит на такие фокусы законодательство по защите информации.
Ст.13.2.1 трехглавного закона «Об информации, информационных технологиях и защите информации» говорит, что «технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации. Операторы государственных информационных систем, муниципальных информационных систем, информационных систем юридических лиц, осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 года №223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц», не должны допускать при эксплуатации информационных систем использования размещенных за пределами территории Российской Федерации баз данных и технических средств, не входящих в состав таких информационных систем«.
- Определению Московского городского суда от 10.11.2016 по делу № 33-38783/2016
- Постановлению 13 ААС от 01.07.2016 по делу № А56-6698/2016
- Решению Таганского районного суда г. Москвы от 19.12.2018 по делу № 02-4261/2018
- Решению Арбитражного суда города Москвы по делу А40-14900/2016
cookies, ID пользователя, IP- и MAC-адреса, User Agent, HTTP Referer, данные Google Analytics и Яндекс.Метрики и т.п. являются персональными данными. Тот же Google Crashlytics, который используется многими государственными мобильными приложениями собирает не только уникальный идентификатор устройства, геолокацию, данные об использовании приложения, но и в ряде случаев e-mail. То есть согласно позиции РКН и российских независимых судов, если дело дойдет до них, все данные, собираемые трекерами, будут рассматриваться как персональные, а следовательно снова возникает вопрос, на каком основании они передаются, обрабатываются и хранятся за пределами России.
Наконец, третий закон, с позиции которого я бы хотел посмотреть на работу государственных мобильных приложений, — это ФЗ «О безопасности критической информационной инфраструктуры». И если в самом законе ни слова не сказано о том, где можно или нельзя хранить данные субъектов КИИ и куда могут подключаться объекты КИИ, то в приказе ФСТЭК №239, в пункте 31-м прямо говорится, что «входящие в состав значимого объекта 1 и 2 категорий значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации)«. То есть и эта ветка отечественного законодательства по ИБ запрещает использование (правда, не для всех объектов КИИ) зарубежных трекеров.
Интересно, что скажут на этот счет регуляторы, призванные следить за законностью в своих сферах компетенции — ФСТЭК и Роскомнадзор? Тут, как говорил бывший вице-премьер Рогозин, «или крест сними, или трусы надень«. Или для всех одни требования (закон-то для всех один), или их надо менять. А то как-то некрасиво получается…
Эти требования из 149-ФЗ должна Минцифра контролировать, а не РКН и ФСТЭК.
Может, трекер и является частью ГИС, но тот сервер, куда он отправляет данные, частью ГИС точно не является. Точно так же, как телефон гражданина, на который ГИС "Госуслуги" отправляет какие-то данные.
И вообще,
1. РКН всегда прав.
2. Если РКН не прав, см. п.1.
Международное право, во всяком случае, работает именно так.
@Александр: в ФЗ-149 в этой части говорится не о ГИС, а о техсредствах. А в ФЗ-187 говорится также не о ГИС, а о передаче телеметрии зарубеж.
Этот комментарий был удален администратором блога.