Бред персональных данных

(Предложение дополнений в закон «Об образовании«- апрель 2010)

  • Введение

    В 2010 году вступает в полное действие Закон о персональных данных (ПД). В связи с этим активизировались обсуждения последствий. В ряде случаев они напоминают истерику, т.к. ситуация грозит коллапсом для многих информационных систем. Это совершенно не согласуется со стремлением активизировать электронный документооборот.

    С другой стороны, общество давно негодует по поводу открытой продажи на рынках дисков с весьма конфиденциальной информацией из личной жизни многих граждан, а этот закон призван их защитить.

    Однако, способ организации работы по защите граждан, к сожалению, идет в русле российских традиций - создание неисполнимых законов, которые ничего не защищают, а только мешают жить. В основу идеологически простого закона положен пласт инструкций, которые разрабатывались для защиты государственных секретов. В результате, например, для защиты данных из обычного классного журнала, который всю жизнь дети таскали по всем углам школы, необходимо изучать методики Джеймса Бонда. Естественно, школа предпочтет старый журнал новомодным электронным, несмотря на поддержку их на самом высоком уровне. И так будет не только в школах.

    В связи с этим захотелось представить себе, как бы я сам поступил, не глядя на существующие законы.

  • Суть

    Если исходить из принципа ответственности каждого за свои действия, идентификация личности не может являться объектом защиты. Защищать нужно только частную информацию о месте жительства, телефонах и т.п.

    Таким образом, информация из "свидетельства о рождении" о ФИО индивида и его родителей, возрасте должна быть общедоступной. Для этого достаточно иметь единую государственную БД отделений ЗАГС с удаленным доступом. Другая информация из этой БД - о семье, о национальной принадлежности... - может быть доступна только тем службам, которым по закону такая информация действительно нужна.

    Во всех анкетах, для которых достаточно идентификации, нужно указывать код "свидетельства о рождении". В результате многие информационные системы с этими кодами могут быть общедоступными или ограниченно доступными (см.ниже). 

    Паспорт содержит дополнительную информацию о жизни гражданина, которая должна быть доступна не всем, но адрес проживания и фотография требуются часто. При наличии единой информационной системы паспортных столов с удаленным доступом и распределением прав доступа в анкетах достаточно было бы указывать унифицированный код паспорта. В результате любые БД, содержащие этот код, тоже могли бы быть общедоступными или ограниченно доступными - получить детали из паспортной информации можно только при наличии соответствующих прав.

    Аналогично нужно вести информационные системы медицинской направленности.

    При наличии таких систем можно направить всю мощь наших служб по защите государственных тайн на создание и защиту государственных информационных систем, а все пользовательские и корпоративные информационные системы могли бы спокойно хранить только никому не нужные без прав доступа коды и получать по ним только ту информацию, которая им необходима.

    Если человек сам готов поделиться своими персональными данными с кем-то, он должен понимать, что уровень их защиты будет заметно ниже, чем в крутых государственных системах. Для этого в существующих нормативных актах не хватает промежуточной категории данных между конфиденциальными и общедоступными - я бы назвал их "частными". Без такой промежуточной категории данных человек стоит перед сложным выбором: 

    • разрешить (пусть даже формально) пускать свои данные "по всему свету" (общедоступные) 
    • или обрекать своих партнеров на игру в "шпионские страсти" (конфиденциальные). 

    В результате информационные системы с частными данными можно было бы строить ограниченно доступными с помощью известных и успешно используемых технических средств ограничения доступа. Условия сертификации таких систем можно оставить в ряде случаев на добровольное соглашение между субъектом данных и их оператором. Школьный классный журнал - вполне подходящий пример для этого случая.

23.08.2009

Comments