05.10.2021
ГлавнаяФинансовое правоЗакон о защите информации 2021

Закон о защите информации 2021

Автор:  Финансовое право  Нет комментариев

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Закон о защите информации 2021». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Содержание
1. Новое в Законе «О персональных данных» 2021. Что нас ждет?
2. Изменения в законе о персональных данных
3. Новые правила обработки персональных данных: закон и судебная практика
4. Что готовит 2021 год специалистам по информационной безопасности
5. С 1 июля 2021 года проверки будут проходить по новому закону.
6. Закон PФ от 7 февраля 1992 г. № 2300-I «О защите прав потребителей»
7. Какие законы об интернете вступят в силу в 2021 году

Уголовный кодекс дополнен положениями об ужесточении уголовной ответственности за клевету.

Статья 128.1 Уголовного кодекса РФ изложена в новой редакции. Теперь:

  • прямо предусматривается уголовная ответственность за клевету в сети «Интернет»;
  • клевета может быть направлена не только против конкретного лица, но и нескольких лиц, как указал законодатель «индивидуально не определенных»;
  • клевета в сети «Интернет», СМИ, публичном выступлении, сопряженная с использованием должностного положения, указанием на наличие у потерпевшего опасного для окружающих заболевания или его обвинением в совершении преступления против половой неприкосновенности, тяжкого или особо тяжкого преступления теперь грозит лишением свободы на срок до пяти лет.

Уголовное преследование за клевету в интернете теперь проводится в публичном, а не частном, как это было ранее, порядке. Правом на подачу заявления о преступлении фактически обладает любое лицо, которое оценивает публикацию как клеветническую и посчитает себя заинтересованным.

Если предыдущая редакция статьи предполагала, что потерпевший самостоятельно подает заявление в мировой суд, где оно рассматривается в порядке, близком к гражданскому процессу, то по новому закону преследование будет осуществляться правоохранительными органами, а не заявителем.

В том числе поэтому стоит ожидать увеличения количества заявлений и дел о клевете, хотя ранее количество осужденных за клевету было не так уж и велико — 33 человека за первое полугодие 2020 годаСводные статистические сведения о состоянии судимости в России за первое полугодие 2020 года Судебного департамента при Верховном суде РФ № 10-а «Отчет о числе осужденных по всем составам преступлений Уголовного кодекса Российской Федерации» Разд. 3 Гл. 17.

Теперь законодателем определено, что сеть «Интернет» сама по себе является площадкой для распространения заведомо ложных сведений. Но в ходе дознания может возникнуть проблема в доказывании субъекта преступления — лица, распространившего сведения.

Значительное число сайтов в сети «Интернет» принадлежат юридическим лицам, а установить автора публикации возможно не во всех случаях. В России уголовная ответственность юридических лиц не предусмотрена.

В связи с чем, в случае распространение заведомо ложной информации на корпоративном сайте, риск уголовного преследование за данное деяние может возникать для руководства компании.

При этом маловероятно, что закон сам по себе скажется на деятельности анонимных сайтов.

Новое в Законе «О персональных данных» 2021. Что нас ждет?

Закон связывает возникновение статуса социальной сети с количеством ее российских пользователей — их должно быть не менее 500 тыс.

Такой же критерий раньше использовался при регулировании деятельности блогеров, новостных агрегаторов и аудиовизуальных сервисов — это значит, что сам закон фактически заработает тогда, когда Роскомнадзор примет все нормативные акты, необходимые для определения посещаемости.

Ранее схожие по своему характеру санкции устанавливались лишь в отношении интернет-провайдеров, контроль за которыми осуществляется в автоматизированном режиме. По данным Роскомнадзора в 2019 году в отношении операторов связи было возбуждено 468 дел об административных правонарушениях, 327 из которых завершились в пользу государстваПубличный доклад Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за 2019 г., с. 55.

Их деятельность лицензируема, и регулятор мог однозначно установить нарушителя. С новым составом правонарушения не все так очевидно: привлекаемое к ответственности лицо не всегда может иметь хоть какое-то отношение к контенту.

В качестве «иных лиц, обеспечивающих размещение в сети “Интернет” информационного ресурса» Роскомнадзор часто определяет владельцев сетевых адресов (IP), используя при этом общедоступные сервисы типа WHOIS (с августа 2019 года — LookUp). Именно им Роскомнадзор зачастую направляет свои требования.

Но чаще всего владельцами сетевых адресов являются компании по защите от Ddos-атак или информационной безопасности. Если блокировка самого виновного ресурса сказывается на их деятельности незначительно, то угроза административного штрафа создает существенные риски, которые могут сказаться на стоимости конечных услуг.

В свою очередь, установление штрафов вряд ли скажется на деятельности анонимных ресурсов, а именно такие сайты наряду с социальными сетями становятся основным источником тиражирования незаконного контента.

Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

В этом примере доказывать, что есть общественный интерес персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

Речь идет о том, что если вы намудрите в своей форме согласия, то обрабатывать персональные данные можно, но только без распространения.

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Многозначительно промолчать в ответ на вопрос: «даете свое согласие на публикацию ваших данных на нашем сайте?» — означает нет.

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

Например, человек может разрешить опубликовать свои ФИО и возраст в отзывы на товар. Но тут же запретить передавать кому-нибудь еще. Например, вашему рекламному агентству. И ограничить человека в этом праве нельзя.

В настоящем Федеральном законе используются следующие основные понятия:

1) информация — сведения (сообщения, данные), независимо от формы их представления;

2) информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

3) информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

4) информационно-телекоммуникационная сеть — технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

5) обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

6) доступ к информации — возможность получения информации и ее использования;

7) конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

8) предоставление информации — действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

9) распространение информации — действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

10) электронное сообщение — информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

11) документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

11.1) электронный документ — документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах; (в ред. Федерального закона от 27.07.2010 N 227-ФЗ)

12) оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных;

13) сайт в сети «Интернет» — совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» (далее — сеть «Интернет») по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет»; (в ред. Федеральных законов от 28.07.2012 N 139-ФЗ, от 07.06.2013 N 112-ФЗ)

14) страница сайта в сети «Интернет» (далее также — интернет-страница) — часть сайта в сети «Интернет», доступ к которой осуществляется по указателю, состоящему из доменного имени и символов, определенных владельцем сайта в сети «Интернет»; (в ред. Федерального закона от 28.07.2012 N 139-ФЗ)

15) доменное имя — обозначение символами, предназначенное для адресации сайтов в сети «Интернет» в целях обеспечения доступа к информации, размещенной в сети «Интернет»; (в ред. Федерального закона от 28.07.2012 N 139-ФЗ)

16) сетевой адрес — идентификатор в сети передачи данных, определяющий при оказании телематических услуг связи абонентский терминал или иные средства связи, входящие в информационную систему; (в ред. Федерального закона от 28.07.2012 N 139-ФЗ)

Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами;

3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6) достоверность информации и своевременность ее предоставления;

7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

1. Законодательство Российской Федерации об информации, информационных технологиях и о защите информации основывается на Конституции Российской Федерации, международных договорах Российской Федерации и состоит из настоящего Федерального закона и других регулирующих отношения по использованию информации федеральных законов.

2. Правовое регулирование отношений, связанных с организацией и деятельностью средств массовой информации, осуществляется в соответствии с законодательством Российской Федерации о средствах массовой информации.

3. Порядок хранения и использования включенной в состав архивных фондов документированной информации устанавливается законодательством об архивном деле в Российской Федерации.

1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.

2. От имени Российской Федерации, субъекта Российской Федерации, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами.

3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:

1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

2) использовать информацию, в том числе распространять ее, по своему усмотрению;

3) передавать информацию другим лицам по договору или на ином установленном законом основании;

4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

5) осуществлять иные действия с информацией или разрешать осуществление таких действий.

4. Обладатель информации при осуществлении своих прав обязан:

1) соблюдать права и законные интересы иных лиц;

2) принимать меры по защите информации;

3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Изменения в законе о персональных данных

1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

2.1. Порядок идентификации информационных ресурсов в целях принятия мер по ограничению доступа к информационным ресурсам, требования к способам (методам) ограничения такого доступа, применяемым в соответствии с настоящим Федеральным законом, а также требования к размещаемой информации об ограничении доступа к информационным ресурсам определяются федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи. (в ред. Федерального закона от 29.07.2017 N 276-ФЗ)

3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.

4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.

6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.

7. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе.

8. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.

Согласие на распространение ПД надо получать отдельно от общего согласия на обработку ПД.

При получении согласия офлайн в письменной форме человеку надо предложить заполнить два бланка: первый ─ общее согласие на обработку ПД, второй ─ согласие на распространение.

В интернете для получения согласия обычно используют чекбокс со ссылкой на текст соответствующего документа. С 1 марта надо будет размещать два чекбокса: один ─ на общее согласие, второй ─ на распространение.

Кроме этого, в законе сказано, что человек еще должен выбрать, какие именно данные о себе он разрешает распространять. Пока непонятно, как технически настроить такой выбор на сайте. Возможно, придется рядом с каждым видом ПД предусматривать отдельные чекбоксы.

Такой формат может, конечно, повлиять на конверсию. И если вам не хочется заморачиваться с настройками под закон о ПД, подумайте, возможно, стоит отказаться от распространения данных.

Согласие может быть отозвано в любой момент без указания причин.

Это неудобно для отдельных проектов. Например, психолог предлагает бесплатные консультации при условии размещения записи беседы на своем сайте или соцсетях. Перед консультацией получены согласия на обработку и распространение ПД. А после размещения ролика клиент передумывает. Психолог вынужден удалить видео.

Даже если вы получили согласие, нет гарантии, что человек не отзовет его. И сделать с этим ничего не получится ─ удалять данные придется.

Иногда посетители сайта или соцсетей сами оставляют информацию о себе ─ пишут в комментариях имена, почты и даже телефоны. В таких случаях владельцу сайта надо доказать, что все, кто разместил личные данные на сайте, дали согласие на распространение.

Если у вас нет согласия, лучше удалите или отредактируйте подобные комментарии.

Это относится к случаям после 1 марта 2021 года ─ даты вступления в силу поправок в закон № 152-ФЗ, так как обратной силы закон не имеет.

С 1 марта 2021 года перед размещением данных о людях в публичном пространстве, нужно получить у них отдельное согласие. На интернет-ресурсах, кроме «Согласия на обработку ПД», придется размещать еще и «Согласие на распространение ПД». Также надо решить, каким образом люди будут давать разрешение, например, с помощью отдельного чекбокса.

Новая редакция ст.13.11 КоАП со штрафами за нарушение закона о ПД уже действует, поэтому будьте аккуратнее.

Новые правила обработки персональных данных: закон и судебная практика

Для облегчения восприятия весь массив документов разделен на смысловые блоки, которые применяются для регулирования тех или иных областей информационной безопасности.
К сожалению большая часть приведенных документов применяется для регулирования сразу нескольких областей права, поэтому предложенная классификация весьма условна. Документы в справочнике упоминаются только один раз. Это немного затрудняет поиск, но существенно сокращает объем справочника.

Предлагаемый справочник не является исчерпывающим, но содержит, пожалуй, основные направления обеспечения информационной безопасности в России.

В справочнике, за редким исключением, отсутствуют ссылки на документы ограниченного распространения, национальные стандарты и проекты документов.

Большая часть документов представлена в виде ссылок на справочно-правовую систему «Консультант+», при этом некоторые документы будут недоступны для бесплатного просмотра в рабочее время. Для таких документов рядом с названием в квадратных скобках будет даваться альтернативная ссылка, доступная в рабочее время.

Представленные документы актуальны на момент публикации данного справочника.
Приятного просмотра и успешной работы!

  1. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance)
  2. Guidelines on Consent under Regulation 2016/679 (wp259rev.01)

01.06.2021

  1. В раздел «Персональные данные» добавлен документ Приказ Роскомнадзора от 24.02.2021 N 18.
  2. В раздел «Здравоохранение» добавлен документ Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Версия 1.0).

25.05.2021

  1. В раздел «Здравоохранение» добавлен документ Приказ Минздрава России от 07.09.2020 N 947н.

18.03.2021

  1. В раздел «Национальная платежная система» добавлен документ Положение Банка России от 03.12.2020 N 742-П.

09.03.2021

  1. В раздел «Банковская безопасность. Нормативно-правовые акты Банка России» добавлены документы: Письмо Банка России от 07.08.2019 N ИН-014-56/59, Письмо Банка России от 07.08.2019 N ИН-014-56/66, Письмо Банка России от 08.07.2020 N ИН-01-56/110, Письмо Банка России от 30.01.2020 N ИН-014-56/4, Письмо Банка России от 19.02.2021 N 3-МР.

01.03.2021

  1. В раздел «Электронная подпись» добавлены документы: Постановление Правительства РФ от 28.12.2020 N 2309, Постановление Правительства РФ от 31.12.2020 N 2440, Приказ ФНС России от 12.10.2020 N ЕД-7-14/743@.

17.02.2021

  1. В раздел «Руководящие документы ФСТЭК России» добавлен документ Методический документ. Методика оценки угроз безопасности информации (утв. ФСТЭК России 05.02.2021 г.).
  2. В связи с утверждением документа Методический документ. Методика оценки угроз безопасности информации (утв. ФСТЭК России 05.02.2021 г.) документ Методика
    определения актуальных угроз безопасности персональных данных при их
    обработке в информационных системах персональных данных (ФСТЭК России,
    2008 г.) перестал действовать и был удален из раздела «Персональные данные. Обеспечение безопасности».

19.01.2021

  1. Добавлен новый раздел «Образование», в него помещен документ Методические рекомендации по обеспечению минимального уровня цифровой готовности образовательных организаций высшего образования.
  2. В раздел «Техническое регулирование» добавлен документ Приказ Минкомсвязи России от 22.09.2020 N 486.

17.11.2020

  1. Добавлен новый раздел «Транспорт», в него помещен документ Постановление Правительства РФ от 24.07.2019 N 955.
  2. В раздел «Криптография» добавлен документ Указ Президента РФ от 03.04.1995 N 334.

17.11.2020

  1. В раздел «Национальная платежная система» добавлен документ Положение Банка России от 24.09.2020 N 732-П и удален документ Положение Банка России от 06.07.2017 N 595-П.

11.11.2020

  1. Разделы «Критическая информационная инфраструктура. Электроэнергетика» и «Критическая информационная инфраструктура. Топливно-энергетический комплекс (ТЭК)» объединены в один раздел «Топливно-энергетический комплекс (ТЭК)».
  2. В раздел «Топливно-энергетический комплекс (ТЭК)» добавлен документ Федеральный закон от 21.07.2011 N 256-ФЗ.
  3. В раздел «Техническое регулирование. Сертификация средств защиты информации» добавлен документ Постановление Правительства РФ от 01.12.2009 N 982.

02.11.2020

  1. В раздел «Банковская безопасность. Стандарты Банка России» добавлен документ СТО БР ФАПИ.СЕК-1.6-2020.

06.10.2020

  1. В раздел «Национальная платежная система» добавлен документ Положение Банка России от 04.06.2020 N 719-П.

16.09.2020

  1. В раздел «Критическая информационная инфраструктура (КИИ)» добавлен документ
    Приказ ФСТЭК России от 28.05.2020 N 75.

09.09.2020

  1. В раздел «Банковская безопасность. Нормативно-правовые акты Банка России» добавлены документы Положение Банка России от 30.11.2012 N 390-П, Положение Банка России от 5 декабря 2016 года N 562-П, Положение Банка России от 17 октября 2018 года N 655-П.

01.09.2020

  1. Добавлен раздел «Критическая информационная инфраструктура. Топливно-энергетический комплекс (ТЭК)». В него помещен документ «Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса».

22.07.2020

  1. В раздел «Банковская безопасность. Стандарты Банка России» добавлен документ письмо Банка России от 16.07.2020 N ИН-014-56/113.

18.07.2020

  1. В раздел «Банковская безопасность. Нормативно-правовые акты Банка России» добавлен документ «Методический документ. Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций».

05.07.2020

  1. В раздел «Криптография» добавлен документ Постановление Правительства Российской Федерации от 30.06.2020 N 963.

26.06.2020

  1. В раздел «Критическая информационная инфраструктура. Связь» добавлен документ: Приказ Минкомсвязи России от 17.03.2020 N 114.

22.06.2020

  1. В раздел «Банковская безопасность. Нормативно-правовые акты Банка России» добавлен документ Положение Банка России от 08.04.2020 N 716-П.

08.06.2020

  1. В раздел «Персональные данные» добавлен документ Федеральный закон от 08.06.2020 № 168-ФЗ.

28.04.2020

  1. В раздел «Персональные данные» добавлен документ Федеральный закон от 24.04.2020 N 123-ФЗ.
  2. В раздел «Критическая информационная инфраструктура (КИИ)» добавлен документ: Информационное сообщение ФСТЭК России от 17 апреля 2020 г. N 240/84/611.

13.04.2020

  1. В раздел «Криптография» добавлен документ Поручение Президента от 16.07.2016 N Пр-1380.
  • Сейчас
  • Вчера
  • Неделя
  • Сутки
  • Неделя
  • Месяц

Что готовит 2021 год специалистам по информационной безопасности

Все материалы сайта Министерства внутренних дел Российской Федерации могут быть воспроизведены в любых средствах массовой информации, на серверах сети Интернет или на любых иных носителях без каких-либо ограничений по объему и срокам публикации.

Это разрешение в равной степени распространяется на газеты, журналы, радиостанции, телеканалы, сайты и страницы сети Интернет. Единственным условием перепечатки и ретрансляции является ссылка на первоисточник.

Никакого предварительного согласия на перепечатку со стороны Министерства внутренних дел Российской Федерации не требуется.

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Закон уточняет понятие «информационного ресурса», распространяющего объекты авторских и (или) смежных прав без разрешения правообладателя. К таким ресурсам теперь относятся и программные приложения. Под последними понимаются программы для ЭВМ, посредством которых в информационно-телекоммуникационных сетях, в том числе в сети Интернет, обеспечивается доступ к объектам авторских и (или) смежных прав (за исключением фотографических произведений или произведений, полученных способами, аналогичными фотографии) или к информации, необходимой для их получения[3], без разрешения правообладателя или иного законного основания.

Законом изменен существовавший ранее порядок ограничения доступа к информационным ресурсам в связи с распространением объектов авторских и (или) смежных прав без разрешения правообладателя. С 1 октября 2020 г. ограничение доступа к пиратскому контенту, распространяемому посредством сайта в сети Интернет, будет осуществляться по старым правилам, а в отношении программных приложений введена самостоятельная процедура.

Для ограничения доступа к программному приложению, нарушающему авторские и (или) смежные права, правообладатель будет вправе на основании судебного акта обратиться в Роскомнадзор с заявлением о принятии мер по ограничению доступа к приложению.

С 1 июля 2021 года проверки будут проходить по новому закону.

В случае принятия судебного акта об отмене ограничения доступа к ранее заблокированному программному приложению Роскомнадзор в течение трех рабочих дней с даты получения такого судебного акта обязан уведомить операторов связи и владельца информационного ресурса, на котором размещено соответствующее программное приложение, об отмене мер по ограничению доступа к программному приложению.

Владелец информационного ресурса в течение одного рабочего дня со дня получения указанного уведомления от Роскомнадзора информирует об этом владельца программного приложения и уведомляет о возможности снятия ограничений.

До принятия Закона провайдеру хостинга (или иному лицу, обеспечивающему размещение информационного ресурса в сети Интернет) предоставлялись сутки с момента получения соответствующего уведомления Роскомнадзора для целей информирования владельца информационного ресурса о необходимости удалить распространяемую с нарушением закона информацию.

С 1 октября 2020 г. информирование владельца информационного ресурса должно будет осуществляться незамедлительно после получения соответствующего уведомления от Роскомнадзора. После этого владельцу информационного ресурса будут предоставлены сутки на удаление соответствующей информации, распространяемой с нарушением закона.

В случае отказа или бездействия со стороны владельца информационного ресурса провайдер хостинга обязан по истечении предоставленного срока (одних суток) ограничить доступ к соответствующему информационному ресурсу.

Закон предусматривает некоторые изменения, направленные на конкретизацию процедуры ограничения доступа к информационному ресурсу организатора распространения информации за неисполнение им обязанностей, предусмотренных ст. 101 Федерального закона «Об информации, информационных технологиях и о защите информации»[7].

Для организаций, деятельность которых связана с разработкой и коммерциализацией программных приложений, принятие Закона делает еще более актуальным вопрос контроля размещаемого контента и своевременного реагирования на обращения правообладателей.

Владельцам программных приложений также рекомендуется рассмотреть возможность создания комплексных систем контроля размещаемой ими информации на предмет ее соответствия законодательству РФ.

Закон PФ от 7 февраля 1992 г. № 2300-I «О защите прав потребителей»

(с изменениями от 2 июня 1993 г., 9 января 1996 г., 17 декабря 1999 г., 30 декабря 2001 г., 22 августа, 2 ноября, 21 декабря 2004 г., 27 июля 2006 г., 25 ноября 2006 г., 25 октября 2007 г., 23 июля 2008 г., 3 июня 2009 г., 23 ноября 2009 г., 18 июля 2011 г., 25 июня, 28 июля 2012 г., 2 июля, 21 декабря 2013 г., 5 мая 2014, 13 июля 2015 г., 3 июля 2016 г., 01 мая 2017 г., 18 апреля 2018 г., 04 июня 2018 г, 29 июля 2018 г, 18 марта 2019 г, 24 апреля 2020 г., 31.07.2020 г., 08.12.2020 г.).

Настоящий Закон регулирует отношения, возникающие между потребителями и изготовителями, импортерами, исполнителями, продавцами, владельцами агрегаторов информации о товарах (услугах) при продаже товаров (выполнении работ, оказании услуг), устанавливает права потребителей на приобретение товаров (работ, услуг) надлежащего качества и безопасных для жизни, здоровья, имущества потребителей и окружающей среды, получение информации о товарах (работах, услугах) и об их изготовителях (исполнителях, продавцах), о владельцах агрегаторов информации о товарах (услугах), просвещение, государственную и общественную защиту их интересов, а также определяет механизм реализации этих пpaв.

Основные понятия, используемые в настоящем Законe:

потребитель — гражданин, имеющий намерение заказать или приобрести либо заказывающий, приобретающий или использующий товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности;

изготовитель — организация независимо от ее организационно-правовой формы, а также индивидуальный предприниматель, производящие товары для реализации потребителям;
исполнитель -организация независимо от ее организационно-правовой формы, а также индивидуальный предприниматель, выполняющие работы или оказывающие услуги потребителям по возмездному договору;

продавец — организация независимо от ее организационно-правовой формы, а также индивидуальный предприниматель, реализующие товары потребителям по договору купли-продажи; стандарт — государственный стандарт, санитарные нормы и правила, строительные нормы и правила и другие документы, которые в соответствии с Законом устанавливают обязательные требования к качеству товаров (работ, услуг);

недостаток товара (работы, услуги) — несоответствие товара (работы, услуги) или обязательным требованиям, предусмотренным Законом либо в установленном им порядке, или условиям договора(при их отсутствии или неполноте условий обычно предъявляемым требованиям), или целям, для которых товар (работа, услуга) такого рода обычно используется, или целям, о которых продавец (исполнитель) был поставлен в известность потребителем при заключении договора, или образцу и (или) описанию при продаже товара по образцу и (или) по описанию;

существенный недостаток товара (работы, услуги) — неустранимый недостаток или недостаток, который не может быть устранен без несоразмерных расходов или затрат времени, или выявляется неоднократно, или проявляется вновь после его устранения, или другие подобные недостатки;

безопасность товара (работы, услуги) — безопасность товара (работы, услуги) для жизни, здоровья, имущества потребителя и окружающей среды при обычных условиях его использования, хранения, транспортировки и утилизации, а также безопасность процесса выполнения работы (оказания услуги).

уполномоченная изготовителем (продавцом) организация или уполномоченный изготовителем (продавцом) индивидуальный предприниматель (далее — уполномоченная организация или уполномоченный индивидуальный предприниматель) — организация, осуществляющая определенную деятельность, или организация, созданная на территории Российской Федерации изготовителем (продавцом), в том числе иностранным изготовителем (иностранным продавцом), выполняющие определенные функции на основании договора с изготовителем (продавцом) и уполномоченные им на принятие и удовлетворение требований потребителей в отношении товара ненадлежащего качества, либо индивидуальный предприниматель, зарегистрированный на территории Российской Федерации, выполняющий определенные функции на основании договора с изготовителем (продавцом), в том числе с иностранным изготовителем (иностранным продавцом), и уполномоченный им на принятие и удовлетворение требований потребителей в отношении товара ненадлежащего качества;

импортер — организация независимо от организационно-правовой формы или индивидуальный предприниматель, осуществляющие импорт товара для его последующей реализации на территории Российской Федерации.

владелец агрегатора информации о товарах (услугах) (далее — владелец агрегатора) — организация независимо от организационно-правовой формы либо индивидуальный предприниматель, которые являются владельцами программы для электронных вычислительных машин и (или) владельцами сайта и (или) страницы сайта в информационно-телекоммуникационной сети «Интернет» и которые предоставляют потребителю в отношении определенного товара (услуги) возможность одновременно ознакомиться с предложением продавца (исполнителя) о заключении договора купли-продажи товара (договора возмездного оказания услуг), заключить с продавцом (исполнителем) договор купли-продажи (договор возмездного оказания услуг), а также произвести предварительную оплату указанного товара (услуги) путем наличных расчетов либо перевода денежных средств владельцу агрегатора в рамках применяемых форм безналичных расчетов в соответствии с пунктом 3 статьи 16.1 настоящего Закона и Федеральным законом от 27 июня 2011 года N 161-ФЗ «О национальной платежной системе.

  • Статья 1. Правовое регулирование отношений в области защиты прав потребителей
  • Статья 2. Международные договоры Российской Федерации
  • Статья 3. Право потребителей на просвещение в области защиты прав потребителей
  • Статья 4. Качество товара (работы, услуги)
  • Статья 5. Права и обязанности изготовителя (исполнителя, продавца) в области установления срока службы, срока годности товара (работы), а также гарантийного срока на товар (работу)
  • Статья 6. Обязанность изготовителя обеспечить возможность ремонта и технического обслуживания товара
  • Статья 7. Право потребителя на безопасность товара (работы, услуги)
  • Статья 8. Право потребителя на информацию об изготовителе (исполнителе, продавце) и о товарах (работах, услугах)
  • Статья 9. Информация об изготовителе (исполнителе, продавце)
  • Статья 10. Информация о товарах (работах, услугах)
  • Статья 11. Режим работы продавца (исполнителя)
  • Статья 12. Ответственность изготовителя (исполнителя, продавца) за ненадлежащую информацию о товаре (работе, услуге)
  • Статья 13. Ответственность изготовителя (исполнителя, продавца, уполномоченной организации или уполномоченного индивидуального предпринимателя, импортера) за нарушение прав потребителей
  • Статья 14. Имущественная ответственность за вред, причиненный вследствие недостатков товара (работы, услуги)
  • Статья 15. Компенсация морального вреда
  • Статья 16. Недействительность условий договора, ущемляющих права потребителя
  • Статья 16.1 Формы и порядок оплаты при продаже товаров (выполнении работ, оказании услуг)
  • Статья 17. Судебная защита прав потребителей
  • Статья 18. Пpaвa пoтpeбитeля пpи oбнapужeнии в тoвape нeдocтaткoв
  • Статья 19. Сроки предъявления потребителем требований в отношении недостатков товара
  • Статья 20. Устранение недостатков товара изготовителем (продавцом, уполномоченной организацией или уполномоченным индивидуальным предпринимателем, импортером)
  • Статья 21. Замена товара ненадлежащего качества
  • Статья 22. Сроки удовлетворения отдельных требований потребителя
  • Статья 23. Ответственность продавца (изготовителя, уполномоченной организации или уполномоченного индивидуального предпринимателя, импортера) за просрочку выполнения требований потребителя
  • Статья 23.1. Последствия нарушения продавцом срока передачи предварительно оплаченного товара потребителю
  • Статья 24. Расчеты с потребителем в случае приобретения им товара ненадлежащего качества
  • Статья 25. Право потребителя на обмен товара надлежащего качества
  • Статья 26. Утратила силу
  • Статья 26.1. Дистанционный способ продажи товара
  • Статья 26.2. Правила продажи отдельных видов товаров

Какие законы об интернете вступят в силу в 2021 году

Государственная Дума закончила работу в весеннюю сессию. Июнь выдался для депутатов продуктивным месяцем: было принято сразу семь законов о регулировании в интернете, причем три из них, «О приземлении интернет-трафика», о рекламе в интернете и об измерении аудитории интернет-ресурсов, сразу во всех трех чтениях.

Два других закона – о едином вещателе федеральных телеканалов в интернете и о доступном интернете – были приняты в июне во втором и третьем чтениях. Еще два принятых закона расширяют основания для блокировки сайтов в интернете: Центробанк будет блокировать сайты, занимающиеся мошенничеством в финансовой сфере, а региональные прокуроры по жалобам граждан смогут блокировать сайты с информацией, порочащей их честь и достоинство.

Другой блок поправок связан с той частью Закона «О связи», в которой говорится об обязанности операторов связи передавать в неизменном виде телефонный номер вызывающего абонента (при голосовом вызове или при передаче SMS-сообщения) или идентификатор абонента, осуществляющего голосовой вызов посредством сети передачи данных. В соответствии с поправками, внесенными в закон в 2017 г., в случае нарушения таких требований оператор связи должен прекратить оказание услуг по пропуска трафика.

Согласно принятому закону, подведомственная Роскомнадзору радиочастотная служба создает систему обеспечения соблюдения операторами связи требований (СОСОТ) при оказании услуг связи и услуг по пропуску трафика в сети связи общего пользования. Операторы связи обязаны подключиться к указанной системе, направлять в нее требуемые сведения и получать необходимые сведения.

Данная система, как и упомянутая выше система мониторинга соблюдения операторами связи обязанности по проверке достоверности сведений об абонентах, будет взаимодействовать с ЕСИА (Единая система идентификации и аутентификации) и Базой данных перенесенных номеров (БДПН). Правила функционирования системы установит Правительство.

Нынешний закон указывает, что оператор связи прекращает оказание услуг по пропуску трафика, если при использовании СОСОТ установлено отсутствие информации об инициировании соединения абонентов, в том числе для отправки короткого текстового сообщения. Исключением являются случай, когда соединение инициировано из зарубежа и сопровождается нумерацией, соответствующей иностранной системы и плану нумерации.

Также основанием для прекращения предоставления услуги является инициация вызова с сети иностранного оператора (в том числе передача SMS-сообщения), сопровождаемое нумерацией, соответствующей российской систему и плану нумерации. Исключением является установление соединение российским абонентом, находящимся в роуминге зарубежом. Еще одним основанием для прекращения оказания услуги по пропуску трафика является отсутствие у оператора, инициировавшего соединение, в том числе для передачи SMS-сообщения, информации об абонентском номере или уникальном коде абонента, инициировавшего соединение.

В случае с отработанным Роскомнадзором наказанием в виде блокировки доступа в законе будет применяться иной механизм. Еще в 2012 г. в России заработал «черные список» сайтов, составляемых Роскомнадзором. Провайдеры обязаны блокировать доступ к ресурсам из этого списка.

При этом сам Роскомнадзор может принимать решения о блокировке только сайтов с детской порнографией. В остальных случаях решения принимают суды или различные ведомства по определенному перечню оснований. Список таких ведомств и оснований постоянно расширяется.

Сейчас в него входят Федеральная налоговая служба (ФНС), Министерство внутренних дел (МВД), Генпрокуратура, Росалкогольрегулирование, Роспотребнадзор, Центризбирком и другие. Решения о блокировке пиратских ресурсов принимает Мосгорсуд, а о блокировке зеркал пиратских ресурсов – Минцифры.

Сам Роскомнадзор также получил полномочия по блокировке VPN-сервисов, организаторов распространения информации (ОРИ, сайты и приложения, позволяющие общаться интернет-пользователям) и сайтов, отказывающихся локализовать персональные данные россиян в России. Но в двух последних случаях Роскомнадзор для блокировки должен обращаться в суд.

Существующий механизм блокировки интернет-сайтов не смог в полной мере решить проблему запрещенного контента в интернете. Крупные иностранные интернет-площадки – YouTube, Facebook, Twitter – не спешат блокировать все запрещенные российскими властями материалы. На блокировку же крупных площадок Роскомнадзор не решается.

В конце 2016 г. Роскомнадзор инициировал блокировку доступа к социальной сети Linkedin из-за несоблюдения требований по локализации персональных данных. Данный шаг рассматривался наблюдателями как «показательная порка», однако на более крупные площадки он не возымел действия. В 2018 г. Роскомнадзор попытался заблокировать Telegram, но данная блокировка привела к сбоям в большом количестве не связанных с Telegram ресурсов, вызвала широкое общественное недовольство и в 2020 г. была отменена.

В конце 2020 г. был принят закон, вводящий новые наказания для интернет-компаний – оборотные штрафы. После этого суды, по заявлениям Роскомнадзора, составили протоколы о штрафах на десятки миллионов рублей для Twitter, Facebook, Google, Telegram и др. Однако у многих иностранных интернет-компаний нет представительств в России, в связи с чем остается не понятным, как взимать эти штрафы.

Новый закон должен решить эти проблемы: Роскомнадзор сможет различными путями давить на иностранных интернет-гигантов, создавая проблемы для их имиджа и получения ими дохода, с целью добиться блокировки запрещенной в России информации. При этом решения о наказании ведомство будет принимать единолично.

Кроме того, как уже упоминалось, в 2019 г. в России был принят закон «О суверенном интернете». Он обязывает интернет-провайдеров устанавливать у себя технические средства противодействия угрозам (ТСПУ), с помощью которых Роскомнадзор, в случае возникновения угрозы сети, сможет вводить централизованное управление сетью. Правительство указало, что распространение запрещенной информации относится к перечню угроз, в связи с чем Роскомнадзор в любой момент может вводить централизованное управление сетью.

Первая ласточка себя уже проявила: весной 2021 г. Роскомнадзор ввел принял меры по замедлению работы Twitter, чья администрация отказывается удалять весь запрещенный в России контент. По новому закону «О приземлении интернет-ресурсов» Роскомнадзор будет осуществлять действия по замедлению или блокировки доступа к интернет-ресурсам также с помощью ТСПУ, то есть данный процесс будет непрозрачным для интернет-провайдеров.

Напомню, что в текущей версии закона, в общедоступные источники персональных данных могут включаться сведения о субъекте с его письменного согласия.

Из новой статьи закона мы видим, что согласие на распространение персональных данных может быть предоставлено субъектом:

  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

Формулировки не подразумевают сбора письменных согласий операторами, что значительно упрощает сам процесс. Т.е. достаточно того, что субъект персональных данных соглашается с согласием размещенным на сайте. Но к оформлению таких согласий нужно подойти со всей серьезностью, т.к. как я уже описал выше, к самим согласиям будут предъявляться более жесткие требования.

Что касается специальной информационной системы РКН, предназначенной для сбора согласий на распространение персональных данных, то ее нет. Т.е. регулятор закладывает такую возможность, но когда реализует непонятно. Поэтому имеет смысл ориентироваться на согласия данные непосредственно субъектом оператору. Тем более, что молчание или бездействие субъекта ПДн ни при каких обстоятельствах не могут считаться согласием на распространение персональных данных.

Как и любое правило, требования нововведенной статьи имеют исключения. Установленные субъектом запреты на распространение его персональных данных могут быть проигнорированы оператором, если случаи обработки ПД касаются государственных, общественных или иных публичных интересов, определенных законодательством РФ.

Также требования новой статьи не применяются, если:

  • Обработка персональных данных производится в целях выполнения норм законодательства РФ.
  • Обработка производится федеральными или региональными органами исполнительной власти или же органами местного самоуправления для исполнения своих функций, полномочий и обязанностей.

Передача персональных данных, разрешенных субъектом для распространения, должна быть прекращена по требованию субъекта. В данном случае, ничего нового требования статьи не содержат, т.к. оператор и так должен прекратить обработку ПДн субъекта, если тот пишет соответствующий отзыв ранее данного согласия. Данное требование должно включать в себя ФИО субъекта, контактную информацию, а также перечень персональных данных, распространение которых подлежит прекращению. Соответственно, действие ранее данного согласия прекращается в течение трех дней с момента поступления оператору подобного требования или в срок, указанных во вступившем в законную силу решения суда, если субъект обратился в суд.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *