Лучше бы это была хакерская атака
Стала известной практика Федеральной налоговой службы по обмену персональными данными с Федеральной миграционной службой, в результате которой произошло внесение изменений в Единый государственный реестр юридических лиц - ЕГРЮЛ. По всей видимости, внесение изменений, не основанное на нормах права, происходит в результате применения неизвестных и не зафиксированных в правовых актах эвристик по корректировке «ошибочных», по мнению ФМС и ФНС, записей. Возможно, нарушается законодательство о персональных данных, регулирование, связанное с ведением ЕГРЮЛ, и УК РФ.
Версии, что это хакерская атака или технический сбой, мне представляются маловероятными, хотя последняя версия, скорее всего, будет официальной. Даже если был технический сбой, он не должен экранировать главного - не закрепленного в законе обмена первональными данными и возможности внесения в результате такого обмена изменений в государственный информационный ресурс, имеющий, кстати, правоустанавливающий и правоподтверждающий характер.
Необычно, что история стала публичной, но сама практика обычная и касается не только ФМС и ФНС. Ведомства массово обмениваются пакетными выгрузками из своих баз данных на основании соглашений - документов с неопределенным правовым статусом, которые многие считают противоправными, см. скриншот. Иногда по старинке на DVD-дисках, иногда через СМЭВ. (Кстати и в который раз: СМЭВ была разработана и введена в эксплуатацию без функции протоколирования взаимодействий. СМЭВ не позволяет установить, кто, какие сведения в каком объеме, на каком основании передавал, невозможно даже отличить тестовые запросы-ответы от боевых, и сегодня через СМЭВ реализованы в том числе не соответствующие закону взаимодействия.)
Существует разрыв между реальной жизнью органов власти и требованиями законодательства о защите персональных данных, и картина была бы неполна без Роскомнадзора, уполномоченного органа по защите прав субъектов персональных данных. Вот его «Отчет о деятельности…» (DOC-файл размером 5 Мб) за 2011 г., цитата со стр. 23 без комментариев:
«В рамках реализации мер пресекательного характера Уполномоченным органом в 2011 году совместно с правоохранительными органами проведены рейды по радиорынкам г. Москвы, в ходе которых было изъято несколько сотен физических носителей информации, содержащих сведения о частной и личной жизни граждан, объединенных в 17 баз данных различной тематики и принадлежности, в том числе: «Прописка», «ГАИ + Полисы КАСКО и ОСАГО», «Федеральная таможенная служба» и другие.
В отношении федеральных органов государственной власти, к ведению которых предположительно могли относиться изъятые базы данных (ФНС России, ФТС России, ГИБДД МВД России, ФМС России), Уполномоченным органом совместно с ФСБ России и ФСТЭК России были проведены проверки на предмет выявления фактов утечек обрабатываемых персональных данных. По результатам проверок органами ФСБ России и ФСТЭК России факты утечек из информационных систем указанных органов государственной власти выявлены не были.»
Версии, что это хакерская атака или технический сбой, мне представляются маловероятными, хотя последняя версия, скорее всего, будет официальной. Даже если был технический сбой, он не должен экранировать главного - не закрепленного в законе обмена первональными данными и возможности внесения в результате такого обмена изменений в государственный информационный ресурс, имеющий, кстати, правоустанавливающий и правоподтверждающий характер.
Необычно, что история стала публичной, но сама практика обычная и касается не только ФМС и ФНС. Ведомства массово обмениваются пакетными выгрузками из своих баз данных на основании соглашений - документов с неопределенным правовым статусом, которые многие считают противоправными, см. скриншот. Иногда по старинке на DVD-дисках, иногда через СМЭВ. (Кстати и в который раз: СМЭВ была разработана и введена в эксплуатацию без функции протоколирования взаимодействий. СМЭВ не позволяет установить, кто, какие сведения в каком объеме, на каком основании передавал, невозможно даже отличить тестовые запросы-ответы от боевых, и сегодня через СМЭВ реализованы в том числе не соответствующие закону взаимодействия.)
Существует разрыв между реальной жизнью органов власти и требованиями законодательства о защите персональных данных, и картина была бы неполна без Роскомнадзора, уполномоченного органа по защите прав субъектов персональных данных. Вот его «Отчет о деятельности…» (DOC-файл размером 5 Мб) за 2011 г., цитата со стр. 23 без комментариев:
«В рамках реализации мер пресекательного характера Уполномоченным органом в 2011 году совместно с правоохранительными органами проведены рейды по радиорынкам г. Москвы, в ходе которых было изъято несколько сотен физических носителей информации, содержащих сведения о частной и личной жизни граждан, объединенных в 17 баз данных различной тематики и принадлежности, в том числе: «Прописка», «ГАИ + Полисы КАСКО и ОСАГО», «Федеральная таможенная служба» и другие.
В отношении федеральных органов государственной власти, к ведению которых предположительно могли относиться изъятые базы данных (ФНС России, ФТС России, ГИБДД МВД России, ФМС России), Уполномоченным органом совместно с ФСБ России и ФСТЭК России были проведены проверки на предмет выявления фактов утечек обрабатываемых персональных данных. По результатам проверок органами ФСБ России и ФСТЭК России факты утечек из информационных систем указанных органов государственной власти выявлены не были.»