Geekly Articles each Day

पीडी पर कानून का नया संस्करण: क्या हमें डरने की जरूरत है?

जुलाई के अंत में, राष्ट्रपति ने " व्यक्तिगत डेटा पर " संघीय कानून में संशोधन करने वाले बिल पर हस्ताक्षर किए। यह कानून 27 जुलाई को रोसिस्काया गजेटा में प्रकाशित हुआ और फिर लागू हुआ। इसके अलावा, "पूर्वव्यापी बल" भी उन्हें दिया गया था: उनकी कार्रवाई उन कानूनी संबंधों तक फैली हुई है जो 1 जुलाई को पैदा हुई थी। गोद लेने की चर्चा गर्मजोशी से पहले की गई थी: सूचना सुरक्षा के क्षेत्र में कई विशेषज्ञ राष्ट्रपति के पास एक खुले पत्र के साथ गए, जिसमें उन्होंने उनसे कानून पर हस्ताक्षर नहीं करने का आग्रह किया। पत्र के हस्ताक्षरकर्ताओं के अनुसार, प्रस्तावित संशोधन व्यक्तिगत डेटा के स्वत: प्रसंस्करण के साथ व्यक्तियों के संरक्षण पर यूरोप कन्वेंशन की परिषद का अनुपालन नहीं करते हैं, हालांकि परियोजना का उद्देश्य अपनी आवश्यकताओं को पूरा करने के लिए ठीक था।

व्यक्तिगत डेटा सुरक्षा उपायों को निर्धारित करने की योजना, जो अब अपनाई गई है, मौलिक रूप से सम्मेलन के विपरीत है। अधिवेशन के अनुसार, जो व्यक्ति जानकारी संसाधित करता है, वह स्वतंत्र रूप से यह निर्धारित कर सकता है कि उन्हें किस माध्यम से संरक्षित किया जा सकता है। लेकिन घरेलू कानून स्वयं ऐसी आवश्यकताओं को स्थापित करता है, जो उनकी विफलता के लिए दायित्व प्रदान करता है। इसके अलावा, पत्र के लेखकों के अनुसार, ये आवश्यकताएं "20 साल पहले राज्य के रहस्यों की रक्षा के तरीके और तरीके" हैं। बिल का पाठ मूल रूप से एक समझौता था, उपाय चुनने पर व्यक्तिगत डेटा ऑपरेटर को कार्रवाई की अधिक स्वतंत्रता देता है। लेकिन गोद लेने की प्रक्रिया में, उनका पाठ बदल दिया गया था। तो ठीक है, देखते हैं कि किस प्रकार के संशोधन हैं।

कानून किस पर लागू होता है?



बहुत पहले नहीं, हम इस कानून की पहले से ही जांच कर रहे थे। और पहले ही क्षण जिस पर ध्यान दिया जाना चाहिए था, वह इसकी कार्रवाई का दायरा था। दुर्भाग्य से, कानून में खुद को व्यापक रूप से लोगों के व्यापक विवरणों के लिए वर्णित नहीं किया गया था: इसकी आवश्यकताओं को केवल डेटा प्रसंस्करण पर लागू किया जाता है जो या तो " स्वचालन टूल का उपयोग करके किया जाता है " या " व्यक्तिगत डेटा के साथ किए गए कार्यों (संचालन) की प्रकृति से मेल खाती है " स्वचालन उपकरण का उपयोग करना । ” यह किस तरह का चरित्र है, यह ससुराल में पता चला था, जो एक नियम के रूप में, कोई भी नहीं पढ़ता है।

अब कानून के पहले लेख के पाठ को बदल दिया गया है, एक स्पष्टीकरण जोड़ा गया है जो इस विशेष बिंदु पर चिंता करता है: डेटा प्रसंस्करण "स्वचालन उपकरण का उपयोग" किया जाता है यदि यह "किसी दिए गए एल्गोरिदम के अनुसार, भौतिक माध्यम पर दर्ज व्यक्तिगत डेटा की खोज करने की अनुमति देता है" फ़ाइल अलमारियाँ या व्यक्तिगत डेटा के अन्य व्यवस्थित संग्रह में निहित है, और (या) ऐसे व्यक्तिगत डेटा तक पहुंच। " जैसा कि पिछले लेख में बताया गया है, पीडी पर कानून केवल बड़े डेटा प्रोसेसिंग पर लागू होता है। अब यह पाठ में स्पष्ट रूप से इंगित किया गया है। हालांकि, यह अतिरिक्त विशिष्टता व्यक्तिगत डेटा की बहुत अवधारणा में बदलाव से ऑफसेट थी। पहले, उनकी परिभाषा में " ऐसी जानकारी के आधार पर निर्धारित या निर्धारित एक विशिष्ट व्यक्ति से संबंधित कोई भी जानकारी " शामिल थी। अब, पीडी " किसी प्रत्यक्ष या अप्रत्यक्ष रूप से किसी विशिष्ट या निश्चित प्राकृतिक व्यक्ति से संबंधित किसी भी जानकारी को संदर्भित करता है।" इन परिवर्तनों के साथ, कानून का दायरा अकल्पनीय सीमा तक फैल जाता है। अब, व्यक्तिगत जानकारी को ऐसी जानकारी माना जाता है जो किसी तरह एक निश्चित व्यक्ति से संबंधित होती है, और इससे कोई फर्क नहीं पड़ता कि क्या इसके आधार पर एक व्यक्तित्व स्थापित करना संभव है, या यदि यह अन्य स्रोतों से डेटा के साथ तुलना करना आवश्यक है।

कानून के विनियमन के तहत, इंटरनेट पर सभी साइटें तुरंत गिर जाती हैं, यहां तक ​​कि उन लोगों के लिए जो उपनामों के साथ नामों को संग्रहीत नहीं करते हैं। एक ई-मेल पता, यहां तक ​​कि किसी भी अतिरिक्त जानकारी के बिना, पहले से ही व्यक्तिगत डेटा है, क्योंकि यह अप्रत्यक्ष रूप से नामित व्यक्ति से संबंधित है। जैसे ब्लॉग प्रविष्टियाँ, इंटरनेट दूतों के पते और अन्य जानकारी का एक समूह, ग्रेडबुक में ग्रेड तक। यह अनिश्चितता अनिवार्य रूप से इस तथ्य का नेतृत्व करेगी (और पहले से ही है) कि कानून की व्याख्या की जाती है "जैसा कि ईश्वर आत्मा में डालता है," और किसी को भी पीडी के साथ काम करने की प्रक्रिया का उल्लंघन करने के लिए दंडित किया जा सकता है। इसलिए यह पुराने कानून की अवधि के दौरान था, लेकिन परिवर्तन इस तरह की प्रथाओं के व्यापक प्रसार में योगदान देगा।

इसके अलावा, कानून का चौथा लेख निकायों की सीमा को व्यापक करता है जो पीडी के संरक्षण के क्षेत्र में विनियमों को अपना सकते हैं: इनमें बैंक ऑफ रूस और नगरपालिका प्राधिकरण शामिल हैं। यह व्यक्तिगत डेटा प्रसंस्करण के "ओवरराइजेशन" को बढ़ाने के लिए कानून के सामान्य पाठ्यक्रम के अनुरूप है।

आपको सहमति के लिए पूछने की आवश्यकता नहीं है



व्यक्तिगत डेटा के प्रसंस्करण के लिए एक सामान्य स्थिति उनके विषय (यानी, जिस व्यक्ति से यह डेटा संबंधित है) की सहमति प्राप्त करना है। कानून कई स्थितियों के लिए प्रदान करता है जहां ऐसी सहमति की आवश्यकता नहीं होती है। ऐसी स्थितियों की सूची में संशोधन द्वारा काफी विस्तार किया गया था, क्योंकि पुराने संस्करण स्पष्ट रूप से आधुनिक वास्तविकताओं को पूरा नहीं करते थे। ऐसी स्थितियों की सूची में जोड़ा गया था, उदाहरण के लिए, न्याय प्रशासन और न्यायिक कृत्यों के प्रवर्तन। यह तथ्य कि यह जमीन पहले कानून में नहीं थी, एक स्पष्ट चूक है।

सार्वजनिक सेवाओं के प्रावधान में विषय की सहमति नहीं मांगी जा सकती है। ऐसी स्थितियों की सूची के अलावा, एक को तब जोड़ा गया था जब " व्यक्तिगत डेटा का प्रसंस्करण ऑपरेटर या तीसरे पक्ष के अधिकारों और वैध हितों का उपयोग करने या सामाजिक रूप से महत्वपूर्ण लक्ष्यों को प्राप्त करने के लिए आवश्यक है, बशर्ते कि व्यक्तिगत डेटा के विषय के अधिकारों और स्वतंत्रता का उल्लंघन न हो "। जैसा कि आप समझते हैं, " सामाजिक रूप से महत्वपूर्ण लक्ष्यों " से काफी कुछ समझा जा सकता है, उदाहरण के लिए, उनके पास दावों के मामले में विभिन्न प्रकार की "ब्लैक लिस्ट" वाली साइटें, सबसे अधिक संभावना है, यह कानून का बिंदु है जिसे वे संदर्भित करेंगे। इस घटना में सहमति नहीं पूछी जा सकती है कि व्यक्तिगत डेटा के विषय द्वारा सार्वजनिक की गई जानकारी का प्रसंस्करण है। अजीब तरह से पर्याप्त है, कानून के पिछले संस्करण में ऐसा कोई अपवाद नहीं था, अर्थात्, औपचारिक रूप से उन आंकड़ों के प्रसंस्करण के लिए भी सहमति की आवश्यकता थी जो सार्वजनिक रूप से उपलब्ध थे।

इस तरह की सहमति प्राप्त करने की प्रक्रिया का वर्णन करने वाले कानून के नौवें लेख में भी महत्वपूर्ण बदलाव किए गए हैं। पिछले संस्करण में, यह केवल लिखित रूप में दिया जा सकता था, और दस्तावेज़ में हस्तलिखित हस्ताक्षर होना चाहिए। सीधे शब्दों में कहें, यह कागज होना चाहिए था। यद्यपि नागरिक संहिता इलेक्ट्रॉनिक दस्तावेजों सहित दस्तावेजों का आदान-प्रदान करके लिखित रूप में लेनदेन करने की संभावना प्रदान करती है, लेकिन हस्तलिखित हस्ताक्षर की आवश्यकता ऑपरेटर और इस संभावना के व्यक्तिगत डेटा के विषय से वंचित है। कागज सहमति का एक विकल्प केवल एक इलेक्ट्रॉनिक हस्ताक्षर के साथ हस्ताक्षरित एक दस्तावेज था, जिसकी रूस में व्यापकता बहुत कम थी।

लेकिन पहले, " इलेक्ट्रॉनिक हस्ताक्षर पर " कानून बदल गया: अपने नए संस्करण में, एक दस्तावेज़ को न केवल क्रिप्टोग्राफ़िक सॉफ़्टवेयर की मदद से, बल्कि पासवर्ड, पुष्टिकरण कोड और अन्य कार्यों की मदद से भी हस्ताक्षरित किया जा सकता है। पहले, उन्हें हस्तलिखित हस्ताक्षर के एनालॉग्स कहा जाता था, लेकिन नए कानून के तहत वे "हस्ताक्षर" भी बन गए।

पीडी पर कानून के संशोधनों के लेखक आगे भी चले गए और प्रसंस्करण को "किसी भी रूप में इसकी प्राप्ति के तथ्य की पुष्टि करने की अनुमति देता है, जब तक कि संघीय कानून द्वारा प्रदान नहीं किया गया हो।" कानून के लिए लिखित रूप की आवश्यकता हो सकती है, जिस स्थिति में हस्ताक्षर इलेक्ट्रॉनिक भी हो सकते हैं। साइट पंजीकरण फॉर्म में चेकमार्क "मैं सहमत हूं" शामिल है। वास्तव में, कानून को शुरू में किसी हस्तलिखित हस्ताक्षर की आवश्यकता नहीं थी, इसकी आवश्यकता को संशोधित करके स्थापित किया गया था। अब ये दाने परिवर्तन वापस आ गए। इसके अलावा, अनुच्छेद 18 में भी संशोधन किया गया था, पीडी ऑपरेटर के दायित्वों को परिभाषित करते हुए: स्थितियों की सूची का विस्तार किया गया था जब वह इस विषय को सूचित नहीं कर सकता है कि वह अपने व्यक्तिगत डेटा को उन मामलों में संसाधित करता है जहां वह इसे विषय से प्राप्त नहीं करता है। कानून इस तरह की अधिसूचना से छूट देता है, उदाहरण के लिए, यदि प्रसंस्करण सांख्यिकीय या अन्य अनुसंधान उद्देश्यों के लिए किया जाता है, या पत्रकार की गतिविधियों को करते समय।

... और अब क्या बदलेगा?



खैर, अब हम बहुत ही लेख ( उन्नीसवीं ) पर आते हैं, जो डेटा सुरक्षा सुनिश्चित करने के उपायों को नियंत्रित करता है। कानून के अन्य लेखों के विपरीत, इसमें कोई संशोधन नहीं किया गया था। संशोधित संस्करण को बिल से बाहर निकाल दिया गया था। इस बीच, इसमें डेटा ऑपरेटरों के लिए महत्वपूर्ण छूट भी थी। वर्तमान संस्करण में, उन्हें जानकारी की सुरक्षा के लिए आवश्यक उपाय करने की आवश्यकता होती है, जबकि सुरक्षा आवश्यकताओं को सरकार द्वारा स्थापित किया जाता है। इस नियम के कोई अपवाद नहीं हैं। लेकिन लेख का वह संस्करण, जो बिल में निहित था, उदारवादी नवाचारों के लिए भी प्रदान किया गया था।

उन "आवश्यक उपाय" जिन्हें ऑपरेटर को लेना चाहिए, डेटा की मात्रा और उनके प्रसंस्करण की प्रकृति पर निर्भर करता है, जो रिसाव के कारण हो सकता है, साथ ही साथ अन्य कारक भी। लेकिन सबसे महत्वपूर्ण बात, सरकार को केवल राज्य और नगरपालिका संस्थानों के लिए अनिवार्य सुरक्षा आवश्यकताओं को निर्धारित करने का अधिकार प्राप्त हुआ। जिस तरह से अन्य सभी संगठन जानकारी की रक्षा करते हैं वह पूरी तरह से उनके विवेक के लिए छोड़ दिया गया था।

यह प्रश्न मौलिक क्यों है, आप आसानी से समझ सकते हैं यदि आप जानते हैं कि रूस में प्रमाणित सूचना प्रणालियों का कार्यान्वयन कैसे हो रहा है। एक अच्छा उदाहरण प्रसिद्ध EGAIS है , जिसका कार्य "रूस में शराब की प्रत्येक बोतल" को नियंत्रित करना था। प्रणाली कार्य के साथ सामना नहीं करती थी, लेकिन इसके कार्यान्वयन पर पैसे के पहाड़ पहले ही खर्च किए जा चुके हैं, मुख्य रूप से प्रमाणित उपकरणों की बेजोड़ लागत और इसके रखरखाव पर काम करने के कारण। सच है, सिस्टम के लिए सॉफ़्टवेयर स्वयं इसके लिए विशेष रूप से लिखा गया था, और व्यक्तिगत डेटा की सुरक्षा के लिए मौजूदा प्रमाणित कार्यक्रमों का उपयोग करना संभव होगा, जो हमें अधिक बख्शते कीमतों की उम्मीद करने की अनुमति देता है।

लेकिन प्रमाणित कंप्यूटरों के आपूर्तिकर्ताओं के भूख की भविष्यवाणी करना कठिन है: उदाहरण के लिए, डिस्टिलरी के लिए ईजीएआईएस उपकरण के एक विशिष्ट सेट की कीमत 650 हजार रूबल है। राष्ट्रपति को उल्लिखित पत्र के हस्ताक्षरकर्ताओं ने अत्यधिक खर्चों का भी उल्लेख किया: उनके अनुमानों के अनुसार, कानून की आवश्यकताओं को पूरा करने की लागत देश के सकल घरेलू उत्पाद के छह प्रतिशत तक पहुंच सकती है। और अगर आपको लगता है कि कानून का मुख्य कार्य व्यक्तिगत डेटा की वास्तविक सुरक्षा है, तो आप गंभीर रूप से गलत थे। यह केवल लीक से बचाने में सक्षम नहीं है, इसके विपरीत, इसमें निहित कठोर आवश्यकताएं केवल इलेक्ट्रॉनिक सेवाओं की प्राप्ति को जटिल बनाती हैं।

जैसा कि हमने ऊपर लिखा है, हमारा कानून अनिवार्य रूप से अनिवार्य सूचना सुरक्षा आवश्यकताओं के अनुपालन के लिए दायित्व स्थापित करता है। लेकिन एक ही समय में, यदि किसी प्रकार का डेटा रिसाव वास्तव में होता है, तो इसके लिए कोई प्रतिबंध नहीं लगाया जाता है: यह संभव है कि डेटा प्रोसेसिंग के "कानूनी प्रक्रिया का उल्लंघन" करने के लिए, केवल प्रशासनिक संचालन संहिता के अनुच्छेद 13.11 के तहत एक डेटा ऑपरेटर को आकर्षित किया जाए। यह लेख एक साधारण उल्लंघन और एक के बीच अंतर नहीं करता है, जिसने कुछ नुकसान पहुंचाया है। इसके अलावा, डेटा लीक के बारे में जानकारी छिपाने के लिए कोई दायित्व नहीं है। प्रशासनिक अपराधों की संहिता का एक और "चल रहा" लेख 19.7 है , जो "कानून द्वारा निर्धारित प्रावधान के बारे में जानकारी प्रदान करने में विफलता" के लिए दायित्व स्थापित करता है। इसका उपयोग उन मामलों में किया जाता है जहां ऑपरेटर रोसकोम्नाडज़ोर को सूचित नहीं करता है कि उसने व्यक्तिगत डेटा को संसाधित करना शुरू कर दिया है - इस तरह की बाध्यता पीडी कानून के अनुच्छेद 22 के लिए प्रदान की जाती है। जैसा कि आप देख सकते हैं, यहां औपचारिक रूप से गैर-अनुपालन के लिए जिम्मेदारी भी लागू की जाती है, चाहे वह किसी भी प्रकार के नुकसान से हुई हो। लेकिन कानून प्रमाणित कंप्यूटर और कार्यक्रमों की बिक्री को पूरी तरह से उत्तेजित कर सकता है।

Source: https://habr.com/ru/post/In126299/

More articles:


All Articles