Банки не поддержали законопроект о доступе спецслужб к данным клиентов
Они не готовы открывать его без согласия пользователей или решения судаРоссийские банки не поддержали законопроект, который наделяет силовые структуры правом получать прямой доступ к их информационным системам и базам с данными клиентов. Это следует из письма Ассоциации банков России (АБР), которое направлено в Минцифры и председателю комитета Госдумы по информационной политике, информационным технологиям и связи Александру Хинштейну. РБК ознакомился с копией документа, его подлинность подтвердил представитель АБР.
Законопроект был внесен в Госдуму в августе 2023 года. Согласно документу, Минобороны, ФСБ, ФСО, Служба внешней разведки и МВД могут получить права на доступ, в том числе удаленный, к различным информационным системам и базам данных для редактирования или удаления сведений о сотрудниках спецслужб, которые являются клиентами этих организаций. В законопроекте речь в первую очередь идет о государственных и муниципальных базах, но в целом документ предусматривает создание отдельного реестра информационных систем, в которых обрабатываются данные силовиков. Вноситься в этот перечень системы будут по представлению органов безопасности, обороны, разведки и т.д.
Как следует из пояснительной записки, такая мера необходима для обеспечения защиты информации об отдельных категориях лиц, работающих в силовых ведомствах. Эти категории должны быть определены указом президента России.
Как отмечается в письме АБР, операторы этих систем (в том числе и банки) должны предоставить спецслужбам доступ к данным, а также выполнять их требования по обеспечению конфиденциальности персональных данных их сотрудников. В случае неисполнения требований о предоставлении доступа к информационным системам из реестра банкам и другим организациям могут запретить эксплуатацию таких систем. Операторы также должны будут проводить мониторинг своих систем в целях выявления сведений о ведомственной принадлежности сотрудников спецслужб и незамедлительно информировать силовые структуры о выявлении данных.
Аппарат правительства перенаправил запрос РБК в Минцифры. В министерстве сообщили, что письмо АБР туда пока не поступило. «Согласно законопроекту, силовые структуры будут взаимодействовать с информационными системами строго в соответствии с порядком, который установит правительство. Таким образом будут учтены все возможные риски. Кроме того, речь в документе идет о доступе не ко всем информационным системам, а только к тем, которые будут включены в специальный реестр», — подчеркнули в Минцифры.
О чем предупреждают банки
- «По мнению кредитных организаций, концепция законопроекта не может быть поддержана», — говорится в письме ассоциации. В АБР входят крупнейшие банки, в том числе Сбербанк, ВТБ, Альфа-банк, «Тинькофф», Газпромбанк и другие. Ассоциация не раскрывает отдельно позицию каждой кредитной организации.
- Документ «порождает многочисленные правовые коллизии и входит в противоречие с положениями законодательства, устанавливающими режимы защиты охраняемой законом тайны; нормами, регулирующими безопасность критической информационной инфраструктуры, противодействие отмыванию доходов, полученных преступным путем, и финансированию терроризма, и рядом других нормативных требований», пишет АБР.
- Принятие законопроекта может привести к нарушению конституционных прав граждан России из-за предоставления спецслужбам неограниченного доступа к персональным данным физических лиц, которые не относятся к специальной категории сотрудников спецслужб и не давали согласие на доступ к их охраняемым персональным данным, в том числе к охраняемой законом тайне. При этом сами банки должны будут предоставить доступ к персональным данным без согласия клиента и без решения суда. Доступ к информации ограничен федеральными законами для ее защиты, и предоставление прямого доступа спецслужбам практически противоречит действующему законодательству, подчеркивает АБР.
- Банки обращают внимание на то, что в соответствии с антиотмывочным законодательством они должны по запросу Росфинмониторинга предоставлять данные об операциях клиентов и с определенной периодичностью обновлять информацию о клиентах. Однако непонятно, как это возможно будет делать, если спецслужбы смогут самостоятельно изменять и удалять данные о своих сотрудниках без уведомления кредитных организаций. За невыполнение антиотмывочного законодательства банкам может грозить приостановление деятельности, опасаются они.
- Неограниченный и неконтролируемый доступ спецслужб может привести и к рискам для информационной безопасности, так как нарушится функционирование баз данных, а информация может быть передана третьим лицам, указывают банкиры еще на одну проблему. Также это может привести к технологическим рискам. Например, в случае некорректного изменения информации, необходимой для функционирования процессов, банки могут столкнуться с невозможностью исполнения своих обязательств перед клиентами.
- Из-за удаления или редактирования сведений о ведомственной принадлежности сотрудников спецслужб возникает риск ненадлежащей идентификации клиента и оценки комплаенс-риска, пишет АБР.
- Законопроект также наделяет спецслужбы правом контролировать обработку персональных данных сотрудников силовых структур. Банки считают это требование избыточным, так как эти функции осуществляет Роскомнадзор.
- Выполнение банками новых требований приведет к существенному увеличению трудозатрат, обширному объему работы и росту издержек, заключает ассоциация в своем письме.
Что банкиры предлагают взамен
По мнению банков, законопроект нуждается в существенной переработке. «Из законопроекта необходимо исключить требование к операторам информационных систем и баз данных о предоставлении спецслужбам удаленного доступа в информационные системы персональных данных», — говорится в письме.
В качестве альтернативы банки предлагают построить взаимодействие со спецслужбами через ФНС или ЦБ. Так, кредитные организации уже сейчас передают в ФНС данные об открытии счетов. Эту информацию можно дополнить сведениями о сотрудниках силовых ведомств и создать каналы взаимодействия между ФНС и спецслужбами для мониторинга данных их сотрудников. Кроме того, при открытии счетов можно дополнить сведения о клиенте информацией о том, что он является сотрудником спецслужб, считают в АБР.
Одновременно с этим банки предлагают наделить силовые структуры правом запрашивать у банков через ЦБ состав сведений о сотрудниках спецслужб и дать одному из силовых ведомств право направлять в банки через ЦБ указания по их изменению или удалению. При этом следует установить запрет на редактирование тех данных, которые необходимы для исполнения требований антиотмывочного закона.
Другой альтернативный механизм, предложенный банками, предусматривает получение ими права самостоятельно корректировать данные силовиков через механизм официальных запросов от спецслужб.
Обоснованны ли опасения банков
«Законопроект, разработка которого идет совместно с Минцифры, сейчас находится на стадии предварительного рассмотрения. Необходимость в нем очевидна, особенно в условиях проведения СВО, когда защита персональных данных отдельных категорий лиц влияет на национальную безопасность», — сказал РБК Александр Хинштейн.
«Мы изучим позицию АБР и постараемся найти компромиссное решение, но вопросы безопасности все равно останутся в приоритете», — добавил депутат.
Помимо перечисленных банками рисков данная законодательная инициатива может привести к росту случаев утечки информации и различных злоупотреблений должностными полномочиями со стороны лиц, которые получат доступ к базам данных, говорит партнер юридической фирмы «Рустам Курмаев и партнеры» Дмитрий Горбунов. Возможность редактирования сведений в базах данных невозможна без доступа к ее прочтению, а это, в свою очередь, нарушает установленный законом режим банковской тайны, добавляет управляющий партнер юридической компании ШАГИ Андрей Шарков. Он считает, что такое существенное нарушение закона, безусловно, подорвет уровень доверия к российским банкам.
Также существуют риски для сотрудников банков, которые могут быть привлечены к ответственности за нарушение финансовой дисциплины в случаях бесследного удаления данных сотрудников спецслужб, продолжает Шарков: «Учитывая режим секретности, получение указанных сведений на практике будет почти невозможно, поэтому даже защищаться пострадавшим сотрудникам кредитных организаций будет крайне сложно».
С банками и своими коллегами не согласен адвокат, управляющий партнер адвокатского бюро «РИ-консалтинг» Роман Воронин. Он считает, что пресечь злоупотребление должностными полномочиями в коммерческих и иных целях можно путем настройки IТ-инфраструктуры. В пример он приводит выстроенный в настоящее время процесс проверки лиц, находящихся в розыске. «Фиксируется каждый такой доступ (к данным. — РБК), и, соответственно, потом проводятся проверки службами собственной безопасности, которые выявляют неправомерный доступ», — объясняет Воронин.
Варианты взаимодействия банков со спецслужбами через ЦБ и ФНС вполне могут обеспечить реализацию необходимых задач, которыми обоснован законопроект, полагает Горбунов. Воронин же обращает внимание, что прямой доступ спецслужб к базам без ЦБ в качестве посредника позволит более оперативно получать доступ к информации. Тем более не представляется вероятным, что в случае запроса со стороны спецслужб ЦБ им откажет, заключает он.