Организационно-правовые основы защиты персональных данных в сфере потребительского взаимного кредитования
В статье проводится анализ сущности и содержания российских нормативных правовых актов в области защиты персональных данных, рассматриваются проблемы защиты персональных данных в сфере взаимного кредитования, регулирования отношений в этой сфере, предлагаются возможные меры по минимизации рисков. Предмет исследования - потребительское взаимное кредитование, цель - разработка мер, которые должны быть приняты для недопущения незаконного сбора, хранения, использования и распространения персональных данных. Анализируются положения Федерального закона от 02.08.2019 N 259-ФЗ "О привлечении инвестиций с использованием инвестиционных платформ и о внесении изменений в отдельные законодательные акты РФ", регулирующие взаимоотношения заемщика (юридического лица или индивидуального предпринимателя) и кредитора; отношения потребительского взаимного кредитования, где заемщиком выступает физическое лицо, не подпадают под регулирование данного Закона. Рассматривается краудлендинг между физическими лицами (потребительское p2p-кредитование). Раскрывается история появления первых операторов взаимного кредитования, сущность взаимного кредитования, дается определение и описание бизнес-модели взаимного кредитования, которое выработано зарубежной практикой. Дается определение персональных данных с учетом особенностей потребительского взаимного кредитования. Выделены риски в сфере защиты персональных данных, возникающие при вступлении в отношения потребительского взаимного кредитования: риск нарушения со стороны оператора; злоупотребления персональными данными; хакерские атаки; мошенничество в сфере взаимного кредитования; непринятие со стороны оператора взаимного кредитования должных мер по защите персональных данных своих клиентов. Проведенный анализ позволяет более глубоко рассмотреть существующие риски и предложить меры по их минимизации. Учтены и обобщены основные меры законодательных актов, принятых для минимизации рисков, которые могут возникать при защите персональных данных в сфере взаимного кредитования, а также предложены дополнительные меры.
Ключевые слова: взаимное кредитование, краудлендинг, p2p-кредитование, персональные данные, оператор, физические лица, юридические лица, минимизация рисков.
The article gives an analyses of the nature and content of Russian laws and regulations in the sphere of personal data protection, the problems of personal data protection in the sphere of mutual lending, as well as suggesting possible measures to prevent the risks. The subject of the research is mutual p2p-lending. The purpose of the research is to develop measures to prevent illegal collection, storage, use and dissemination of personal data. The article analyzes the provisions of the Federal Law dated August 2, 2019, no. 259-FZ "On attracting investments using investment platforms and on amending certain legislative acts of the Russian Federation", which regulates the relationship between the borrower - a legal entity or an individual entrepreneur - and the lender, and the relationships concerning consumer mutual lending, where the borrower is an individual, are not subject to the regulation of this Law. Consumer p2p-lending is considered a type of crowdlending, where borrowers and investors are individuals. The essence of consumer p2p-lending is revealed, the definition and description of the consumer p2p-lending business model, which has been developed by foreign practice, is described. The definition of personal data is considered, taking into account the peculiarities of consumer mutual lending. The article highlights the risks in the sphere of personal data protection that arise when entering into a consumer mutual lending relationship. The analysis allows to consider the existing risks more thoroughly and propose measures to minimize them. To minimize the risks that may arise during the protection of personal data in the sphere of consumer mutual lending, the main requirements for legislative acts have been taken into account and summarized, and also some additional measures have been proposed.
Key words: mutual lending, crowdlending, p2p-lending, personal data, operator, individuals, legal entities, risk minimization.
1. Введение
В современных условиях одним из важнейших направлений защиты прав личности является регулирование отношений в области персональных данных. Понимая важность и ценность информации о человеке, а также заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных (ПД) <1> (Новиков, Галушкин, Аксенов, 2016).
--------------------------------
<1> В статье использованы ранее неопубликованные фрагменты диссертации автора.
В 1981 г. Совет Европы принял Конвенцию о защите личности в связи с автоматической обработкой персональных данных ETS N 108 (Страсбург, 28.01.1981) <2>. Государственная Дума РФ ратифицировала данную Конвенцию 25.11.2005 <3>, возложив на Российскую Федерацию обязательства по приведению деятельности в области защиты прав субъектов ПД в соответствие с нормами европейского законодательства. Первым шагом в реализации взятых обязательств стало принятие Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
--------------------------------
<2> Здесь и далее все ссылки на российские и международные нормативно-правовые акты и судебную практику приводятся по СПС.
<3> Федеральный закон от 19.12.2005 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных".
Законодательство РФ в области ПД основывается на Конституции РФ (ст. 23 - 24 дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту) и международных договорах РФ и состоит из вышеуказанного Закона о персональных данных, других нормативных правовых актов, определяющих порядок обработки и защиты ПД.
Предлагается определить, что подлежит защите при формировании отношений именно взаимного кредитования и какие риски могут возникнуть в сфере защиты ПД в связи с заключением сделок взаимного кредитования через онлайн-операторов.
Федеральным законом от 02.08.2019 N 259-ФЗ "О привлечении инвестиций с использованием инвестиционных платформ и о внесении изменений в отдельные законодательные акты РФ" регулируются взаимоотношения, где заемщиком выступает юридическое лицо или индивидуальный предприниматель; отношения потребительского взаимного кредитования, т.е. отношения, где заемщиком выступает физическое лицо, не подпадают под регулирование данного Закона. Таким образом, на данный момент в России отношения в сфере потребительского взаимного кредитования не урегулированы специальным законодательством, поэтому однозначного определения взаимного кредитования (краудлендинга, p2p-кредитования, равноправного кредитования) не выработано. В настоящем исследовании рассматривается краудлендинг между физическими лицами (потребительское p2p-кредитование), т.е. вид краудлендинга, где заемщиками и инвесторами выступают физические лица.
2. Основное исследование
Индустрия потребительского p2p-кредитования развивается с момента появления английской компании Zopa, основанной в 2005 г. По примеру Zopa в 2006 г. в США были созданы компании Lending Club и Prosper. С тех пор эта отрасль быстро растет, и в настоящее время крупнейшими рынками являются Китай, США и Европа. Поскольку первые операторы взаимного кредитования появились за рубежом, в Великобритании и США, то логично воспользоваться определением и описанием бизнес-модели взаимного кредитования, выработанными зарубежной практикой (Davis, Murphy, 2016) и активно применяемыми появляющимися российскими операторами.
Одним из первых российских p2p-сервисов онлайн-займов стал MirDeneg.ru <4>, запущенный в ноябре 2013 г. Его особенностью являлось то, что и заемщики, и заимодатели - физические лица; все финансовые отношения между пользователями происходили без посредничества финансовых институтов, а значит, без значительных переплат и лишних расходов. Создатели делали ставку на технологии и передовые алгоритмы сбора и обработки данных.
--------------------------------
<4> В настоящий момент сайт недоступен.
Управление по делам малого бизнеса США (Small Business Administration) так раскрывает сущность взаимного кредитования: "При осуществлении деятельности по взаимному кредитованию частные кредиторы предоставляют небольшие суммы для кредитования физических лиц через интернет-платформы. Взаимное кредитование позволяет частным лицам давать или брать деньги напрямую друг у друга. Так, например, происходит на площадке eBay, которая устраняет посредников между покупателями и продавцами, а операторы взаимного кредитования устраняют финансовых посредников, таких как банки или кредитные организации" (Slattery, 2013, 235).
В процессе регистрации на сайте оператора взаимного кредитования в целях создания личного кабинета клиента (заемщика или кредитора) для проведения дальнейших операций (в частности, скоринга/проверки клиентов) и для заключения сделок взаимного кредитования через сайт оператор осуществляет сбор данных. Во время регистрации запрашиваются различные данные, как правило, фамилия, имя, отчество (Ф.И.О.); реквизиты документа, удостоверяющего личность; дата и место рождения; адрес регистрации; идентификационный номер налогоплательщика (ИНН); страховой номер индивидуального лицевого счета (СНИЛС); абонентский номер; адрес электронной почты, а также другие данные, например сведения о работе или размере доходов.
Однако из Закона о персональных данных не совсем понятно, можно ли все эти данные по отдельности отнести к персональным, которыми называется любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, а также какие именно данные в совокупности относятся к персональным. Приведенное определение недостаточно ясно, поскольку непонятно, что выступает критерием определения физического лица. В случае отсутствия идентификатора из буквального смысла закона можно установить, что при определенных условиях любая информация о лице может быть признана ПД. Однако отдельно по электронной почте или абонентскому номеру невозможно понять, чьи это данные, нельзя прямо или косвенно определить физическое лицо.
На своем официальном сайте Роскомнадзор подтверждает обязательность идентификации физического лица для отнесения его данных к персональным. В частности, "фотография без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта ПД, не может свидетельствовать об обработке ПД конкретного физического лица. Фамилия, имя и отчество без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта ПД, не может свидетельствовать об обработке ПД конкретного физического лица" <5>.
--------------------------------
<5> Вопросы, касающиеся предоставления государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных" // Роскомнадзор. 2013. Дата обращения: 7 ноября, 2024.
Необходимость идентификации для отнесения данных лица к ПД существует, а четких критериев идентификации в данном случае нет, поэтому проблема остается нерешенной. Однако вывод о том, что данные идентифицированного лица являются персональными, можно сделать однозначно.
Операторы взаимного кредитования сегодня не имеют права быть организациями, осуществляющими операции с денежными средствами, при приеме на обслуживание и при обслуживании физических лиц, но могут привлекать организации, которые проводят расчеты для их клиентов. В случае привлечения таких организаций обязательным для них является правило при приеме на обслуживание идентифицировать клиента, т.е. подтвердить личность, в соответствии с требованиями Федерального закона от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
Таким образом, клиенты операторов взаимного кредитования будут идентифицированными лицами, а значит, любая информация о них может быть признана ПД и должна быть защищена.
Перечислим риски, которые могут возникнуть в связи с заключением сделок взаимного кредитования через онлайн-операторов:
- риск нарушения со стороны оператора: непредставление в уполномоченный орган уведомления об обработке ПД, его несвоевременное представление либо представление уведомления, содержащего неполные или недостоверные сведения; неполучение оператором согласия на обработку ПД, а также на передачу данных третьи лицам;
- риск злоупотребления персональными данными;
- хакерские атаки, которые могут привести к захвату и незаконному распространению ПД;
- мошенничество в сфере взаимного кредитования (например, мошенники создают сайты-клоны легитимных онлайн-площадок и обманным путем получают данные пользователей, а затем перенаправляют их в кредитные организации и получают средства на свой счет; должником в этой ситуации оказывается ни о чем не подозревающий обманутый заемщик);
- непринятие со стороны оператора взаимного кредитования должных мер по защите ПД своих клиентов.
Для минимизации рисков, которые могут возникать при взаимном кредитовании, следует учитывать основные меры, закрепленные в законодательных актах:
- оператор взаимного кредитования становится оператором ПД, о чем должен уведомлять Роскомнадзор;
- оператор должен получить согласие на обработку ПД (ст. 9 Закона о персональных данных);
- оператор должен получить согласие на взаимодействие с третьими лицами (ст. 7 Закона о персональных данных) (например, когда целью обработки ПД является соответствующая Федеральному закону от 03.07.2016 N 230-ФЗ "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях" передача (сообщение) сведений третьим лицам);
- с учетом того что сделки заключаются в Интернете, в дальнейшем ПД находятся на онлайн-серверах; соответственно, согласно п. 5 ст. 18 Закона о персональных данных "оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ";
- оператор взаимного кредитования должен разработать и опубликовать на своем сайте политику в отношении обработки ПД в соответствии с рекомендациями по составлению документа, определяющего политику оператора в отношении обработки ПД, в порядке, установленном Законом о персональных данных.
Помимо этого, предлагаем дополнительные меры:
- для предотвращения риска хакерских атак и незаконного распространения ПД нужно обязать операторов взаимного кредитования давать возможность заемщикам и инвесторам придумывать для своих аккаунтов исключительно сложные пароли (длинные комбинации из строчных и заглавных букв, цифр, знаков нижнего регистра и т.д.), поскольку хакеры могут подобрать простые пароли через специальные программы или, зная об алгоритмах наиболее часто создаваемых паролей, без труда узнать такой пароль и получить доступ к аккаунту;
- следует обязать операторов взаимного кредитования проходить сертификацию интернет-сайта, через который осуществляются операции по заключению сделок взаимного кредитования; во-первых, необходимо, чтобы интернет-сайты операторов взаимного кредитования работали с использованием безопасного https-соединения; все данные должны передаваться в зашифрованном виде по защищенному протоколу https (со значком замка); во-вторых, операторы должны устанавливать SSL-сертификаты с проверкой существования организации или с расширенной проверкой организации, а не только существования домена (Уварова, 2019);
- нужно создать реестр операторов взаимного кредитования Центрального банка РФ (ЦБ РФ) и предоставить инструментарий ЦБ РФ по маркировке интернет-сайтов организаций, представляющихся системами взаимного кредитования, при наличии у них необходимой сертификации, аналогично тому, как маркируются сайты микрофинансовых организаций (МФО); Банк России маркирует в поисковой выдаче системы "Яндекс" сайты МФО специальным маркером (синий значок с галочкой и надписью "Реестр ЦБ РФ"), информирующим потребителя о том, что на промаркированном сайте предлагаются финансовые услуги компании, имеющей статус микрофинансовой организации <6>;
- следует принять отраслевые нормативные акты для определения и оценки возможного вреда и типа актуальных угроз безопасности ПД в сфере взаимного кредитования.
--------------------------------
<6> Банк России начал проект по маркировке МФО в Интернете // Центральный банк РФ. 2017. Дата обращения: 7 ноября, 2024.
Вывод о необходимости введения основных мер исходит из анализа положений Постановления Правительства РФ от 01.11.2012 N 1119 о требованиях к защите ПД при их обработке в информационных системах ПД, уровнях защищенности таких данных и об определении типа угроз безопасности ПД, Приказа Федеральной службы по техническому и экспортному контролю России от 18.02.2013 N 21 о составе и содержании организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД для каждого из уровней защищенности ПД.
Согласно нормам указанных актов оценка эффективности реализованных в рамках системы защиты ПД (Люльченко, 2014) мер по обеспечению безопасности ПД проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Определение типа угроз безопасности ПД, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда. Вопросы же самостоятельного определения операторами взаимного кредитования оценки возможного вреда и, соответственно, определения типа актуальных угроз, а следовательно, в целом уровня защищенности и мер для защиты ПД остаются открытыми. Чем выше уровень защищенности ПД, тем больше мер по недопущению угроз безопасности необходимо принять, поэтому оператору крайне важно иметь четкие критерии определения не только категории обрабатываемых ПД, количества обрабатываемых субъектов ПД, но и возможного вреда, а значит, типа актуальных угроз, чтобы верно определить уровень защищенности.
3. Выводы
В план Роскомнадзора о проведении плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2019 г. были включены всего около 290 компаний, а в аналогичный план на 2020 г. - 90 компаний <7>, что совсем немного по сравнению с тем количеством компаний, которые оперируют ПД. Поэтому необходимо, чтобы определение ПД и требования к операторам были максимально четкими и понятными, тогда вероятность их соблюдения будет выше.
--------------------------------
<7> Планы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2019 и 2020 гг. // Роскомнадзор. Дата обращения: 15 ноября, 2024.
Следует взять операторов взаимного кредитования под особый контроль ЦБ РФ, чтобы, с одной стороны, внесенные в реестр операторы были защищены от их компрометации недобросовестными лицами, а с другой - у граждан имелась возможность при соблюдении бдительности отделять добросовестных операторов от мошенников самостоятельно.
Предложенные обязательные меры являются своего рода памяткой для операторов взаимного кредитования в сфере защиты ПД. Принятие же дополнительных мер позволит повысить защиту ПД в сфере взаимного кредитования, ведь, поскольку возникло оно относительно недавно, технология реализации этого вида заимствований, как и потребительского кредитования, нуждается в постоянном совершенствовании.
