понедельник, 17 ноября 2014 г.

СНИЛС - общедоступные ПДн?

Статья об обработке персональных данных удостоверяющими центрами.
Начнем с утверждений:
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)."
Статья 3. ФЗ от 27.07.2006 г. № 152-ФЗ "О персональных данных"
СНИЛС - страховой номер индивидуального лицевого счета.
"На территории Российской Федерации на каждое застрахованное лицо Пенсионный фонд Российской Федерации открывает индивидуальный лицевой счет с постоянным страховым номером ..."
Статья 6. ФЗ от 01.04.1996 № 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования"
Исходя из этих утверждений, СНИЛС является персональными данными и подлежит защите.
В том же  27-ФЗ предъявляются требования к Пенсионному фонду и страхователям обеспечить защиту сведений, входящих в индивидуальный лицевой счет застрахованного лица в соответствии с законодательством о ПДн (Статьи 6 и 17).

Несмотря на вышеописанное, аккредитованные удостоверяющие центры требуют указывать СНИЛС заявителя при подготовке квалифицированной электронной подписи. Причем, СНИЛС используется не только для нужд удостоверяющего центра, он является частью открытого ключа, а значит, доступен широкому кругу лиц.



Пример:

Удостоверяющий центр Информационного аналитического центра Санкт-Петербурга (http://ca.iac.spb.ru).
  1. Заходим в раздел Реестр сертификатов пользователей.
  2. Скачиваем сертификат интересующего нас пользователя.
    Стоит отметить что наличие капчи не позволяет автоматизированно выгрузить все сертификаты, но и считать это ограничением доступа к ПДн нельзя.
  3. 3. В сертификате во вкладке Состав находим поле Субъект:
  4. Вот они, ПДн.

Не берусь судить о возможности нанесения практического ущерба субъекту ПДн из за разглашения его СНИЛС, но факт нарушения 152-ФЗ удостоверяющими центрами на лицо.

А почему так? - а по законодательству.

"Квалифицированный сертификат должен содержать следующую информацию:
...
страховой номер индивидуального лицевого счета владельца квалифицированного сертификата - для физического лица либо идентификационный номер налогоплательщика владельца квалифицированного сертификата - для юридического лица;"
Статья 17 ФЗ от 06.04.2011 № 63-ФЗ "Об электронной подписи"
Те же требования продублированы в нормативных документах ФСБ, регламентирующих деятельность, в том числе, удостоверяющих центров:
"6. В соответствии со статьями 14 и 17 Федерального закона квалифицированный
сертификат должен содержать следующую информацию:
...
- страховой номер индивидуального лицевого счета (далее - СНИЛС) владельца квалифицированного сертификата - для физического лица;"
Приказ ФСБ от 27.12.2011 № 795 "Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи"
Вот и получается, что законодательство делает общедоступными ПДн СНИЛС всех граждан, кто хоть раз получал квалифицированную электронную подпись.

В качестве завершения статьи вопрос, риторический
- если удостоверяющие центры вполне легально публикуют ПДн субъектов ПДн (в частности СНИЛС), надо ли  другим операторам ПДн у себя продолжать обеспечивать защиту этих ПДн?

1 комментарий:

  1. Обычно они берут согласие на обработку персональных данных - значит считают, что данные=ПДн. Значит, данные должны защищать по всем критериям.
    А по поводу защиты конфиденциальности - в Согласии я не видел "РЖД-ешного" приема: предложения ПРИЗНАТЬ пользователю, что его ПДн являются общедоступны)).

    ОтветитьУдалить