СЕРГЕЙ БОБРОВСКИЙ: КОЛОНКА ОБОЗРЕВАТЕЛЯ
В PC Week/RE, N36/2006, c. 32-33 была опубликована подборка статей, посвященных новому Федеральному закону РФ N 152-ФЗ "О персональных данных". Авторы справедливо сетуют на сложности, которые он принесет.
Закон призван отрегулировать классическое общественное противоречие, когда государство стремится собрать максимум информации о своих гражданах, а те, в свою очередь, стараются ее скрыть (впрочем, почти всегда без серьезных на то оснований). Так, по новым правилам становится незаконной запись в БД информации о том, что гражданин Петров, например, любит читать Шопенгауэра, - если только он не дал письменного согласия на такую запись или не сообщил об этом в интервью СМИ. Однако демонстрируемую законом заботу о гражданах несложно обойти. Закон не ограничивает накопление персональных сведений, являющихся "общедоступными" - опубликованными в СМИ и различных изданиях (телефонных справочниках, "желтых страницах" и т. д.). Подобным способом, особенно с привлечением современных технологий, можно собрать очень много информации о конкретном человеке. В США такая деятельность представляет собой крупный бизнес - например, коммерческая база LexisNexis (lexisnexis.com) охватывает содержимое огромного количества открытых периодических изданий и справочных систем по физическим и юридическим лицам. Да и ценность приватной информации обычно бывает сильно преувеличена: любопытствующие легко узнают о зарплате коллег в бухгалтерской ведомости, личную жизнь сложно скрыть от друзей, национальность определяется по внешнему виду, в медицинских картах роется старушка-соседка, подрабатывающая медсестрой в поликлинике, а религиозные взгляды последние пятнадцать лет вообще мало кого интересуют.
Разглашения приватной информации больше всего опасаются нарушители закона, нажившие собственность неправедным путем. Лучше всего дисциплинирует как раз максимальная открытость (и незаслуженно забытая гласность) - примером тому современные проектные agile-методики, эффективность которых напрямую связана с доступностью любых сведений о проекте для каждого его участника. Веб-камеры в кабинетах чиновников, открытые базы данных по налогоплательщикам, прямые онлайновые репортажи с заседаний правительства - все это лишь оздоровит обстановку в обществе.
В то же время с проблемой утечки приватных данных, коль уж решено их защищать, можно эффективно справиться на организационном уровне путем ввода персональной ответственности руководителя, без привлечения значительных средств. Пока что владельцы БД пытаются откреститься от пиратских справочников - дескать, это не оригинальные базы, а компиляции из разных источников. Поэтому любую крупную БД, подпадающую под действие закона о персональных данных, можно определенным образом пометить - например, с помощью несложных стеганографических методов. Пусть, например, надзорная структура в каждую базу скрыто введет оригинального виртуального пользователя с неповторимой контрольной фамилией, по которой потом можно однозначно определить источник утечки и наказать ответственного.
Конечно, полностью с воровством приватных данных вряд ли удастся справиться - например, в Англии, согласно статистике полицейского подразделения по борьбе с мошенниками CIFAS, число преступлений, связанных с воровством такого рода информации, за последние шесть лет возросло с 20 до 137 тыс. случаев. Однако резко, на порядок, сократить их количество можно и на технологическом уровне - достаточно запретить использование для хранения приватных данных тех СУБД, которые не имеют встроенной поддержки шифрования. Сведения в базе должны храниться непосредственно в зашифрованном виде, тогда ее копирование становится бессмысленным.
Однако угроза приватности подчас проявляется совершенно непредсказуемо. В июле Министерство экономического развития и торговли РФ объявило о планах создания новой системы персонального учета российского населения (СПУН). Ее концепция формировалась в рамках "Электронной России" еще год назад и неожиданно вызвала протесты со стороны правозащитников (!). В СПУН, как в любой системе, использующей реляционные СУБД, планировался к использованию так называемый идентификатор персональных данных (ИПД), который сопутствует информации о каждом гражданине. Правозащитные организации сынтерпретировали ИПД как "лагерный номер заключенного", и в результате авторам СПУН пришлось отказаться от явного идентификационного поля и ввести таинственную процедуру отождествления гражданина с данными о нем.
К чему может привести подобный шаг? Структура реляционных СУБД такова, что уникальный идентификатор каждой записи - необходимый элемент любой таблицы БД, без которого не выполняется вторая нормальная форма 2NF (математическая модель корректности и целостности БД) и падает общая производительность. Сложно представить мало-мальски надежную реляционную систему, в которой нарушалось бы второе правило Эдгара Кодда - автора реляционной модели, - требующее ввода такого идентификатора. Противники ИПД также утверждают, что подобный номер упрощает воровство сведений по конкретному человеку, - однако в результате отказа от него существенно снижается общая безопасность и облегчается воровство данных по всем гражданам!
Добавление в СПУН дополнительного звена сомнительного назначения (пресловутой процедуры отождествления) никоим образом защищенности системы не повышает. Нет другой абсолютно надежной операции однозначной идентификации человека, кроме как по некоторому уникальному ключу, - ведь фамилии людей часто совпадают, а место жительства нередко меняется. Выходом могут стать биометрические данные, но массовое распространение соответствующих технологий произойдет еще не скоро. Создатели СПУН наверняка найдут корректный выход из щекотливой ситуации, но в любом случае для каждой записи в таблицах базы СПУН необходимо вводить ключевое поле, которое в двоичном виде всегда будет представлено как число.
Грустно, когда создателям информационных систем под давлением некомпетентных мнений приходится корректировать математические законы построения СУБД. В любой учетной системе, не обязательно компьютерной, традиционно применяется числовая нумерация - например, для удобства обработки вводятся номера учетных карт, которые присваиваются не человеку, а информации о нем. А вот полномасштабный отказ от ИПД может внести в СПУН серьезную путаницу, что принесет много реального, а не выдуманного вреда. Посмотрим, к какой неразберихе приведет запуск этой системы в эксплуатацию без ИПД и сколь быстро появится база СПУН у пиратов.
К автору можно обратиться по адресу: sbo@pcweek.ru.
