Каков главный посыл закона 152-ФЗ с точки зрения прав человека и ответственности бизнеса?
Первостепенной целью закона 152-ФЗ является не технологическое регулирование, а защита прав и свобод человека, а именно его права на неприкосновенность частной жизни. Он призван защитить клиентов и сотрудников от злоупотреблений их личной информацией. С точки зрения бизнеса, закон возлагает на оператора (компанию) ответственность доказать государству, что он относится к этим данным с уважением и обеспечивает их сохранность, что является основой для привлечения к ответственности в случае нарушений.

Почему на практике граница между «общедоступными» и «иными» персональными данными является условной и динамической?
Эта граница условна, потому что статус данных меняется в зависимости от действий оператора. Информация (например, номер телефона в открытом объявлении) является общедоступной, пока она находится в своем исходном открытом источнике. Однако как только оператор копирует эти данные в свою внутреннюю базу для целей рассылки или иной обработки, не получив отдельного согласия субъекта, они мгновенно теряют для этого оператора статус «общедоступных» и переходят в категорию «иных» персональных данных, которые он уже обязан защищать в полном соответствии с законом.

В чем заключается ключевая «негласная практика» компаний при оценке типа актуальных угроз для своей информационной системы и каковы их типичные аргументы?
Ключевая «негласная практика» заключается в том, что большинство компаний целенаправленно стремятся обосновать актуальность для своей системы только угроз 3-го типа (наименее опасных, не связанных с уязвимостями в системном и прикладном ПО). Это позволяет им значительно снизить стоимость и сложность выполнения защитных мер. Типичные аргументы для этого звучат так: «Мы используем лицензионное системное ПО с автоматическими обновлениями, а наше прикладное ПО (например, CRM) разрабатывает проверенный вендор с многолетним опытом, что исключает наличие недокументированных уязвимостей и, следовательно, угроз 1-го и 2-го типа».

Чем, согласно тексту, «биометрические» данные отличаются от обычной фотографии в социальной сети? Приведите практический пример.
Ключевое отличие заключается в цели использования фотографии. «Биометрическими» данные становятся не по своему содержанию, а в момент их целенаправленной обработки для установления личности человека. Так, обычное селфи в социальной сети — это не биометрия. Но та же самая фотография (или специально сделанный снимок), распечатанная на пропуске или используемая в системе распознавания лиц для доступа в офис, — это уже биометрические персональные данные, обработка которых требует письменного согласия субъекта.