Сбор, хранение и обработка персональных данных в России законодательно урегулированы. Государству необходимо определиться с правилами использования иной информации, которая ежедневно собирается о человеке в цифровом пространстве, полагает руководитель проекта ОНФ «За права заемщиков» Виктор Климов.
- Мы существуем сегодня в той реальности, где наши персональные данные нам не принадлежат. Как вообще так вышло?
- Персональные данные, если следовать букве закона, это данные, которые позволяют однозначно идентифицировать личность гражданина – паспорт, СНИЛС, ИНН и т.д. Собирают и собирали эту информацию всегда, она находится в государственных базах, в распоряжении учреждений социальной сферы, в которые мы приходим, и даже вахтёр во многих организациях записывает ваши паспортные данные. Раньше это никого не беспокоило, потому что не было технологий обработки этих данных, но по мере перехода в «цифру» и появления технологий обработки данные стали товаром. Они стали собираться совершенно осмысленно, потому что большие массивы данных позволяют получить самую разную информацию, от безобидной – ваших маркетинговых предпочтений, до самых разных, довольно серьёзных вещей. И поэтому вопрос действительно стоит ребром, и достаточно серьёзно. Это если говорить про данные, которые являются действительно персональными, то есть касаются юридически значимых сведений о нас. Но, кроме этого, есть огромное количество данных (которые часто по ошибке «упаковывают» в эту же категорию), которыми человек располагает в цифровом мире – цифровые следы, которые гражданин оставляет, посещая сайты, делая покупки, осуществляя финансовые транзакции, перемещаясь по контролируемым видеокамерами пространствам, размещая в социальных сетях самую разную информацию, используя карты лояльности… огромный пласт данных, которые в буквальном смысле не являются персональными, но с появлением технологии big data, возможностей обработки не только структурированных, но и неструктурированных массивов данных, эти данные тоже стали представлять серьёзный интерес – коммерческий и иной, поскольку по совокупности этих данных с помощью технологий можно понять про вас, что называется, всё, и, в случае чего, гарантированно вас идентифицировать. Чем дальше – тем больше будет возможностей.
Поэтому сегодня вопрос не в том, кому – нам или не нам – принадлежат наши персональные данные, не в их защите, не в ответственности за их распространение. Вопрос надо рассматривать в более широком контексте, имея в виду всю совокупность данных о гражданине.
- В Евросоюзе осознают важность истории с данными, ужесточили ответственность за их утечку. Как у нас обстоит дело с законодательством в этой сфере?
- Действительно, страны начали задумываться над тем, каким образом отрегулировать этот процесс, как сделать, чтобы гражданин в цифровом мире мог влиять на поток информации о себе. Были приняты соответствующие директивы. Если говорить только про персональные данные, то законодательно сегодня в России их обращение урегулировано. Есть уголовная ответственность за несанкционированный сбор данных о нас и о нашей частной жизни, за попытки добыть различные подобные сведения, есть серьёзная административная ответственность операторов персональных данных за несоблюдение ими регламентов, за использование при хранении определённых массивов данных несоответствующего оборудования. Нельзя сказать, что дело брошено на самотёк. Другой вопрос – правоприменение. Если говорить про финансовый рынок, то мы сталкиваемся с тем, что каким-то образом информация о долгах попадает туда, куда она не должна была попадать. И, на самом деле, случаев привлечения к ответственности, когда ловят за руку злоумышленников или тех, кто допускает халатность или осмысленно продаёт данные, практически нет. Ни для кого не секрет, что публичные базы данных телефонов до сих пор можно приобрести. И даже закрытые базы попадают в продажу. Непосредственно с информацией, связанной с банковской тайной, дело обстоит более-менее прилично, потому что есть серьёзная ответственность за её утечку. Случаи утечки банковских баз мне неизвестны. Но, вместе с тем, был случай, когда один очень известный, очень большой банк вдруг передал данные о транзакциях какой-то консалтинговой компании для разработки маркетинговой стратегии, и это вдруг просочилось в публичное пространство. Историю, правда, быстро «замяли».
Весь этот оборот информации о клиентах вызывает массу вопросов. Дать или не дать доступ кредиторам к данным пенсионного фонда, к данным налоговой? Такие предложения будоражат общество. Рынок обсуждает, что нужно сделать правила для всех одинаковыми – если доступ разрешён, то для всех, если запрещён – то тоже для всех. Но есть другая сторона этого процесса – гражданин. Гражданин, который в обмен на своё удобство, на доступ к какой-нибудь услуге готов дать своё согласие на… и дальше идёт огромный список, который никто не читает, но там попадаются совершенно невероятные вещи, которые выкачивают из наших девайсов сервисные приложения на смартфонах. Что они потом с ними делают, как эти данные потом используются, никто не знает. Это большие деньги. Огромные базы – это серьёзный ресурс, за них идёт конкуренция. Некоторые даже говорят: данные – это новая нефть. Только, в отличие от нефти, это бесконечно пополняющийся ресурс. Всё время добавляются возможности использовать данные ещё как-нибудь по-новому, их ценность от этого растёт, количество тоже и т.д., и т.д. Когда вы в смартфоне устанавливаете приложение «фонарик», вы даёте согласие по более, чем 20 позициям, это записано в соглашении. Вы это делаете, не раздумывая (или раздумывая, но соглашаясь), потому что вам удобно. В этой ситуации разговор о том, давать или не давать доступ финансовым кредитным организациям к инфраструктуре получения с вашего согласия данных о вас, всё более выглядит смешным.
Но оставлять это в нынешнем виде, когда любой оператор может собирать данные так, как ему заблагорассудится, подписывая формально с вами соглашение при предоставлении услуги, а дальше используя ваши данные абсолютно бесконтрольно, - наверное, не очень правильно. Государство должно своих граждан защищать. Как от своих коммерсантов, которые собирают цифровые следы, обыкновенные данные, в результате обработки становящиеся персональными, токсичными (это всё сегодня запросто), так и от иностранных, которые через предоставление международных продуктов делают то же самое – узнают про нас всё. Мой смартфон теперь знает мою биометрию, так как он меня по ним идентифицирует, он знает параметры моего здоровья (в результате сопряжения между собой различных приложений), знает все финансовые транзакции, потому что банковская карточка привязана к мобильному приложению…
- Геолокация, опять же…
- Геолокация, да. То есть мы давно уже в аквариуме, это точно надо понимать, и государство в этом смысле должно предпринимать усилия и создавать некие ограничивающие правила.
- В продолжение темы электронного согласия. Британская компания Experian выяснила: 22% граждан Великобритании не знают, как компании могут использовать их данные, и торопятся нажать кнопку "Согласен", приобретая товар или услугу через интернет. 41% населения не в восторге от того, что их просят раскрыть большой объем персональных данных для получения товаров и услуг, но всё равно предоставляют их. 28% населения, прежде чем раскрывать какую-то информацию, стараются убедиться в порядочности компании, а также внимательно вчитываются в предлагаемые соглашения. И 9% населения научились обходить требование раскрытия данных и не предоставлять информацию, которую они не желают сообщать. Речь о Великобритании. А как, на ваш взгляд, в России с этим обстоит дело?
- Думаю, что люди в этом смысле везде одинаковые. Не верю, что целых почти 30% внимательно читают и выясняют, что за копания собирает их персональные данные. Безусловно, если речь идёт о некоем случайно присланном письме или не очень понятном программном продукте – наверное, большинство людей задаётся вопросом: кому я отдаю свои данные? Но когда речь идёт про айфон, Windows и тому подобные вещи, никто не читает этих соглашений. Я удивлюсь, если мы найдём хоть одного человека, который сел и прочитал соглашение Microsoft, хотя его продукцией пользуется весь мир. Поэтому предположу, что соотношение в России примерно такое же, как в Великобритании. Меня удивляет, что 9% говорят, будто они научились обходить требование раскрытия данных… Если речь о лицензионном приложении или об авторском легально распространяемом контенте, я не знаю, каким образом эти требования можно обойти, кроме как используя пиратские копии, и мне кажется, это иллюзия «обхода». Бессчётное количество систем собирают данные о нас, вообще не спрашивая. По большому счёту, это не запрещено. Согласие компании получают, на мой взгляд, достаточно формально во избежание судебных исков, обвинений во вмешательстве в частную жизнь и т.д. Простой пример: вся Москва в целях безопасности обвешана камерами, они есть в каждом дворе. Постепенно они становятся девайсами с достаточно приличным разрешением. Были уже истории, когда преступников идентифицировали с помощью этих камер. Но это ведь означает, что и нас с вами, как добропорядочных граждан, при необходимости, получив доступ к этим базам, к огромным неструктурированным массивам, тоже можно найти – выяснить, куда мы ездим, где мы ходим.
- Получается, всё, что не запрещено, разрешено? И как же быть?
- Государство должно выстроить систему ограничений. С одной стороны, мы последовательно идём к полной прозрачности и открытости, в том числе финансовой: всё должно одно с другим биться, налоги – с социальными платежами, зарплаты – с расходами (рано или поздно это даже перестанет вызывать у кого-то вопросы). Но при этом государство, добиваясь прозрачности, должно обеспечить безопасность путём определения правил, какие данные можно собирать, а какие нет, и каким образом может происходить вторичное использование этих данных. Вы дали один раз согласие, а куда потом продали эту базу, вы не знаете, и что с этой базой делают.
Есть идеи в этом смысле очень разные. Первая, самая понятная: гражданин должен быть собственником данных, иметь на них все права, распоряжаться ими. Но возникает вопрос: как он будет этим распоряжаться? Ну вот как это администрировать? Он подписал согласие на предоставление данных, ему будут присылать изменённый текст соглашения, он всё равно будет нажимать кнопку «I agree», и дальше будет происходить всё то же самое, что сейчас. Или же нужно определить порядок, в котором гражданин, в случае если его данные обработаны, будет получать за это плату. В общем, идей много, но пока, я так понимаю, и в мире не пришли к какому-то универсальному перспективному решению, под которое будет создана правовая конструкция. С расширением применения технологии блокчейн вопрос вообще становится очень интересным, потому что у каждого узла (а это может быть телефон или компьютер каждого гражданина) имеет в этой системе свою роль, права и т.д. Это новая реальность. Пока регуляторы реагируют в основном на вызовы, созданные угрозами, которые уже реализовались.
- Что важно учесть в будущем регулировании?
- Первое: данные должны следовать за гражданином. В том числе данные различных государственных информационных систем. Чтобы в любой точке своего местонахождения вы могли получить свои медицинские показатели, налоговые данные. Условно говоря, сдав анализы в Тюмени, получить консультацию в Москве. Это хрестоматийный пример, про медицину. Но это очень важная вещь, которая пока не реализована.
Вторая история, очень важная. В силу того, что существенная часть информационных систем – государственные, государство должно последовательно прийти к тому, чтобы данные реестров имели самостоятельную юридическую силу. То есть не бумажка, справка, полученная на основании реестра, а сами данные реестра. Сейчас это есть в системе государственной регистрации недвижимости. «Бумажное» свидетельство о собственности уже не нужно. Необходимо добиться онлайн-сопряжения одних систем с другими. Например, чтобы, воспользовавшись интернет-ресурсом о выделении земель для многодетных семей, вы могли не просто получить информацию о том, где какие участки есть, а могли и действия все совершить, идентифицировав себя онлайн через любую точку доступа в государственных системах, получив из них онлайн необходимую информацию и совершив дальше необходимые юридически значимые действия. Это единственно возможный ход оптимизации государственных услуг, всевозможных разрешений, контрольно-надзорной деятельности. Это шаг к государству как платформе.
И третья, очень важная вещь, касающаяся использования данных: должна быть их равнодоступность и «равнонедоступность». То, чего, к сожалению, сейчас нет. Есть множество разных примеров на рынке, не будем показывать пальцем, когда данные кому-то выдаются по запросу, а кто-то через API качает напрямую и предоставляет на их основе какой-нибудь сервис. Здесь должны быть очень чёткие правила, и государство должно следить за их соблюдением. Всё что нельзя – нельзя всем (я не говорю про спецслужбы, у них специальные задачи), всё, что можно – можно всем. Подобная политика позволит коммерческим структурам «навернуть» на эти открытые данные огромное количество сервисов. За бизнесом, который готов в этом направлении что-то делать и продавать, государство никогда не угонится.
И, конечно, государство должно следить за тем, чтобы за прозрачностью, в том числе финансовой, которой оно добивается от граждан, следовала безопасность. В этом смысле правоприменение должно быть гораздо более эффективным, чем сегодня. Возвращаюсь к теме защиты прав потребителей финансовых услуг. Уважаемый Роскомнадзор, понятно, сейчас занят «Телеграмом», но у нас до сих пор сим-карты болтаются по рынку какие угодно и где угодно. Например, существенная часть бандитского, хулиганского коллекторского бизнеса – она основывается на том, что люди: а) получают данные без соблюдения правил; б) могут это делать, будучи не идентифицированными, с помощью современных средств коммуникации. Это неприемлемая история.
- Недавно в новостях промелькнула информация о том, что телефонный номер как раз предлагают использовать как идентификатор гражданина.
- Разные могут быть истории, есть разные примеры в мире. В Индии, например, уникальный идентификационный номер – это фактически цифровой паспорт гражданина. У нас идентификация строится на биометрических параметрах. Есть много разных подходов. Точно понятно, что идентификация гражданина там, где это необходимо, должна быть быстрой, простой, прозрачной. Технически это уже возможно сделать дистанционно, а совсем скоро это станет повсеместно применимым.
- Какова вероятность того, что мы придём к китайской модели, где существует социальный рейтинг?
- Я думаю, что, на самом деле, нечто подобное в России уже есть. Просто пока не в виде единого рейтинга, так как полная «сквозная» цифровизация всех данных не завершена. Но, поверьте, когда вы идёте на финансовый рынок (особенно в большие организации), про вас там всё знают, вас идентифицируют. Многие банки в скоринг заложили оценку ваших профилей в социальных сетях. Количество информации, которую банк так или иначе использует в модели вашей оценки, оно сегодня достаточно большое.
В США есть кредитный рейтинг – на мой взгляд, неплохая практика. Если такой механизм у нас внедрить, это способствовало бы повышению финансовой грамотности гражданина, особенно если нововведение сопровождать разъяснительной работой. Люди понимали бы объективно, как их оценивает финансовый мир, а не шли в банки наугад: «Одобрят кредит или не одобрят?». На мой взгляд, подобные практики не только сокращают издержки финансовых институтов. Как человек, представляющий потребителя, я говорю, что это: а) всё равно неизбежно, финансовые институты сделают это сами; б) полезно с точки зрения формирования объективного представления гражданина о себе.
- Существует мошенническая схема, при которой ненастоящая микрофинансовая организация собирает онлайн-заявки на микрозаймы, получая таким образом персональные данные пользователей. Затем, используя полученные данные, направляет заявки уже в настоящие МФО и получает деньги. Через некоторое время гражданин с удивлением узнает, что он должен денег. С подобными схемами вообще ведется какая-то борьба?
- Это одна из разновидностей мошенничества – кража персональных данных, введение в заблуждение с целью получения имущества. Подобные случаи, совершенно точно, должны отрабатываться правоохранительными органами. У нас любят говорить, будто микрофинансисты во всём виноваты. В данном случае речь не о микрофинансистах, а о мошенниках. Они могут и в банке потом кредит взять, хотя в банке сложнее идентификация. То есть, каким образом потом обналичить данные – это уже вторая часть схемы. А данные у нас пытаются различными способами украсть – используя и «письма счастья», и псевдоплатёжные сайты. Несколько лет назад был принят законопроект, связанный со скиммингом. Я участвовал в его разработке и активно добивался того, чтобы уголовная ответственность была предусмотрена не только за факт кражи денег с карточки, но и за кражу данных. Потому что, когда начинается увод денег – уже поздно, денег уже нет, и их, как правило, никогда не найти. Так что за сам факт кражи данных в законе прописана ответственность, и она тоже должна правоохранителями применяться.
- Ответственность вменяется за кражу какого-то массива данных или вплоть до «штучной»?
- Если вы сделали подложный сайт и успели перехватить только одну транзакцию – это что, не кража? Кража. Если вы поставили скиммер на банкомат, даже если вы ещё ничего не украли, но вы поставили устройство, которое крадёт, это уже уголовная ответственность, конечно.
- Предпринимаются ли какие-то попытки вернуть гражданам право на персональные данные?
- Законопроекты есть разные, в том числе, своё решение предложил ФРИИ.
Как я уже говорил, обсуждается идея сделать гражданина собственником своих персональных данных. В качестве одного из вариантов, предлагается использовать в процессе распоряжения данными посредников. И тогда, скорее всего, уже не люди, а искусственный интеллект будет проверять состав соглашения, которое гражданину предложено, на соответствие закону. Если будут правила, и будет понятно, что может быть в соглашении, а чего не может, то обеспечить проверку не проблема. Другой вопрос: вот хочет человек купить и пользоваться программным продуктом какого-нибудь мирового бренда, а этот производитель не хочет соответствовать установленным законодательством требованиям, и всё. Мол, не хотите – не покупайте, в вашей стране пусть не продаётся. А ведь это же цифровой мир, границ нет. И дальше начинаются вопросы… как поведут себя люди?
Однозначных, простых решений тут нет. Это сфера, в которой законодательство идёт вслед за тем, что происходит в мире. И правильные, хорошие технологии иногда переворачиваются так, как никто не мог предугадать. Поэтому, конечно, необходимы ограничения.
- Стало быть, предпринимаются попытки вернуть гражданам право распоряжаться личными данными. Но как быть с теми данными, которые уже «утекли»? Добровольно их никто не захочет возвращать.
- Не «утекли», а граждане сами проставили везде галочки, дали согласия на использование своих данных международным социальным сетям, производителям программного обеспечения. Каждый раз, когда вы покупаете смартфон, вы подписываете соглашение, и ваши данные попадают в чьё-то распоряжение. Их невозможно никак вернуть. Что значит «вернуть данные»? Ну, вам могут дискетку прислать или флэшку. Вопрос в праве гражданина на коррекцию, ликвидацию, неиспользование данных о нём. К сожалению, это очень трудно администрируемая вещь. Особенно в международном пространстве. Вопрос в поиске норм, которые будут признаны всеми в мире, таких, знаете, глобальных, общечеловеческих, которые должны стать основой процесса обмена. Я подчеркну, что мы говорим про цифровые данные в принципе, а не только де-юре персональные данные. Потому что, например, ваш список контактов де-юре не является персональными данными. А собирают-то ведь всякое-разное, и потом вас по этим данным знают лучше, чем по номеру паспорта.
- Пока этих глобальных норм ещё нет, какие меры предосторожности нужно соблюдать, чтобы не подарить свои данные мошенникам или просто излишне предприимчивым коммерсантам? Как защищаться от рекламного спама или вторжения в личное пространство, которые стали неотъемлемой частью процесса обмена данными?
- Гражданин должен понимать, что государство его никак не защитит, если он открывает непонятные вложения, почтовые сообщения, кликает согласия на всё подряд. Своему смартфону и интернет-сообществу человек скоро будет доверять больше, чем правилам, написанным в любых учебниках. И сколько вы ни развешивайте социальной рекламы, это не сработает. Безусловно, есть ограничители, они связаны с данными, по которым можно осуществлять юридически значимые действия, связанные с вашим имуществом, вашими деньгами. Это данные, к которым нужно относиться особенно внимательно и контролировать, где, как и кому вы эти данные готовы предоставить. Другого ничего пока не придумали. Я даже не призываю никого читать вот эти соглашения на обработку данных. Потому что это, на мой взгляд, бессмысленное занятие.
- Серьёзно, не призываете?
- Да, я, например, не читаю. И вы не читаете.
- Смотря какие…
- Например, когда вы подключаете новый смартфон, вы же согласие не читаете? И никто не читает. Потому что большие бренды – они, конечно, не допустят, чтобы образовался какой-то скандал с использованием ваших данных. Или, во всяком случае, стараются не допустить, как самые большие хранители данных.
Другой вопрос, что предлагаемые гражданам соглашения государство должно проверять неким алгоритмизированным способом. Разрастается оборот данных, на нём сегодня строится большая часть экономической активности. А государство, как тот волк со сковородкой в детской игрушке, должно за всем успевать.