Персональные данные. Валюта XXI века
Персональные данные человека — это ценность. Сегодня их покупают и продают, их утечка рождает миллиардные судебные тяжбы. Однако мы по-прежнему не глядя подписываем право на их обработку, устанавливаем бесполезные приложения, удивляемся спаму в почте и звонкам от незнакомцев. Кто же охотится за нашими данными и зачем?
Персональные данные. Что это?
В федеральном законе № 152, принятом в далеком 2006 году, персональными данными называется «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Формулировка, с одной стороны, ясная, с другой — очень размытая. На деле границы понятия де-юре определяются де-факто. Они зависят от трактовки, разъяснения и судебной практики. В узком смысле персональными данными являются имя, фамилия и отчество человека, номера и серии его документов, адрес регистрации. В широком — это может быть и мировоззрение, и религиозная принадлежность, данные геолокации и даже генетический код. Более того, как видно из определения, персональными данными может считаться и информация, косвенно относящаяся к человеку.
Закон был ориентирован на бумажный документооборот, но стремительное развитие интернет-технологий привело к утрачиванию контроля за распространением персональных данных. Вопросы о правомерности обработки персональных данных все чаще решаются в суде. Из недавнего — судебные тяжбы между социальной сетью «ВКонтакте» и компанией
ООО «Дабл». Камнем преткновения стал вопрос о том, допустимо ли использование пользовательских данных без их ведома третьими лицами.
На сегодняшний день в России, по данным Роскомнадзора, более 399 операторов персональных данных, и не все из них соблюдают закон. За первый квартал 2018 года РКН оштрафовал операторов более чем на 1,4 млн рублей, выдал 327 предписаний, составил более 300 тыс. протоколов об административных нарушениях.
BIG DATA
Персональные данные сегодня являются одним из самых дорогих продуктов глобального рынка, и за них идут настоящие судебные войны. В 2014 году британская аналитическая компания Cambridge Analytica при помощи приложения, разработанного научным сотрудником Кембриджского университета Алексом Коганом, получила доступ к персональным данным 50 млн пользователей социальной сети Facebook. Утечка была обнаружена только через год. За свою работу Алекс Коган получил $800 тыс.
Казалось бы, какие-то персональные данные. Пользователи их сами размещают в аккаунтах, однако аналитическая работа с большими массивами данных позволяет специалистам получить представление о массе прикладных вещей. Начиная от покупательной способности и семейном положении пользователей до мониторинга политических взглядов.
По данным ассоциации исследовательских компаний Esomar, мировой рынок онлайн-исследований оценивается сегодня в $13,7 млрд, российский — в $29,2 млн. Консалтинговая компания IDC оценивала мировой рынок big data к 2020 году примерно в $203 млрд против $130,1 млрд в 2016 году.
Будьте внимательны!
Отвлечемся от мира больших данных и обратимся к повседневной жизни.
Способов получения персональных данных множество. Они могут утечь от официальных операторов, могут быть получены через социальные сети, их можно извлечь из последовательности мобильных операций по банковской карте или посредством скрытых функций приложений для смартфона. Специалист по безопасности Федерации исследований электоральной политики (ФИЭП) Андрей Абросимов рассказал о примере кражи данных. Его знакомая оформляла кредит в банке для покупки ноутбука. Специалист банка через включенный Bluetooth скрытно скопировал контакты адресной книги клиентки, и при первом случае задержки выплаты по кредиту на сутки всем, кто был в адресной книге, начали поступать звонки.
По словам Андрея Абросимова, одним из эффективных «повседневных» способов сохранения контроля за своей учетной записью и персональными данными при работе с интернет-ресурсами и приложениями является двухфакторная аутентификация. Она предполагает доступ на портал не только введением идентификатора, который может храниться в кэш-памяти, но с обязательным введением одноразового пароля, который приходит на телефон. Нужно помнить о том, что ваши персональные данные — это ценность.
Контекстная охота
Профессор Колумбийского университета Алан Уэстин в 1968 году выступил перед частью конгресса США с речью об опасности для неприкосновенности частной жизни американцев кредитных бюро. Проблема была в том, что персональные данные клиентов легко оттуда утекали. Этим пользовались и банки, и рекламщики, и банальные мошенники. Нарушение конфиденциальности персональных данных было прямым нарушением закона о неприкосновенности частной жизни и ее анонимности. Речь Уэстина привела к правкам в законодательстве.
Право на неприкосновенность частной жизни была прописана и в советских Конституциях 1936 и 1977 годов, и в нынешней Конституции 1993 года. Однако соблюдаются ли эти законы?
В августе этого года житель США (штат Калифорния) Наполеон Патаксил подал в суд на компанию Google, обвинив ее в незаконном сборе информации о передвижениях пользователей. Тем самым нарушался закон о персональных данных. Агентство Associated Press провело свое расследование, в котором выяснилось, что данные о геолокации и перемещениях пользователей собираются даже при выключенном телефоне. Google пока отвергает обвинения.
За примерами того, как нарушение конфиденциальности персональных данных влияет на жизнь, далеко ходить не надо. Телефонные звонки с неизвестных номеров, навязчивая контекстная реклама в интернете, различные «акции», которые будут выгодны именно нам, именно в эту секунду, стали частью современной жизни.
Базы телефонных номеров, контактов, продаются в открытом доступе на рынках и в интернете. Есть сегодня и биржи персональных данных. По сути, за полвека ничего не изменилось.
За нами следят?
В июле 2018 года российские банки начали создавать Единую биометрическую систему (ЕБС), которая позволит клиентам пользоваться их услугами удаленно. Идентификаторами будут служить голос клиента банка и его фото. Данные биометрии по запросу могут передаваться ФСБ и МВД. Общество встретило эти нововведения неоднозначно. Возникли опасения, что Россия идет по пути Китая, где собрана самая крупная биометрическая база и разрабатывается система социального рейтинга.
Директор по правовым инициативам Фонда интернет-инициатив Александра Орехович считает, что и в России есть предпосылки для аналогичного опыта, однако они возникают скорее не благодаря, а вопреки правовому регулированию. По ее словам, у нас сейчас тоже есть ряд проектов, которые позволяют рейтинговать субъекта в зависимости от его поисковых запросов, от того, что он смотрит в интернете, куда он ездит, что постит на своей странице. Эта информация впоследствии может быть применена и при принятии решений о кредитовании в банковской сфере, и при приеме на работу. Такие проекты действительно существуют, но такая деятельность зачастую находится в окололегитимном поле.
Наше законодательство в этой сфере имеет ряд пробелов, и в каждом случае либо суд, либо контролирующий орган разбирается, действительно ли получение этих сведений нарушает права граждан. Во многом такие особенности связаны с тем, что наше законодательство не определяет четко, кому же принадлежат данные субъекта, кто имеет право принимать решения по вопросам их распространения, анализа, использования. В ряде случаев такая неопределенность позволяет действовать некоторым операторам данных по принципу «что упало, то пропало» — то есть в соглашения с субъектом закладываются права оператора «распоряжаться» по своему усмотрению теми данными, которые предоставляет субъект.
— Вместе с тем Россия является членом Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, — напоминает Александра Орехович. — Наше законодательство приведено в соответствие с этой конвенцией. По прогнозам директора Фонда интернет-инициатив, Россия пойдет в направлении регулирования оборота персональных данных по пути европейского законодательства, а оно сегодня движется в сторону наибольшего установления «принадлежности» данных самому субъекту.
