Законопроект, который даст россиянам возможность удалять свои персональные данные из коммерческих баз данных, внесут в осеннюю сессию Госдумы, заявил разработчик документа — вице-спикер нижней палаты парламента Борис Чернышов. Он надеется создать механизм, благодаря которому можно будет удалить всю информацию о себе с помощью всего одного заявления. Посредником между субъектом персональных данных (ПДн) и многочисленными базами данных предлагается сделать Минцифры. Насколько реально и необходимо создание такого механизма, разбирались «Известия».
В чем суть законопроекта
Борис Чернышов сообщил, что планирует внести поправки в федеральный закон «О персональных данных» в осеннюю сессию Госдумы. Депутат замечает, что в ФЗ «О персональных данных» есть право на отзыв согласия, но это слишком непрозрачная и сложная процедура — тем более для того, чтобы вычистить сведения о себе из всех баз данных. Сейчас заявление нужно направлять каждому конкретному оператору, если это не помогает — идти в суд.
Борис Чернышов сообщил «Известиям» со ссылкой на данные Роскомнадзора, что в России за два года почти в 40 раз выросло количество утечек персональных данных пользователей: в 2021 году их было зафиксировано всего четыре, в 2022 году — свыше 140, за первые семь месяцев 2023-го — более 150.
Депутат приводит и такие цифры: 64% россиян пытались удалить свои личные данные с сайтов или социальных сетей; около 20% находили на сайтах информацию о себе или своих близких, которую хотели бы удалить из интернета; 41% опрошенных не пытался удалить информацию только потому, что не знал, как это сделать.
Он выразил уверенность, что у россиян должна быть возможность удалять свои персональные данные из баз данных всех компаний по первому требованию.
— Взять на себя функцию посредника должно государство. Принцип одного окна: обращаешься с заявлением — информация о тебе удаляется сразу у всех операторов персональных данных, — сказал депутат. — Не нужно писать каждой компании отдельно, тем более — доказывать законность своих требований.
По его мнению, функции посредника могло бы взять на себя Министерство цифрового развития, связи и массовых коммуникаций. В Минцифры ограничились комментарием о том, что получили предложения депутата и рассмотрят их.
Как много баз с данными россиян
Борис Чернышов признает: пока нет объективных данных о том, сколько компаний могут владеть персональными данными одного человека.
— Еще в 2019 году экономически активный гражданин за год 10–20 раз делился персональными данными с различными организациями и социальными проектами, — признает он. — С учетом того, какой огромный скачок за эти годы совершен в плане цифровизации, уверенно можно умножать эти цифры минимум на пять.
Архитектор IT- практики «Стратегия трансформации» компании «Рексофт Консалтинг» Александр Черный замечает, что человек может дать согласие на обработку своих персональных данных неограниченному количеству операторов, а те — с согласия субъекта ПДн — передать обработку информации о нем другим операторам. Например, в автосалоне покупатель дает согласие на обработку своих данных, но с припиской, что далее их могут передать дистрибутору.
— Таким образом, сейчас практически невозможно установить точный перечень операторов персональных данных, обрабатывающих информацию о каком-то конкретном субъекте ПДн, — сказал он «Известиям». — Можно примерно оценить, что у каждого человека количество таких баз данных будет исчисляться десятками: кроме государственных структур, это еще финансовые и медицинские организации, страховые компании, мобильные операторы, интернет-провайдеры, управляющие компании, различные розничные магазины, в которых оформлены бонусные карты, и т.д.
На 6 сентября в реестре, который ведет Роскомнадзор, содержатся сведения о 918 124 операторах, осуществляющих обработку персональных данных.
Управляющий RTM Group, эксперт в области кибербезопасности и права в IT Евгений Царев рассказывает, что недавно подсчитал базы, о которых ему известно, учтя работодателей, скидочные карты, регистрации на сайтах и так далее. Вышло около 250 баз данных, которые располагают его персональными данными. Еще столько же, полагает он, могут использовать информацию о нем без согласия. Более того, есть еще и черный рынок баз клиентов, который, по оценкам RTM Group, сопоставим с объемом данных у зарегистрированных операторов.
Руководитель QA-отдела IT-компании SimbirSoft Галина Яшина замечает, что даже такие крупные корпорации, как Google и Apple, не могут полностью управлять цифровыми данными пользователей своих систем, а когда речь идет об управлении персональными данными, не привязанными к конкретному ID, то всё становится еще сложнее.
— Нет возможности и собирать данные о ресурсах, где зарегистрировался пользователь, так как нет регламентирующих документов о формате и способе хранения конфиденциальной информации, — заметила она.
Начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд указывает, что есть компании, которые специализируются на сборе персональных данных, — мониторят Сеть и даркнет. У обычного человека нет возможности узнать, в каком количестве баз данных есть персональная информация о нем, но зато фактически можно отследить всю его жизнь: много информации остается в банках и привязано к электронным картам, есть базы мобильных операторов и транспортные карты.
— Этих данных достаточно, чтобы определить, что именно и когда делал человек — спал, гулял, развлекался, ел, — замечает Алексей Дрозд.
Реально ли создание механизма
Директор по развитию IT-агентства Big-Data Владимир Лебедев указывает, что в некоторых юрисдикциях существует право на доступ к своим персональным данным и на запрос информации о том, какие организации имеют данные о человеке. Но порядок удаления информации о себе может различаться не только в зависимости от юрисдикции, но и в зависимости от организации.
— Создание механизма, который обязал бы всех собирателей персональных данных удалять информацию о человеке по его требованию, является сложной задачей, — сказал он «Известиям». — Необходимо учитывать множество факторов: юридических, технических и практических.
Однако депутат Борис Чернышов уверен, что создать такой механизм «с учетом возможностей Минцифры и норм разрабатываемого законопроекта» можно. Александр Черный из «Рексофт Консалтинг» указывает, что для этого потребуется предпринять целый ряд шагов.
Во-первых, должна появиться центральная база данных под контролем Минцифры, в которой для каждого человека будет храниться информация о компаниях, которым он доверил обработку своих персональных сведений.
Во-вторых, всех операторов персональных данных необходимо обязать передавать в Минцифры информацию о тех, кто доверил им обработку своих персональных данных.
В-третьих, должна быть прописана и регламентирована процедура, по которой россиянин сможет обратиться в Минцифры с запросом на получение данных об операторах, обрабатывающих его персональную информацию, и потребовать ее удаления. Этот запрос должны получить от Минцифры операторы — и удалить информацию о человеке из своих систем. Но тут, в-четвертых, необходимы инструменты контроля удаления персональных данных.
Партнер юрфирмы Nextons, главный научный сотрудник ИГП РАН Виктор Наумов называет саму идею о создании такого механизма «привлекательной», но «сложно реализуемой на практике» и «невыгодной рынку». Кроме того, он не уверен в том, что в получении новых полномочий будет заинтересовано и Минцифры. А руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин замечает, что создать такой механизм реально, но работать он будет только с официальными собирателями персональных данных.
— Можно указать банку удалить все сведения о неактуальных клиентах, но если эту базу слили месяц назад и она в открытом доступе гуляет по даркнету, то всё это бессмысленно, — заметил он.
Член комитета Госдумы по информационной политике, IT и связи Антон Немкин считает, что создание такого механизма уже сегодня вполне реально для биометрических персональных данных — с октября все они будут храниться в Единой биометрический системе (ЕБС).
— Сейчас как раз идет процесс передачи этих данных в систему, и у граждан уже есть возможность отказаться от их обработки, — сказал он «Известиям». — Но для этого приходится взаимодействовать с каждым конкретным оператором, что, конечно, усложняет процесс.
С остальными персональными данными вопрос сложнее — их обрабатывает слишком много операторов. По идее, говорит депутат, можно встроить «единое окно» для заявлений граждан о прекращении обработки данных в портал госуслуг, и это максимально упростило бы процессы для пользователей. Но им всё равно придется указывать, из баз каких конкретно компаний нужно удалить свои данные.
Евгений Царев указывает еще на одну проблему: до сих пор нет четкого перечня персональных данных. Считаются ли таковыми номер сотового и e-mail в сочетании с ФИО? ID из Telegram? Это еще одна причина, по которой он называет создание такого механизма в отношении коммерческих баз данных утопичным. Галина Яшина из SimbirSoft замечает, что проблема заключается и в разнородном формате хранения информации в базах данных, и в отсутствии проверок их достоверности.
Как еще решить проблему
Виктор Наумов называет альтернативой этой идеи резкое сокращение предусмотренных в законе «О персональных данных» сроков взаимодействия операторов ПДн с гражданами, а также введение единых требований по внутренней организации автоматизированной обработки таких запросов с большими штрафами за их несоблюдение.
Вице-президент Российского подразделения Международного комитета защиты прав человека Иван Мельников полагает, что можно было бы расширить практику применения цифровой подписи — системы могли бы распознавать, что ее владелец потребовал удалить свои данные, а оператор получал бы соответствующее уведомление.
Руководитель направления безопасности промышленных предприятий «Инфосекьюрити» (ГК Softline) Анатолий Сазонов также замечает, что Роскомнадзор должен был создать систему управления согласиями на распространение персональных данных и вести единый реестр субъектов, которые идентифицируются посредством ЕСИА.
— В такой системе планируется функционал изменения и отзыва согласий, в том числе на распространение персональных данных, а также удаления персональных данных субъекта ПДн, — заметил он. — Проект системы находится в стадии проработки, разработано техническое задание, при этом пока отсутствует четкое понимание сроков запуска системы в рабочую эксплуатацию.
Антон Немкин также напоминает, что с 2022 года значительно усовершенствовали закон «О персональных данных» — например, из пользовательских соглашений были исключены дискриминирующие условия, сократился срок ответа гражданам на запросы о правовых основаниях и целях обработки их данных, а самих операторов данных обязали незамедлительно информировать о любых инцидентах Роскомнадзор. Направлен в правительство и законопроект об увеличении штрафов за утечки.