Регулирование использования персональных данных. От законодательства до блокчейна

Юрий Божор

руководитель экспертной группы Банка России

Читайте также:

Станислав Кузнецов на Комиссии ООН рассказал о работе преступных кол-центров по франшизе

Закон «О персональных данных» от 27.07.2006 № 152-ФЗ призван обеспечить «защиту прав и свобод человека и гражданина при обработке его персональных данных (ПДн), в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну». Однако сложившаяся практика указывает на значительные проблемы фактического применения данного закона: в то время, когда законопослушные субъекты правоотношений несут существенные издержки на исполнение его требований, включая закупку дорогостоящих средств защиты информации, оплату труда высококвалифицированного персонала, а граждане вынуждены регулярно подписывать различные «согласия на обработку персональных данных», многие участники информационного обмена не обеспечивают должный уровень защиты персональных данных или вообще безнаказанно используют чужие персональные данные в мошеннических и иных преступных целях.

Регулярно как в России, так и в мире происходят хищения больших объемов персональных данных. Значительное количество случаев нелегитимного использования ПДн, отсутствие реакции со стороны органов, призванных предотвращать и бороться с такими случаями, а зачастую фактическая невозможность для субъекта пресечь незаконное использование его персональных данных, эти факты в своей совокупности демонстрируют явно недостаточную эффективность 152-ФЗ и иных принятых во исполнение 152-ФЗ нормативных актов.

В частности, можно отметить недавние крупные утечки персональных данных, информация о которых стала известна в конце 2019 года:

• Неизвестный оставил в открытом доступе в облаке Amazon базу с данными 20 млн россиян – ФИО, ИНН и информацией обо всех налоговых платежах этих людей. Хранившаяся информация охватывала период с 2009 по 2016 год и была доступна как минимум с мая 2018 года, когда ее впервые проиндексировали поисковики. В ФНС утечку назвали «провокацией», так как часть выложенных в открытый доступ данных не собирается и не хранится российскими налоговиками, а их структура отличалась от принятой в службе. Предположительно, эти данные могут быть компиляцией из украденных баз данных госорганов. Владелец базы явно мог поместить ее в открытый доступ как умышленно, так и по неосторожности – это частый случай с большими наборами данных, которые хранят в облаке и, например, забывают защитить паролем.
• Объявление о продаже данных более 60 млн владельцев платежных карт одного весьма крупного банка. Пробный фрагмент базы на 200 человек оказался подлинным. Это дало банку основание официально признать утечку данных только этих 200 клиентов, но очевидно, что это только верхушка айсберга – корреспонденты одного издания, запросив материалы о себе (авторы объявления продают данные по 5 рублей за человека), получили достоверную информацию: совпали в том числе номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их. В банке предполагают, что источником утечки стал сотрудник с высоким уровнем администраторских прав. Похищенные данные можно использовать для фишинга или других видов мошенничества с помощью социальной инженерии.
• Истории с нелегитимным использованием данных крупнейшей социальной сетью Facebook и утечка данных о пассажирах авиакомпании British Airways также демонстрируют неэффективность всей системы ограничения распространения персональных данных, включая европейское законодательство (Общий регламент по защите данных – GDPR) и законодательство США (Закон Калифорнии о защите персональных данных потребителей).
• По информации интернет-издания The Bell, из топ-100 (по версии сайта AppBrain) приложений в российском Google Play Store на сентябрь 2019 года только 11 не передают полностью или частично пользовательские данные сторонним сервисам.

Помимо собственно персональных данных следует отметить отдельную сущность – «цифровой след», то есть совокупность данных, сообщений, комментариев, сведений о посещении сайтов, форумов, отметках «Like» и др., которые человек размещает в сети (осознанно либо неосознанно). Процесс создания, распространения и использования таких данных сам пользователь может частично контролировать, однако полностью обеспечить контроль невозможно, так как информация «цифрового следа» проходит по различным компьютерам сети и в том или ином виде сохраняется вне зоны контроля человека – владельца «цифрового следа». В последнее время в сети ряд организаций предлагают услуги по выделению «цифрового следа» и его уничтожению (что в значительной части является маркетинговым ходом, так как гарантировать полное уничтожения «цифрового следа» невозможно, хотя бы по причине постоянного логирования и архивирования данных различными компьютерами в сети). Существенную часть «цифрового следа» составляют личные данные, доступные в открытом и «условно открытом» доступе. Деятельность индивида в социальных сетях, таких как Twitter, Facebook, Instagram, ВКонтакте, Одноклассники и других, формирует совокупность данных, отражающих его мнение практически по любому предмету.

Важно отметить, что выводы, которые можно сделать из любого одиночного мнения или комментария обособленно, без учета остальных данных, весьма поверхностны. Большинство весьма небрежно делятся своими взглядами на различные ежедневно возникающие темы, потому что полагают, что это очень мало говорит о них самих. Однако в совокупности с другими данными на базе подобных реакций и комментариев можно сформировать весьма релевантный профиль возможного поведения индивидуума.

Если при этом для обработки совокупности персональных данных и другой информации о человеке использовать современные алгоритмы обработки данных, нейросети, оценивать данные во взаимосвязи с данными других людей из окружения индивидуума, – эффективность оценки кратно возрастает.

Так, например, исследователь Михаил Косинский с коллегами из центра психометрии Кембриджского университета еще в 2012 году показал, что на основе в среднем 68 «лайков» пользователя в Facebook можно предсказать его цвет кожи (с точностью 95%), сексуальную ориентацию (точность 88%) и склонность к поддержке Демократической или Республиканской партии США (85%). Также возможно на основании профиля и окружения в социальных сетях оценивать интеллект, религиозную принадлежность, склонность к употреблению алкоголя, табака и наркотиков.

Отдельно следует отметить «цифровую тень» – данные о пользователе, попадающие в сеть независимо (либо вопреки) от желания пользователя. Это упоминания о нем в сети другими пользователями, различные статистические данные, финансовые отчеты, имена в списках рассылки, хронология посещения сайтов в интернете, видеозаписи действий в видеокамерах внешнего наблюдения в аэропортах и на городских улицах, обработанные системой распознавания лиц, и значительное количество других записей и ссылок. Как правило, человек не знает, какая «цифровая тень» тянется за ним. При этом ее анализ может быть весьма эффективным дополнением к анализу «цифрового следа», построению релевантной модели поведения как конкретного человека, так и больших групп лиц, что может быть использовано для влияния на их поведение, вплоть до манипулирования ими против их интересов.

Весьма важен процесс накопления информации о человеке крупными финансовыми группами, которые хранят данные о финансовом поведении и предпочтениях своих клиентов. Создание финансовыми группами экосистем для потребителей, в рамках которых финансовая группа обеспечивает реализацию большинства потребностей своих клиентов (финансовых, и не только: покупки, туризм, развлечения, посещаемые сайты, геопозиционирование (если в экосистеме есть услуги мобильной связи и доступа в интернет), потенциально позволяет этим организациям накапливать значительные объемы разноплановых данных о клиентах (или потенциальных клиентах) и строить не только модели финансового поведения (задолженности, активы, платежная дисциплина и др.), но и общие модели потребительского поведения клиентов. Клиентам удобно, когда компании объединяют финансовую информацию в одном месте, а затем, используя накопленную информацию, предлагают им персонализированные финансовые и нефинансовые продукты/сервисы.

Мобильные приложения также собирают данные клиентов, включая (в большинстве случаев) данные о геопозиции (если клиент им явно это разрешает либо по умолчанию). При этом нельзя исключить использование разработанных моделей поведения клиентов для манипулирования ими, мисселинга (misselling – «неправильная продажа» – недобросовестная практика продаж, при которой информация о товаре (услуге) преднамеренно искажается, вследствие чего покупатель вводится в заблуждение относительно необходимости его приобретения.) и продвижения высокорисковых финансовых продуктов для клиентов, не осознающих в полной мере вероятность потери активов при использовании данных продуктов.

Отдельно следует отметить накопление информации о перемещениях клиента мобильными операторами (в том числе о том, с кем клиент часто встречается, совместно проживает или работает), а также всей информации, полученной клиентом посредством доступа в интернет, предоставляемого этим оператором. Ряд операторов предоставляет сервисы виртуальных номеров, когда можно анонимно получить виртуальный номер телефона, который можно указать при подключении к финансовому сервису и получать на него SMS и другие уведомления (тем самым снижая эффективность технологии двухфакторной аутентификации).

Практически факт предоставления клиентом прав на хранение и обработку персональных данных заключается в простановке галочки в определенном поле формы регистрации, заявки на услугу, оформлении пропуска в организацию и значительном количестве других ситуаций, в дополнение к случаям, когда закон требует письменного согласия субъекта для обработки персональных данных (например, в случае обработки специальных категорий персональных данных: о расовой принадлежности, религиозных убеждениях, состоянии здоровья и др.). Клиенты редко изучают текст Согласия на обработку персональных данных (если оно вообще представлено в форме отдельного документа, а не содержится в условиях использования сайта или объемной политике обработки ПДн) и в большинстве случаев не получают информацию о месте и сроке хранения информации, в отношении которой выдано согласие.

Ответственные компании – получатели данных предпринимают усилия для сохранности данных. Однако они не могут без значительных затрат предотвратить хищение данных, так как существенное число утечек ПДн происходит по причине сбоев в ПО либо копирования данных недобросовестными сотрудниками. Широкое распространение мобильных гаджетов, оснащенных современными камерами высокого разрешения, значительно упрощает процесс хищения данных недобросовестными сотрудниками. В интернете открыто рекламируются предложения по покупке данных клиентов банков, юридических лиц, нередко утечки происходят непосредственно после регистрации компании в ЕГРЮЛ.

Процедура управления согласиями (выдача, определение срока жизни, мониторинг выданных согласий, отзыв согласия и ряд других) недостаточно проработана. Формально у субъекта персональных данных есть право обращения в суд в случае выявления в отношении него нарушения 152-ФЗ, однако расплывчатость самой процедуры и сложившаяся юридическая практика по данному вопросу демонстрируют крайне низкую вероятность для физического лица получить компенсацию за нелегитимное использование своих персональных данных, а также затруднения в фактическом исполнении судебного решения о прекращении обработки персональных данных. Более того, предложения от различных компаний по содействию в получении данной компенсации в большинстве случаев представляют собой попытки хищения денежных средств клиента с использованием фишинговых технологий социальной инженерии.

Участниками рынка предпринимаются различные попытки сократить число требуемых согласий, например, таких как SSO (Single Sign-On — технология, которая позволяет логиниться в веб-приложение через сторонний сайт (провайдер). А SAML — это популярный XML-протокол для реализации SSO.), который, равно как и аналогичные по своей сути механизмы, действительно позволяют сократить число согласий и обеспечить хранение персональных данных в единственном месте. Однако подобные попытки имеют свои недостатки и требуют организации доверенной среды, предоставляющей равные условия по информационной безопасности для всех участников процесса.

Выводы

Проанализировав совокупность рассмотренных фактов, можно прийти к следующим выводам.

1. Значительное число компаний в дополнение к данным, представленным клиентами или полученным в установленном порядке из государственных баз данных, используют в скоринговых процедурах (а также частично в процедуре KYC) информацию, полученную из открытых источников, в том числе социальных сетей, различных баз данных, а также другую разноплановую информацию без возможности надежной оценки ее достоверности.

2. Различные мошенники в целях хищения активов физических и юридических лиц, в том числе с применением методов социальной инженерии, используют ПДн, похищенные у законопослушных компаний, дополняя их данными, полученными как из открытых источников, так и из различных сервисов «теневого» рынка.

3. Значимое количество персональных данных, полученных легитимным способом, попадают в открытый доступ или к посторонним компаниям (в результате хищений, сбоев и ошибок) и зачастую используются в целях мошеннических атак на клиентов финансовых организаций либо иных способов хищения их средств.

4. Вопрос удаления персональных данных из сетей крайне сложен и не может быть гарантированно решен без полного аудита всей непрерывно расширяющейся совокупности сетей и баз данных, что принципиально невозможно.

5. Текущая система контроля и надзора за обработкой персональных данных не обеспечивает должной сохранности, неэффективна с точки зрения пресечения противоправной деятельности и не может обеспечить защиту граждан от мошенничества и хищения активов физических и юридических лиц.

Что делать?

1. Необходимо изменить базовый подход к регулированию и надзору за этой областью деятельности с тем, чтобы обеспечить развитие способов предоставления услуг с идентификацией пользователя в порядке, исключающем использование уже имеющихся в сети данных для подмены идентификационных данных либо «хищения цифровой личности» клиента с целью последующего хищения активов. Новая экосистема получения и использования персональных данных должна обеспечивать «устаревание» совокупности данных, единожды использованных для совершения сделки (проведения финансовой операции), непосредственно после заключения сделки / проведения транзакции и невозможность повторного использования данной совокупности данных для подтверждения любой другой сделки.

2. Необходимо перестроить систему, сделав обязательным использование биометрической динамической идентификации в качестве одного из обязательных факторов в многофакторной процедуре идентификации/аутентификации при дистанционном подписании финансовых документов. Цель данного подхода – обеспечить проведение идентификации и/или аутентификации с использованием биометрических данных, полученных «здесь и сейчас». «Устаревание» идентификационной информации сразу же после завершения текущего сеанса сделает невозможным использование для текущего сеанса идентификации/аутентификации данных, полученных финансовой организацией ранее, во время предыдущих сеансов или при проведении финансовых транзакций. Также целесообразно использовать в процедуре подтверждения личности клиента «цифрового следа», «персональных поведенческих отпечатков», оценки параметров коммуникации клиента с финансовой организацией (особенности ввода текста, анализ различных параметров речи, профилей клиента в социальных сетях).

3. Необходимо доработать принципы контроля использования ПДн социальными сетями с тем, чтобы обеспечить дисциплину в части сбора персональных данных, их конфиденциальности (включая данные о потребительском поведении, в т. ч. финансовую (кредитную) историю, данные о перемещениях и покупках граждан) и предоставлении сторонним сервисам, за исключением определенного в законе перечня лиц, а также минимального набора данных, не позволяющего собрать полноценный «цифровой след» субъекта персональных данных.

4. Как один из возможных вариантов регулирования – законодательно предусмотреть три вида «цифрового согласия на обработку персональных данных»:

• «ограниченное согласие» – согласие с существенно ограниченным набором персональных данных (используемых в часто получаемых услугах, различные бытовые сервисы, такси, доступ, интернет-магазины и др.), с небольшим сроком действия (только на время сделки либо от оплаты до получения услуги);
• «на срок договора» – согласие, действующее в течение срока договора (для различных договоров с участием физического лица, кредиты, депозиты, страхование и другие срочные финансовые продукты);
• «бессрочное с правом отзыва» – согласие при принятии на обслуживание без указания сроков договора.

При этом организация, которая получила согласие от субъекта персональных данных на их обработку, должна обеспечить субъекту возможность дистанционного управления данным согласием, в частности изменять сроки, отзывать согласие, а также по требованию субъекта – сообщить ему, как именно обрабатывались и кому передавались персональные данные субъекта

5. Предлагается перестроить систему получения и хранения персональных данных, включая «цифровой след» и «цифровую тень», определив их как товар, собственником которого является сам пользователь, и использование этого товара без согласия владельца пресекать согласно закону. При этом следует обязать операторов ПДн использовать «цифровой след», равно как и «цифровую тень», исключительно при условии получения конкретного, информированного и сознательного согласия субъекта персональных данных, а также усилить ответственность за неправомерное использование персональных данных, составляющих «цифровой след» и «цифровую тень».

6. И конечно же, следует обеспечить окончательный переход от идентификации и аутентификации клиентов с использованием различных «бумажных документов» к идентификации с использованием электронных средств.

Один из возможных вариантов реализации предложения 1 «устаревание персональных данных» – создание подсистемы генерации короткоживущих защищенных подтверждений волеизъявления на основе криптопоследовательностей (далее – Система).

1. Пользователь идентифицируется в ЕСИА c обязательным использованием биометрии ЕБС.

2. Система рассчитывает уникальную криптопоследовательность, в которой хранятся персональные данные владельца, а также дата, время создания и срок жизни данной криптопоследовательности. Криптопоследовательность сообщается владельцу и записывается в публично доступный блокчейн (число узлов блокчейна и их владельцы определяются регламентом системы и, при необходимости, нормативными актами). Цель – обеспечить доверенную общедоступную среду хранения криптопоследовательностей, в которой принципиально невозможна корректировка либо удаление информации. В криптопоследовательность могут быть также добавлены ряд полей, определяемые пользователем (например, сумма, комментарий, ФИО доверенного лица, ссылка на другую ранее созданную криптопоследовательность этого или другого пользователя).

3. Срок валидности криптопоследовательности всегда ограничен (10 минут, час, день и т. п.) в зависимости от цели ее создания. Опция – пользователь сам выбирает срок действия, но в любом случае присутствует ограничение по времени.

4. Пользователь подписывает электронный документ, пройдя идентификацию через ЕБС, ЕСИА, с использованием данной криптопоследовательности.

5. Пользователь может сообщить данную криптопоследовательность другому пользователю, а также в суд либо иному лицу.

6. Лицо, получившее криптопоследовательность после проведения идентификации с использованием сервиса госуслуг, может проверить данные, размещенные в криптопоследовательности, т. е. данные о владельце, времени создания, сроке действия, а также дополнительную информацию, введенную владельцем при генерации криптопоследовательности.

7. Формируется экосистема дистанционного заключения сделок, в результате создания которой все дистанционные сделки сопровождаются вводом криптопоследовательности.

8. В силу краткого периода валидности криптопоследовательности ее хищение для неправомерных действий будет нецелесообразным.

Персональные данные – это новые цифровые деньги

Иван Беров

директор по цифровой идентичности, «Ростелеком»

Персональные данные человека в сети – это новые цифровые деньги. Заполняя каждую анкету в интернет-магазине, пользователи должны понимать, что их данные становятся добавленной стоимостью к приобретаемым товарам. Однажды заказав товар, вы уже не знаете, где и как могут быть использованы ваши данные. Поэтому очень важно создать грамотный механизм устаревания персональных данных, а также предусмотреть возможность управлять реестром доступа к персональным данным человека. Здесь необходимо четко прописать, какие данные, в течение какого времени и кто может их обрабатывать. При этом у гражданина должна быть возможность в любой момент отозвать согласие об обработке персональных данных. Такая задача решается в рамках создания «цифрового профиля» гражданина.

Конечно, такой процесс может работать только при условии, что к нему подключатся операторы персональных данных. В этом случае они получат информацию о человеке не после заполнения анкеты, а автоматически – из государственных информационных систем. Граждане все больше пользуются правилами «цифровой гигиены», а активное информирование о мошеннических действиях приводит к более осознанному использованию своих данных в сети. Это формирует запрос рынка на доверенную работу с данными, на взаимодействие с ответственными поставщиками товаров и услуг. Думаю, что в перспективе даже небольшие операторы персональных данных будут работать с проверенными данными из госсистем, с возможностью отзыва согласия и подтверждением личности по биометрии – потому что безопасность работы с ПДн станет конкурентным преимуществом для бизнеса.

Учиться жить и защищать свои права!

Андрей Емелин

председатель Национального совета финансового рынка

В статье Юрия Божора выявлена основная проблема цифровой эпохи – принципиальная невозможность для человека контролировать объем информации о нем, доступной третьим лицам. Конечно же, каждого из нас это волнует, многих беспокоит, а некоторых даже раздражает. Но такова объективная реальность, в которой нам придется научиться жить и защищать свои права.

В условиях, когда, как совершенно справедливо отмечается автором, практически каждый человек имеет не только «цифровой профиль», но и «цифровой след» и даже «цифровую тень», предположить, что все возникающие в связи с этим правоотношения можно постоянно и эффективно держать под контролем, может только «прожженный», то есть, попросту говоря, плохо информированный оптимист.

Но это вовсе не означает, что следует опустить руки и смириться с «цифровой анархией». Напротив, именно правовое регулирование является последней надежной опорой гражданина в борьбе за свое право на частную жизнь.

В отсутствие универсального всеобъемлющего нормативного регулирования, при объективной невозможности, с одной стороны, и крайней нежелательности – с другой, обеспечения тотального надзора за доступом и режимом использования персональных данных, основным механизмом защиты прав граждан и противодействия их нарушению становится риск-ориентированный надзор (учитывающий секторальную дифференциацию рисков) с высокоэффективной системой оперативного выявления нарушений и применения санкций.

При этом следует принимать во внимание, что эффективность правового механизма защиты персональных данных при прочих равных:

• обратно пропорциональна количеству нормативных требований (чем сложнее для понимания и реализации требования по защите данных, тем ниже число субъектов, готовых и способных их исполнить);
• обратно пропорциональна объему затрат на реализацию нормативных требований (чем выше уровень затрат на создание, а главное, на поддержание системы защиты, тем меньшее число субъектов их реализует на практике);
• почти прямо пропорциональна жесткости санкции за допущенное нарушение (если санкция за нарушение несущественна – даже простые требования дешевле не исполнять);
• и гораздо более прямо пропорциональна неотвратимости наказания за допущенное нарушение (надзор должен иметь систему оперативного выявления нарушений и реагирования на любые сигналы о выявленных нарушениях, а главное – обеспечивать наложение и взыскание санкции с виновного лица и возмещение понесенных убытков физическим лицом).

Только при построении системы защиты персональных данных с учетом вышеперечисленных принципов государство сможет (и должно!) обеспечить, а не просто гарантировать каждому из нас надлежащую защиту прав в условиях постоянного роста случаев и субъектов обработки наших персональных данных.

О текущем положении операторов персональных данных

Александр Афонин

руководитель практики интеллектуальной

собственности ABP.LEGAL

На данный момент операторы персональных данных самостоятельно определяют способы, которыми будут обрабатываться ПДн, при наличии согласия субъектов персональных данных на такую обработку либо других оснований (например, исполнение договора, оказание медицинской помощи и иные), при условии соответствия обрабатываемого объема данных целям их обработки. Меры защиты персональных данных операторы также выбирают самостоятельно в зависимости от объема и категории обрабатываемых персональных данных, а также типа актуальных угроз в соответствии с Постановлением Правительства № 1119 от 01.11.2012.

В случае если оператор не принял необходимые меры для защиты персональных данных, то штраф за такое нарушение не превышает 20 тыс. рублей на основании ст.13.12 КоАП РФ, если это не повлекло раскрытия охраняемой законом тайны. Если допущено нарушение правил обработки ПДн (кроме требования о хранении персональных данных граждан РФ на территории РФ), то сумма штрафа не превышает 75 тыс. рублей согласно ст.13.11 КоАП РФ.

Плановые проверки Роскомнадзора проводятся только в отношении операторов связи, СМИ и крупных операторов персональных данных, большую часть операторов такие проверки не затрагивают в течение всего периода их существования. Таким образом, недобросовестные операторы персональных данных даже в случае проверки (вероятность которой невысока) несут риск штрафов, несопоставимых с доходами, полученными в результате нарушения правил обработки и защиты персональных данных. Добросовестные же операторы ПДн, напротив, могут понести существенные расходы, необходимые для обеспечения надлежащего уровня защиты персональных данных.

Для обеспечения более надежной защиты и корректного использования персональных данных представляется наиболее логичным утвердить специальные нормы ответственности с существенными штрафами за нарушения правил обработки ПДн, которые повлекли разглашение (доступность) персональных данных широкому кругу лиц. Такие нормы позволят пресекать деятельность недобросовестных операторов, однако не потребуют дополнительных расходов со стороны добросовестных операторов.

О регулировании цифрового следа

Действующее российское законодательство не содержит понятий «цифрового следа» или «цифровой тени». Привлечь оператора персональных данных к ответственности за недобросовестное использование именно «цифрового следа» затруднительно, так как операторы, как правило, используют данные, доступные в открытых источниках.

Тем не менее законодатель постепенно продвигается в урегулировании этого вопроса, на что указывает раздел об использовании цифрового следа в проекте Концепции комплексного правового регулирования отношений, возникающих в связи с развитием цифровой экономики, опубликованном на сайте Минэкономразвития России. Цифровой след, исходя из проекта Концепции, подразделяется на два типа – «активный цифровой след», формирующийся намеренно самим пользователем, и «пассивный цифровой след», который образуют данные, оставленные ненамеренно или вследствие работы соответствующего программного обеспечения.

Авторы проекта Концепции предлагают установить следующие обязанности для операторов данных, составляющих активный цифровой след:

• получение согласия пользователя на использование данных;
• предоставление пользователю возможности самостоятельно определить параметры использования данных;
• информирование пользователя о порядке использования цифрового следа;
• удаление или корректировка недостоверных данных;
• предоставление доступа к данным компетентным государственным органам.

Напротив, пассивный цифровой след предлагается оставить за рамками регулирования, так как, по мнению авторов проекта Концепции, попытка такого регулирования повлечет торможение внедрения современных ИТ-технологий, остановку новых и текущих бизнес-процессов, сделав их экономически невыгодными.

Представляется наиболее вероятным, что вышеуказанные обязанности будут закреплены в действующем законодательстве о персональных данных, а не в специализированных нормативно-правовых актах. По всей видимости, с учетом того, что Концепция на данный момент еще не утверждена, реальных изменений, затрагивающих операторов персональных данных, можно ожидать самое раннее в конце 2021 – начале 2022 года.

Не стоит требовать у потребителя согласия на обработку его ПДн?

Михаил Левашов

к.ф.-м.н., профессор НИУ ВШЭ

Еще каких-то 20 лет назад вопрос о правомерности использования персональных данных не стоял так остро, как сейчас. Люди – субъекты ПДн – передавали друг другу свои данные, фиксировали эти ПДн при обращении в какие-либо государственные или коммерческие структуры для получения от них информации или услуг в соответствии с действующими правовыми актами. Особых проблем при этом не возникало. Фиксировались отдельные относительно небольшие по объему утечки ПДн, связанные с криминалом, различными расследованиями и другими частными действиями, не затрагивающими большое количество людей.

Проблемы начали расти как снежный ком после массового распространения в мире интернета и с появлением на его платформе различных дистанционных сервисов. Следует признать, что принятие целого ряда законов по защите ПДн стало необходимым ответом большинства стран именно на новые вызовы интернета. Однако реальный эффект от принятия этих законов и соответствующей правоприменительной практики оказался очень разным в зависимости от конкретной страны.

Можно выделить два базовых подхода к законодательству, касающемуся защиты ПДн. Первый из них можно назвать западным, поскольку он в основном практикуется в странах ЕС и США. На первый план здесь вынесены область применения данного законодательства и юридические (прежде всего финансовые) последствия для компаний, допустивших утечку ПДн.

В свою очередь в России применен второй подход, при котором на уровне законодательства зафиксированы некоторые технические аспекты защиты персональных данных. При этом финансовые последствия таких утечек не очень существенны. Такой технический подход выгоден прежде всего компаниям – разработчикам средств защиты информации и компаниям-интеграторам, внедряющим эти средства у заказчиков. При этом виновники утечек информации не несут существенных финансовых издержек.

Так или иначе, профессионалам с самого начала было понятно, что 100%-ной защиты ПДн достичь невозможно. Более того, из международной практики следовало, что некоторые базы персональных данных, которые существовали много лет, частично или полностью скомпрометированы, и их данные периодически появляются на рынке. Это закономерность, не зависящая от нашего желания и наших возможностей.

В связи с этим хотелось бы вернуться к истокам проблемы и сформулировать следующие тезисы.

1. Значительная часть населения никогда специально не задумывалась о том, что происходит с собственными персональными данными. Этот вопрос был «навязан» массовому потребителю извне. Однако, узнав о такой проблеме, люди почти всегда отвечали утвердительно на вопрос о необходимости защиты своих ПДн. Поэтому считаю, что не нужно специально отягощать клиента этими вопросами и даже требовать от него согласия на использование его ПДн. Ведь очевидно, что клиент, предоставив кому-либо свои ПДн, априори согласен на их обработку. Иначе он бы эти данные не предоставлял. Вместо «согласия на обработку» можно предлагать субъекту (при наличии у него такого желания) выбрать из предложенных разрешенные им виды обработки его ПДн. Но если в результате использования ПДн даже выбранными способами клиенту был нанесен реальный ущерб, то этот ущерб должен быть оператором ПДн возмещен сполна.

2. У большинства населения есть личные тайны. Но их объем обычно весьма мал по сравнению с общим объемом персональных данных. И эти тайны люди стараются защищать сами, исходя из имеющихся у них знаний и опыта. Другое дело, что указанных знаний и опыта хватает далеко не всегда.

3. Определенная часть людей, относящихся к публичным людям, специально раскрывает свои ПДн, строя на этом бизнес.

4. Еще 2–3 года назад многие люди не осознавали, что, публикуя свои ПДн в различных интернет-сервисах (прежде всего в публичных сетях), они фактически предоставляют их неограниченному кругу лиц. Сейчас доля таких пользователей резко уменьшилась. Таким образом, знания в этой сфере постепенно проникают в массы.

5. Согласен с автором публикации Юрием Божором, что некоторые требования действующего российского законодательства по ПДн практически невозможно выполнить. Это касается, например, уничтожения ПДн. Даже неспециалисту ясно, что эти данные могут дублироваться, и поэтому невозможно их уничтожить во всех местах хранения.

Что же касается предложенных Ю. Божором ограничений на использование «криптопоследовательности», в которой хранятся биометрические ПДн, то предложение весьма разумно и перекликается с моим предложением по введению ключа клиента при шифровании его биометрических ПДн как части общего ключа. В целом же, как я уже высказывался ранее, биометрические данные пользователя можно использовать только как дополнение к стандартной парольной защите. Этот подход и реализуется сейчас в ЕСИА (логин/пароль) перед обращением пользователя к Единой биометрической системе.