Как защитить свои персональные данные?
https://otr-online.ru/programmy/prav-da/kak-zashchitit-svoi-personalnye-dannye-35176.html Кто владеет информацией – тот владеет миром
Натан Ротшильд
Юрий Алексеев: На Общественном телевидении России программа «Правда». Меня зовут Юрий Алексеев. И вот темы сегодняшнего выпуска.
Голос за кадром: Сегодня согласие на обработку персональных данных требуется во многих жизненных ситуациях – открытие счета в банке, заказ в интернет-магазине, запись ребенка в детский сад. Все эти действия возможны только в случае передачи личной информации тем, кто оказывает услуги. В 2006 году в России был принят федеральный закон о персональных данных, одна из основных целей которого – обеспечить защиту этой информации от мошенников. Тем не менее, утечки данных продолжаются.
Юрий Алексеев: В первом квартале 2018 года зафиксировано 94 миллиона попыток интернет-мошенников завладеть персональными данными пользователей. Во втором квартале цифра составила 107 миллионов, в третьем квартале – 137 миллионов. Все это сведения лаборатории Касперского. В IV квартале из-за традиционных новогодних покупок, подарков эта цифра еще больше. Как сохранить свои персональные данные, как защитить их и почему эти данные называют новым золотом? Об этом мы и говорим сегодня.
Фатима, первый вопрос вам. В двух словах, что же все-таки такое персональные данные.
Фатима Сулейманова: Если мы будем по закону, то это любая информация, с помощью которой можно идентифицировать, если коротко.
Юрий Алексеев: Идентифицировать человека, то есть определить, кто он, чем занимается, где живет и так далее.
Фатима Сулейманова: Поэтому каждый раз нужно разбираться, можно идентифицировать или нет.
Юрий Алексеев: А закон – вы имеете в виду закон о персональных данных, который аж в 2006 году принят.
Фатима Сулейманова: Я так немножко упростила, но идея именно такая.
Юрий Алексеев: Дмитрий, а вы в каком-то интервью сказали, что считаете этот закон очковтирательством. В двух словах, почему? Что больше всего не понравилось и не нравится?
Дмитрий Мариничев: Там речь идет не совсем о законе. Справедливости ради нужно сказать немножечко о другом – о первичном сборе и хранении персональных данных россиян на территории россиян. Именно эти поправки вызывали достаточно много споров. И, собственно говоря, из-за них блокируются некоторые сервисы, которые не работают на территории России. И именно они создают дополнительную проблематику, которая не приводит к безопасности персональных данных.
Юрий Алексеев: Об этом тоже сегодня поговорим. Григорий, на ваш взгляд, закон о защите персональных данных кого защищает в первую очередь на бумаге и в реальности?
Григорий Трофимчук: Это формальные законы. Чем больше законов по этому поводу, в этой сфере, тем больше утечек. Их уже десятки миллионов утечек. Наверное, эту тему надо начинать с того, что вспомнить… Когда начиналась наша новая Российская Федерация, ведь сколько было обещаний, что не будет прописки, не будет ничего вообще практически, то есть минимум информации о человеке, о его перемещениях. Сейчас мы видим, что информации требуется намного больше с людей, но при этом ее покрывают эти формальными бумагами, что человек якобы должен быть спокоен. Человек неспокоен. Поэтому вот вы спросили Фатиму по поводу того, что человек может о себе раскрывать. Только имя, наверное, можно попросить, если он может сказать. Хотя имя тоже несет очень много информации. А уже фамилию, тем более отчество – по его желанию. Я думаю, мы дальше это подробнее обсудим.
Юрий Алексеев: Денис, а вы как считаете, кого в первую очередь этот закон защищает де-факто?
Денис Лукаш: Этот закон не защищает, а создает видимость защиты и проблемы для предпринимателей.
Юрий Алексеев: Вот о проблемах предпринимателей – Максим, к вам вопрос. Вы помогаете предпринимателям обрабатывать данные сотрудников. Для предпринимателей это непрофильная задача. Вы им помогаете, аутсорсинговая компания. Вот таким компаниям, таким предпринимателям в свете нарушения закона о защите персональных данных насколько легко нарваться на штрафы? О каких суммах идет речь?
Максим Лагутин: Я бы хотел сначала дополнить по вопросу по поводу того, кого защищает закон. Закон должен защищать права физлиц при обработке их персональных данных. Права защищать. А по праву он защищает персональные данные. То есть у нас основное – это защита, которая не проверяется. У нас ФСТЭК России, ФСБ России – регуляторы, которые отвечают за проверку использования требований по технической защите персональных данных, они не осуществляют проверки частных компаний. Поэтому о какой защите можно говорить?
И второе. Я часто выступаю с семинарами на конференциях. И задают вопрос: «Сколько лет закону о персональных данных?» Дай бог найдется один человек из 100, кто скажет, что закону 12 лет, чуть больше. 2011 год называют, 2015-ый, когда вышли поправки по локализации данных на территории России при сборе. Путаются. Поэтому все думают, что это формальность и все думают о том, что закон был принят для вступления в ВТО как обязательное требование.
Юрий Алексеев: Артур, ваша компания обрабатывает колоссальные массивы данных. Какие упущения или формулировки в законе, упомянутом нам, мешают в вашей работе?
Артур Хачуян: Нам на самом деле мало что мешает, потому что основная проблема, которая существует – в том, что технологии развиваются гораздо быстрее, чем развиваются законы. Это нормальная практика. Но из-за стремительного развития алгоритмов о человеке можно узнать гораздо больше из открытых источников, нежели из прописанных в законе о персональных данных. И ситуация следующая, что закон толком не защищает права граждан, но он также не защищает права частных компаний. Потому что никто до сих пор на вопрос, что есть персональные данные, ответить не может.
Юрий Алексеев: Фатима, согласны вы с этим утверждением?
Фатима Сулейманова: Ну, в общем-то, да. Думаю, что потом разовьем эту мысль.
Юрий Алексеев: То есть по-прежнему существует неясность, что считать персональными данными?
Фатима Сулейманова: Это в контексте все время выясняется. То есть одна и та же информация в одном контексте будет признаваться защищаемой, а в другом – нет.
Григорий Трофимчук: Да тут ответ очень простой, Юрий. В самой формулировке он заключается. Персональные данные – это данные о конкретной персоне.
Юрий Алексеев: Фотографии в социальных сетях – это персональные?
Григорий Трофимчук: Все, что угодно. Если это связано с конкретным человеком, с конкретной персоной – значит, это персональные данные. А второй момент – это то, что сама персона считает персональными данными. У нас же демократия в конце концов и свобода. Мы в свободном государстве живем. Поэтому человек может даже свое имя не раскрывать. Мы знаем, что практически у всех творческих деятелей есть псевдонимы. Пожалуйста. Если он хочет каким-то конкретным именем называться, пожалуйста, пусть он называется. Если все согласны его называть этим именем, значит, все согласии находятся.
Юрий Алексеев: А по той же фотографии что можно узнать о человеке?
Артур Хачуян: Смотрите, надо понимать, что просто одна фотография – это не персональные данные. Фотография, рядом с которой есть имя и фамилия человека – это персональные данные.
Максим Лагутин: Это совсем не правда. Правильно было сказано коллегой, что надо в каждом конкретном случае смотреть подоплеку, можно ли по фото определить человека. В социальных сетях уже есть решения, которые позволяют по одному фото идентифицировать человека. Одно фото позволяет человека идентифицировать в какой-то ситуации.
Артур Хачуян: Я буквально 2 или 3 месяца назад общался с Роскомнадзором. Вы мне не дали договорить. Фотография, по мнению Роскомнадзора – не персональные данные. Если можно идентифицировать, здесь речь идет о трехмерной геометрии лица. Это то, что я хотел сказать. Компания может хранить эту фотографию не обязательно в виде фотографии. Она может хранить ее в виде текста. Есть огромное количество лазеек в законе, для того чтобы сохранить фотографию, при этом имея возможность идентифицировать человека. Вот в этом и проблема.
Юрий Алексеев: Объясните мне, пожалуйста, почему так часто встречаемся с этим законом. «Согласен на обработку персональных данных» требуют везде. Причем, деликатно и не спрашивают. Если захочешь в ту же налоговую позвонить и узнать просто время работы твоего отделения, тебе говорят: «Дальнейшее продолжение разговора – вы автоматически соглашаетесь на обработку персональных данных». Пришел в офис – в бюро пропусков подсовывают бумажку «обработка персональных данных». Ты уже просто не удерживаешь в голове информацию, где ты кому эти данные дал. Почему так происходит, и не перегиб ли это?
Григорий Трофимчук: Нет, это не перегиб. Мы же в цифровую экономику входим. Мы в цифровом веке находимся. Дальше еще, может быть, больше будет затребовано с людей, с государства в целом такого рода информации. Это нормально. Весь вопрос в том, как это хранится и что считать персональными данными. Сейчас наш коллега сказал, что Роскомнадзор не считает фотографию персональными данными. Но это Роскомнадзор. А персона, может быть, считает фотографию главными персональными данными, которые связаны с конкретным человеком.
Поэтому мы все-таки должны тут баланс, грань находить. Мы не должны полностью шифроваться, но мы должны получить абсолютную, даже не 100%, а 1000%-ную гарантию, что утечек больше не будет. Пока мы видим, что таких гарантий абсолютно нет. Данные разбегаются, как зайцы.
Юрий Алексеев: Сейчас же даже программы есть, в которых загружаешь фотографию – они находят пользователя в социальной сети. Это нарушение закона?
Фатима Сулейманова: Тоже нужно смотреть – кто выложил, зачем выложил. Может быть, это была цель – выложить, для того чтобы стать популярным. Тут надо тоже смотреть…
Денис Лукаш: Мы сейчас говорим о биометрических персональных данных. Наш Роскомнадзор и наши государственные служащие отстают от объяснений по тому, что такое биометрия. Например, в Европе уже по GDPR давно уже все разъяснено.
Юрий Алексеев: Это стандарты хранения и обработки персональных данных.
Денис Лукаш: У нас голос теперь тоже может являться биометрией. Даже видеонаблюдение – это тоже биометрия и сбор данных о поведении людей. По европейским стандартам это тоже персональные данные. И не забываем, что мы все вышли из одной 108-ой конвенции – что европейское право по персональным данным, что наше. И, допустим, в Европе более 40 лет этим научно занимаются. А у нас, к сожалению, наука о privacy, о конфиденциальности в принципе наукой и не считается почему-то.
Юрий Алексеев: А может человек отказаться от обработки персональных данных? Я прочитаю вам просто маленькую формулировку. А вы мне прокомментируете, насколько это правомерно. Допустим, я, Иванов Иван Иванович, год рождения, на основании статьи 9 закона 152 о персональных данных не даю согласия на автоматизированную обработку персональных данных. Прошу вести учет моих данных на бумажном носителе в соответствии с постановлением правительства РФ от 15.09.08 №687. Зрители всю расшифровку программы могут найти на сайте и эту формулировку тоже. Я написал это на бумаге – и все, мои данные не обрабатывают? Я написал на бумаге, и данные моего ребенка в школе или саду не обрабатывают в цифровом виде?
Денис Лукаш: Вы даете согласие как основание обработки данных. Согласие как принцип и согласие как основание обработки. Помимо этого, еще есть согласие на трансграничную передачу персональных данных в неадекватные страны (страны, не обеспечивающие адекватную защиту).
Юрий Алексеев: То есть эта формулировка стопроцентной защиты не дает?
Денис Лукаш: Согласие на нераспространение. Там очень много видов согласий. И отзыв своего согласия, если, допустим, персональные данные обрабатываются на основании договора…
Юрий Алексеев: Это вы говорите про отзыв согласия. А мы сейчас про изначальное несогласие с тем, что будут обрабатывать персональные данные.
Григорий Трофимчук: Если мы живем в свободной стране (а мы все согласны с тем, что мы живем в свободной стране), значит конкретный субъект, персона – от нее все откручивается и начинается. Если эта персона не согласна с тем, чтобы данные о ней распространили, значит все, тема закрыта. И здесь, наверное, надо сказать спасибо большое некоторым нашим сообществам. В частности, верующие люди уже давно, лет 10, поднимают вопрос, что они не хотят, чтобы их в цифровой формат выводили. И есть другие соответствующие группы. Но люди просто не хотят. Это огромные массы людей. Это десятки тысяч. Это надо учитывать. И чтобы не было напряжения в обществе, надо находить здесь какой-то так называемый консенсус, какое-то согласие. Но человека насильно вводить в какие-то… это абсолютно исключено.
Максим Лагутин: Здесь несколько иная ситуация. Я как практик чистой воды могу сказать следующее. Если человек не хочет подписывать согласие (это же документ бумажный), он его не подписывает, он никаких данных не дает, если человек дал согласие, он его может отозвать и дать новое, но уже только на неавтоматизированную обработку, на бумажном носителе. Никаких гарантий это не дает. Что копии паспортов утекают из личных дел сотрудников, что у нас в МФЦ сканятся стопки… Это риск не ниже. Потому что совершить атаку на компьютерную систему сейчас проще удаленно. Пройти, попасть, скачать, взять и унести.
Артур Хачуян: А еще интересная концепция того, что если родители ребенка не дали согласие на обработку, а затем он пришел на елку и сделали общую фотографию, и эту общую фотографию выложили. Вопрос права в таком случае тоже достаточно сложный.
Максим Лагутин: У нас были случаи, когда заклеивали кружочками лица детей, потому что их родители отказались, чтобы его ребенок был там опубликован.
Юрий Алексеев: А там не дашь согласия – на ребенка не заведут электронный дневник, он не сможет учиться.
Максим Лагутин: В законе прописано, что надо объяснить человеку, к чему приведет отказ от обработки персональных данных. Он должен понимать это. Это в законе ясно прописано.
Артур Хачуян: Отказ от обработки – практически всегда отказ от услуги. Но, если я не ошибаюсь, я знаю, что в нашей стране госуслуги обязаны предоставляться. Вроде как электронный дневник в данном случае попадает под госуслуги. Поэтому какой-нибудь бедный учитель будет ради этого ребенка вести бумажный дневник. Мне кажется, это даже интересно.
Максим Лагутин: Плюс бумажное согласие на обработку персональных данных – это в нашей стране лишь одно из оснований для обработки персональных данных. К сожалению, в России это стало некой нормой и панацеей: нужны данные – возьми согласие. А там действительно 11 пунктов: договор, исполнение закона, защита интересов организации. Все просят именно согласия. Причем, в большинстве случаев это электронный дневник или пропуск на территорию организации, либо на иные способы согласия не требуется. Но мы же знаем случаи, когда даже известные крупные компании берут согласие на любой чих – трудовой договор, ГПХ с клиентом. Просто на всякий случай. Это неграмотность.
Юрий Алексеев: Можно просто вычеркнуть? На обработку этого, этого согласие даю, а этого – нет, категорически против. Денис.
Денис Лукаш: Да, во-первых, это некий правовой нигилизм. Дело в том, что действительно многие перестраховываются, беря какое-либо согласие на обработку. На самом деле согласие может быть давно, во-первых, в неявной форме. И, кстати говоря, в том отказе от согласия есть ошибка. Потому что у нас согласие дается на принятие решений по результатам автоматизированной обработки, а не на автоматизированную обработку. Никто не может отозвать какое-то согласие на автоматизированную обработку. Тут очень много путаницы с этими согласиями однозначно.
Григорий Трофимчук: Здесь один момент очень важный прозвучал по поводу детей, которых фотографируют. Ситуация не должна доводиться до абсурда. Здесь тоже должна быть определенная, по умолчанию, что ли, договоренность внутри общества. То есть мы здесь. Если мы вышли на публику, мы являемся так называемыми публичными людьми, пожалуйста, нас могут фотографировать со всех сторон. Если человек не хочет, а он где-то скрывается, пожалуйста, мы бы лишились огромного исторического пласта уникальных фотографий в том же Советском Союзе, если бы там ситуация была доведена до абсурда.
Вы посмотрите, сколько фотокорреспондентов по всей стране путешествовало. Какие прекрасные фотографии. Геологи, кто угодно. Шахтеры. Ни у кого из них не спрашивали разрешения на то, чтобы его где-то в забое сфотографировали. Он, может быть, как-то не так выглядел. У женщин, тем более. Вы знаете, у что женщин, ну, как и у мужчин, наверное, я тут тоже перегибать не хочу, но когда на женщин наводится объектив, они мгновенно врассыпную разбегаются. Они всегда не готовы. У них комплексы по этому поводу. Но, наверное, надо согласиться с тем, что это есть. Но если вы публичный человек, значит, будьте добры оставаться… Если вас кто-то захотел снимать. То есть на вас обратили внимание – это уже прекрасно. Наверное, с этих позиций надо какой-то консенсус…
Юрий Алексеев: Перегибы есть везде, конечно.
Максим Лагутин: Требуют теперь формальное согласие от человека на заднем фоне твоей фотографии. Так что все фотографы красивых берлинских площадей, мне кажется, расстроились.
Юрий Алексеев: Дмитрий, сейчас же персональные данные на российских серверах должны храниться. Вот это положение как поменяло ситуацию, и поменяло ли?
Дмитрий Мариничев: Я сейчас стою, слушаю, достаточно долго не вступал в беседу. И думаю, что у зрителей вообще нет никакого понимания про персональные данные, о чем речь. Они должны переключить канал, потому что это просто какая-то глобальная путаница. И относительно хранения персональных данных россиян на отечественных серверах в России это тоже неправда. Требуется хранить первичные данные, первичный сбор.
Юрий Алексеев: Что это значит?
Дмитрий Мариничев: Это значит, что когда вы где-то регистрируетесь, вводите свои персональные данные, например, имя и фамилию, то первично они должны сохраняться на территории России. Неважно, в каком виде – в бумажном или в электронном. А потом делайте с ними, что хотите – передавайте, обрабатывайте. Но, на мой взгляд, вся путаница и вся проблематика заключается в первую очередь в том, что мы не подошли к моменту осознания того, что такое данные и что такое алгоритмы обработки данных.
Ведь обычно персональные данные для всех – это фамилия, имя, отчество. А сколько их всего? А всего их у человека шесть – это имя, отчество, фамилия, дата рождения, место рождения и пол.
Юрий Алексеев: А паспортные данные, СНИЛС?
Дмитрий Мариничев: А паспортные данные не являются вашими персональными данными, потому что это всего лишь номер того бланка документа, который находится…
Григорий Трофимчук: И, тем не менее, крадут именно паспорта у людей, паспортные данные.
Дмитрий Мариничев: Поэтому нужно четко понимать, чтобы не путаться, что одно дело – когда вы находитесь в точке верификации по оказанию каких-либо услуг со стороны государства или хозяйствующих субъектов внутри государства. Тогда вам, может быть, нужен номер паспорта, идентификация в любом другом виде и все остальные данные, которые, включая вас самих, являются вашими персональными, потому что мы ходячие персональные данные. У нас все персональное – походка персональная, рост, цвет глаз, отпечатки пальцев, ДНК. Мы проходим по улице – мы оставили за собой персональные данные. Если бы это было не так, то вас бы собака по следу найти не могла. А она может. Соответственно, технологические средства у человека так быстро развиваются, что мы в ближайшем будущем сможем делать все то же самое, что животные делают со своим обонянием, осязанием и тому подобное.
Опять же, говорить, что «я не хочу, чтобы я там был» - это то же самое, что «вычеркните меня из памяти».
Юрий Алексеев: Можно сказать, но как это отследить?
Дмитрий Мариничев: Буквально пройдет несколько лет – и мы сможем меняться воспоминаниями с помощью банального телефона. Сейчас мы голос и видео передаем. А там будем передавать впечатления, эмоции, воспоминания и многое другое. Поэтому, конечно же, персональные данные просто как персональные данные, их согласие на обработку – это, знаете, как кипятить океан. Это просто такой процессный подход. И проверяются компании, но не защищаются персональные данные россиян, причем, проверяются таким образом, что компании не знают, что они должны выполнить, чтобы удовлетворить букву закона. Это парадокс.
И здесь, конечно же, нужно работать, а еще больше нужно понимать, что в электротехнике (а вся проблема персональных данных из электротехники, она из электричества) существует два типа неисправностей – либо короткое замыкание, либо обрыв. Вот точно так же, чтобы что-то спрятать, нужно очень все это зашифровать, закопать в землю, чтобы никто не знал и не нашел. Либо, наоборот, положить на такое видное место, где это не будет бросаться в глаза, это будет никому не нужно. Такой белый шум. И в цифровом мире, в котором мы живем, мы все живем в белом шуме. И в цифровом мире каждый пытается привлечь на себя внимание, то есть он должен стать популярным, а значит его персональные данные должны стать открытыми.
Юрий Алексеев: Тут, к сожалению, добавляется местный колорит. Взять историю, когда в московском МФЦ копии паспортов были в открытом доступе на компьютере пользователей.
Максим Лагутин: Это же не МФЦ виноваты.
Фатима Сулейманова: Насколько я поняла вот эту ситуацию, что это просто те, кто приходили в МФЦ, загружали… По идее мы как физические лица должны быть более сознательны. Если нас интересует эта проблема, то почему нам все равно, где остались наши персональные данные. Конечно, МФЦ тоже должно было периодически смотреть, чистить или еще что-то. Но изначально это какой-то наш инфантилизм.
Максим Лагутин: Мне кажется, здесь несовершенство законодательства идет.
Юрий Алексеев: Но Дмитрий обозначил 6 пунктов, что есть персональные данные. А люди боятся, что кто-то узнает номер СНИЛС, номер паспорта. Реальная опасность есть в том, что кто-то узнает мой номер паспорта?
Дмитрий Мариничев: Это проблема государства, а не человека. Потому что государство пытается идентифицировать гражданина, выдает ему документ, потом принимает этот документ и сравнивает. Вопрос – если мы умеем правильно идентифицировать человека, то государство должно принимать решение, что перед ним тот человек, который пришел. Не нужны человеку документы в наше время, никакие – ни паспорт, ни СНИЛС, никакая другая абракадабра. Он должен прийти, его идентифицировали – и весь комплекс услуг ему должен быть оказан. Тогда утечки персональных данных будут стремиться к нулю, потому что, повторюсь, человек сам по себе – один ходячий идентификатор. У нас все уникальное.
Фатима Сулейманова: Может, когда-нибудь к этому и придем. Но сейчас это нереально.
Максим Лагутин: Коллеги, мне кажется, мы разные темы обсуждаем. Надо брать изначально. У нас есть желание человек, у нас есть некий страх от утечек. Давайте начнем с того, что, как правильно сказал Денис, у нас есть правовой нигилизм: у нас люди не читают законы и правами не пользуются. Сколько людей знают о налоговом вычете из НДФЛ из молодежи?
Юрий Алексеев: Как раз молодежь знает. А люди постарше не все в курсе.
Максим Лагутин: Не всегда знают. У меня другой пример есть. А про персданные они как думают? Есть закон, есть некие персональные данные. Я его не читал, но право хочу это иметь. Поэтому я напишу «удалите данные обо мне», все, что я считаю персональными данными. А есть закон, который не просто абы как был придуман, а на базе ратификации 108 евроконвенции. Там она или с восемьдесят какого-то года, или с девяносто какого-то. Европейский закон более прогрессивен. У нас есть правовой нигилизм. Люди не знают своих прав и как их реализовывать.
Второе. Они что-то хотят и боятся каких-то утечек, не понимая, к чему это приведет. Если вы читали когда-нибудь оферту антивируса Касперского или другого антивируса, знаете, какая там гарантия? 99,9%. Никто не даст никогда стопроцентную гарантию защиты от утечек.
Юрий Алексеев: У нас самая быстро читающая страна. Это все моментально прочитывается. Внизу ставится…
Максим Лагутин: Конечно. Было уже решение и в… и в других общественных объединениях, которые пытались проблему… стандартизации и еще чего-то. Нет в жизни стопроцентных гарантий, кроме двух – что мы родимся и мы умрем. И то последняя уже оспаривается. Поэтому первое – надо это побороть, что человек должен понимать, какие права у него есть и как их правильно реализовывать.
Юрий Алексеев: Так а кто его спрашивает, Денис?
Денис Лукаш: У нас нет науки privacy, о конфиденциальности в принципе. Давайте обратимся к европейскому опыту. Европейцы в своем прогрессивном GDPR сказали, что нельзя полностью защититься от утечек. Они это признали.
Юрий Алексеев: Ну, да. Недавний случай – 500 миллионов данных пользователей…
Денис Лукаш: Есть другие меры. Они сказали, что защита должна быть экономически целесообразной. То есть экономические затраты на защиту не должны превышать ценность информации. Это первое.
А, во-вторых, есть и сообщения об утечках, и меры, принятые по результатам утечек. Если это банковские данные утекли, ты сразу же должен сообщить пользователям, чтобы они успели отреагировать. Есть другие процедуры.
Юрий Алексеев: А как отреагировать? Заменить пароль он может.
Денис Лукаш: Позвонить и заблокировать. А у нас этого всего нет. Мы уже 108 конвенцию поменяли, уже усовершенствовали. А мы до сих пор сидим со старым 152 ФЗ… Мы подписали, но не ратифицировали. Мы сидим. И Роскомнадзор ничего по этому поводу не говорит. Хотя нам нужно проводить реформу уполномоченному по защите прав субъектов персональных данных, то есть Роскомнадзора.
Юрий Алексеев: Если говорить об утечках, вот забиваем в гугле номер телефона. И вылезает масса сайтов, которые за деньги предлагают паспортные данные по телефону, СНИЛС – все, что угодно. Ценники. Кодовое слово – 500 рублей. Информация о балансе, тарифе, дате регистрации – 400 рублей. Если мы говорим об операторах сотовой связи. Данные владельца номера, куда входят фамилия, имя, отчество, день рождения, паспортные данные – от 500 рублей. Люди на наших данных деньги зарабатывают.
Григорий Трофимчук: Во-первых, сами люди, если они никому не верят, всего боятся, нигилистами являются в плане знания законов, они могут элементарно зашифроваться и уйти из этой цифровой сферы, не пользоваться телефоном…
Юрий Алексеев: А кто говорит, что это невозможно? Все равно где-то тебя сфотографируют.
Григорий Трофимчук: У нас многие люди, допустим, телевизор не смотрят и этим гордятся. Можно вообще уйти из этой сферы, гулять у себя во дворе где-то или в частном доме – тебя никто не найдет. Но в чем здесь проблема? Мы живем в цифровом мире не своем. Если мы где-то с середины 1980-х годов ушли на создание собственной компьютерной техники, основанной на абсолютно других принципах…
Юрий Алексеев: Тогда бы сейчас не сливали?
Григорий Трофимчук: Это было бы, но не в таких объемах. Мы даже свой порошок для ксероксов, условно говоря, не делаем. Тем более компьютерная техника вся не наша. Военная в том числе. И в этом плане мы абсолютно не застрахованы. Поэтому для того, чтобы закрывать данные на наших граждан Российской Федерации, пусть не стопроцентную, но хотя бы какую-то элементарную гарантию, какую-то ощутимую, мы должны полностью уходить на свою технику, разработанную на наших принципах. Иначе постоянно это все на Запад, в Европе… Здесь уже было сказано. Но у нас нет даже такой проблемы, как там. Как и с коррупцией.
Максим Лагутин: Вы, наверное, с практикой не сталкивались, мало общаетесь с теми, кто реально обрабатывает персональные данные. Ничего не требуется. Это правда. У меня такое ощущение возникает. Без обид. В данном случае техника не поможет. Техника есть техника. Какие-то средства шифрования… Человек может свои данные…
Юрий Алексеев: Все делается ручками и сливается ручками.
Григорий Трофимчук: Коды крадут. Взламывают все, что угодно.
Максим Лагутин: Утечки. Первое – человек сам где-то выложил, не подумав о каких-то мерах предосторожности. Второе…
Григорий Трофимчук: Я же об этом и сказал. Человек должен уйти, чтобы гарантию получить из этого всего.
Максим Лагутин: Нет никакой гарантии. Мы об этом говорили. Все равно ЖКХ будет данные куда-то вносить, у нас есть Госуслуги, у нас есть Госреестр… И уже есть законопроект об информировании регулятора об утечках данных и о штрафах за такие утечки.
Юрий Алексеев: Но все равно случаи этих утечек возмущают до крайней степени. Потому что о потенциальных сотрудниках военной разведки мы бы не узнали, если не утечки.
Григорий Трофимчук: Чем больше законов, тем больше утечек. Здесь прямая связь. Раньше мало было. Почти не было когда-то законов. И не было утечек.
Артур Хачуян: Сейчас крупнейшие обработчики данных – мобильные операторы и еще кто-то. Ответственность о защите данных на ком лежит? На самой компании. Квалифицированного проверяющего органа нет в стране. Простит меня Роскомнадзор, я их очень люблю. Но как проверить, данные Фейсбука лежат в России или нет? То есть это должен кто-то прийти к ним в датацентр, залезть в сервера.
Юрий Алексеев: До конца года обещали проверить, лежат или нет.
Максим Лагутин: Необходимую информацию… вплоть до запросов в базы данных и трассировки.
Юрий Алексеев: Это сложное слово. Что оно означает?
Максим Лагутин: Команда в строке Windows, которая позволяет до конечной точки понять, где же данные реально хранятся. Как человек, который при проверках участвовал…
Юрий Алексеев: Как обычным гражданам узнать, где хранятся их данные?
Максим Лагутин: Никак. Я не помню именно команду трассировки. Но пусть сейчас они поищут в гугле или в яндексе – «трассировка». И они увидят. Сетевой пакет отправляется до конечного сервера.
Артур Хачуян: Я закончу свою мысль о том, что органа нет. Да, действительно, проверяют. Нас тоже очень много проверяют. Но вопрос в том, что не всегда это делается грамотно. Но неважно. Дело здесь не в квалификации, а в том, что орган исполнительной власти, в данном случае «Роскомнадзор», обязан реагировать на что? На запросы граждан, на жалобы граждан. А кто их…
Вот вам когда в последний раз позвонили какие-то ребята и предложили что-нибудь купить…
Юрий Алексеев: Час назад звонили, предлагали курсы английского языка.
Артур Хачуян: Хоть одного из своих знакомых знаете, кто после этого пойдет и напишет заявление…
Юрий Алексеев: Естественно, никто заморачиваться не будет. А есть ли вообще практика? Почему, Фатима?
Фатима Сулейманова: Вот пример, который буквально утром я, когда готовилась, посмотрела. Районный суд разместил информацию на своем сайте. Персональные данные потерпевшей. В итоге суд признал, что было неправомерное размещение персональных данных. И присудил ей 200 рублей компенсацию морального вреда. Кто будет связаться с этим?
Артур Хачуян: Знаете, какой самый популярный запрос от граждан бывает на размещение персональных данных? Это когда ЖКХ списки должников на подъезд вешает, что такие-то такие-то должны деньги за коммунальные услуги.
Максим Лагутин: Это просто номер квартиры и долг. Но вообще по поводу запросов можно этим пользоваться. Я КАСКО продлевал. И откуда-то страховые компании узнали, куда я не обращался. И мои персональные данные. И стали мне звонить. Я все послушал и сказал: «Ох, как же вы попали».
Юрий Алексеев: Вы умудрились размотать этот клубок?
Максим Лагутин: Конечно. У меня есть стандартная форма запроса, которую я всем направляю и запугиваю тем самым таких нерадивых операторов персданных, потому что это не только нарушение закона о персданных, но еще и закона о рекламе.
Юрий Алексеев: То есть вы как минимум запрашиваете их юридический адрес…
Максим Лагутин: «Коллеги, я прошу на основании части 14 закона о персданных 152 сказать мне, откуда были получены мои персональные данные и какой состав моих персональных данных у вас обрабатывается».
Юрий Алексеев: Случайный подбор чисел, - сказали мне на том конце трубки.
Максим Лагутин: «Это неправомерная обработка данных. Я сейчас буду писать в ФАС и Роскомнадзор. Это штраф по линии ФАС до 500 000 рублей. По линии Роскомнадзора – до 70000 рублей».
Артур Хачуян: ФАС очень долго будут этот клубок разматывать, может быть, год-полтора, но рано или поздно размотают.
Максим Лагутин: Здесь есть плюс. Не только люди не знают свои права по обработке персональных данных, но и операторы персональных данных слабо себе представляют, что они могут сделать. И поэтому мне позвонил человек из одной компании и сказал: «Слушайте, мы купили базу. Мы уже не помним, откуда она. Мы вас удалим».
Юрий Алексеев: Друзья, мы подготовили статистику. Это данные ВЦИОМ за 2018 год. Вопросы респондентам задавали следующие, Как вы считаете, использование информации о вас третьими лицами может нести какие-то угрозы для вас, вашей семьи или нет? И вот какие данные получили. «Определенно да» - 14%. И бог с этим. «Скорее да» - 29%. «Скорее нет» - 35%. У меня напрашивается вывод, что людям по сути глубоко наплевать. Они не определились, угрожает, не угрожает. Почему такое разгильдяйство? Тотальная неуверенность. Они не понимают, зачем это нужно.
Григорий Трофимчук: У нас, кстати, путают вопрос… Человек выкладывает, хочет, чтобы о нем узнали. Да, он какой-то гриф ставит, ранжирует, для всех или только для друзей. В любых соцсетях. Он по сути все это выбрасывает в мировую сеть. Поэтому здесь вопросов к руководителям этих компаний быть не может. Они не виноваты. А что касается людей, им незаконно номера надо навязывать, чтобы они запомнили. Они уже, наверное, запутались, когда здесь цифры какие-то прозвучали.
Хороший фильм есть наш классический – «Семнадцать мгновений весны». Там крылатую фразу Леонид Броневой, который Мюллера играл, сказал: «Знают двое – знает и свинья». Если ты кому-то сказал, даже это не связано с интернетом, просто о себе что-то сказал, знакомым – это мгновенно может уйти. То есть это элементарная психология. И людей надо учить этим вещам. Простейшим просто.
Дмитрий Мариничев: Правильнее перефразировать так: «Если вы не смотрите телевизор, это еще не значит, что телевизор не смотрит за вами». И большое количество утечек было связано в том числе с простыми домашними приборами а-ля робот-пылесос, тот же самый телевизор, персональный компьютер. Он у вас сейчас в кармане лежит, этот шпион, который слушает вас, и голосовой помощник готов вам всячески угодить, найти для вас информацию, но при этом нужно понимать, что информация, звук обрабатывается не всегда на вашем устройстве, а часто на серверах того производителя, который это устройство сделал. И объем информации о вас ровно такой же, как когда-то в деревне о вас знали все и все, что бы вы ни делали. Вы живете в открытом мире. И с этим нужно уже смириться. Поэтому правила жизни в нем должны просто измениться. Они становятся другими. И вызов общества, потребность самого человека тоже другая. Потребность спрятаться уходит, потому что она не дает новой информации, не дает новой жизни.
Еще раз говорю. Здесь бояться нечего. Просто нужно государству быстрее меняться под этот запрос. И государству нужно защищать не персональные данные человека, потому что они, кроме государства, никому не нужны. Какие ваши персональные данные? Имя и фамилия – это ваши персональные данные?
Юрий Алексеев: Этот вопрос можно задать Артуру, поскольку… Бог с ними, с именем и фамилией.
Дмитрий Мариничев: Фамилию вы получили от отца. Где тут ваши персональные данные? А мои вкусы, мои предпочтения, цвета, которые я люблю.
Артур Хачуян: Мысль о том, что защищать действительно нужно не данные, а права граждан. Потому что я откуда-то узнаю ваш домашний адрес и что-то потом с вами хорошее или нехорошее сделаю. И все. И ничего с этим сделать нельзя. По поводу параметров данных. Узнать можно очень многое – от машин, квартиры, детей до того, как часто вы путешествуете, сколько денег тратите, какой эротический контент просматриваете. Этих метрик бесчисленное количество, которые потом может использовать банк для понимания, выдавать вам кредит или не выдавать, или какие-нибудь нехорошие ребята. А вот возвращаясь к предыдущей истории, штука в том, что эту глобальную истерию о персональных данных подпитывают постоянно истории, как корпорации наживаются на данных простых граждан.
Например, я взял ваши личные данные, обработал, взял еще 1000 человек, и продал, например, исследование, и заработал на этом денег. И вопрос в том, что первые 10 крупнейших корпораций в мире – это data-корпорации, кто занимается обработкой и продажей данных. И всех людей этот вопрос очень интересует. С одной стороны, они очень переживают, что на их данных кто-то зарабатывает. Но, с другой стороны, когда сервис предлагает вам платную подписку взамен того, что не будет использовать ваши персональные данные или какие-то любые другие, никто не соглашается на то, чтобы заменить платной подпиской условно бесплатный инстаграм.
Юрий Алексеев: А данные о моем ребенке, на обработку которых я подписал согласие, их же теперь можно перепродавать? И в конце концов они дойдут до этих корпораций?
Максим Лагутин: Например, компания Apple заявила о желании соответствовать принципам GDPR, это новое прогрессивное европейское законодательство о персданных на территории всего мира, где у них есть представительство, и там они очень жестко все прописали. Они за privacy. Я ребенку создавал на iPad аккаунт. Все очень строго. Половина контента вообще не видно, не передается и так далее. Здесь все-таки не надо утрировать, что данные детей и так далее. И есть частые случаи, когда человек понимает, что за ним следят. Знаете, как? Мы что-то поискали в интернете – и нас догоняет реклама в поисковике. Или мы что-то где-то посмотрели… Банальный таргетинг, ремаркетинг. Это очень просто. А вот когда вы забыли отключить своего голосового помощника в Фейсбуке в приложении или где-то еще, у меня умер кот, в скайпе с партнером я общался, и реклама – котята.
Юрий Алексеев: И это не совпадение.
Максим Лагутин: Это не совпадение. Если не отключать настройки о том, что они имеют право прослушивать. Цель организации – собрать больше данных. Потому что маркетинговые отделы IT-компаний должны делать это для таргета, чтобы дать вам то, что вы хотите. Компании хотят понимать, что же ты хочешь на самом деле. Поэтому для этого нужно больше данных о тебе.
Артур Хачуян: Такая история действительно есть. Телефон тебя маркирует на основании аудио. Но нужно понимать, что этот аудиопоток никуда в реальном времени не отправляется. Иначе бы стоимость элементарной рекламной коммуникации была бы гигантской. То есть никто не затратит миллиарды долларов на то, чтобы прослушивать весь мир.
Юрий Алексеев: Вообще голосовой поток мало весит, его легко передавать.
Денис Лукаш: Мы выходим на другую проблему. Что, опять же, по мировым стандартам персональные данные – это любые идентификаторы, в том числе социологические факторы. Но у нас не хотят это признавать, потому что у нас все персональные данные хочет контролировать государство и как можно меньше денег тратить на защиту. И давайте посмотрим, откуда вообще все основные утечки. С государственных баз.
Юрий Алексеев: Бесконечное разгильдяйство и на бумажных носителях, и…
Максим Лагутин: Закон о защите персональных данных. Уже очень много раз эта идея была. Самое главное, что надо к этому перейти, и после этого уже будет проще. То есть обучение, изменение законодательства и желание государства идти в эту сторону, а не в то, что «дайте нам все данные, мы что-нибудь с ними придумаем, что-нибудь классное сделаем, чтобы бюджет наш пополнить и Россию укрепить».
Юрий Алексеев: Объясните мне, пожалуйста, а почему как обладателю этих персональных данных компании, которые на мне зарабатывают, не приплачивают?
Максим Лагутин: А есть же такие компании. Вы должны кликать на рекламу, переходить, они вам будут что-то делать. Это история еще с начала 2000-х. Переходим по ссылкам…
Артур Хачуян: Условный Инстаграм предоставляет вам бесплатный сервис.
Максим Лагутин: И это плата за…
Юрий Алексеев: Хочу больше.
Максим Лагутин: В Калифорнии принят California privacy… Он платит за утечки данных физлицам деньги. То есть каждое физлицо имеет право при утечке данных получить до 750 долларов. Там много требований.
Юрий Алексеев: Нам еще до этого далеко.
Максим Лагутин: Можно жить в Калифорнии и просто жаловаться на все компании. А в Калифорнии самое большое количество IT-компании, которые работают с пользователями.
Артур Хачуян: Нам сначала бы, чтобы у нас регионы хотя бы до уровня Москвы дошли.
Григорий Трофимчук: Ваш вопрос упирается в конкретный ответ. А сколько стоит каждый конкретный человек? Если он хочет себя, свои персональные данные… Сколько он стоит? Если трагедии случаются… Допустим, региональная власть какую-то сумму выплачивает. Кто-то говорит: «И что, это жизнь столько стоит?» Сколько за этого погибшего выплатили. Если кто-то готов купить вас за эту цену, тогда, наверное, действительно, вы можете что-то получать. Но у нас зачастую подавляющая масса даже композиторов, поэтов ничего не получает за то, что его песни бесконечно поют какие-то исполнители и получают за это деньги. Мы должны быть реалистами. Раз не защищают нас те, кто издает законы по защите персональных данных, значит, публичные люди, которым это не нравится, должны насыщать какой-то недостоверной информацией всю эту интернет-сферу. Там о каждом человеке есть какая-то информация в интернете. Ну, пожалуйста, озаботьтесь о себе. В 100 раз больше информации забейте, которая не соответствует в действительности. Там вся эта каша перемешается абсолютно. И пусть, пожалуйста, если кому-то интересно, в этом потом разбирается.
Юрий Алексеев: Это только если на пенсии или в декрете, когда вроде как много свободного времени.
Григорий Трофимчук: Но это реальный подход. Давайте реалистами просто быть. Только так можно сбить вот эти ориентиры, локаторы у тех, кто собирает эту информацию.
Юрий Алексеев: Мы же вышли чуть дальше – персональные данные более-менее определили, но теперь мы вышли на тему big data, глобальные данные всего и вся. Я хотел бы вспомнить историю Китая, который в 2020 году планирует ввести систему социального рейтинга, когда у любого жителя страны будет идентификационный номер, и компьютерная система будет начислять баллы. Чем правильнее гражданин с точки зрения государства себя ведет, тем больше поощрения у него будет. Место на парковке, налоговые льготы, вид на море из окна и так далее. Если он себя не очень хорошо ведет – максимальные репрессии. Никогда ему не ехать в спальном вагоне несколько суток. Будет ехать стоя. Мы к этому можем прийти?
Артур Хачуян: Нет.
Юрий Алексеев: Почему?
Артур Хачуян: Это моя личная боль. Потому что так как я продаю государству данные и скоринг делаю, и рейтинг, меня каждый раз про эту историю спрашивают. Давайте сначала мы решим, что такого плохого, что у злостных нарушителей пдд отберут права.
Юрий Алексеев: Абсолютно ничего плохого.
Артур Хачуян: Ничего плохого. Или что человек, который всю жизнь вел хорошую жизнь, не нарушал закон, он получит низкую ставку по кредиту.
Юрий Алексеев: Это больше про политическую лояльность.
Артур Хачуян: Когда все изучают этот страшный китайский социальный рейтинг, они сразу…
Юрий Алексеев: Я не говорил, что он страшный.
Артур Хачуян: Большинство людей сразу себе представляют…
Юрий Алексеев: Сериал «Черное зеркало».
Артур Хачуян: Написал что-то плохо про президента – тебе тут же запретили выезд из страны. Там, конечно же, все не так. Там четкий список источников. Понятно, что туда можно в теневой истории намешать все, что угодно. Но концепция не в этом. Концепция в том, что 1) в Китае сначала уровень цифровизации был какой, в отличие от нас. У них было все в электронном виде. Бери и делай из этого рейтинга. А другая история – там лояльность к органам исполнительной власти гораздо выше, чем у нас. То есть я надеюсь, что у нас этого очень долго не появится.
Денис Лукаш: У нас будет. У нас все к этому идет. У нас уже по видеонаблюдению определяют спецслужбы лицо. Это очень доступная информация.
Юрий Алексеев: Или уровень преступности.
Денис Лукаш: В принципе это влияет на уровень преступности. Но технологии идут дальше. И действительно государство для себя, может быть, непублично, будет оценивать социальный рейтинг. Мы к этому придем, и очень даже скоро.
Юрий Алексеев: Но о каких временных отрезках идет речь?
Артур Хачуян: Я бы ставил на 3-5 лет.
Денис Лукаш: Я думаю, что десятилетия.
Юрий Алексеев: Фатима. Вы сказали, что может быть.
Фатима Сулейманова: Все же зависит, какую мы поставим цель. Мы же не берем сейчас прямо пример с той же Европы. Когда закон принимался, очень много исследовалось. Брали под копирку какие-то положения, международные нормы и зарубежные. Но прошло 12 лет, это же надо все время мониторить, все меняется, все очень динамично. Сейчас Европа ушла далеко вперед. Мы явно отстали. Хотя есть…
Юрий Алексеев: С номерами паспортов разобраться не можем, как их хранить и как корректно удалять.
Фатима Сулейманова: Надо взять просто курс и какой-то положительный опыт, какие-то практики. Единственный вопрос коллегам – когда говорят про GDPR, сразу же говорят про безумные штрафы, там 20 миллионов, 4% от оборота.
Юрий Алексеев: Это касательно компаний, из-за которых произошла утечка.
Фатима Сулейманова: Да. Применительно к нам, наверное, самое опасное – это то, что не все понимают, за что штрафовать, в чем нарушение, и тут возможны какие-то злоупотребления.
Просто, конечно, не 20 миллионов, но если сравнивать те, которые у нас есть, 75 000 рублей. Причем, для маленькой компании это может быть существенно, а другая просто не заметит, что произошло. Может быть, помимо нашего нигилизма, с которым нужно как-то бороться и еще что-то с ответственностью сделать, это больше вопрос…
Максим Лагутин: Я на эту тему недавно выступал. Очень большой доклад был. Что как думает бизнес? Если нет больших штрафов и ответственности, то можно закрыть на это глаза. Если есть штрафы и прецеденты, то или это, но штрафы… либо созревание компании… Конечно, у нас созрело какое-то социальное… данные надо защищать. У нас бизнесу меньше 30 лет в России. Еще не созрели такие бизнесы, которые готовы сами защищать свои персональные данные, чтобы правильное дело делать.
И прецеденты. У нас до сих пор штрафы прошлогодние не исполняются. Там же написано же в GDPR, что нужно штраф давать такой, чтобы компания ощутила всю серьезность нарушения, но чтобы это не поставило организацию на грань разорения и банкротства. То есть там это решают суды. В России суды тоже пока…
Фатима Сулейманова: Будет смысл вкладываться в обучение сотрудников, для того чтобы было понимание, что мы можем, что мы не можем. Наверное, мы в этом направлении…
Денис Лукаш: Мера ответственности… Там сейчас обсуждается лишение свободы первым лицам компании за утечки. А второй момент. Как уже сказали, институт моральной компенсации там все-таки введен. В той же Калифорнии каждый пострадавший может получить 750 долларов, а утечка может затронуть и 10 миллионов пользователей. Представляете, какая мера ответственности сейчас в Америке?
Григорий Трофимчук: Это тоже абсолютная конкретика. Надо реально подходить к этим вещам. Есть ответственный человек, как в магазине на складе какой-то, ответственное лицо за хранение товара, чтобы не произошла в данном случае утечка. Есть человек, который по закону за это отвечает. Наказание должно жестким, неформальным. Вот сколько мы за последнее время слышали, что там мешки какие-то… Я не буду какие-то конкретные структуры называть. Но мы не слышали информацию, а как и кого за это наказали. Да, какое-то формальное наказание наверняка было. Но здесь требуется, раз столько утечек, там десятки миллионов, жесткое наказание. Сажать. Вот это прозвучало слово. Там это есть, а у нас этого нет.
Максим Лагутин: Григорий, почему основатель компании? Я нанял себе курьера.
Григорий Трофимчук: Я не сказал об основателе компании. Я сказал о лице, которое отвечает по уставу этой организации, по чему угодно. В любой структуре есть лицо, которое за это отвечает
Юрий Алексеев: Друзья, у нас осталась минута. Дмитрий, вам заключительный вопрос. Все-таки что первым делом надо сделать, чтобы закон защищал граждан, а не данные?
Дмитрий Мариничев: Я категорически против того, чтобы как можно больше сажали и несли ответственность. Мы находимся в системе. И система гарантирует те права, правила и возможности, которые субъекту дозволены. Поэтому единственное, что можно сделать – это управлять сервисами самого государства. Тогда и субъекты будут это выполнять, в том числе и компании. И не надо забывать, что за каждую прихоть платит потребитель. То есть любые притязания к бизнесу – это оплата нашим рублем с вами этих хотелок. И перекладывать просто так на бизнес нельзя. Нужно думать в первую очередь о правильной законодательной базе и о правильных возможностях государства по контролю и сохранению наших персональных данных.
Юрий Алексеев: Что получается в итоге? Хотим мы того или нет, но мы живем во все более прозрачном цифровом обществе. У этого есть масса плюсов, но существуют и серьезные опасности. Пора принять тот факт, что персональные данные – это лишь верхушка айсберга. Любой ваш лайк под фотографией, снимок, который вы выложили в социальные сети, комментарии – это все давно стало товаром. И когда вы в следующий раз постите, лайкаете или заполняете анкету в каком-то опросе в социальной сети, подумайте, а не продешевили ли вы. На данных о вас многие люди неплохо зарабатывают. Это была программа «Правда». Смотрите нас на Общественном телевидении России по будням. Меня зовут Юрий Алексеев. Всего доброго.