Больше данных, меньше утечек
Гендиректор Ivideon Андрей Юдников о том, как новые технологические инициативы порождают необходимость в усовершенствовании защиты персональных данныхСбор и обработка персональных данных стали привычным делом. В обществе есть понимание, что системы верификации, такие как Touch ID и Face ID, системы видеонаблюдения в аэропортах и школах, анкетирование на сайтах доставки и проч. – это про удобство и безопасность. Однако технологические инструменты вызывают в обществе не только понимание, но и резонные сомнения и опасения.
Этим летом на слуху были две новости: планы мэрии Москвы запустить самую крупную в мире (105 000 камер) видеосеть с функцией распознавания лиц, доступ к которой будет не только у правоохранителей, но и у департаментов ЖКХ, строительства и рекламы, и сообщения, что «Яндекс» получил патент на алгоритм определения рода занятий пользователя и его дохода на основе анализа местоположения, окружающих звуков и пула сторонних приложений на смартфоне. Мэрия пока не подтвердила планов индустриального использования технологии, а «Яндекс» заявил, что не использовал и не планирует использовать этот патент в своих сервисах. Тем не менее эти и похожие новости наводят на вопросы: когда такие инициативы будут реализованы (если они будут реализованы), как будет соблюден закон о защите персональных данных? какие структуры и на каких основаниях будут иметь доступ к полученным записям?
Пока самой большой проблемой в мировой практике остается утечка данных. В мае этого года в свободном доступе оказалась база с данными 275 млн (!) жителей Индии с именами, телефонами, данными о профессии и зарплате, а в июле Федеральная торговая комиссия США обязала Facebook заплатить штраф в $5 млрд за утечку данных 87 млн пользователей, чем воспользовалась компания Cambridge Analytica во время президентской кампании в США. Но и для России это становится проблемой: буквально на этой неделе стало известно об утечке данных 703 000 (из 730 000) сотрудников РЖД – имена, должности, телефоны и фото в форме, компания начала проверку.
Для борьбы с киберпреступниками большинство прогрессивных в технологическом плане стран регулярно обновляют не только собственно технологические решения, но и законодательную базу. В мире она куда более продуманная и детализированная, чем российская, и прямо говорит о распознавании лиц как инструменте получения биометрических данных. В целом законодательные инициативы носят превентивный характер: они борются с неправомерным получением и использованием данных путем минимизации их сбора. В частности, законы запрещают бизнесу и некоторым правительственным структурам собирать, хранить и использовать биометрические данные граждан без согласия последних.
Так, в Евросоюзе с 2018 г. действует регламент GDPR: он защищает все данные человека (в том числе фотографии) и предусматривает их использование и обработку только в случае оказания медпомощи или угрозы нацбезопасности, т. е. только с согласия суда и спецслужб. В США распознавание лиц пока не регламентировано на федеральном уровне – только в отдельных штатах. В Сан-Франциско, например, полицейским запрещено использовать технологию распознавания лиц, однако есть попытки на федеральном уровне лоббировать ее применение для поимки преступников.
В Китае, как может показаться со стороны, уже наступила эра киберпанка с тотальной слежкой (впрочем, есть и мнение, что системы видеонаблюдения ориентированы больше на устрашение). Про китайский опыт говорят слишком много, поэтому хотелось бы отметить только один любопытный случай. Весной в Китае была утечка базы данных жителей Пекина. Удивительно, но оказалось, что она никак не была защищена. Вину возложили на некомпетентных сотрудников околоправительственных структур. В результате государство будет инспектировать платформы облачных сервисов для гарантирования сохранности данных государства и крупных IT-игроков (и вскоре это может коснуться всего бизнеса и обычных граждан). Мера выглядит жесткой, но потенциально эффективной.
В России государство в ряде случаев может обрабатывать биометрические данные без письменного согласия гражданина, в том числе если гражданин подозревается в угрозе безопасности, совершении коррупционных действий, а также если это происходит в государственных и общественных интересах. Очевидно, система распознавания лиц в Москве будет собирать данные в публичных местах и сможет предоставлять их различным службам в случае правонарушений, спорных ситуаций и проч. В таком случае решение направлено на обеспечение безопасности граждан и не противоречит закону.
Разумеется, в законах хватает спорных пунктов. Область распознавания биометрических данных слишком новая и технологически прогрессивная, поэтому законы отстают от реалий, а процесс правоприменительной практики находится в стадии формирования. В результате сейчас одна часть нарушений в этой области остается практически безнаказанной – настолько условны наказания, а за другую часть карают жестоко – вспомним тот же Facebook с его колоссальным штрафом.
В теории гражданин может самостоятельно попытаться минимизировать возможности утечки своих данных, в том числе минимизируя их предоставление там, где это не нарушает закона. Но главное – в принципе осознавать ценность персональных данных, которые на практике мы часто неосознанно, почти механически отдаем устройствам, сервисам и структурам. Биометрия удобна для идентификации: пользователи привыкли разблокировать смартфоны, входить в личные кабинеты банков, оплачивать покупки с помощью Face ID и Touch ID. Наши данные могут находиться у операторов сотовой связи, систем видеонаблюдения, банковских сервисов, транспортных компаний и в десятках других структур. Системы, собирающие персональные данные, есть у государственных структур и у коммерческих компаний. Скоро к этому списку добавится мегасеть городского видеонаблюдения Москвы.
Многочисленные скандалы, связанные с утечками, будут привлекать внимание к проблеме и вести к детализации законодательства и, вероятно, ужесточению наказания за неправомерное использование данных. Естественно, у бизнеса и организаций появятся новые риски и затраты на безопасность данных. Однако общество должно получить эффективный инструмент защиты права на приватность и личную жизнь. Если, конечно, российские законодатели будут отталкиваться от реальных проблем общества.
Автор – генеральный директор Ivideon