Ограничить на законодательном уровне сбор персональных данных предлагают в Роскомнадзоре. Работа над едиными стандартами против утечек продолжается, цель состоит в том, чтобы операторы и компании не "пылесосили" всё подряд про всех, а брали только ту информацию, которая нужна для конкретной задачи. Но, кажется, остановить мельницу повсеместного сбора не так-то просто, а вот получить доступ к информации по-прежнему легко — пользователя вынуждают ставить галочку и соглашаться делиться данными с каждым встречным сайтом, как будто по умолчанию. Как РКН хочет превратить борьбу с ветряными мельницами из утопии в набор конкретных стандартов, читайте в материале Накануне.RU.
Получить персональные данные любого человека сегодня несложно. А между тем, это первая ступень в каждой мошеннической схеме. Купить базы данных можно в интернете, утечь информация может откуда угодно. Собирают данные тоже все подряд, и это никак не контролируется, порой даже самими пользователями — всего одна галочка, что может страшного случиться, если ты поставишь согласие на сайте коммерческой структуры, куда тебе нужно зайти что-то купить, заказать услугу или получить информацию на другом ресурсе? Никто не контролирует не только то, кому предоставлены данные, но и никто не следит за тем, как они будут использованы.
Потому обратить особое внимание на использование личной информации стоило бы давно. Но есть ряд сложностей. Во-первых, отсутствует само определение, что является персональными данными, а что нет. Казалось бы, любые данные — персональные, но многие эксперты с этим не согласны. Может быть, тогда индивидуальные особенности каждого лица — персональные данные?
"Что персональными данными является? Возраст, привычки — это не персональные данные, это все, что угодно, но не персональные данные. Персональные данные — это то, что меня позволят идентифицировать. То, что мы сейчас имеем, — это следствие того, что без установки правил нет никакого смысла никого наказывать. Если нет правил следования, то сейчас договорились до доверенных хранителей. Наконец-то добрались, откуда на самом деле идет утечка", — говорит председатель совета Фонда развития цифровой экономики Герман Клименко.
Во-вторых, у нас уже есть и уголовная, и административная ответственность за утечку персональных данных, но пойди попробуй найди виноватого. Хотя, казалось бы, никто и не скрывает — мы все были свидетелями и больших сливов биг-даты из банков, и громких историй про утечку данных из той же "Яндекс.Еды". Но что за этим последовало? Ничего. Нет информации, что виновных нашли и наказали или вернули информацию.
"Мы этого не слышим. Поэтому здесь только закон поможет, только правоприменение, стандарты, как они будут исполняться и как будут проверять. Данные — это огромнейший рынок. Только меч закона сможет исправить эту ситуацию. Увидели, что одних привлекли, следующие так делать не будут", — говорит адвокат, специалист по уголовным делам и мошенническим схемам Антон Пивоваров.
И тут мы возвращаемся к первому вопросу — что считать личными данными? Предпочтения в еде? Средний чек? Сторонники цифровизации напуганы формулировкой про "меч закона".
"Кому-то очень хочется наказать "Яндекс" за утечку персональных данных, но если сервис "Яндекс.Еда" мы признаем обладателем персональных данных, то мы сломаем всю экономику. Я руковожу Фондом развития цифровой экономики, и его придется переименовать в Фонд закрытия цифровой экономики, — говорит Герман Клименко. — Поэтому, безусловно, надо выработать стандарт, нужно привести в порядок нашу банковскую систему, которая собирает данные непонятно как, непонятно зачем и непонятно куда девает. И безусловно, третья часть — как их отчуждать. Это, действительно, серьезная история, если банк собрал, имеет ли он право передать куда-то информацию".
Третий момент — анонимные звонки. В мошеннических схемах первый шаг — незаконное получение данных, второй — использование этих данных в горячих прозвонах. Минимум такие истории раздражают обывателей, приучают сбрасывать или не отвечать на незнакомые номера, но масштабы трагедии поражают, сколько людей все же верят тому, кто на другом конце провода называет ваше имя, фамилию и отчество и действует вполне профессионально. Миллионы рублей переведенных на "безопасные счета" не дадут соврать. И опять сторонники цифровизации протестуют: анонимные звонки не имеют ничего общего с утечками данных.
"И анонимные звонки, которые вас как обывателя раздражают, к теме обсуждения не имеют никакого отношения, все вопросы к Минсвязи. Анонимные звонки, приземление звонков без авторизации и так далее, тому подобное — это другая тема", — говорит Клименко.
Что же может урегулировать стандарт, если наказывать сервисы за слив данных не получается, а использование данных в анонимных звонках — проблема Минсвязи? Стандарты дают возможность назначить ответственных за хранение данных. Если мы говорим о трех, пяти, десяти доверенных операторах — это значит, что, выполняя эти стандарты, мы соглашаемся хранить данные только на тех доверенных ресурсах, которые будут следить за тем, идет ли массовое скачивание, идет ли доступ с зарубежных ресурсов и так далее. Само по себе дело благое, соглашается Клименко.
Если стандарты примут, то при возникновении инцидентов, гораздо проще будет работать службам безопасности, потому что будет единое поле, единое понимание у безопасников различных организаций и у правоохранительных органов, говорит руководитель компании по защите персональных данных P-DATA Александр Ильин. Сейчас одна компания без преград может передать другой данные, с которыми работает, но когда появятся стандарты по рекомендации Роскомнадзора, будет и ответственность.
В любом случае, хуже не будет, говорит эксперт, потому что сейчас дело обстоит хуже некуда. Сегодня человек, давая разрешение на работу со своими персональными данными, может дать оператору персональных данных, действительно зарегистрированному оператору, а может дать какой-то компании, которая не является оператором. Пока больше вопрос есть к грамотности людей, к грамотности предпринимателей, которые работают с персональными данными.
Ильин еще раз напоминает, что не нужно раздавать направо и налево свои данные. Не нужно указывать свои данные там, где их не нужно указывать. Не нужно в интернете выкладывать, что вы едите и куда ездите. Если вы будете более бережно относиться к своим данным, то, поверьте, у вас будет меньше поводов для беспокойства. А вот проверить, кому именно вы дали добро — можно уже сегодня, рассказывает Ильин:
"Если компания, действительно, является оператором, то инструмент есть, если компания оператором не является, то там гораздо все сложнее. Прежде чем давать какие-то разрешения, проверьте ИНН компании или пробейте по названию на сайте Роскомнадзора, там есть база данных, и вы увидите, является ли компания оператором или нет. Если является, то есть единый реестр. Вы можете зайти на Госуслуги, авторизоваться и посмотреть весь список компаний, банков, чего угодно, где вы давали свое разрешение на работу с персональными данными. И там же вы можете отозвать разрешение. И по закону они обязаны будут удалить ваши персональные данные и прекратить их обработку, если это не нарушает законодательство коммерческого использования с другой стороны".