Ежедневно миллиарды пользователей интернета оставляют в сети «следы». Информация о юзерах — главная ценность для IT-компаний и лакомая добыча для киберпреступников. В последние годы новости об утечках данных стали обыденностью: почти каждый день в руки заинтересованных лиц попадают досье на тысячи и миллионы человек, и те пользуются ими по собственному усмотрению — от перепродажи до массовых взломов. Всем известны случаи с поддельными звонками из «службы безопасности» банков, оформлением кредитов или подставных организаций на незадачливых пользователей сети. Все это — последствия массовых утечек. Защита персональных данных стала одной из ключевых задач современности. Как во всем мире пытаются защитить информацию о пользователях и кто поплатится за проблемы с безопасностью — разбиралась «Лента.ру»
Новые реалии
Объем информации, генерируемый людьми, государственными органами и предприятиями, постоянно растет. Ожидается, что к 2025 году он увеличится в пять раз по сравнению с 2018-м. В попытке обуздать растущие риски Еврокомиссия недавно разработала проект регламента по обмену и управлению данными. По словам европейских чиновников, новые правила в конечном итоге поспособствуют «благосостоянию общества, усилению контроля и доверия как граждан, так и компаний в отношении своих данных и предложат альтернативную европейскую модель практике обработки данных на основных технологических платформах». Оговаривается, что при коммерческом обмене данными передавать их напрямую будет нельзя.
По сути Евросоюз предлагает модель взаимодействия, призванную ограничить влияние и возможности крупнейших технологических платформ. Основными операторами данных должны стать компании-посредники или агрегаторы. Они будут заниматься сбором, хранением и обогащением информации для ее дальнейшего использования разными компаниями. А вот зарабатывать, предоставляя какие-либо услуги пользователям, не смогут — к ним будут предъявляться самые жесткие требования. Например, посредники не получат права разрабатывать собственные продукты на основе данных, продавать их или даже обрабатывать в собственных интересах. Исполнительный вице-президент Еврокомиссии Маргрет Вестагер заявила: «Необязательно делиться всеми данными. Но если вы это делаете и данные являются конфиденциальными, вы должны быть в состоянии сделать это таким образом, чтобы информацию можно было доверить и чтобы она была защищена. Мы хотим дать бизнесу и гражданам инструменты, позволяющие контролировать данные. И создать доверие к тому, что данные обрабатываются в соответствии с европейскими ценностями и основными правами».
Согласно проекту, провайдер должен обеспечивать высокий уровень безопасности для хранения и передачи обезличенных данных, а метаданные, собранные для обмена информацией, могут использоваться только в отношении определенной услуги или цели, для которой они и были собраны. Агрегатор обязан гарантировать справедливость, прозрачность и «недискриминационность» всем участникам процесса, при этом предоставлять услуги «непрерывно» — то есть и держатели, и пользователи данных в любом случае должны получать к ним доступ.
По словам председателя комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Александра Журавлева, этот регламент — один из шагов Евросоюза по защите национальных приоритетов, в частности, данных европейцев. Он в том числе необходим, чтобы ограничить монополию IT-гигантов и улучшить конкуренцию на этом рынке, а также защитить непосредственно граждан. Для этого и должны быть созданы организации, которые станут посредниками при передаче информации, то есть данные будут храниться у посредников в обезличенном виде, и они сами не будут иметь к ним доступ. Делиться ими можно будет только по запросу компаний или государственных органов. Но как это отразится на других участниках процесса?
«Там есть определенные оговорки, касающиеся других стран. И любые данные в обезличенном виде могут быть переданы, если запрашивающая организация и страна-получатель обеспечивают должный уровень защиты данных, которые соответствуют европейскому законодательству. То есть будет рассматриваться законодательство о персональных данных, об интеллектуальной собственности, уголовное и права государственных органов по доступу к этим данным — и затем приниматься решение о передаче или невозможности передачи таких данных», — заключает Журавлев. По словам эксперта, Евросоюз движется в направлении защиты данных своих граждан и компаний. Это делается в том числе для развития цифровой экономики — экономики данных.
С развитием цифровых сервисов граждане разных стран оставляют достаточно большое количество данных на разных ресурсах. А новые технологии в своей основе имеют алгоритмы, анализирующие огромные массивы данных, и они способны выявить процессы и закономерности, которые незаметны человеческому глазу. Чем больше разного рода данных получают компании, тем больше знают эти алгоритмы. По мнению заместителя генерального директора по правовым вопросам Института развития интернета (ИРИ) Бориса Едидина, для развития цифровой экономики важен принцип недискриминационного доступа к данным для всех заинтересованных пользователей. «Чем больше субъектов смогут получить доступ к ограниченному ресурсу, тем больше новых сервисов, технологий и услуг могут быть созданы или оптимизированы. Тем технологичней станет наша жизнь и конкурентоспособней экономика. По оценке европейских экспертов, в результате реформы вклад основанных на данных индустрий может достичь четырех процентов ВВП», — заключил он.
Европейские ценности
По мнению специалистов, новый законопроект, касающийся правил передачи данных, преследует сразу две цели. Первая и очевидная — это защита собственно граждан. Если ценные массивы персональных данных находятся в иностранной юрисдикции и степень их защищенности мала, то можно лишь предположить, как и кем они могут быть использованы. Второй аспект связан с бизнесом. Крупные социальные сети сосредоточили в своих руках информацию о миллиардах пользователей: к примеру, у Facebook их более трех. Обработав такое количество информации, платформа получает почти неограниченную власть, огромные инструменты влияния во всех сферах — от банальных покупок до жизненного выбора. При этом малые сервисы сталкиваются со сложностями, так как все данные сосредоточены в руках нескольких IT-гигантов. Чтобы не монополизировать рынок и осуществлять свободную конкуренцию, Еврокомиссия и предлагает новый регламент.
В пользу последней точки зрения говорит и недавняя отмена соглашения Privacy Shield («Щит безопасности») о свободном трансфере данных между США и Евросоюзом. В июле 2020 года такое решение было принято Европейским судом в Люксембурге. Поводом стали опасения из-за возможной слежки за гражданами со стороны американских властей, которые укреплялись в последние годы после откровений бывшего сотрудника АНБ Эдварда Сноудена, рассказавшего о системе шпионажа за пользователями по всему миру. Этот судебный прецедент существенно усложнит работу коммерческих компаний, осуществляющих деятельность одновременно на двух материках, однако не запрещает передачу такой информации полностью.
Работа по регуляции и защите персональных данных ведется во всем мире давно. Наиболее известным документом в этой сфере является Общий регламент Европейского союза по защите персональных данных General Data Protection Regulation (GDPR), вступивший в силу в мае 2018-го. Он защищает многочисленные цифровые следы европейцев: виновник любой утечки должен в течение 72 часов известить о произошедшем пострадавших и сотрудников ведомства-регулятора. Финансовые риски огромны: если требования, оговоренные в GDPR, не выполняются, на компанию налагается штраф в размере до 20 миллионов евро или четырех процентов от годового глобального оборота. На днях Ирландская комиссия по защите данных (Data Protection Commission, DPC) наложила такие санкции на Twitter. За недостаточно оперативное обнародование данных об утечке платформу оштрафовали на 450 тысяч евро. Это первая санкция в отношении компании в рамках действия GDPR. Но сейчас в работе комиссии по защите данных находится более двух десятков дел о работе американских компаний в Европе.
Согласно недавнему отчету, за два года применения GDPR почти все государства фактически реализовали указанные меры и обязательства в полном объеме, отстает пока лишь Словения. Большинство стран постоянно актуализируют законодательство в области персональных данных в попытке защитить граждан и собственную информационную безопасность. Против этих инициатив ожидаемо выступают многие крупные IT-платформы, так как они несут для них дополнительные неудобства и расходы. Однако постоянные сообщения об утечках вынуждают власти прибегать к радикальным решениям. «Мы живем в интересное время — суверенитету и независимости государств бросают вызов транснациональные технологические компании. Национальные регуляторы осознают опасность и предпринимают усилия по ограничению их возможностей. Эту тенденцию мы видим и в Европе, и в США», — отмечает заместитель генерального директора по правовым вопросам ИРИ Борис Едидин.
В разных государствах существуют также собственные требования о локализации персональной информации пользователей. В прошлом году правительство Индии решило обязать бигтех хранить данные местных жителей на территории страны. Такие меры были связаны с утечкой WhatsApp: тогда стало известно об опасной бреши в защите сервиса. Воспользовавшись ею, неизвестные злоумышленники атаковали пользователей, установив на их устройства программы-шпионы. Происходило это следующим образом: жертва получала через мессенджер звонок, данные о котором моментально стирались. Несмотря на то что вызов оставался неотвеченным, на гаджет устанавливалось ПО под названием Pegasus. С его помощью можно было незаметно вести видео- и фотосъемку, а также прослушивать телефон. При этом израильская компания NSO Group, разработавшая программу, отрицала все обвинения, утверждая, что доступ к ней имеют только службы разведки и правительства.
Несколькими годами ранее Южная Корея запретила компании Google использовать государственные картографические данные на иностранных серверах. Тогда правительство объяснило это вопросами национальной безопасности. Еще пять лет назад, по данным Европейского центра по международной политической экономии (ECIPE), стран, регламентирующих правила локализации данных, было более 60. Азиатские страны (Сингапур, Индия, Китай) и ряд европейских (Швеция, Германия, Дания и другие) обязывают хранить на местных серверах все данные, которые обрабатываются госорганами. То же касается медицинской информации о жителях Австралии и Великобритании, некоторых штатов США и Канады (там на территории каждого региона приняты собственные законы о данных). В России закон о локализации персональных данных россиян действует уже более пяти лет — с сентября 2015 года.
По словам Бориса Едидина, желание оформить локализацию законодательно пришло к странам с общим пониманием ценности информации. «Современные технологии позволяют даже в рамках очень простых сервисов, таких как фонарик на телефоне, собирать фактически неограниченные массивы данных о пользователях — от геолокации до состояния здоровья. Данные, как новые знания в Средние века, позволяют получать колоссальные преимущества при разработке и продвижении товаров и услуг, определять потребности и приоритеты пользователей на локальных рынках. Учитывая эти обстоятельства, контроль за обработкой данных и порядком их использования — это вопрос экономики, безопасности и конкурентоспособности государств», — отмечает заместитель генерального директора по правовым вопросам ИРИ.
Вызов принят
Эксперты отмечают, что Россия также движется в сторону улучшения законодательства о данных. К таким шагам относят законопроект об общедоступных данных, который в том числе поможет защитить граждан в части публичного распространения их данных. Члены комитета Госдумы по информационной политике все чаще говорят о том, что существующие штрафы для компаний за утечки данных ничтожно малы. Также в России действует европейская конвенция, где оговаривается понятие анонимизированных данных. Она предполагает разные степени обезличивания. По оценке председателя комиссии по правовому обеспечению цифровой экономики Московского отделения АЮР Александра Журавлева, существуют два варианта развития событий: либо провести эксперимент по обезличиванию данных в ряде регионов, либо сразу вводить эти понятия в законодательство о персональных данных. При этом, уверен он, на сегодняшний день очень важно обеспечить стимулы для операторов данных, чтобы они хранили их надлежащим образом.
Чуть ли не ежедневно мы сталкиваемся с информацией об утечках данных. Если говорить о нынешней степени защиты россиянина — он имеет право обратиться в Роскомнадзор с требованием провести проверку и привлечь к ответственности организацию, допустившую утечку. Но вне зависимости от того, сколько данных утекло, штраф для виновника составит максимально 75 тысяч рублей. «То есть по сути это не обеспечивает надлежащей защиты», — заключает Журавлев. Гражданин вправе подать в суд на оператора, если он видит, что его данные утекли, и взыскать моральный ущерб либо убытки. Эксперт замечает, что в части морального ущерба судебная практика складывается таким образом, что компенсация судом присуждается от полутора до трех тысяч, иногда доходит до 15 тысяч рублей. В части убытков и возможности их взыскания все еще сложнее. Убытки по своей природе предполагают доказательство причинно-следственной связи между действиями и бездействиями операторов данных. Сегодня такую связь доказать нельзя из-за отсутствия прозрачного оборота данных. За все время существования закона о персональных данных не было ни одного судебного разбирательства в этой части.
Борис Едидин замечает, что скорость развития технологий и нарастание объема обрабатываемой информации требуют развития институтов общественного контроля за корректной обработкой данных. «Развитие институтов внешнего аудита, независимого контроля хранения и обработки данных — это опыт, который может быть заимствован за рубежом, наряду с существующей системой крупных штрафов за нарушения в этой сфере». Его поддерживает Журавлев: «Если мы говорим о том, что нам нужно соответствовать европейским требованиям, нужно в первую очередь, наверное, делать штрафы по КоАП дифференцированными и соразмерными. Поскольку если 75 тысяч сравнить с GDPR, где миллионные штрафы присуждаются или достигают четырех процентов от оборота компании, которая допустила нарушение, — это, конечно, несоразмерно». При этом в настоящий момент по КоАП штраф начисляется в пользу государства, а не пострадавшего пользователя.
Также активно сейчас обсуждается инициатива введения компенсаций. Речь о возможности гражданина взыскать личную компенсацию — от 10 тысяч до миллиона рублей в зависимости от тяжести нанесенного ущерба. Она будет стимулировать операторов персональных данных к принятию необходимых мер безопасности, а также даст определенный уровень защищенности и приблизит российское законодательство к европейскому. Однако пока неизвестно, будут ли приняты эти меры, в какой степени затронет россиян обсуждаемый в Европе законопроект и как в будущем цифровые компании будут обмениваться данными и работать над цифровыми продуктами.