В Госдуме предлагают дополнительно защитить персональные данные россиян
Он определяет порядок и условия обработки общедоступных персональных данных, а также право субъекта персональных данных требовать их удаления из общедоступных источников. Каждый из нас фактически ежедневно использует разнообразные онлайн-сервисы, которые в большинстве случаев имеют доступ к тем или иным нашим персональным данным. При этом надёжность защиты личных сведений вызывает, мягко говоря, сомнения: кому из нас, обращаясь по имени-отчеству, не звонили с «левых» номеров из «службы безопасности» какого-либо банка с просьбой уточнить данные по счёту или карте? Вариантов предлогов для подобных звонков множество, всё зависит от фантазии кибермошенников. Сегодня действующие правовые нормы позволяют так называемым третьим лицам практически бесконтрольно распоряжаться персональными данными граждан в интернете. При этом доказывать незаконность использования данных приходится самим пострадавшим. За первое «ковидное» полугодие, как сообщала «Лаборатория Касперского», количество звонков от финансовых мошенников выросло на 30%. Персональную информацию о клиентах мошенники получают благодаря сливам баз данных банков или с помощью агрегаторов данных. Например, ФИО и номера телефонов могут иметься в распоряжении различных магазинов: они собирают информацию о своих покупателях для включения их в бонусные программы. Если мошенник получит доступ к этим данным, он будет знать имя и фамилию клиента, а также номер его телефона. Средняя сумма краж, по данным «Лаборатории Касперского», составляет 5 тысяч рублей. Однако, в ходе проведённого исследования компания выяснила, что 2/3 пользователей всё-таки сразу распознают мошенников. Пока статистика за 2020 ещё формируется, приведём данные за 2019 год. Российская компания, специализирующаяся на информационной безопасности в корпоративном секторе InfoWatch, сообщала о том, что на чёрном рынке тогда оказалось свыше 2,2 млн записей — персональных данных клиентов и коммерческих секретов организаций. Это произошло в результате 25 утечек. Для сравнения: в 2018-м было лишь восемь подобных случаев, а это втрое меньше. Громкий случай произошёл в апреле этого года, когда на продажу были выставлены персональные данные россиян, которые оформляли микрозаймы в 2017-2019 годах. В базе содержалось 12 миллионов записей с паспортными данными, телефонами и сведениями об электронных кошельках. Кстати, по информации Комиссии Общественной палаты России по развитию информационного сообщества, за 2018 год кибермошенники украли у россиян свыше 2 млрд рублей! И тенденция сохраняется. Общемировые же темпы роста числа утечек данных существенно снижаются: за 2019 год аналитики InfoWatch насчитали 158 случаев утечек в мире, что на 42 % больше, чем годом ранее. На фоне неблагоприятной эпидемиологической и экономической обстановки в России резко возросло и число утечек персональных данных и коммерческих сведений из транспортных и промышленных компаний. По мнению экспертов InfoWatch рост числа утечек связан с высокими темпами цифровизации экономики. За первую половину года было украдено 9,5 млн записей — это в 10 раз больше, чем за тот период в прошлом году. А по данным Positive Technologies, во втором квартале число атак на промышленность составило 15 % от общего числа атак на юридические лица. Таковы наши реалии, приходится мириться с ситуацией и максимально внимательно следить за своим цифровым поведением, чтобы ненароком не предоставить злоумышленникам какую-нибудь лазейку. Так что стремление законотворцев предоставить россиянам удобный и простой инструмент управления персональными данными, так или иначе, попадающими в сеть, конечно, не может не радовать. Законопроект «О внесении изменений в Федеральный закон "О персональных данных" в части установления особенностей обработки общедоступных персональных данных», предложенный депутатом ГД Антоном Горелкиным, определяет содержание согласия гражданина на обработку его данных владельцем сайта; в частности, он будет вправе заявить об условиях использования его персональных данных третьими лицами. Предполагается введение норм права и ответственности сервисов и юридических лиц, которые собирают и хранят персональные данные пользователей, и наделяет граждан правом требовать от владельца интернет-ресурса предоставить законные основания для размещения их персональных данных. В целом, у нас и сейчас есть возможность распоряжаться своими данными по собственному усмотрению, однако процедура их удаления в случае утечки или пересмотра своей позиции по этому вопросу достаточно сложна и далека от идеальной. В случае принятия этого законопроекта сервисы должны будут предоставить пользователям простую и понятную возможность при желании отозвать свои данные с сервиса и запретить их дальнейшее использование. Если же сервисы продолжат несанкционированное использование этих данных, им грозит штраф. Законопроект закрепляет персональные сведения в статусе общедоступных исключительно на основе согласия самого человека (то есть точки сбора данных могут распространять их на другие компании или лица, но только если гражданин даст такое согласие). В согласии на использование персональных данных гражданину будет предоставлено безусловное право отказаться от передачи своих данных каким-либо сторонам, без его дополнительного согласия. Персональные данные это наша собственность и мы имеем право распоряжаться ею по своему смотрению. Особенности нового законопроекта и его влияния на ситуацию, связанную с утечкой персональных данных россиян, «Новые Известия» попросили прокомментировать Александра Журавлёва, председателя комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России: - Законопроект, в принципе, интересный. До этого в законе было такое понятие, как «общедоступные источники персональных данных». Архивы, газеты, ещё что-то. Сейчас же, вместо «общедоступных источников персональных данных», вводится понятие «общедоступные данные». Что это даст с точки зрения, граждан, бизнеса и всего остального. Будет возможно использовать новый вид данных на общих условиях, но для этого гражданин должен предоставлять отдельное согласие. Получается, оператор персональных данных должен будет брать у человека два согласия: одно согласие вообще на возможность обработки ваших персональных данных, а второе непосредственно на возможность сделать ваши персональные данные общедоступными. Закон предусматривает, что в этом согласии гражданин может указать отдельные категории данных как общедоступные. Вы сами будете решать, что из таких данных, как ФИО, мобильный телефон, электронная почта, адрес и так далее может быть впоследствии использовано публично, а что вы оставляете только для себя, чтобы защитить свою приватность. Интересно, что раньше, в основном, писали цели, для которых берутся персональные данные. Сейчас же помимо целей, которые указываются в согласии, операторам персональных данных нужно ещё будет в этом отдельном согласии приводить список ресурсов, на которых будут размещаться общедоступные данные: на ресурсе «А», «Б», «В», - и тогда вы уже будете чётко понимать, где ваши данные будут распространяться. То есть в целом, на мой взгляд, это такой шаг в сторону прозрачности оборота данных. Есть ещё один немаловажный момент, который можно в этой связи выделить. Раньше была такая сложность: персонал, который занимается данными, просил дать согласие в письменном виде, потому что когда Роскомнадзор осуществляет проверки, он требует, в том числе, предоставить и письменное согласие. И хотя гражданский кодекс и предусматривает электронные документы и возможность электронного оборота, в плане закона о персональных данных это почти не применялось. А теперь закон чётко устанавливает, что предоставление или отзыв такого согласия возможен – первый вариант - посредством электронной почты, а второй вариант - через специализированную информационную систему Роскомнадзора. Пока непонятно, о какой именно информационной системе идёт речь, видимо, она либо сейчас только разрабатывается, либо будет разработана, но она, очевидно, будет давать возможность, используя Роскомнадзор как регулятор, обмениваться при его помощи этим видом данных. Если из того согласия, которое вы даёте на общедоступные данные не будет следовать, что это общедоступное, в этом случае, оператор не вправе публиковать их. Часто операторы злоупотребляют определёнными моментами и могут, фактически, вводить потребителя в заблуждение, говорить, нет, это не общедоступные данные, а мелким шрифтом будет значиться, что это общедоступные. И в этом случае, считается, что вы не дали согласие оператору на то, что это общедоступные данные. Это тоже достаточно неплохая норма. Кроме того, вы в любой момент сможете отзывать свои общедоступные данные, любую категорию, как полностью, так и частично. При этом, в соответствии с новым законопроектом, вы сможете требовать удалить свои данные не только того оператора, которому изначально давали согласие, но и у других лиц, по всей цепочке. Допустим, первоначальный оператор после вашего заявления произвёл удаление данных, а один из порталов, который был у него указан, этого не сделал, и тогда вы сможете обратиться к этому порталу с требованием об отзыве своих данных. В качестве примера о нюансах оборота общедоступных данных можно упомянуть алгоритм больших данных (big data). Он анализирует гигантские массивы информации и усматривает в них закономерности, которые не видны человеческому глазу. Соответственно, чем больше данных вы ему даёте, тем лучше он может предсказывать, допустим, как правильнее проводить маркетинговую политику, а если это касается, скажем, медицины, то каким образом предотвращать лечение рака и так далее. И вот этому алгоритму как раз может понадобиться использовать ваши общедоступные данные. В своё время наша комиссия делала заключение по данной теме и направляла его в Госдуму с просьбой об установлении отдельного вида компенсации для физических лиц, чьи данные «утекли», сейчас это предложение находится на рассмотрении. Почему мы просим Госдуму провести соответствующую реформу? Потому что сегодня для операторов персональных данных нет стимула для защиты персональных данных. Знаете, какой максимальный штраф за утечку персональных данных? 75 000 рублей. Неважно, сколько из базы утекло – данные миллиона пользователей или одного человека, это роли не играет. По-моему, это не даёт оператору персональных данных стимула защищать эти данные. При этом в даркнете вы можете купить одну запись за 5 долларов, разбивка цен, грубо говоря, от 5 до 100 долларов примерно. И вот представьте, когда речь о базе в миллион человек, сколько можно денег заработать и какой при этом будет штраф. Также закон о персональных данных даёт гражданину право обратиться в суд с требованиями по поводу морального ущерба, либо убытков. По поводу первой категории споров сформировалась практика, при которой граждане взыскивают не выше 15 000 – 20 000 рублей. То есть, получается, это всё тоже несоразмерно ущербу, который может быть нанесён человеку. А по части убытков ситуация такая: правовой состав убытков предполагает необходимость доказывать причинно-следственную связь между действием или бездействием оператора и вредом - и его масштабами - который был нанесён физическому лицу. В России сейчас нет прозрачного оборота персональных данных, поэтому сделать это почти невозможно. Как вы думаете, за всё время существования закона о персональных данных, сколько было случаев взыскания убытков? Ноль. Ни одного обращения. Потому что, считается, пробовать это сделать просто бессмысленно. Ничего не добьёшься. Персональные данные это топливо для киберпреступлений. Соответственно, чем больше их видов преступник имеет, тем более разнообразные преступления может совершать. Если данных мало, то при помощи так называемого парсинга – то есть автоматизированного сбора данных или социальной инженерии, можно выйти на конкретную личность человека, узнать, где он живёт, работает и так далее. И потом начинаются все эти истории со звонками из «службы безопасности» банка, с оформлением подставной организации на этих людей для того, чтобы отмывать денежные средства или совершать правонарушения по незаконному оформлению кредита и так далее. И вот в контексте нашего обращения в Госдуму по поводу компенсации для физлиц, это предполагает наложение материального взыскания на оператора персональных данных от 10 000 рублей до 1 млн рублей каждому гражданину за утечку его персональных данных, в зависимости от того, что случилось. Возвращаясь к новому законопроекту Антона Горелкина - единственное, что он запрещает, это как раз вышеупомянутый парсинг. Но любая технология может быть злом, а может нести добро, это зависит от того, в чьих она руках окажется. А парсинг, например, используют многие компании для того, чтобы открытые данные использовать для маркетинговых исследований и т.д. Цифровая экономика - это экономика данных. И законопроект Горелкина, по сути, вводит запрет на возможность такого использования. То есть все те компании, хорошие или плохие, которые до этого использовали такого вида данные для составления баз портрета клиентов и иных маркетинговых целей сейчас не смогут это делать, это фактически будет под запретом. Если только сами операторы или граждане не скажут, что это общедоступные данные. И возникает вопрос: будет ли баланс между защитой личности и непосредственно развитием технологий анализа больших данных (big data) в России? И это вопрос открытый. А новый закон не искоренит мошенничество. Пока не будет адекватных способов защиты и необходимых санкций в отношении лиц, которые крадут персональные данные или ненадлежащим образом их защищают, процессы, связанные с киберпреступностью у нас не остановятся. В Европе по закону о персональных данных штрафы могут составлять до 5 % от оборота компании. Если говорить о конкретных примерах: British Airways был выписан штраф 204 600 000 евро, Marriott - 110 390 000 евро, Google – 50 000 000 евро и так далее. Аналогичный закон есть в США, особенно строгий в Калифорнии. Рассматривается введение подобных штрафов в Канаде и других странах. Для надлежащей защиты персональных данных нужен не только вот такой новый законопроект, но и возможность увеличения штрафов в отношении операторов персональных данных (госорганов и бизнеса). Пока не будет соразмерного механизма взысканий за утечку данных и совершение преступлений с данными, мошенничество не закончится. Резюмируя, скажу, что законопроект «О внесении изменений в Федеральный закон "О персональных данных" в части установления особенностей обработки общедоступных персональных данных» – это, безусловно, один из шагов в сторону улучшения обстановки, связанной с оборотом персональных данных в России. То есть это точно шаг вперёд, а не назад. Но подчеркну: помимо этого необходимо принять ещё много других мер, чтобы действительно заметно изменить ситуацию.