И действительно, кража личности и персональных данных десять лет назад казалась в России в значительной степени проблемой надуманной. Возможность простого использования чужих данных в своих корыстных целях считалась исключительно особенностью США. В американских детективах сюжет, когда злоумышленник блокирует главному герою средства в банке, представившись им по телефону, встречался с середины 1980-х. Возможность такого злоупотребления была обусловлена отсутствием единого национального внутреннего удостоверения личности в США, активным внедрением телефонного банкинга и распространением пластиковых кредитных карт, а также особенностью американского подхода к бизнесу, когда удобство клиентов ценится больше, чем безопасность, а риски можно покрыть за счет развитого страхования.
С развитием интернет-услуг в середине 90-х, в которых США тоже были пионером, проблема возросла многократно. Возможность удаленной подачи банковских, медицинских и государственных документов плюс массовое пришествие социальных сетей, где люди сами легко делились своей частной жизнью, сделали кражу личности в значительной степени тривиальной задачей, доступной не только подготовленному специалисту. В 2010-х годах в Америке с кражей личности сталкивалось до 10 миллионов человек. Большинство преступлений с кражей личности были типовыми. Например, подача налоговой декларации на возмещение налогов на чужое лицо, так что возмещение получает злоумышленник, а декларация честного налогоплательщика отклоняется как дублирующая. А еще незаконное получение кредитов на чужое имя, взятие в аренду с последующей кражей автомобилей на имя жертвы, использование чужих данных для незаконного получения сильнодействующих лекарств или для незаконной миграции. Правительство США активно начало бороться с кражей персональных данных. Для защиты граждан был принят «секторальный подход», то есть отдельный стандарт и закон для защиты данных в каждой из отраслей экономики и социальной сферы. Если бы был выбран всеобъемлющий единый закон о защите всех персональных данных, то, по мнению американских законодателей, это бы не позволило полностью защитить все медицинские и банковские данные и замедлило рынок интернет-рекламы. По логике традиционного повествования об успехе новых технологий, хотелось бы сказать, что такой подход оправдался. К сожалению — нет! В прошлом году в США жертвами мошеннических действий с персональными данными, по информации Американской ассоциации пенсионеров, стали рекордные 42 млн человек, которые суммарно потеряли около 52 млрд долларов.
Возможно, настало время для фильма «Кража личности-2», учитывая, что проблема защиты персональных данных не решена, и, более того, уже стала угрозой всему миру. Поэтому фильм мог бы стать более успешным в международном прокате. Развитие электронного бизнеса и массовых цифровых платформ создало новые экономические возможности по продаже как традиционных, так и принципиально новых, цифровых товаров и услуг. Накопление больших данных этими платформами позволяет оперативно получать качественно новые выводы об экономике и социальных аспектах общества. Все наши интеллектуальные устройства, компьютеры, смартфоны, часы, современный автомобиль и даже стиральная машина генерируют данные. Все эти данные позволяют делать мир лучше. Увы, обратное тоже возможно.
Сегодня фактически мы с вами не можем контролировать, как данные о нас обрабатываются, собираются и распространяются. Цифровой бизнес накапливает наши данные безнаказанно. Конспирологи считают, что цель цифровых компаний — создать управляемый мир, который позволяет собирать наши данные, искать в них закономерности и сходства, обрабатывать их искусственным интеллектом и принимать решения о нас и нашем будущем.
Но не будем уподобляться конспирологам, хотя порой и они бывают правы. Основные претензии сегодня к цифровым платформам — сбор избыточных данных и плохая их защита. Притом что защита персональных данных является базовым правом человека, исходящим из 17-й статьи Международного пакта о политических и гражданских правах ООН о неприкосновенности частной жизни. Что, в свою очередь, требует от государств принять законы о регулировании и хранении информации личного характера в компьютерных системах и банках данных. Такое законодательство должно содержать право человека удостовериться, какая информация личного характера накапливается в файлах данных и с какой целью. Человек также должен иметь возможность удостовериться, какие государственные органы или частные лица контролируют эти файлы, и, если информация в файлах неправильная или собирается в нарушение закона, человек имеет право требовать исправления или изъятия данной информации. Таким образом, требование защиты персональных данных равно праву на защиту частной жизни.
Но что такое персональные данные? Очевидно это вся информация о нашей личности, включая имя, номера государственных документов, адрес, телефон и так далее, но не только! В 2016 году ООН расширила толкование персональных данных на все метаданные, которые при их агрегировании могут косвенно привести к раскрытию информации личного характера. Персональные данные, согласно современным трактовкам, — это любая информация, касающаяся идентификации физического лица. То есть ваш IP-адрес, логин вашего браузера и даже проездной билет (если он может быть совмещен с системой распознавания лиц, как в московском метро) — персональные данные. Все они при утечке могут быть использованы против вас. Сегодня с помощью ваших данных могут быть совершены как классические преступления кражи личности, такие как регистрация на ваши данные фирмы-однодневки и взятие микрокредита, так и достаточно экзотические — как воровство баллов систем лояльности ретейловых систем. Даже использование вашего имени и фотографий злоумышленником в социальной сети может нанести ущерб вашей репутации и доставить значительную головную боль.
Как уберечься от этого? В первую очередь знайте, кто, как и когда имеет право собирать ваши данные и каковы ваши права в этом вопросе. Российское законодательство в области защиты персональных данных относится к одним из лучших в данной сфере, полностью соответствует требованиям международных организаций и фактически ежегодно обновляется. Собирать персональные данные, за исключением вашего работодателя и компании, с который вы заключаете договор, в РФ имеет право только «оператор персональных данных», который должен быть зарегистрирован в реестре персональных данных, который поддерживает Роскомнадзор. В настоящее время в реестре содержатся сведения о 440 670 операторах персональных данных. Хорошей практикой перед предоставлением своих данных является проверка организации на предмет наличия в этом списке. Регистрация в реестре накладывает на оператора персональных данных серьезные требования по их защите, исполнение которых проверяется уполномоченными органами. Оператор обязан сообщить вам, для чего он собирает ваши данные, что будет, если вы их не предоставите, сколько они будут храниться, и вы должны дать явное согласие на их обработку для указанных оператором целей. Вы имеете право в любой момент обратиться к оператору на предмет предоставления информации о том, какие данные о вас он хранит, а в случае неправильных данных оператор обязан их исправить.
Конечно, есть множество оговорок и исключений из этих требований, но, в общем, права гражданина РФ на защиту персональных данных полностью обеспечиваются. При их нарушении вы вправе обратиться в Роскомнадзор, в том числе подать заявление через сайт. В 2020 году Роскомнадзор обработал около 40 тысяч заявлений о нарушении законодательства в области персональных данных. Так что работа органа достаточно эффективна. Разумеется, защита может осуществляться только в случае, если эти персональные данные хранятся в российской юрисдикции на территории РФ.
Учитывая, что большинство социальных сетей являются юридическими лицами США, которые не имеют общего законодательства в области защиты персональных данных и не переносят данные в РФ, обеспечить защиту прав трудно. Это не только проблема нашей страны, точно такую же политику ведет Евросоюз, тоже требуя от США переноса данных на территорию ЕС, и отношения в этой сфере между Брюсселем и Вашингтоном давно являются предметом торга. Так, Калифорния, где зарегистрированы ведущие интернет-гиганты, была вынуждена принять ужесточенное относительно остальных штатов локальное законодательство о защите данных, для того чтобы не потерять европейский рынок. Впрочем, в ЕС нет своих социальных сетей и значительных интернет-платформ, в отличие от России. Запрет на деятельность в России за экстремизм Меtа (Фейсбук, Инстаграм) неприятен, но переживаем и, главное, во многом справедлив. Они не обеспечивают защиту ваших персональных данных.
