Современные технологии подарили нам беспрецедентное удобство – оплачивать покупки или путешествовать не выходя из дома. Все это стало реальностью. Но какую цену мы платим за этот комфорт? Вместе с удобством приходит массовый сбор данных, ставящий под угрозу личную приватность граждан. Эксперты обсудили эту актуальную тему в прямом эфире на тему «Проблематика персональных данных в цифровую эпоху».
Документы
В Казахстане существует специальный Закон «О персональных данных и их защите» от 2013 года. Пункт 2 статьи 1 дает определение понятию «персональные данные»: «Это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе».
Что можно отнести к персональным данным? Давайте заглянем в наши документы (удостоверение личности, паспорт, водительские права, договоры с сотовыми операторами, медицинские карточки, адресная справка, данные из ЕНПФ, электронные документы из eGov и т. д.). В них есть зафиксированная о нас информация: фамилия, имя и отчество, дата рождения, номер документа, ИИН, адрес прописки и адрес проживания, номер телефона, группа крови, данные о заработной плате и пенсионных отчислениях.
Цифровые следы
Во многих государствах переход на цифровизацию занимает большую нишу, потому что все стремятся оптимизировать процессы – быстро получать услуги, совершать финансовые переводы, делать онлайн-покупки. Но как это все отражается на защите персональных данных? С такой постановки вопроса начал прямой эфир модератор, соучредитель ОФ «Еркіндік қанаты» Роман РЕЙМЕР.
Первой выступила специалист Data Privacy Professional Teaching professor, заместитель директора Высшей школы права Maqsut Narikbayev University, директор Digital Rights Center Qazaqstan в МФЦА Дана УТЕГЕН.
– Ежедневно люди сталкиваются с тем, что их приватность становится все менее защищенной. Это происходит под влиянием цифровизации. Например, когда вы посещаете сайты, бываете в других странах или пересекаете границу, уже оставляете цифровые следы. В аэропорту, при прохождении границы проходите через сканер тела, где о вас соберут биометрические данные – фотографию лица, геометрические параметры. Каждое ваше действие оставляет след, и это только начало.
Подключение к общедоступным точкам Wi-Fi, поисковые запросы и использование приложений – все это сбор данных.
Известны громкие случаи утечек персональных данных. Например, данные о людях, которые проходили таможенный контроль в аэропортах, или информация о месте проживания в отелях. Если вы бронировали отель через систему вроде Booking.com, она может отследить, где вы были, когда и с кем находились. Все эти данные остаются в системе.
Банковские карты также часто оказываются в масштабных утечках. Это связано с тем, что появляются все новые формы мошенничества. Мы видим, что угроз приватности становится все больше. Конечно, есть и позитивные моменты, но одновременно остается множество пугающих и тревожных факторов. Развитие технологий не только открывает новые возможности, но и создает серьезные риски, – рассказывает Дана Утеген.
У Елжана КАБЫШЕВА, специалиста Data Privacy Professional, главы юридической практики Евразийского цифрового фонда, тоже свое мнение на этот счет.
– За последние годы с развитием Интернета появились технологии, которые позволяют мгновенно передавать информацию. Мы видим множество проблем: утечка данных, несанкционированный доступ к информации и другие. Проблемы возникают не только в Казахстане, но и в других государствах. Каждая страна старается разработать меры по защите данных, но здесь появляются вызовы. Например, сбор биометрических данных на границе, внедрение систем видеомониторинга. Мы видим, что технологии используются как во благо, например, для обеспечения национальной безопасности, так и в спорных целях, – отмечает специалист.
Вызовы, законодательство и практика защиты
В Казахстане существует разделение персональных данных по доступности – на общедоступные и ограниченного доступа. На практике и по букве закона это разделение основывается, в частности, на согласии субъекта. Если согласие на распространение данных не было получено, например, для публикации в Интернете или справочниках, то такие данные не должны публиковаться.
– Да, важно обеспечить режим конфиденциальности. Но если оператор все же планирует распространять персональные данные, то необходимо четко определить его цель. Например, если нужно опубликовать краткую биографию на сайте, указать город проживания или ссылки на социальные сети, это могут быть общедоступные данные.
Но если речь идет о публикации более чувствительной информации, такой, как индивидуальный идентификационный номер (ИИН) или личные номера телефонов, то возникает вопрос: для чего это делается?
И это подводит нас к следующему вопросу – судебная практика. Дело в том, что ИИН – это, безусловно, персональные данные. Это не просто набор цифр, а алгоритм, содержащий информацию о человеке: пол, дата рождения, возможность подтверждения реальности его данных.
Некоторые государственные органы могут считать ИИН не персональными данными, так как он привязывается, например, к налоговому номеру. Но в то же время по ИИН можно узнать, например, какую сумму налогов оплатил человек. Вопрос чувствительных данных в нашем законодательстве, к сожалению, пока не раскрыт. У нас есть только два понятия – общедоступные данные и данные ограниченного доступа. Однако в отдельных кодексах, например, о здоровье, существует понятие «персональные медицинские данные». Это фактически синоним чувствительных данных, так как все, что связано с медицинской информацией, носит деликатный характер.
Но чувствительными могут быть не только медицинские данные. Например, информация о религиозной принадлежности или национальности также имеет особый характер и требует защиты. Я думаю, что Казахстан мог бы перенять некоторые международные практики, чтобы наш законодатель и компании, обрабатывающие персональные данные, понимали степень ответственности. Это важно для предотвращения утечек или несанкционированного доступа.
Если такие моменты не удастся отразить в законе о персональных данных и защите, возможно, их стоит включить в цифровой кодекс. Спикеры предлагают заимствовать международные практики для повышения уровня защиты данных. Это поможет законодателям и компаниям в Казахстане лучше понимать, как предотвращать утечки и защищать информацию от несанкционированного доступа, – считает спикер.
От ИИН до биометрии
Чувствительные данные – это один из самых спорных вопросов среди юристов, и дискуссии на эту тему продолжаются до сих пор. Во многих странах юристы, специализирующиеся на защите данных, проводят разделение данных на категории. Например, ИИН можно рассматривать как идентификатор, с помощью которого можно установить личность. Это особенно очевидно на примере скандала со списком, где были опубликованы ИИН. Известно, что этой информацией воспользовались третьи лица, чтобы получить доступ к банковским данным публичных людей. Это вызвало не только моральные, но и финансовые последствия.
Когда мы говорим о чувствительных данных, сюда входят медицинская информация, религиозные убеждения, политические взгляды – все то, что человек не хотел бы раскрывать посторонним. Особенно важно учитывать идентификаторы, которые сложно или невозможно заменить, например, биометрические данные. Отпечаток пальца уникален, и в случае его утечки подделка или неправомерное использование могут привести к серьезным последствиям.
Защита данных в США
– Опыт Калифорнии в защите приватности выделяется на фоне других штатов США. Там есть отдельные законы, защищающие приватность детей, медицинские данные и биометрические данные. Например, был случай, когда человек оплачивал покупки через систему распознавания лица. Это было удобно, но компания, установившая оборудование, собирала биометрические данные без согласия пользователей, что является нарушением принципов обработки данных, поскольку не определялись ни порядок хранения, ни цель использования. В европейское законодательство, в частности в GDPR, уже включено понятие генетических данных. Регламент предусматривает защиту генома человека. В Казахстане же защита таких данных частично урегулирована через отраслевые законы, например, дактилоскопические данные или геномная регистрация осужденных. Однако в специальном законе о защите персональных данных этих аспектов недостаточно.
Возникает вопрос: какие компании – частные или государственные – могут собирать у граждан данные? Если организация четко обозначила перечень собираемых данных и их цели, граждане понимают, зачем нужен сбор, но если компания запрашивает чрезмерное количество данных без ясной цели, это нарушение принципа минимизации, с которым мы часто сталкиваемся.
Например, при пересечении границы у вас могут попросить копию удостоверения личности. Однако копирование документа сейчас в Казахстане запрещено. Вместо этого можно использовать цифровые документы. Если вам не объясняют цель запроса копии, вы вправе отказаться, и это будет считаться законным отказом до тех пор, пока не будет разъяснена цель сбора ваших данных, – продолжает тему Дана Утеген.
Правовые пробелы
– Сейчас ведется работа по разработке цифрового кодекса, и в группе с депутатом Мажилиса Парламента РК Екатериной Смышляевой мы планируем разработку отдельных норм, которые будут касаться защиты биометрических данных, – рассказывает Дана Утеген. – Это важно, потому что в последнее время наблюдается значительный интерес со стороны технологических компаний к сбору чувствительной информации. Мы видим, что это особенно актуально в финансовой сфере и здравоохранении.
Появляются проекты умных сетей, умных домов и умных городов, где создаются цифровые двойники и экосистемы, которые регулируются через технические аспекты. Важно отметить, что в Кыргызстане уже принят отдельный закон по защите биометрических данных. Конечно, он не идеален, там всего меньше десяти статей, но закон есть, и это свидетельствует о том, что государство обращает внимание на эту проблему. В Казахстане процесс технологического развития идет быстрее, чем законотворчество, и у нас нет строгих правил, которые бы наказывали за нарушение в этой области.
Например, в Кызылординской области собирали биометрические данные детей в детсадах. Это было сделано с целью сокращения приписок, чтобы не учитывать детей, которые на самом деле не посещают дошкольное учреждение. Использовались видеокамеры и специальные приложения для регистрации детей. Вроде бы это принесло пользу, так как сократилось количество приписок, но возникли вопросы о правомерности таких действий.
Нарушения выявили, но проблема в том, что проект уже был запущен и госорганы активно защищали его. Это только начало, и в будущем таких ситуаций станет больше. Мы видим, что стартапы и компании в России также хотят реализовывать свои продукты в этой сфере, а закон не успевает за технологическими изменениями.
Кроме того, у нас нет таких инструментов толкования, как в других странах. Во Франции, например, есть независимые комиссии, которые выявляют незаконный сбор данных, даже если нет четкого закона о запрете. В нашей стране мы можем трактовать этот вопрос через отраслевое законодательство или Конституцию, а именно через статью 147, которая запрещает незаконный сбор данных, нарушающий приватность.
В случае если кто-то собирает данные без согласия гражданина, это является незаконным сбором сведений о личной жизни. Технологические гиганты зарубежных стран массово собирают наши данные, и они оказываются в руках различных шпионских программ и приложений, которые перепродают их с целью получения финансовой выгоды. Это также ведет к мошенничеству: люди часто обращаются в полицию по поводу необоснованно оформленных кредитов или обмана через курьерские доставки. И все это происходит только потому, что наши данные находятся в свободном доступе в Интернете, – считает спикер.
Возможно ли полное исчезновение понятия «приватность»?
– Когда мы выступаем на конференциях или тренингах, часто создается ощущение, что пугаем людей, сообщая о рисках и опасностях, связанных с технологиями и приватностью. Но правда в том, что грани приватности действительно размываются. Раньше, чтобы узнать информацию о человеке, нужно было попасть в его дом, разыскать его документы, а теперь вся информация хранится в нашем телефоне: фотографии, переписки, личные данные. Мы носим с собой огромный объем информации, которая зачастую становится доступной другим людям. Это создает неприятные ощущения, так как люди не могут защитить свои данные и часто не знают, как это сделать. Вопросы защиты персональных данных и прав человека зачастую не являются приоритетными. Приватность, как правило, воспринимается как нематериальная вещь, и ее стоимость может варьироваться для разных людей. Мы должны продолжать бороться за права граждан, в том числе за защиту приватности, и опираемся на зарубежный опыт, так как проблема существует и в других странах, где используются технологии для тотального контроля, а не для обеспечения безопасности. Я думаю, что нормальное законодательство в области защиты персональных данных, а также усиление полномочий Комитета по информационной безопасности может помочь в решении этих вопросов. Необходимо продолжать работать в этом направлении, искать решения и не замалчивать проблемы. Также важно, чтобы люди знали, куда обращаться за помощью, и могли получить защиту своих прав. Я рекомендую обращаться к юристам, чтобы разобрать документы, систематизировать запросы и подать новые исковые заявления, если это необходимо, – дает советы спикер.
Алина Имамбаева
Фото из открытых источников
