Из новостных сводок. Компания Exactis опубликовала на общедоступном сервере персональную информацию более 340 миллионов пользователей. В поиск “Яндекса” попали документы пользователей из сервисов Google, а также сканы паспортов, билеты на самолет, данные о банковских платежах и иная личная информация с сайтов известных компаний и госорганов. Читая подобные новости, мало кто задумывается, не стал ли он сам жертвой громкой утечки. Ответить на вопрос, кто и зачем собирает сведения о нас и как эти данные защищаются, зачастую бывает весьма не просто. Но вскоре это может измениться.
— Хотите завести? Это бесплатно, а скидка будет 5%.
Соглашаюсь. Девушка протягивает анкету — на маленьком листике уместилось 8 граф, которые нужно заполнить. Ф.И.О., дата рождения, пол, номер телефона, домашний адрес, адрес электронной почты... Спотыкаюсь на вопросе “Количество детей”. Продавец, видя мое замешательство, поясняет:
— У нас много детских товаров — если у вас есть детки, будете получать сообщения о скидках и акциях.
В завершение нужно поставить подпись. Правда, за что я расписываюсь, загадка — пояснений на бумажке не увидела.
За две минуты я выдала целый массив ценной информации о себе. Впрочем, глупо считать, что на этом сбор информации окончен: наверняка в системе будет сохраняться и каждая покупка, сделанная с использованием карты. И так по всему скидочному пластику. Интереса ради подсчитала: в кошельке у меня 13 дисконтных карт — это только “самые необходимые”.
Впрочем, повода для беспокойства, на первый взгляд, нет: согласно закону, наши персональные данные под защитой. Эти вопросы у нас регулируются несколькими правовыми актами. Но есть нюансы, говорит юрист Arzinger & Partners Вероника Павловская:
— Сложность в том, что субъекту персональных данных — а это каждый из нас — не известно, кто и как обрабатывает его данные. У нас не всегда берут согласие на сбор и обработку таких данных, хотя это обязательно. Компании же часто не знают о том, что существуют требования к защите персональных данных. А они есть: компании должны применять организационные, технические и правовые меры по защите данных работников и третьих лиц. Еще одним слабым местом можно считать также неурегулированность вопросов, связанных с получением согласия субъектов через приложения и иные электронные системы.
Вопрос с защитой персональных данных в интернете сегодня стоит особенно остро. Зная пол, возраст, предпочтения аудитории, можно давать наиболее эффективную рекламу в сети. Пользователи соцсетей знакомы с этим не понаслышке: стоит поставить лайк, допустим, на фото с новым смартфоном, как вскоре вам предложат его купить. И это лишь один из вариантов. Результат закономерный: личная информация превратилась в товар. Крупные компании, рекламные агентства и даже политические партии охотно его раскупают. И о том, где и каким образом были добыты сведения, никто не спрашивает. До поры до времени.
В этом году скандал разгорелся вокруг компании Facebook. В начале года стало известно, что консалтинговая фирма Cambridge Analytica собрала данные 87 миллионов пользователей соцсети, чтобы использовать их для политической рекламы. На днях в Великобритании детище Цукерберга оштрафовали на полмиллиона фунтов стерлингов за нарушение закона о защите персональных данных.
В виртуальной среде мы зачастую сами не осознаем, что выдаем ценные сведения. Тимофей Борботько, профессор, заведующий кафедрой защиты информации БГУИР, объясняет:
— Возьмем, к примеру, приложения в смартфоне. Они запрашивают у пользователя доступ к определенным файлам и папкам. Не всегда люди задумываются, а действительно ли стоит давать этому приложению то или иное разрешение. Помню, столкнулся с тем, что приложению “Календарь” нужен был доступ к телефонной книге и СМС. Вопрос — зачем?
Законы, в той или иной степени регулирующие вопросы защиты персональных данных, существуют в почти 130 странах. И они становятся все жестче. Пример на слуху: в мае в Евросоюзе вступил в силу Регламент о защите персональных данных. За серьезные нарушения положены штрафы до 20 миллионов евро или 4% от общего годового мирового оборота компании за предыдущий финансовый год. На днях губернатор Калифорнии Джерри Браун подписал закон о защите персональных данных интернет-пользователей. Он заработает с 2020 года: пользователи, помимо всего прочего, смогут требовать от интернет-компаний удалять свою персональную информацию или запрещать ее продажу третьим сторонам или рекламодателям.
Не за горами перемены и у нас. Готов текст законопроекта “О персональных данных” — впервые эти вопросы будут собраны в одном документе. Ольга Политико, депутат Палаты представителей, говорит, что хотя базовые принципы и основные подходы прописаны в действующем законодательстве, с развитием цифровых технологий возникла необходимость более предметно и комплексно урегулировать эту сферу:
— Если говорить о гражданах, для них тема персональных данных станет понятнее. Появится уполномоченный орган по защите прав субъектов персональных данных. Проект закона закрепляет право человека обратиться к оператору и проверить достоверность персональных данных или отозвать свое разрешение на их обработку. Предусмотрена возможность возмещения морального вреда, причиненного лицу вследствие нарушения законодательства о персональных данных.
Правда, для этого надо знать, каким оператором наши данные собираются и обрабатываются. Во многих сферах это сейчас делается без нашего согласия — и речь не идет о нарушении закона. Не требуется нашего разрешения на сбор информации для начисления пенсии, предоставления безналичной жилищной субсидии, приводит примеры депутат:
— Это законодательно закреплено, но мы должны иметь право знать, где, кем и какие наши персональные данные собираются, с какой целью. Исключения — возможно, то, что касается вопросов национальной безопасности, ведения оперативно-разыскной деятельности.
Сейчас законопроект вынесен на общественное обсуждение, которое продлится до 11 августа. Судя по всему, без корректировок не обойдется. Вероника Павловская отмечает: документ с точки зрения юридической техники очень хорош и устраняет многие существующие пробелы. Но не все — к примеру, пока законопроект не предусматривает обязанность уведомить субъекта персональных данных об утечке персональных данных.
Еще один спорный момент — что же все-таки понимать под персональными данными? Ольга Политико высказывает такую точку зрения:
— Действующее законодательство определяет персональные данные как основные и дополнительные персональные данные физлица, подлежащие внесению в регистр населения, а также иные данные, позволяющие идентифицировать это лицо. Это то, что мы реально можем защищать и контролировать.
Все эти вопросы еще будут прорабатываться. Работа предстоит непростая: с одной стороны, не мешать цифровому прогрессу и считаться с его реалиями, с другой — защитить интересы каждого гражданина. Впрочем, важно понимать и другое: какими бы жесткими ни были законы, прежде всего, мы сами за себя в ответе. Заводя очередную дисконтную карту, скачивая не очень-то надежное приложение на смартфон или публикуя у себя на страничке фото авиабилетов, нужно помнить о риске. И подходить к разглашению личной информации максимально вдумчиво.
Что грозит за утечку
В действующем законодательстве ответственность за разглашение персональных данных прямо не предусмотрена, объясняет юрист Вероника Павловская:
— Но есть статья 22.13 Кодекса об административных правонарушениях, которая предусматривает ответственность за умышленное разглашение коммерческой или иной охраняемой законом тайны без согласия ее владельца лицом, которому такая коммерческая или иная тайна известна в связи с его профессиональной или служебной деятельностью, если это деяние не влечет уголовной ответственности. Вопрос доказывания — можно ли назвать персональные данные “охраняемой законом тайной”. Размер штрафа — до 20 базовых величин (примерно 2000 долларов). В Уголовном кодексе есть статья 179, устанавливающая ответственность за незаконные собирание либо распространение сведений о частной жизни, составляющих личную или семейную тайну другого лица, без его согласия, повлекшие причинение вреда правам, свободам и законным интересам потерпевшего. В этом случае нужно доказать, что субъекту был причинен вред. Наказание — общественные работы, штраф или арест.
gavrusheva@sb.by