Марьяна Торочешникова: А знаете ли вы, что вас могут продать или подарить? Точнее, информацию о вас, ваши персональные данные. Они давно стали товаром. Но если несколько десятков лет назад в России информация о ваших доходах, образе жизни или месте жительства интересовала в основном спецслужбы, то теперь за нее готовы платить и вполне уважаемые компании.
Возможно ли сохранить приватность в современном мире? Защитит ли закон ваши персональные данные, и что делать, если произошла утечка? Спросим у гостей сегодняшней программы - Сергея Крылова и Сергея Гребенникова.
Полная видеоверсия программы
Диктор: Сергей Крылов - основатель и генеральный директор "Лиги защиты должников", член Научно-исследовательского совета при Общественной Палате Российской Федерации, один из авторов поправок к закону "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности".
Сергей Гребенников - директор Регионального Общественного центра интернет-технологий, одной из старейших общественных оорганизаций рунета (РОЦИТ), которая занимается созданием дружественной интернет-среды и популяризацией интернет-технологий с 1996 года, заместитель директора Ассоциации электронных коммуникаций, организатор российских интернет-конференций, форумов и наград.
- Регистрируясь где-либо в интернете, нужно внимательно читать пользовательское соглашение
- Эксперты рекомендуют внимательно относиться к тем ресурсам, где вас просят оставить персональные данные, проверять их надежность
- Оставляя свои контакты в открытом доступе, следует соблюдать осторожность
- Машинная обработка данных привела к тому, что в интернете появляется огромное количество информации о нас
- По контенту, который потребляет человек, с почти стопроцентной вероятностью можно сказать, кто он
- Россия занимает второе место в мире по утечке персональных данных, и, как правило, тут большую роль играет человеческий фактор, чем компьютер
Марьяна Торочешникова: Что, собственно, следует понимать под персональными данными? Формулировки в законе не всем хватает. Это паспортные данные? Это фамилия и имя? Конкретная фотография с подписью конкретного человека?
Пользователь, как правило, не читает пользовательское соглашение
Сергей Гребенников: Персональные данные - это данные, по которым можно четко определить, что Сергей Гребенников - это именно я. То есть нужен, например, номер телефона и мои фамилия, имя и отчество, или паспортные данные плюс фамилия, имя и отчество, или электронный адрес плюс фамилия, имя и отчество - вот это уже будут персональные данные. Тут очень много сочетаний различных элементов. Зачастую пользователи путают: где-то написали просто имя и фамилию, отправили скриншот или разместили фотографию - и многие начинают считать это персональными данными и требовать это убрать. Но это не является персональными данными, и ни социальные сети, ни другие интернет-ресурсы это не убирают. Пользователи обижаются, бегут в различные ведомства...
Марьяна Торочешникова: Но ведь и в обычной, не цифровой жизни тоже есть место персональным данным, и что там считается таковыми?
Закон не разделяет интернет-сферу и другие сферы
Сергей Крылов: Закон не разделяет интернет-сферу и другие сферы. Это могут быть и просто паспортные данные. Даже когда мы где-то ксерим документы, это тоже персональные данные, и лицо, которое оказывает нам такую услугу, не имеет права сбора этой информация, сохранения ее у себя и передачи третьим лицам.
Фамилия, имя, отчество, номер телефона, адрес места жительства, места работы, расовая принадлежность, политические взгляды, даже религиозность человека, состояние его здоровья и интимная жизнь, - это все относится в широком смысле к разряду персональных данных. Фотография тоже является частью персональных данных. В законе, конечно, есть исключения - когда она была сделана, было ли дано согласие, потому что не каждая фотография, на которой вы изображены, является именно теми персональными данными, которые запрещено распространять без вашего согласия.
Марьяна Торочешникова: А какие данные запрещено распространять без согласия? И вообще, когда можно считать, что право на защиту моих персональных данных было нарушено?
Сергей Гребенников: Нарушают очень часто, но не всегда пользователь... Пользователь, как правило, не читает пользовательское соглашение. Когда мы где-нибудь регистрируемся (не важно, это интернет-магазин, социальная сеть или приложение), когда нам говорят: подтвердите "галочкой", что вы прочитали пользовательское соглашение, - мы просто ставим галочку, не читая. А там написано: "мы обрабатываем персональные данные, мы их храним, и можем передавать их третьим лицам для рекламных кампаний". Мы под этим сами подписываемся, а потом начинаем говорить: "Как же так, мне кто-то звонит, почему я где-то оставил данные, не подумал...". И зачастую компании подстраховываются и во все пользовательские соглашения вписывают историю про персональные данные. И здесь непонятно, кого винить - то ли самого себя, что я не прочитал это пользовательское соглашение... Но, с другой стороны, прочитав его, я вижу, что мои персональные данные будут обрабатывают, хранить и передавать третьим лицам, и что я сделаю? Ничего. То есть либо я поставлю галочку и получу нужную мне услугу, либо не поставлю галочку и ничего не получу.
Марьяна Торочешникова: Нет никакой свободы договора , он односторонний.
Сергей Гребенников: Абсолютно!
Закон о персональных данных вступил в силу еще в январе 2007 года
Марьяна Торочешникова: Закон о персональных данных, который предложил механизм противодействия утечкам личной информации, вступил в силу еще в январе 2007 года, и с тех пор много раз менялся, причем правила каждый раз становились суровее. Однако сегодня, как и десять лет назад, любой желающий может раздобыть базу Налоговой инспекции или ГАИ, причем сейчас для этого даже не нужно выходить из дома, все есть в интернете. А впрочем, для того, чтобы получить ваши персональные данные, совсем не обязательно преступать закон, вы сами уже рассказали о себе все, нужно только уметь искать.
Артур Хачуян, основатель SocialDataHub: Наверное, самое популярное - это контактные данные в виде имейла и телефона. Причем даже если человек не публиковал это в своем профиле, очень часто, например, люди публикуют свой телефон в какой-нибудь группе "Отдам. Из рук в руки. Пермь" и забывают о том, что их телефон там есть в их собственном комментарии.
Вторая по популярности вещь - это домашний адрес. Есть первая возможность, когда анализируются, например, геочекины людей, и, как правило, 80% всех геометок - это два кластера: работа и дом. И для 99% пользователей социальных сетей то, что ближе к центру, это работа, а то, что дальше, это дом. Бывает, что дети публикуют свои адреса, а родители не в курсе, но жилплощадь, как правило, одна и та же. И у нас по закону вроде как домашний адрес является персональными данными, но вот публикации в социальных сетях и геочекины персональными данными не являются, а из них, соответственно, можно получить домашний адрес. Эти люди сами виноваты, что оставили свои контакты в открытом доступе.
Все, что касается нежелательных имейлов или телефонных рассылок, это все достаточно хорошо контролируется Минкосмвязи и всякими законами о спаме, но, по сути дела, никто от этого не застрахован, и, к сожалению, сейчас люди, которые получают какой-то спам, никуда не идут и не пишут заявления, и эти компании никто не наказывает, поэтому кто угодно может получить ваши данные.
Я знаю, что сейчас есть всякие спамерские конторы, которые залезают даже в закрытые аккаунты. Есть и такая популярная методика: берут какого-нибудь вашего школьного друга, с которым вы давно не общались, делают копию его страницы и стучатся к вам в друзья: "Привет! Давно не виделись. Моя новая страница". Вы его добавляете, и ему нужно пять секунд на то, чтобы сделать копию вашей страницы, и потом аккаунт удаляется, а вы не замечаете этого. А какие-то нехорошие товарищи уже получили все ваши персональные данные.
Сейчас есть спамерские конторы, которые залезают даже в закрытые аккаунты
Если это опубликовано в какой-то группе в социальной сети, тогда, скорее всего, социальная сеть это удалит месяца через три после жалобы Роскомнадзора. А если это находится в Dark web, где непонятно, кто администратор ресурса, кто где, то это никак оттуда не убрать.
Марьяна Торочешникова: Что должно произойти, чтобы было признано, что ваши персональные данные кто-то неправомерно кому-то передал?
Сергей Крылов: Для этого надо ответить в первую очередь на два очень важных вопроса: кто их собирает и для чего? Не требуется согласие человека на обработку и распространение персональных данных, когда этим, например, занимаются правоохранительные органы или судебная система для каких-то государственных нужд. Второй случай - когда человек подписывает, скажем, какую-то оферту, соглашение, что он разрешает использовать и обрабатывать данные. Но сбор персональных данных, их обработка не ведется в хаотичном порядке, и она всегда имеет цель. Если цель достигнута, такие персональные данные даже в силу закона должны быть уничтожены. Соответственно, человек даже в той же сети предоставил персональные данные, прочитал это соглашение, и он понимает, что персональные данные собраны для этой цели. Но если идет распределение за пределами этой цели, тогда наступает это нарушение. На самом деле свобода договора остается, потому что у вас есть свобода заключать или не заключать сделку и право на то, чтобы предложить изменить договор. Этого никто никогда не делал, но вы помните, наверное, историю с Тиньковым, когда мужчине прислали предложение заключить договор, а он его переписал и предложил подписать, и заключил договор на своих условиях.
Нарушением считается, когда ты не давал согласия, но где-то вдруг появляются твои данные или личные фотографии, по которым тебя можно идентифицировать. Очень важно понимать, что фотографии, сделанные для общественных целей, на митингах, концертах, в публичном пространстве, размещаются как есть и не требуют согласия, потому что там нет акцента на конкретном человеке. А вот если опубликованы личные фотографии, тогда это считается нарушением.
Марьяна Торочешникова: Какой объем информации о среднестатистическом городском жителе может храниться в социальных сетях, в интернете?
Машины знают о нас уже больше, чем мы сами
Сергей Гребенников: Столько информации, сколько ни один человек не может даже сам о себе обработать. Сегодня мы переходим на новый этап развития, когда появляется такое понятие – "искусственный интеллект", который начинает нас изучать. Машинная обработка данных уже привела к тому, что в интернете скопилось столько информации, сколько мы просто сами о себе не можем узнать. Мне кажется, машины знают о нас уже больше, чем мы могли за собой заметить.
Марьяна Торочешникова: А для чего это делается?
Сергей Гребенников: В различных сферах это делается для разных целей. Например, банковские продукты сейчас активно используют искусственный интеллект, и он уже в 50% случаев принимает решение – выдать или не выдать тому или иному человеку кредит. И на чем он основывается? На записях в социальных сетях, на кредитной истории, на очень-очень многих факторах, которые машина умеет моментально собрать. Недавно Сбербанк рассказывал, что решение о принятии положительного или отрицательного ответа в получении кредита иногда занимает до 30 секунд. А раньше это занимало от одного до трех дней.
Марьяна Торочешникова: Но это кажется нечестным даже по отношению к людям…
Сергей Гребенников: А здесь сами люди должны решить, хотят ли они идти дальше в этом направлении, хотят ли жить в том мире, о котором нам рассказывали в фантастических фильмах десять лет назад, или не хотят. И вот это философский вопрос.
Сергей Крылов: Все сбалансировано. Есть плюсы, есть минусы, все зависит от вашего отношения и от того, кто использует данные. В 60-70-е годы было страшное слово "бюрократия", и чтобы получить какое-то маленькое разрешение, которое сегодня можно получить за 30 секунд, человек мог месяцами бегать за справками, собирать информацию, покрывать большие расстояния, и это было невыносимо. Кроме того, всегда существовал человеческий фактор. Есть такое понятие – "предвзятость": вот не нравишься ты мне, смотришь на меня не так…
Марьяна Торочешникова: Ну, в то же время, есть и такое понятие, как "эмпатия": я вижу, что тебе не хватает денег, ты мне нравишься, и я выдам тебе кредит.
Машина более объективно подходит к ситуации, она просто берет набор определенных параметров
Сергей Крылов: Машина более объективно подходит к ситуации, она просто берет набор определенных параметров.
Марьяна Торочешникова: По персональным данным, оставленным вами в открытом доступе, специалист может не только воссоздать ваш социальный портрет, но и предсказать ваши дальнейшие действия. И если вы думаете, что это интересно только психопатам, то глубоко заблуждаетесь.
Артур Хачуян, основатель SocialDataHub: Есть теория, что о человеке можно все рассказать по ста лайкам, но я думаю, что даже, наверное, по пятидесяти. По контенту, который потребляет человек, с 99,5-процентной вероятностью можно сказать, кто он. Мама потребляет один контент, полицейский – другой, школьники, врачи и так далее... А когда мы поняли, какой контент потребляет человек, какая у него модель поведения, можно с точностью до месяца понять, что он купит. Например, у мужчины есть машина и только что родился ребенок, значит, ему надо предложить детское кресло. Или, например, женщина опубликовала фотографию о том, что она на шестом месяце беременности, значит, через три месяца она рождает ребенка, и в течение года ей нужно предлагать товары для новорожденных, через год – для годовасика и так далее. Это популярная история, она называется – "прогнозоционный маркетинг", и он сейчас используется везде.
Здесь важна достоверность модели. У нас было такое публичное исследование не для каких-то государственных товарищей, и задача была – предсказать количество людей, которые придут на митинг. Что мы сделали? Когда был 26 марта "Димон", мы до этого собирали людей, которые высказывали свое желание пойти на этот митинг – кто-то подписался в группу, кто-то сделал публикацию о том, что он пойдет, кто-то агитировал друзей. Затем, когда 26-го числа был митинг, мы собрали по открытым источникам, по фотографиям, по текстам и так далее, кто туда пошел, и сделали такую модель: человек говорил, что он пойдет, и по факту пошел он или не пошел. И на основании этой модели поведения то же самое сделали 12 июня. И у нас там плюс-минус пять тысяч человек, количество практически точно совпало. То есть были люди, которые писали, что хотят пойти, и кто-то из них реально пошел, а кто-то реально не пошел.
Марьяна Торочешникова: Кто еще и для чего собирает наши персональные данные? И насколько опасна ситуация, когда информации о нас в сети значительно больше, чем мы можем себе представить?
Прежде всего, информация собирается для того, чтобы изучать рынок
Сергей Крылов: Прежде всего, информация собирается для того, чтобы изучать рынок. Используя определенные приложения, мы зачастую оставляем информацию: я побывал там-то, я пользуюсь такими-то банкоматами. То есть собирается объем информации по тем же банкам, где чаще всего находятся люди, и это определяет, например, ценность арендных площадей в будущем, потому что там есть трафик людей. Люди посещают определенные рестораны – значит, есть определенный интерес к местам, блюдам или маркам. Это та информация, которую заказывает практически любая компания, когда выходит на рынок - например, для того чтобы разместить свою рекламу.
Марьяна Торочешникова: И это все законно, это никаким образом не нарушает наши права?
Сергей Гребенников: Если данные обезличены, то это законно.
Сергей Крылов: Конечно! Когда мы получаем отчеты, там нет персональных данных. Но как их собрать? У нас есть механический способ: подходить к прохожим и говорить: "Где вы это делаете? Куда вы ходите?" – и это один вариант. Другой вариант – искусственный интеллект, который обрабатывает тот объем, который сегодня предоставляет сеть.
Марьяна Торочешникова: Это просто ускоряет процесс. Я хочу понять, где та грань, когда сбор и обработка переходят в сферу уголовного преступления или нарушения гражданских прав.
Сергей Крылов: Самый распространенный случай – это любая вахта. Когда мы заходим на любое предприятие, нас просят предъявить паспорт и переписывают наши паспортные данные. Правоохранительные и судебные органы имеют на это право без вашего согласия. А вахтер, который работает в рамках закона об охранной деятельности, не имеет такого права.
Марьяна Торочешникова: Или консьержка.
Сергей Крылов: И мы вообще не должны им ничего предоставлять. Вот это, действительно, незаконный сбор персональных данных, потому что человек имеет право не фиксировать, куда он заходит. И я, и остальные люди просто никогда об этом не заявляем, потому что у нас такой менталитет – мы обычно машем рукой и пускаем все не самотек.
Россия сегодня занимает второе место по утечке персональных данных
Сергей Гребенников: Россия сегодня занимает второе место по утечке персональных данных, и, как правило, утечка персональных данных – это человеческий фактор, это не компьютер. Люди за это получают, а кто-то платит деньги за то, чтобы выносили флешку, отправляли почтой файл с персональными данными. Но, как правило, это заработок для одного человека, который украл персональные данные, по сути, нанеся значительный вред той компании, в которой он работает: слил, например, конкуренту некую базу данных. Соответственно, те, кто платят, тоже нарушают закон, пытаются нечестно вести свой бизнес. И в России уже больше 11% таких случаев, которые происходят именно по человеческой вине.
Марьяна Торочешникова: Как воруют информацию с ваших мобильных телефонов? И сколько стоят ваши персональные данные? Об этом и других секретах рассказали нам сами хакеры, хотя они себя называют экспертами по безопасности.
Корреспондент: Зная только номер телефона, какую еще информацию о человеке вы можете получить?
wwwXyZ, эксперт по информационной безопасности: За две тысячи долларов можно купить устройство, которое перехватывает идентификатор сим-карты любого оператора. С его помощью можно прослушивать звонки, получать сообщения, определить месторасположение человека, заблокировать его номер.
Корреспондент: Возможно ли взломать не сим-карту, а сам телефон?
wwwXyZ, эксперт по информационной безопасности: Если у вас андроид версии 4.1, его можно взломать, отправив всего одно MMS - в него внедряют вредоносный код, который дает полный контроль над устройством. Залезть в айфон и брать с него данные можно благодаря уязвимости модема.
Корреспондент: Как происходит взлом почты или страницы в социальных сетях?
За две тысячи долларов можно купить устройство, которое перехватывает идентификатор сим-карты любого оператора
wwwXyZ, эксперт по информационной безопасности: Есть несколько основных методов. Способ нулевой – социальная инженерия, работает на 60% всех юзеров. Дело в обычной психологии человека. Представьте ситуацию: вам звонит или отправляет сообщение Павел Дуров: мол, из-за ошибки одного из серверов данные некоторых пользователей удались, просим сообщить пароль, а в качестве компенсации неудобств вам подарят пакет стикеров. Люди часто охотно сообщают все свои данные. Другой вариант: на почту приходит сообщение, вы его открываете, кликаете по картинке и попадаете на внешне такой же сайт почты, а на самом деле это подставной сайт, его можно сделать буквально за минуту. Следующий метод – "бротфорс": обычно собирают какую-то информацию о человеке – дата рождения, любимый вид спорта, кличка животного – и создают небольшой словарь для так называемо "бута" – подбора паролей. Есть еще сникинг вай-фай сетей: хакер подключается к роутеру жертвы (слава настройщикам интернета, которые ставят по умолчанию пароль admin) и меняют настройки сервера так, что ему становится доступна вся информация.
Корреспондент: Обычно хакеры взламывают конкретную страницу? Или им важен не человек, а, скорее, набор характеристик его аккаунта, например, количество друзей?
wwwXyZ, эксперт по информационной безопасности: Это зависит от целей. Если интересно накручивать лайки, количество подписчиков или спамить от имени этих аккаунтов, то абсолютно не важно, кого взламывать. В данном случае работают по принципу: что взломали, то взломали. Реже бывают заказы на определенного человека, когда хакеры работают на взлом именно его страницы.
Корреспондент: Как банковские данные человека получает кто-то еще, кроме самого банка?
Сегодня часто похищают банковские данные благодаря бесконтактной оплате картой
wwwXyZ, эксперт по информационной безопасности: В большинстве случаев это вредоносные приложения на компьютерах и мобильных устройствах или поддельные сайты. Еще часто практикуются прозвоны на тему: ваш ребенок задержан, нужно перевести десять тысяч на карточку. Или: это банк, ваша карта заблокирована, нужно проделать такие-то действия для разблокировки. И тому подобное. Или же с помощью приложения на телефоне, которое вы сами же устанавливаете, воруют доступ к веб-банку или мобильному банку. Так через ваше же устройство могут отправить платеж, и будет очень сложно доказать, что вы ничего не оплачивали. На поддельных сайтах могут под разными благовидными предлогами выманивать данные карточек. Например, вас просят поучаствовать в благотворительности или перевести небольшую сумму, вы вводите данные карты, и они попадают к хакерам. Сегодня часто похищают банковские данные благодаря бесконтактной оплате картой – используют специальные чипы, которые считывают всю информацию с карты.
Корреспондент: Российские хакеры, если смотреть на них изнутри тусовки, действительно так хорошо подготовлены, что влияют на ход президентских выборов в других странах и прочее? Насколько вообще реалистична эта информация?
wwwXyZ, эксперт по информационной безопасности: Сами хакеры ни на что не влияют, так как большинство заинтересовано лишь в деньгах. Они - лишь инструмент, и результат зависит от того, куда этот инструмент приложить. Подготовка у российских хакеров вполне достойная, но на Западе сообщество гораздо больше. Просто там большинству талантливых людей есть чем заняться легально, куда приложить свои усилия и таланты, например, создание софта в области информационной безопасности, в России же с этим серьезные проблемы, отсюда и число людей, которые не знают, чем себя занять. Понятно, к чему это приводит в итоге.
Марьяна Торочешникова: "Файнэншл Таймс" несколько лет назад опубликовала на своем сайте калькулятор, позволяющий оценить условную стоимость ваших персональных данных. Если вы не миллионер, а рядовой клерк, к тому же холостой, маркетологи заплатят за вас около 20 центов. Впрочем, за эти годы расценки могли измениться.
Как часто люди, которые собирают и обрабатывают ваши персональные данные, потом пользуются ими не по назначению, буквально продают вас? Раньше была очень распространена история, когда после заключения контракта с оператором сотовой связи на телефон сыпались рекламные смс из самых разных организаций. Вроде бы чуть позже эту лавочку прикрыли, можно было жаловаться, и операторы сотовой связи поняли, что так делать не надо.
Сергей Гребенников: Конечно, это все-таки была несколько другая история, когда сотовые операторы предоставляли такую услугу, как рекламная рассылка. Кто угодно мог прийти, купить определенный пул номеров, например, 100 тысяч из абонентской базы, и сделать рассылку: "Приходи покупать пиццу в мое кафе". Потом это законодательно запретили, но, естественно, существует масса других уловок, которыми сейчас пользуются те, кто собирает и обрабатывает персональные данные. Конечно, когда пользователь в интернете оставляет свои персональные данные, он не задумывается о том, что это может привести к какой-то беде. Меня же во "ВКонтакте" спросили мою фамилию, имя, отчество, телефон, и я оставил - наверное, им это зачем-то нужно.Но потом, когда случается какая-то трагедия: моим телефоном воспользовались, мой аккаунт во ВКонтакте взломали и начали от моего имени постить что-то не очень приятное, я хватаюсь за голову.
Марьяна Торочешникова: Это еще не самое страшное! А если начали собирать деньги?
Есть недобросовестные компании, которые, собирая персональные данные, просто их перепродают
Сергей Гребенников: Вот как только человек сталкивается с такой проблемой, он осознает: да, где-то я совершил ошибку и оставил свои персональные данные. С другой стороны, есть недобросовестные компании, которые, собирая персональные данные, просто их перепродают. И вот здесь, конечно, нужно идти и вместе с отраслью обсуждать, что делать дальше.
Марьяна Торочешникова: А как вы это себе представляете? Вот я - обычный человек, мой аккаунт где-нибудь "ВКонтакте" вскрыли. Кто послушает меня, если я приду и начну что-то обсуждать с отраслью?
Сергей Крылов: Это уже отдельный состав Уголовного кодекса.
Сергей Гребенников: РОЦИТ, организация, которую я представляю, как раз занимается взаимодействием с пользователями, потому что, естественно, ни одного пользователя ни во "ВКонтакте", ни в "Яндексе" никто слушать не будет. А когда мы собираем пул проблем и понимаем, что эта проблема стала часто повторяться, превратилась в системную, тогда мы идем либо в эту компанию и пытаемся решить этот вопрос, либо идем в соответствующее ведомство, либо в Государственную Думу.
Марьяна Торочешникова: А что делать физическому лицу, чье право на безопасность персональных данных было нарушено?
Сергей Крылов: Я тоже считаю, что тут палка о двух концах, но все-таки, помимо того, что сами люди оставляют персональные данные, не задумываясь и не читая никакие документы, в большинстве случаев это проблема не только самого человека, но и государства в целом. Выпуская человека в мир после школы и института, ему, как правило, не прививают определенные навыки: прежде чем ты что-то делаешь, ты должен изучить то, чем будешь заниматься, соответственно, ты должен читать договоры, соглашения, инструкции. Государство об этом, к сожалению, не позаботилось, и декларируется только то, что мы должны жить честно. Но человек, выходя в жизнь, до сих пор не знает, как это выглядит на практике. Мы хватаемся за книжки и законы только тогда, когда право уже нарушено.
Марьяна Торочешникова: То есть в данном случае нет никакой цифровой гигиены.
Сергей Крылов: Вообще никакой! Ни правовой гигиены, ни финансовой.
Марьяна Торочешникова: Но что делать, если это уже случилось: я наоставляла своих персональных данных, и меня вскрыли, начали рассылать сообщения моим друзьям: "Срочно пришлите денег…"?
Мы хватаемся за книжки и законы только тогда, когда право уже нарушено
Сергей Крылов: Если удалось установить источник утечки персональных данных…
Марьяна Торочешникова: А как его установить? И кто это должен делать? Куда писать? В администрацию социальной сети?
Сергей Крылов: Рассмотрим два варианта. Первый – удалось. Скажем, вы точно знаете, что это был магазин, там есть какие-то совместные акции, и эти акции вам сейчас присылают. Тогда вы направляете соответствующее заявление на прекращение обработки персональных данных в ту организацию. Если все прекратилось, значит, вы достигли своей цели. Если этого не произошло или вы не можете установить источник распространении персональных данных, то вы можете обратиться с жалобой в Роскомнадзор. Он рассматривает данную жалобу, делает соответствующую проверку и может привлечь к ответственности лицо, нарушившее вашу безопасность.
Марьяна Торочешникова: А может не привлечь.
Сергей Крылов: Может дать отказ, и тогда вы можете его обжаловать. Даже если в центральном органе Роскомнадзора вам откажут, вы вправе обратиться в прокуратуру. Прокуратура уже проведет свое соответствующее расследование и может дать Роскомнадзору предписание сделать выездные проверки по ряду предприятий.
Марьяна Торочешникова: А в каком случае надо бежать в полицию? Или это бессмысленно?
Сергей Крылов: У нас есть три вида ответственности. Гражданское законодательство (150-я статья), защищает наше личное пространство. Соответственно, есть такое понятие, как моральный вред, и это гражданско-правовая ответственность, как правило, денежная компенсация. Человек обращается в суд…
Марьяна Торочешникова: Это когда вы точно знаете, с кого требовать этот вред.
Сергей Крылов: Вторая ответственность – по Трудовому законодательству, когда работники распространяют персональные данные, выносят флешки, базы данных и так далее. Есть административная ответственность как юридических лиц, так и руководителей, и физических лиц, которые непосредственно это делают. И есть уголовная ответственность, и там огромные штрафы, вплоть до дисквалификации до двух лет, по-моему, лишения права занимать определенные должности. Если речь идет, скажем, об смс-сообщениях, то всегда есть номер, и он за кем-то закреплен. Вы можете просто написать: "С данного номера мне приходит такая-то информация, что является нарушением…" – и так далее, вы описываете ситуацию. Роскомнадзор сам вычислит, кому принадлежит этот номер телефона, потому что у него есть все возможности доступа к такой информации. Это могут сделать и правоохранительные органы, и суд может запросить.
Если это интернет, вам что-то приходит с какого-то почтового ящика, то почтовый ящик тоже, как правило, на кого-то регистрируется, привязывается, как правило, к IP-адресу. Есть определенные технологии, которые в рамках, например, уголовных дел, я точно знаю, сто процентов находят, откуда это распространялось, потому что очень много показателей, привязанных к конкретному месту, и вычислить достаточно просто. Поэтому, если вы четко знаете, вы обращаетесь к конкретному человеку или конкретному юридическому лицу, если не знаете, то так и пишете в заявлении: "В отношении неустановленного лица…" Как правило, изначально все такие процедуры возбуждаются в отношении неустановленных лиц, а следствием уже устанавливается лицо.
Марьяна Торочешникова: Другой вопрос – насколько охотно следствие возьмется за расследование.
Сергей Крылов: Правоохранительная система обязана защищать вас, и вы подаете соответствующее заявление. Если вам отказали, вы можете обжаловать отказ. Другой вопрос, что люди не до конца проходят определенные процедуры. Ему отказали, и он говорит: "Ну, мне тут отказали, и мне этого достаточно".
Марьяна Торочешникова: Что делать, если ваши данные попали в так называемый "черный интернет"?
Даркнет и обычный интернет ничем принципиально не отличаются
Сергей Гребенников: Даркнет и обычный интернет ничем принципиально не отличаются.
Марьяна Торочешникова: Один проще регулировать, а другой сложнее.
Сергей Гребенников: Сегодня уже принят закон, который регулирует и запрещает использовать VPN для обхода тех или иных блокировок. И если VPN-провайдеры не будут сотрудничать с Роскомнадзором и правоохранительными органами, то к ним будет запрещен доступ на территории Российской Федерации. "Тор" и подобные ресурсы используют в первую очередь для обхода каких-либо блокировок, но не для слива персональных данных. Через интернет пересылают персональные данные по защищенным каналам, но это никак не обезопасит нас от того, что в откуда-то произошел слив. Нужно же искать источник, где были собраны наши персональные данные, и выяснять, как они дальше начали попадать в различные источники. И здесь есть другой правовой статус. Например, есть Mail.ru, есть Амазон и другие компании, которые периодически сообщают о том, что произошла большая утечка персональных данных, и мы неоднократно об этом слышали.
Куда попадают эти персональные данные? Скорее всего, к злоумышленникам, которые занимаются спам-рассылками или другими подобными вещами. Что делать в этой ситуации, и кто должен нести ответственность? Сейчас в стенах Госдумы обсуждается законопроект: если у компании (например, у какой-то социальной сети) произошла утечка персональных данных, и если компания начинает активно взаимодействовать с правоохранительными органами и Роскомнадзором, то она не привлекается к ответственности, потому что она оперативно сообщила о том, что существует такая-то проблема, проинформировала пользователей, проинформировала правоохранительные органы и начинает оперативно решать проблему.
Марьяна Торочешникова: А как в такой ситуации жить обычным людям? Им что, вернуться к аналоговым средствам связи?
Сергей Гребенников: Здесь, скорее, надо спросить: кому должны принадлежать персональные данные граждан РФ? Они должны принадлежать лично мне как гражданину, государству, компании, другим частным лицам, правоохранительным органаму? Сейчас, например, персональные данные, по сути, никому не принадлежат, и это как раз дискуссионный вопрос, который поднимается в нашей стране на очень высоком уровне. Естественно, хочется сказать, что они принадлежат государству, потому что государство должно нас защищать. Но что дальше?
Марьяна Торочешникова: Оно ведь может против нас же их и использовать, если мы вдруг станем неугодны этому государству в лице действующей власти, например.
Сергей Крылов: В принципе, ничего не изменилось. Раньше мы это делали вручную, и это скапливалось в бумажных носителях, и сейчас это делается через интернет-систему, и это просто быстрее складируется в каких-то файлах на серверах.
Марьяна Торочешникова: Что нужно сделать человеку, чтобы максимально защитить себя и свои персональные данные от нежелательного использования?
Нужно повышать уровень своей цифровой грамотности
Сергей Гребенников: В первую очередь нужно повышать уровень своей цифровой грамотности. Если мы говорим про интернет, все-таки когда у нас в интернете просят нашу банковскую карту, просят ввести те или иные персональные данные, нужно внимательно относиться к тому, куда мы вводим эти персональные данные, понять, можно ли доверять этому сайту. Конечно, ответственность лежит в первую очередь на самом гражданине – нужно внимательнее относиться к тем ресурсам, где вас просят оставить персональные данные.
Марьяна Торочешникова: А нужно ли превращаться в параноика и удаляться из всех социальных сетей, запрещать ставить теги на фотографиях, где присутствуете вы, нигде не размещать своих номеров телефонов и адресов электронной почты, - в общем, скрыться в домике и верить, что тогда никто не воспользуется вашими данными?
Сергей Гребенников: Нельзя! Мы живем в современном мире, где интернет – это наша повседневная жизнь. И если мы будем избегать интернета, тогда нам просто лучше не выходить на улицу. Есть определенные правила поведения на улице, и есть такие же правила поведения в сети, их нужно изучать и транслировать абсолютно везде.
Сергей Крылов: Действительно, параноиком становиться не надо, хотя бы по той простой причине, что удаляй, не удаляй аккаунт, но информацию ты уже разместил, она уже сохранена. Так что это абсолютно бессмысленно. А задуматься надо над тем, стоит ли регистрироваться на всех сайтах подряд и оставлять свою информацию, стоит ли ради какой-то копеечной скидки в каждом магазине оставлять свои данные. Если уж вы приняли решение, что вам это нужно, прочтите соглашение об обработке данных, возьмите себе копию. И всегда знайте, что вы имеете право в любой момент отозвать свои данные, фиксируйте, где вы их оставляете. Иначе это просто халатное отношение к себе. И тогда, если что-то произойдет, знайте: вы своими руками сами все и сделали.