Борьба за персональные данные или Последний рубеж обороны (Искусственный интеллект) (12.07.2019)
Недавно я опубликовал краткий обзор совещания у Президента по разработке Стратегии развития ИИ. На этом совещании, кроме прочего, неоднократно поднималась тема обработки персональных данных (ПД). В своём обзоре я эту тему не затрагивал. А она заслуживает самого пристального внимания. Фактически, охраняемая законом конфиденциальность персональных данных и право каждого на «цифровое забвение» - это последний рубеж обороны против безудержной цифровизации всей нашей жизни и необратимого изменения принципов организации общества и взаимодействия его членов между собой и с государством.
Несмотря на то, что закон о персональных данных (ПД) действует в России с 2006г (Федеральный закон «О персональных данных» от 27.07.2006 № 152- ФЗ, с поправками Федерального закон № 242-ФЗ 2015 г.), повсеместное внедрение слабого ИИ (экспертных систем анализа разнообразных баз данных, содержащих в том числе и персональные данные) добавило накала в полемику.На совещании у Путина эту тему поднял пресловутый Г.Греф в качестве одной из составляющих Стратегии разработки ИИ. Он заявил, что «Мы хотим создать онлайн‑платформу с обезличенными государственными данными и данными компаний, к которым будут иметь доступ компании – разработчики систем искусственного интеллекта».
(согласно ФЗ-152 обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных)
И всё бы ничего, но речь идёт о том, чтобы обеспечить доступ к такой базе, фактически, в обход существующего правового регулирования.
Греф сослался на «опыт принятия так называемой директивы GDPR в Европе, в Европейском союзе, который фактически остановил развитие искусственного интеллекта, имеет признаки перерегулирования этой сферы. Сегодня все компании стараются унести свои исследовательские центры из Европы, потому что штрафы привязаны к оборотам компаний, штрафы до 10 процентов от оборота компаний никто не хочет на себе испытать, силу этого регулирования, поэтому проще создавать центры где‑то за пределами Евросоюза».
Его поддержал вице-премьер Акимов: «Конечно, пищей для искусственного интеллекта, как уже говорилось, служат данные. Поэтому одна из задач – вовлечение в оборот максимального количества обезличенных данных с учётом требований по конфиденциальности. Мы совместно с депутатами Федерального Собрания разработали поправки в закон о персональных данных, конкретизирующие механизмы обезличивания».
Площадкой для обкатки правового регулирования и тренировки «интеллектов» на больших объёмах, предположительно, обезличенных данных предложено сделать Москву. И в силу громадных объёмов самих данных, а также потому, что, по словам Собянина: «Есть и правовые уже заделы. В частности, есть изъятия федерального закона, которые дают нам возможности более активно работать с большими данными, с федеральными органами государственной власти». О каких «изъятиях» из действующего законодательства для Москвы говорил Собянин, мне установить не удалось.
Наконец, ещё раз указал Путину на некоторое досадное препятствие на пути к заветному ИИ глава РФПИ К.Дмитриев: «мы видим, что есть две большие модели управления данными. Одна более признана в Китае, где государство предоставляет больший доступ и контролирует данные, а другая более европейская, где доступ к данным очень ограничен. Мы, конечно, считаем, что именно китайская модель позволит двигаться вперёд быстрее».
К настоящему времени и у нас в стране, и за рубежом существует развитое законодательство в области хранения, обработки и защиты персональных данных, а также нарабатывается правоприменительная практика, имеющая прецедентный характер.
В данном тексте я хотел бы разобраться с темой персональных данных вообще, и выяснить, какие потенциальные угрозы в эту тему вносит разработка всё новых (и всё более мощных) «слабых» ИИ.
Сначала разберёмся в различных моделях управления персональными данными, о которых говорил Дмитриев. Начну с того, что приведу для справок основные положения правового регулирования этой сферы в Европе, Китае и России. А затем, я своими словами попытаюсь объяснить их смысл и подводные камни на пути их практической реализации.
Европейская модель защиты ПД
В апреле 2016 г. принят Регламент (ЕС) 2016/679 Европейского Парламента и Совета «О защите физических лиц в отношении обработки персональных данных и о 6 свободном перемещении таких данных и отмене Директивы 95/46/ EC (Общие положения о защите данных)».
Регламент GDPR отменяет действующую в настоящее время Директиву 95/46/EC Европейского Парламента и Совета от 24 октября 1995 об обеспечении отдельных лиц в отношении обработки их персональных данных и свободном перемещении таких данных 2 и заменяет ее.
Регламент GDPR обязывает государства-членов гармонизировать и уровень правотворчества, и уровень правоприменения.
Регламент GDPR закрепляет в том числе следующие принципы обработки персональных данных.:
- персональные данные должны обрабатываться законно, справедливо и прозрачно, причём любую информацию о целях, методах и объёмах обработки персональных данных компании обязаны излагать максимально доступно и просто;
- данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией или службой;
- нельзя собирать личные данные в большем объёме, чем необходимо для целей обработки;
- неточные личные данные должны быть удалены или исправлены по требованию пользователя;
- личные данные должны храниться только в той форме и на тот срок, который позволяет идентифицировать человека в заявленных целях обработки;
- при обработке персональных данных компании обязаны обеспечить их защиту от несанкционированного или незаконного доступа, уничтожения и повреждения.
Правомерность обработки данных оценивается исходя из следующих требований и условий:
- субъект данных дал согласие на обработку его персональных данных для одного или более конкретных целей; – обработка необходима для исполнения договора, стороной которого субъект данных является стороной или для принятия мер по просьбе субъекта данных до заключения контракта;
- обработка необходима для соблюдения соответствующих обязательств контроллера; – обработка необходима для защиты жизненных интересов субъекта данных или другого физического лица; – обработка необходима для выполнения определенных задач и осуществляется в общественных интересах или для исполнении функций контроллера;
- обработка необходима для законных целей и интересов регулятора третьих лиц.
При этом Регламент GDPR устанавливает, что признаками, которые с очевидностью свидетельствуют о намерении предлагать товары или услуги субъектам данных в Евросоюзе, являются: – использование языка или валюты, обычно используемой в одном или нескольких государствах-членах, с возможностью заказывать товары и услуги на этом языке;
По мнению экспертов, достаточным условием для применения Регламента может стать наличие у российской компании веб-сайта на языке хотя бы одного из государств — членов Союза или сайта, поддерживающего платежи в валюте стран ЕС. В эту категорию попадают, например, интернет-магазины, финансовые компании, организации здравоохранения, IT-компании и социальные сети.
(информация позаимствована отсюда)
Специальный общий закон о защите ПД в Китае отсутствует. Конституция КНР гарантирует защиту достоинства личности и тайну переписки.
05 ноября 2012 года было принято «Руководство по защите персональной информации в информационной системе по оказанию публичных и коммерческих услуг», в котором было дано следующее определение:
Персональные данные — любая информацию об определенном физическом лице, которая сама по себе или в комбинации с другой информацией позволяет его идентифицировать
Руководство устанавливает обязанность оператора ПД получать согласие субъекта ПД на обработку и сообщать ему о цели обработки, сроке хранения, мерах по защите ПД и так далее.
Что касается локализации ПД, то о ней нам говорится в ст.5.4.5:
При отсутствии ясно выраженного согласия субъекта ПД, нормативного разрешения или согласия уполномоченных органов оператор ПД не должен передавать ПД какому-либо лицу, находящемуся за рубежом, включая любых физических лиц, проживающих за рубежом, или любых организаций и компаний, которые зарегистрированы за рубежом.
Так же, о персональных данных говорится и в принятом 25.10.2013 законе о защите потребителей:
Статья 29. При сборе и использовании персональных данных физических лиц участники предпринимательской деятельности обязаны следовать принципам законности, обоснованности и необходимости, явным образом информировать о цели, способах и пределах сбора и использования информации и получить согласие потребителя.
Субъекты предпринимательской деятельности обязаны предпринимать технические и другие необходимые меры для обеспечения безопасности информации и предотвращения раскрытия или утечки ПД потребителей.
За несоблюдение норм закона предусмотрен серьезный административный штраф.
Кроме того, есть еще ряд НПА, тем или иным образом затрагивающие защиту субъектов ПД.
Хранение личных данных и других важных данных должно обеспечиваться исключительно на территории КНР (статья 37).
Закон о кибербезопасности подтверждает обязанности сетевых операторов в отношении защиты персональной информации, которые определены существующим законодательством и регуляторными требованиями, включая право на отслеживание соблюдения принципа законности, необходимости и уместности сбора и использования личных данных, а также право наблюдения за выполнением «требований об информировании и получении согласия» (статья 41) об использовании личных данных лишь в тех целях на которые дало согласие соответствующее лицо (статья 41), право принимать меры защиты безопасности личных данных (статья 42) и защищать индивидуальное право оценивать и вносить исправления в личную информацию (статья 43).
Кроме того, Закон о кибербезопасности также включает в себя некоторые новые правила в отношении защиты личных данных, включая требования об уведомлении о нарушении защиты данных (статья 42), об анонимизации данных в качестве исключения в требованиях об информировании и получении согласия (статья 42), а также об праве индивида требовать у сетевых операторов внести изменения в или удалить его личные данные в случае, если информация о нём ошибочна или используется в несогласованных с ним целях (статья 43).
К основным проблемам защиты ПД в Китае можно отнести следующее:
Специальный общий закон о защите ПД в Китае отсутствует. Конституция КНР гарантирует защиту достоинства личности и тайну переписки.
05 ноября 2012 года было принято «Руководство по защите персональной информации в информационной системе по оказанию публичных и коммерческих услуг», в котором было дано следующее определение:
Персональные данные — любая информацию об определенном физическом лице, которая сама по себе или в комбинации с другой информацией позволяет его идентифицировать
Руководство устанавливает обязанность оператора ПД получать согласие субъекта ПД на обработку и сообщать ему о цели обработки, сроке хранения, мерах по защите ПД и так далее.
Что касается локализации ПД, то о ней нам говорится в ст.5.4.5:
При отсутствии ясно выраженного согласия субъекта ПД, нормативного разрешения или согласия уполномоченных органов оператор ПД не должен передавать ПД какому-либо лицу, находящемуся за рубежом, включая любых физических лиц, проживающих за рубежом, или любых организаций и компаний, которые зарегистрированы за рубежом.
Так же, о персональных данных говорится и в принятом 25.10.2013 законе о защите потребителей:
Статья 29. При сборе и использовании персональных данных физических лиц участники предпринимательской деятельности обязаны следовать принципам законности, обоснованности и необходимости, явным образом информировать о цели, способах и пределах сбора и использования информации и получить согласие потребителя.
Субъекты предпринимательской деятельности обязаны предпринимать технические и другие необходимые меры для обеспечения безопасности информации и предотвращения раскрытия или утечки ПД потребителей.
За несоблюдение норм закона предусмотрен серьезный административный штраф.
Кроме того, есть еще ряд НПА, тем или иным образом затрагивающие защиту субъектов ПД.
- Закон КНР «О деликатной ответственности» 2009 года, защищающий право на неприкосновенность частной жизни и, в частности, предусматривает ответственность медицинского учреждения за распространение ПД без согласия субъекта ПД
- «Решение об усилении защиты информации в Интернете», принятое Парламентом КНР 28.12.2012
- «Положение об электросвязи и защите персональной информации интернет-пользователей», принятое 19.07.2013
- 15 марта 2015 года вступили в силу «Меры ответственности за нарушения прав и интересов потребителей», разработанные и принятые Государственным управлением по промышленности и коммерции Китая (SAIC).
- имя;
- пол;
- профессия;
- дата рождения;
- номер паспорта;
- адрес;
- контактная информация;
- сведения о доходах и собственности;
- сведения о здоровье;
- привычки потребителя.
Хранение личных данных и других важных данных должно обеспечиваться исключительно на территории КНР (статья 37).
Закон о кибербезопасности подтверждает обязанности сетевых операторов в отношении защиты персональной информации, которые определены существующим законодательством и регуляторными требованиями, включая право на отслеживание соблюдения принципа законности, необходимости и уместности сбора и использования личных данных, а также право наблюдения за выполнением «требований об информировании и получении согласия» (статья 41) об использовании личных данных лишь в тех целях на которые дало согласие соответствующее лицо (статья 41), право принимать меры защиты безопасности личных данных (статья 42) и защищать индивидуальное право оценивать и вносить исправления в личную информацию (статья 43).
Кроме того, Закон о кибербезопасности также включает в себя некоторые новые правила в отношении защиты личных данных, включая требования об уведомлении о нарушении защиты данных (статья 42), об анонимизации данных в качестве исключения в требованиях об информировании и получении согласия (статья 42), а также об праве индивида требовать у сетевых операторов внести изменения в или удалить его личные данные в случае, если информация о нём ошибочна или используется в несогласованных с ним целях (статья 43).
К основным проблемам защиты ПД в Китае можно отнести следующее:
- отсутствие уполномоченного органа по защите ПД;
- отсутствие единого специального закона о ПД;
- отсутствие единого понятийного аппарата;
- основные правила защиты ПД содержатся в НПА, которые носят рекомендательный характер (напр., Руководство);
- отсутствие уведомления об обработке ПД и реестра операторов, осуществляющих обработку ПД.
В РФ на сегодняшний день сформировано законодательство в сфере защиты ПД, включающее в себя:
- нормы Конституции (ст. 23, 24);
- специальный закон – Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- нормы отраслевых законов;
- подзаконные акты.
- эффективное функционирование централизованной системы контроля и надзора за выполнением требований законодательства;
- рассмотрение обращений субъектов персональных данных;
- ведение реестра операторов ПД;
- информационную работу с гражданами и операторами ПД.
- любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных):
- фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных;
- биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных
В РФ приняты правовые нормы, устанавливающие обязанность оператора локализовать базы данных, содержащие персональные данные россиян. В обеспечение этой нормы принят приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Далее я попытаюсь простым языком объяснить в чём причины, суть и возможные последствия последних нововведений в области работы с ПД.
Итак, в 1981г. принимается первый международный договор в сфере Data Privacy, которым становится Конвенция о защите физических лиц при автоматизированной обработке персональных данных.
На сегодняшний день к ней присоединилась 51 страна, в том числе и Россия (именно на этом документе основан и обязан ему своим появлением отечественный федеральный закон о персональных данных).
При этом, постоянно ускоряющееся развитие информационных технологий создает новые проблемы в сфере приватности данных и частной жизни. Главной такой проблемой становится появление Интернета и его быстрое развитие. Первым потенциальную угрозу замечает Евросоюз, который принимает в 1995 году рамочную директиву по защите персональных данных.
Интернет многократно увеличил объёмы вновь создаваемой и оборачиваемой в сфере публичного доступа информации. В конце 90-ых годов начинают формироваться IT-монополисты Интернета (так называемая, большая пятерка GAFAM: Google, Amazon, Facebook, Apple, Microsoft). Именно Google и Facebook превратили персональные данные в прибыльный и востребованный товар. Они быстро нарастили свою рыночную капитализацию до невиданных высот, обогнав многие глобальные энергетические компании и банки. Источник растущих доходов довольно прост – обрабатывая ПД, поисковик Google и социальная сеть Facebook, показывают на своих страницах «таргетированную» (т.е. заточенную под конкретного пользователя) рекламу. Такую контекстную рекламу охотнее покупают рекламодатели, так как она наиболее полно учитывает целевую аудиторию товара.
Для наиболее точного учёта предпочтений покупателей лидеры IT-индустрии вынуждены обрабатывать всё возрастающие объёмы ПД по всему миру. Системы ИИ непрерывно обрабатывают и анализируют всю эту информацию, отправляя результаты на сервера в США. Кто и как там использует эти ПД, знают немногие (ниже я приведу некоторые примеры).
Именно в ответ на контекстную рекламу, ЕС принимает в 2002 году Директиву ePrivacy, которая регламентирует использование cookies, реализующих, в том числе, и сбор данных для рекламы.
В то же время происходят крупные утечки персональных данных как в результате хакерских атак, так и вследствие человеческого фактора. Разоблачения Ассанжа и Сноудена вскрывают масштаб проблемы манипулирования ПД.
Логичным ответом Европы стало принятие упомянутой Директивы GDPR, которая вступила в силу 25 мая 2018 года. Директива предусматривает суровую ответственность за нарушение довольно строгих правил обработки и защиты ПД. Так, на нарушителей может налагаться штраф в размере €20млн. либо 4% от доходов компании на мировом рынке за год, т.е. компания может лишиться всей прибыли.
Следует особо отметить, что директива GDPR носит экстерриториальный характер, т.е применяется и к иностранным компаниям, работающим на европейских рынках. Поэтому, можно считать, что направлена она, прежде всего, на американские компании (те же Google и Facebook), ведь в Европе нет своих поисковых систем и социальных сетей.
На это сразу обратили внимание за океаном. Один из основателей PayPal и президент хедж-фонда Clarium Capital Питер Тиль (Peter Thiel), во время беседы на Экономическом клубе Нью-Йорка в марте 2018г. обвинил ЕС в намеренном протекционизме: «В Европе нет успешных технологических компаний, и они ревностно относятся к США, поэтому они и наказывают нас».
Похоже, Европейский Союз нашел симметричный ответ на экстерриториальное применение законов США по всему миру в виде всяческих санкций (против немецких автопроизводителей, европейских банков и т.п.). И логика точно та же, что и у США: вам интересен наш рынок? – тогда за доступ к нему вы обязаны платить всякий раз, когда нам это понадобится.
Казалось бы, создав сложный, жёсткий и, хотелось бы верить, эффективный механизм защиты ПД, евробюрократы должны почувствовать удовлетворение. Однако, на пути практической реализации указанной Директивы (а также аналогичных российских законов) есть масса препятствий, делающих её почти бесполезной (за исключением коммерческих соображений, указанных выше).
Вот лишь некоторые очевидные коллизии:
Защита персональных данных и интересы государства
Сплошь и рядом государство вмешивается в частную жизнь своих граждан под предлогом соблюдения интересов национальной безопасности. Яркий пример – разоблачения Э.Сноудена о масштабной слежке спецслужбой АНБ как за собственными американскими гражданами, так и за политиками по всему миру (программа PRISM). Причём, сотрудничали с АНБ операторы данных (Microsoft, Google, Facebook, Skype и др.), которые должны эти данные защищать. Apple декларирует конфиденциальность данных на своих устройствах и, на словах, отказывается предоставлять к ним доступ спецслужбам. Однако, даже по открытым данным известно о существовании компаний, предлагающих услуги по разблокировке iOS-устройств.
Интересами национальной безопасности продиктовано и стремление ряда стран локализовать на своей территории базы ПД своих граждан, собранные иностранными операторами данных. На этом настаивают законы, принятые в России, Китае, Казахстане, Бразилии, Индии и др. И если Роскомнадзору пока не удалось договориться с Facebook о локализации, то Китай, после значительных усилий (и под угрозой закрытия рынка) заставил таки подчиниться Apple.
Доступ спецслужб к ПД «в интересах нац.безопасности» предусмотрен в тех же законах о защите ПД. Дальше всего в защите национальной безопасности пошли российские законодатели. Недавно принятый «пакет Яровой» заставляет операторов связи хранить звонки и сообщения абонентов за период, определяемый Правительством РФ. 12 апреля 2018 года правительство РФ подписало постановление о том, что с 1 октября 2018 года операторы связи обязаны хранить в течение 30 суток текстовые, голосовые, видео- и другие сообщения пользователей. Далее оператор обязан увеличивать объем хранения на 15 процентов в год.
Соблюдение российскими операторами требований Пакета Яровой о хранении данных (данные переписки, данные разговора между пользователями и т.д.) может привести к нарушению российским оператором не только условий заключенных договоров, но и законодательных норм, действующих в иностранном государстве, к примеру, тех же требований о конфиденциальности, которые значительно расширены в европейском Регламенте GDPR. Как следствие, на российских операторов в юрисдикции государств-членов Евросоюза могут быть наложены значительные штрафные санкции.
Какие данные, по закону, могут быть переданы спецслужбам? Минкомсвязи подготовило проект приказа, обязывающего интернет-сервисы подключаться по выделенным каналам к сетям спецслужб и автоматически обрабатывать их запросы по поиску информации о пользователях. Спецслужбы интересуют регистрационные данные пользователей, переданные ими сообщения и совершенные платежи, данные о местоположении пользователей и используемом ПО, их родственниках, языках общения и т.д. Если вспомнить, что за последнее время высокопоставленные офицеры ФСБ неоднократно попадались на преступлениях (в том числе, организации ОПГ, крышевании преступных авторитетов, сокрытии незаконной банковской деятельности, вымогательстве взяток и т.п.), то трудно даже представить, где и у кого могут оказаться наши ПД «в интересах нац.безопасности».
Защита персональных данных и технологии обработки больших данных.
Все существующие законы о ПД, предусматривают, что «субъект данных» должен давать информированное согласие на их обработку. Однако, давая такое согласие, субъект вряд ли может предсказать все последствия обработки его данных, что объясняется особенностями технологий работы с большими данными (теми же системами ИИ, которые смогут обучаться на ваших данных, как это предлагает Греф). В результате, «информированное» согласие является не более чем пустой формальностью и не может служить законным основанием для обработки персональных данных. Стоит упомянуть многочисленные утечки пользовательских баз данных, собираемых различными интернет-сервисами. Вот лишь два известных показательных примера.
В 2015 году произошла утечка практически всех данных Ashley Madison. Неизвестная группировка, назвавшая себя Impact Team, взломала канадский сайт знакомств для женатых людей Ashley Madison, слив в открытый доступ данные более 37 миллионов пользователей из 40 стран мира, исходный код сайта, а также внутреннюю переписку первых лиц компании. Результат: значительная волна разводов по всему миру, несколько случаев суицида. К тому же в свободном доступе оказались данные около 1,200 пользователей из Саудовской Аравии, где наказание за измену доходит вплоть до смертной казни. Вряд ли люди, согласившись на обработку своих данных, предполагали такой исход.
Другой пример, известная контора Cambridge Analytica, которая занимается сбором данных о пользователях Интернета и соцсетей, составлением их психологических портретов и разработкой персонализированной (главным образом, политической) рекламы. По некоторым данным, компания причастна к вмешательству в ход более 200 выборов по всему миру, в том числе и в выборы Д.Трампа в 2016г. И опять, пользователи, предоставляя свои данные Facebook и давая согласие на их обработку, вряд ли догадывались, как они станут использоваться.
Защита персональных данных и врачебная тайна.
Информация о состоянии здоровья граждан хранится исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность персональных данных обеспечивается врачебной тайной. Поэтому, требования граждан об удалении своих ПД из баз данных медицинских учреждений отклоняются Конституционным Судом РФ на том основании, что эти данные защищены по закону о врачебной тайне, а их удаление может препятствовать в оказании вам же квалифицированной медицинской помощи.
Защита персональных данных и общедоступность данных
Российский закон об информации относит к общедоступной информации общеизвестные сведения и информацию, доступ к которой не ограничен. Значительный массив такой информации образуют данные всевозможных государственных реестров, содержащих, конечно, и персональные данные. И удалить свои данные из этих реестров не получится. Так, Конституционный Суд РФ в своём определении от 17 июля 2012 г. № 1346-О отказал гражданину Янкину В.А. в удалении его ПД из Единого государственного реестра индивидуальных предпринимателей и с официального сайта ФНС. Основанием суд определил, что сохранение ПД в реестрах не является нарушением конституционных прав гражданина, так как «направлено на обеспечение стабильности гражданского оборота, защиту прав и интересов его участников».
Право на забвение и другие права человека. Свобода и нейтральность Интернета.
Очень важной составляющей правового регулирования защиты ПД является «право на забвение». Поскольку Интернет существенно облегчает нарушения прав человека, необходимо адаптировать законы к новым условиям. Если раньше одним из способов защиты персональных данных было опубликование опровержения информации в газетах, то сейчас речь идет об удалении информации, распространенной посредством Интернета. Это, однако, вряд ли достижимо с учетом молниеносного и практически бесконтрольного копирования информации в сети. Юридическим ответом на создавшуюся ситуацию стало право на забвение (право быть забытым).
В России, которая одной из первых приняла соответствующую норму, с 1 января 2016 года вступил в силу Федеральный закон от 13.07.2015 N 264-ФЗ "о праве на забвение". Этот закон обязывает поисковые системы по заявлению гражданина и без решения суда удалять из результатов поиска ссылки на незаконную, недостоверную или неактуальную информацию о заявителе.
На пути реализации гражданином своего «права на забвение» возникло много препятствий.
Ну, случай г.Янкина В.А., которому КС РФ отказал в удалении его ПД из общедоступных реестров, мы уже упомянули.
На второе серьёзное препятствие указал «Яндекс», т.е. тот самый поисковик, к которому и обращён закон. В специальном пресс-релизе, посвящённом выполнению закона, компания указала, что «за время его действия «Яндекс» получил более 3600 обращений от 1348 человек. Из всех обработанных обращений мы удовлетворили 27%, по 73% ответили отказом». И основания для отказа выглядят вполне разумно: компания не может подменять собой суд, в каждом конкретном случае определяя, является ли информация недостоверной или нет.
В других случаях «Яндекс» справедливо указывает на свободу и нейтральность интернета и право каждого на доступ к информации общественно значимого характера (например, имуществе членов семьи чиновников, обвиняемых в коррупции). Здесь проходит тонкая грань между правом на частную жизнь и публичным статусом того или иного человека, когда информация о нём может представлять общественный интерес. Яркой иллюстрацией этой коллизии являются споры в публичном пространстве между А.Навальным (и его ФБК) и публичными персонами типа Золотова, Усманова и т.п. И предметом споров (и судебных разбирательств) является именно обнародование ПД, затрагивающих политиков, чиновников, бизнесменов. С другой стороны, закон обязывает чиновников раскрывать данные о своих (и членов семьи) доходах и имуществе, поэтому в этих случаях спор идёт не об обнародовании ПД в принципе, а лишь о степени их достоверности.
Таким образом, реализовать своё право на забвение, просто написав заявление в поисковые компании, будет непросто. Единственно надёжный способ – решение суда. Прецедентом в российской судебной практике в этом отношении стало судебное решение от 21 августа 2017 года. Руководитель Института аграрной политики Елена Скрынник отсудила право на удаление в Яндексе ссылок на информацию, порочащую ее достоинство и деловую репутацию. Московский областной суд оставил в силе решение Одинцовского суда. По нему «ООО «Яндекс» обязан прекратить выдачу ссылок, позволяющих получить доступ в сети «Интернет» к недостоверной информации в отношении министра сельского хозяйства 2009-2012 гг. Елены Скрынник».
Это решение суда напоминает о ещё одном препятствии в реализации «права на забвение». Ограничения законом накладываются лишь на выдачу информации в результатах запроса через поисковые системы. Сама информация, признанная недостоверной, незаконной и т.п. не удаляется. Это, зачастую, физически невозможно сделать (если, например, сервера, хранящие такую информацию, расположены за рубежом).
Информация может быть распространена в тысячах копий, на разных языках, в том числе на бумажных носителях, быть фрагментом теле- и радиопередач (которые могут быть сохранены на множестве записывающих устройств). Одно дело обязать соблюсти «право на забвение» поисковик, коих немного (да и то, как видно по работе «Яндекса», сделать это крайне непросто). Совсем другое, иметь дело со множеством «неустановленных» физических и юридических лиц.
Сама постановка вопроса об изменении, удалении информации, опубликованной в прошлом, заставляет вспомнить Министерство Правды из романа Оруэлла «1984» - «упомянуты нелица». Ведь кто-то должен в режиме 24/7 решать, где «лица», а где «нелица». Учитывая объём информации, в таком министерстве должна была бы работать половина населения страны.
Чтобы закончить тему про «забвение», добавлю, что её логическим продолжением стало понятие «цифровой смерти», которое содержится в принятом во Франции 7 октября 2016 г. «Законе о цифровой Республике». Как и в случае с обычным завещанием, лицо будет иметь право на соблюдение поставщиками онлайн-услуг или доверенными лицами его воли в отношении дальнейшей судьбы персональной информации, опубликованной онлайн, и после кончины.
За каждым тянется цифровой след
Рассмотренные соображения свидетельствуют о наличии явного конфликта между требованиями о защите персональных данных и фактической невозможностью ее обеспечить после попадания таких сведений в Интернет.
Каждый из нас, если он не Робинзон и является членом общества, вступает с этим обществом в многочисленные контакты. И всё чаще каждый такой контакт оставляет цифровой след, будь то регистрация на сайте интернет-магазина, покупка автомашины, открытие счёта в банке, пост в Instagram и т.п. И не стоит удивляться, если на твой телефон вдруг начнут приходить предложения взять кредит, а на почту - рекламные предложения из автосалона. Просто, менеджер банка, в котором когда-то был твой счёт или менеджер автосалона, где ты 5 лет назад покупал машину, сменили место работы и прихватили с собой клиентскую базу данных (что существенно повысило их оценку в глазах нового работодателя). С этим можно смириться, заблокировав соответствующий спам. Но бывают случаи гораздо злее.
Соберутся, например, простые коммерсанты Петров и Боширов съездить в Лондон, чтобы заодно посмотреть Солсберийский собор, как вдруг поблизости случается неприятность – кто-то кого-то отравил. Пока суть да дело, наши друзья уже на Родине. А тут британские правоохранители, которым до зарезу надо найти злоумышленников, спохватились и начали попристальнее вглядываться в образы наших героев, которых зафиксировали наружные камеры видеонаблюдения. И, пользуясь только открытыми источниками, выясняют, что и паспорта им выдали в одном отделении УФМС с номерами, отличающимися на единицу, и прописаны они в одном интересном доме на Хорошёвском шоссе. Да и, вообще, никакие они не Петров и Боширов, а Чепига и Мишкин, что, якобы, следует из неких фотографий, сделанных когда-то давно в Чечне, а также запечатлевших всех Героев России, служивших в одной из дальневосточных военных частей. Вряд ли мы когда-либо узнаем всю правду об этом деле, но очевидно, что руководство наших спецслужб сильно впечатлилось глубиной цифрового следа каждого из нас, даже тех, кому по должности никаких следов оставлять не положено. Впечатлилось и начало служебную проверку по факту «компрометации персональных данных» (т.е. попаданию базы ФМС в открытый доступ).
А вы говорите про право на забвение и обезличивание данных! Не в этой жизни!
И это я оставляю за скобками (чтобы не разжигать ненужные страсти) случай с рейсом MH-17. Там тоже много интересного удалось накопать из открытых источников. После чего, кстати, был введён запрет на пользование смартфонами на территории военных объектов.
Некоторые предварительные итоги
После всестороннего рассмотрения разных аспектов проблемы обработки и защиты ПД, хотелось бы сформулировать свою позицию в этом вопросе.
Сразу скажу, что я убеждённый противник всеобщей «цифровизации» в том виде, в котором она происходит сейчас. И именно проблема защиты ПД позволяет мне наиболее полно обосновать свою точку зрения.
В некоторых своих постах на АШ я уже подробно рассматривал вопрос взаимосвязи техники (технологий) и социального прогресса. Для себя я установил, что нет прямой связи между развитием техники и наступлением эпохи всеобщего благоденствия. Напротив, в определённых условиях техника может служить целям сохранения и углубления социального неравенства, что ведёт не к утопии, а к антиутопии в стиле «1984». Именно такой сценарий, по моему мнению, реализуется сейчас.
Государства повсеместно – и в капиталистических США и Европе, и в «коммунистическом» Китае, и в «госкапиталистической» России – сталкиваются с массой серьёзных проблем в экономике, экологии, демографии, социальной жизни. Казалось бы, с точки зрения здравого смысла, следует объединить усилия, перестать тратить огромные ресурсы на поддержание избыточного уровня потребления, создать мировой порядок, позволяющий сократить (или упразднить) безумные военные бюджеты и использовать для созидания миллионы здоровых мужчин трудоспособного возраста. Многие понимают абсурдность и катастрофичность текущего положения, но не могут ничего изменить. Это говорит о том, что существуют влиятельные силы, которых такое положение вполне устраивает. Именно эти силы так или иначе способствуют не хаотичному, а вполне направленному техническому прогрессу. Направленному на стабилизацию текущего положения, предотвращению слома существующего миропорядка. Поэтому, в приоритетном порядке разрабатываются не технологии получения дешевой энергии (тот же проект ITER), замены двигателей внутреннего сгорания или космические технологии (последний полёт на Луну состоялся (?) в 1972г.), а именно компьютерные и цифровые технологии. Основными бенефициарами этих технологий, как я уже отмечал в своём предыдущем посте, являются крупный бизнес (банки, нефтяники), спецслужбы и военные.
( на этот феномен обращали внимание ещё 40 лет (!) назад:
«Если бы авиапромышленность в последние 25 лет развивалась столь же стремительно, как промышленность средств вычислительной техники, то сейчас самолёт Boeing 767 стоил бы 500 долл. и совершал облёт земного шара за 20 минут, затрачивая при этом 20 литров топлива. Приведенные цифры весьма точно отражают снижение стоимости, рост быстродействия и повышение экономичности ЭВМ».
— Журнал «В мире науки» (1983, № 08)
С тех пор разрыв в развитии технологий увеличился многократно)
Цифровые технологии атомизировали общество, сделали его манипулируемым и легко управляемым. Помогают в этом соцсети, которые с помощью «правильно» ориентированных чат-ботов (направляемых быстро совершенствующимся ИИ), способны уже сейчас вмешиваться в политические события (если верить американским демократам, именно они «избрали» Трампа).
Государству выгодно иметь дело не с людьми, а с их «цифровыми образами», параметры которых формализованы и стандартизованы в виде набора ПД. И применить к таким образам науку эффективного управления по набору параметров (с помощью тех же систем слабого ИИ). Такая практика не улучшает природу самого государства, но позволяет предсказывать поведение сложной социальной системы и эффективно управлять жизнью общества. Как это работает на практике, показывает пример «социального рейтинга» в Китае. Не стану обсуждать эту систему, скажу лишь, что она возможна исключительно благодаря сбору самых разнообразных ПД людей (без всякого их на то согласия, что не противоречит "китайской модели" защиты ПД) и широкого использования систем ИИ для обработки огромных массивов таких данных.
Родившись, каждый человек сразу получает набор уникальных ПД. В течение жизни этот набор постоянно увеличивается. И сам человек должен решать, как этими данными распоряжаться – торговать ими, выставляя свою личную жизнь напоказ, «зависая» в соцсетях или поднимая рейтинги низкопробных программ центрального телевидения (которые заполонили личности типа виталины и прочих псевдозвёзд) либо резко ограничить вмешательство общества в своё личное пространство. Но получается, что создавая новые правила для цифровой эпохи государство лишает нас этого естественного права выбора.
Так, в России создается федеральный регистр, содержащий сведения о населении страны. В качестве основы для его создания рассматривается Единый государственный реестр записей актов гражданского состояния (ЕГР ЗАГС), запуск которого в промышленную эксплуатацию был запланирован на октябрь 2018 года. Оператором ЕГР ЗАГС, в соответствии с федеральным законом № 219-ФЗ от 23.06.2016 года, назначена ФНС. Эта же служба определена оператором Единого реестра населения (ФГИС «ЕРН»). Совсем недавно глава ФНС Мишустин докладывал Путину о ходе создания регистра.
Создание единого регистра населения, предполагающее присвоение каждому физическому лицу уникального кода, затрагивает также право выбора способов идентификации личности. Принудительное включение лиц в единый регистр населения вступает в противоречие не только с конституционным требованием о получении согласия для обработки информации о частной жизни лица, но и с конституционной свободой убеждений, поскольку среди граждан РФ и лиц, проживающих на территории страны, есть те, кто в силу религиозных либо иных убеждений выступает против электронной идентификации личности и введения идентификационных номеров.
Мне могут возразить, что речь лишь об удобстве, ускорении документооборота и т.п. Возможно, кому-то следующее сравнение покажется излишне резким. Тем не менее. Такой опыт в истории уже был. Идентификационный номер заменял имя заключённым в концентрационных лагерях Третьего рейха, что облегчало персоналу идентификацию заключённых по странам происхождения, расе, приговору и т.п.
Сегодня государственной бюрократии удобно учитывать граждан по идентификационным номерам, а завтра удобными окажутся имплантированные чипы – ведь это наиболее короткий путь добиться единомыслия.
Поэтому, это разговор не про удобство, а про отношение к человеку. Принципиальный вопрос в том, что первично – интересы государства или интересы составляющих его людей? Казалось бы, это ложная антитеза – одно тесно связано с другим, их нельзя противопоставлять. Тогда спрошу по-другому: как соотносятся интересы немцев и нацистской Германии, американцев и современных США? Очевидно, что в отсутствие прямой демократии простые люди довольно слабо влияют на формирование «государственных интересов». Поэтому, так как любое современное государство очень далеко от государства всеобщего благоденствия и справедливости, то у меня есть все основания считать, что мои ПД не всегда будут использованы в моих личных интересах. И я предпочёл бы свести к абсолютному минимуму своё «цифровое взаимодействие» с государством. И в общении с ним представляться своим именем, а не номером.
Здесь моя позиция полностью совпадает с позицией РПЦ. Приведу пространную цитату из любопытного документа - Позиция Церкви в связи с развитием технологий учета и обработки персональных данных (принят Архиерейским Собором Русской Православной Церкви 4 февраля 2013 года):
В обществе распространяется обоснованная тревога по поводу того, что использование пожизненного персонального цифрового идентификатора в виде кода, карты, чипа или тому подобного может стать обязательным условием доступа каждого ко всем жизненно важным материальным и социальным благам. Использование идентификатора вкупе с современными техническими средствами позволит осуществлять тотальный контроль за человеком без его согласия — отслеживать его перемещения, покупки, расчеты, прохождение им медицинских процедур, получение социальной помощи, другие юридически и общественно значимые действия и даже личную жизнь…
…Вся собранная информация может не только использоваться, но автоматически анализироваться с целью принятия управляющих решений в отношении конкретного человека. Введение же сквозного идентификатора личности позволяет создать единую базу данных, где в режиме реального времени могут собираться, храниться и автоматически анализироваться данные из различных сфер жизни человека.
Документ заслуживает того, чтобы прочитать его полностью.
Именно поэтому я считаю, что борьба за персональные данные это последний рубеж обороны каждого из нас против наступления цифрового государства на нашу частную жизнь. Государства, в конечных целях которого у меня есть обоснованные сомнения, так как вчера оно повышает пенсионный возраст, даже не поинтересовавшись моим мнением (отказав в конституционном праве на референдум), а сегодня, устами одного из своих высших чиновников, рассуждает о скорой перспективе 4-х дневной рабочей недели.
Источник
/ Мнение автора может не совпадать с позицией редакции /