«Чисто теоретически сегодня о человеке можно узнать абсолютно все». Какие данные о нас собирает государство и зачем это делает?
За каждым из нас тянется «цифровой след» – и это не паранойя, а факты, о которых многие даже не задумываются. Вместе с Лабораторией цифровых свобод Human Constanta продолжаем рассказывать вам о правах человека online.
– О безопасности своих персональных данных и праве на личную информацию, к сожалению, в нашей стране особо не задумываются. Из-за отсутствия закона, четко регулирующего эту сферу, сбором всевозможной информации о человеке у нас занимаются очень многие: и государственные органы, и частные предприятия. Вы платите за коммунальные услуги, пользуетесь сервисами мобильной связи, получаете дисконтные карты в магазинах – и не представляете, сколько данных оставляете у организаций и как они ими пользуются.
«Государство знает о нас действительно слишком много»
Количество структур, собирающих о нас сведения на разных условиях использования и хранения, впечатляет. Существует огромное количество баз данных, и, по сути, государство знает о нас действительно слишком много. Самое интересное, что мы можем и не подозревать, что находимся в том или ином реестре. Об этом нас должны информировать, но делают это не всегда. К примеру, вы просрочили оплату по кредиту, после обращения банка попали в список невыездных и можете узнать об этом уже на границе. Возникает вопрос: какие сведения о нас собирают, с какой целью это делается и как долго они хранятся?
Пару лет назад к нам в БХК обратился с проблемой человек: при приеме на работу в охранное учреждение у него потребовали справку о том, что он не привлекался к административной ответственности. Лет пять тому назад у него действительно было какое-то незначительное правонарушение, но этот факт до сих пор находился в базе данных, и работодатель предпочел другую кандидатуру.
У нас возник вопрос: а как долго хранится такая информация и почему? Мы решили разобраться в ситуации и нашли довольно много странного. В базе административных правонарушений, как оказалось, информация хранится 10 лет, когда необходимый период хранения таких данных – год. Для чего?
Мы копнули дальше, и оказалось, что со сроками хранения персональных данных у нас все очень плохо. В кредитном регистре сведения сохраняются на протяжении 15 лет после погашения долга. Дактилоскопическая информация хранится до достижения мужчиной 80 лет. Данные уголовных преступлений держат в базах 100 лет. В некоторых базах информация и вовсе хранится пожизненно, и такие сроки ничем не обоснованы. Все международные подходы говорят о том, что время хранения должно оправдывать цель – это базовый принцип, которого у нас пока не придерживаются.
Сегодня практически невозможно выяснить, кто, когда и для каких целей запрашивал информацию о вас. Наше законодательство не позволяет узнать об обращениях за вашими данными, а это ключевой принцип в вопросе личной безопасности. Конечно, нельзя сбрасывать со счетов деятельность правоохранительных органов, но иногда их неограниченный доступ к приватной информации все же вызывает вопросы: к примеру, базы персонифицированного учета, по которым начисляют пенсии, имеют открытый и даже удаленный доступ для МВД. Зачем? А если учитывать, что на данный момент не предусмотрено никакой ответственности за действия с персональными данными, будь то их незаконный сбор или разглашение информации, картина вырисовывается и вовсе невеселая.
«Если информация где-то хранится, значит, кто-то может ей недобросовестно воспользоваться»
На самом деле такое отсутствие упорядоченности наших личных данных – опасный момент не только для рядовых граждан: если такие массивы информации где-то хранятся, значит, кто-то может ими недобросовестно воспользоваться. Это еще и очень важный сдерживающий фактор для экономического развития страны: крупный бизнес не может прийти в Беларусь из-за отсутствия правовой базы в отношении персональных данных. Печально, но наша страна – одна из немногих, где соответствующий закон отсутствует в принципе. Даже на постсоветском пространстве эта проблема в той или иной мере законодательно урегулирована.
Своим исследованием мы попытались подтолкнуть государство к тому, что с темой необходимо работать и что-то менять. Все подходы к сбору, хранению и распространению личных сведений нужно урегулировать и привести в порядок. И, к счастью, дело сдвинулось с мертвой точки: уже разработана концепция законопроекта по этому вопросу. Надеемся, будут организованы публичные слушания и работа над проектом пройдет во взаимодействии с организациями гражданского общества.
Как обезопасить себя?
В первую очередь надо помнить о важности личной информации и не разбрасываться ею. К примеру, для тех же дисконтных систем у нас часто запрашивают непонятный объем персональных данных. Готовы ли вы делиться ими ради скидки? Решать вам. Потому что вряд ли у вас получится добиться удаления своих контактов из базы торговой сети. А если говорить об онлайн-среде, здесь необходимо соблюдать так называемую «цифровую гигиену». Антивирусы, обновляемые программные обеспечения – минимум, доступный каждому. И забудьте о пиратском софте – он выкачает любые нужные сведения, даже не запрашивая их у вас.
На самом деле каждому из нас нужно просто осознать ценность права на частную жизнь и личную информацию и уважительно относиться к этим вещам. А государству – создать условия, при которых человек будет чувствовать себя спокойно и безопасно.
– Информация, касающаяся частной жизни и собственности, существовала всегда и всегда как-то регулировалась. С персональными данными ситуация немного другая: об этом понятии в принципе заговорили не так давно, только в 60–70‑е годы прошлого века. Как раз в то время, когда активно начали появляться первые централизованные и урегулированные системы обработки таких данных.
Как работают с персональными данными в разных странах
В середине 60‑х в США объявили о намерении создать самую масштабную базу персональных данных обо всех гражданах: по плану там должна была находиться абсолютно вся информация о человеке. По идее, это позволило бы автоматически рассчитывать льготы, решать вопросы медицинского обслуживания и не нуждаться в большой армии чиновников или специализированных служб.
Казалось бы, отличная идея. Но есть вопросы: если мы имеем все данные в одном месте, кто будет гарантировать, что не произойдет утечка, и какова вероятность, что этими данными не воспользуются спецслужбы в своих интересах? В течение двух лет эту идею в США похоронили: всплыло слишком много нюансов. По итогу в Америке нет одной централизованной базы данных: этим занимаются разные ведомства, которые не обмениваются сведениями.
Представляете, там даже нет централизованной системы учета оружия, а мы знаем, что во многих штатах разрешено его хранение. В действительности все эти сцены из детективов, где полицейский за минуту «пробивает» по базе найденный ствол, так не работают. Там есть учет оружия на уровне точек продажи и есть огромный бумажный архив. И это не потому, что они какие-то отсталые и несовременные, нет: при желании все эти сведения можно перевести в цифровой вариант максимум за месяц. Идея в том, что такая чувствительная информация не должна быть у государства в том виде, при котором автоматически можно определить того или иного человека. Ведь по конституции хранение оружия позволяет людям охранять свое имущество, жизнь и конституционный строй. Да, возможно, такая система чуть тормозит раскрытие преступлений, но зато не нарушает конституционные права граждан.
«В Беларуси нельзя контролировать то, какие данные о нас собирают и как их используют»
Если государство знает о нас достаточно много, то хотелось бы и нам, простым гражданам, понимать, что происходит с этой информацией. Хороший пример – Эстония, где действуют электронные идентификационные карточки. Там по каждому запросу в любую из баз данных можно проследить не только организацию, но и конкретного сотрудника, который обращался за этой информацией. Поэтому, если полицейский попытается узнать по просьбе знакомого, где была его жена неделю назад, и выяснится, что это не было связано с каким-то расследованием, его как минимум уволят. Вот почему там такие ситуации – исключение из правил. А у нас же «пробить» кого-то по базе, если у тебя есть к ней доступ, кажется вполне естественным. На российских рынках раньше и вовсе свободно можно было купить диски с базами городских администраций, полицейскими, налоговыми и другими сведениями. Сейчас такой жести уже нет, но выходы на информацию все равно имеются, и понятно, что так быть не должно.
В целом вопросы сбора государством персональных данных в мире регулируют несколько правовых систем. В ЕС за это отвечает директива 1995 года, которую в мае 2018-го сменит еще более детальный регламент, плюс в каждой стране есть свои законы и отраслевые правила. Если говорить о странах постсоветского пространства, то тут тоже практически везде существует правовое регулирование этих вопросов. Мы же, живя в Беларуси, пока не можем контролировать, какие данные собирают о нас корпорации и как их используют. Максимум, что нам доступно, – раз в год запрашивать личную информацию в регистре населения. И то потребовать удалить какие-то данные можно лишь в случае несоответствия данных действительности. А в странах Евросоюза человек имеет право беспрепятственно ознакомиться с данными, которые о нем собирают как в государственных, так и в коммерческих частных компаниях.
«Уже сейчас персональную информацию активно покупают»
Чисто теоретически, если обработать все сведения, собранные разными корпорациями, о каждом из нас сегодня можно узнать абсолютно все. Более того, сейчас этой информации настолько много, что возникает куча стартапов, основанных на ее анализе: к примеру, по изображению человека нейросеть может с 80-процентной вероятностью определить сексуальную ориентацию человека. Но зачем? Кому это надо? Без четкого регулирования в этой сфере разработчики могут придумать и наворотить такого, что страшно представить. Те же банковские и страховые компании уже сейчас активно покупают персональную информацию и на ее основе рассчитывают коэффициенты по кредитам и страховкам. В странах, где страховая медицина – единственный возможный вариант, эта тема невероятно актуальна. Представьте, что вы просто гуглите информацию о лекарствах от определенной болезни, а вам тут же автоматически приписывают высокий риск заболевания и повышают коэффициент.
«Уничтожить информацию практически невозможно»
Если существуют такие массивы данных, то будут существовать и утечки. Практически каждую неделю появляются сообщения о таких случаях. Недавно, например, выяснилось, что у Uber украли информацию о 50 миллионах аккаунтов пользователей и семи тысячах водителей. Причем компания даже не сообщила об этом пользователям, а просто заплатила выкуп в $100 000, после чего злоумышленники якобы удалили эту информацию. Но удалили ли? Сегодня то, что находится в электронном виде, учитывая архивы, копии и прочие нюансы, уничтожить практически невозможно.
Поэтому нужно отдавать себе отчет, что за каждым из нас тянется «цифровой след». Это данные, которые мы оставляем сами, которые собирают без нашего ведома и которые к нам так или иначе привязаны. Социальные сети, приложения, сервисы и интернет-магазины – мы даже не представляем, сколько информации оставляем.
Насчет бесплатных программ, кстати, есть хорошее выражение: «Если вы не платите за товар, то сами становитесь товаром». Это о том, что бесплатных услуг не бывает: вы обмениваете свои данные на возможность пользоваться тем или иным сервисом. Насчет социальных сетей: если вы больше не пользуетесь каким-то сервисом, лучше не забрасывать его, а запросить удаление аккаунта и всех данных, связанных с ним. Опасность даже не в том, что ваши личные сведения хранятся где-то на просторах Сети, а в том, что если они теоретически окажутся в одном месте, то тогда о всех нас действительно будут знать слишком много.
«Важно балансировать между безопасностью и свободой»
Одна из задач закона о персональных данных – не дать соединить сведения из различных баз данных воедино и собрать слишком много сведений о человеке. Все идет к тому, что рано или поздно возникнет более сложная система, где каждая организация будет обязана отчитываться перед пользователем по поводу того, что она делает с его данными.
Особенность персональных данных в том, что это одновременно и личная информация, и данные, которые должны находиться в обороте, чтобы компании могли оказать вам определенные услуги, и сведения, которые должны обеспечивать контроль и безопасность со стороны государства. Но важно балансировать между безопасностью и свободой: эта проблема всегда стояла в вопросе защиты частной информации. Ведь, по сути, под эгидой борьбы с преступностью можно завесить весь город камерами или и вовсе поставить их внутри домов. Важно отдавать себе отчет: хотим мы супербыстрой и удобной госсистемы или нам хочется немного контролировать ситуацию и понимать, какую информацию о нас знают и как ее используют.