Сохранность конфиденциальности является актуальным вызовом для глобальной цифровой эпохи, современниками которой мы являемся. Не секрет, что наши персональные данные – это настоящий кладезь для медиакорпораций, телеком-операторов и злоумышленников. Достаточно обратить внимание на то количество персональных данных, которые собирают социальные сети: здесь и наши регистрационные сведения, и имена и типы файлов на наших устройствах, контакты из адресной книги, геоданные и даже информация о том, что рассказывают другие люди, когда отмечают нас на фото.
При этом персональные данные не лежат на просторах сети мертвым грузом – наоборот, они активно пускаются компаниями в оборот и становятся подобием цифровой «витрины», доступ к которой получает неограниченный круг третьих лиц. Среди них оказываются и мошенники: из-за нередких утечек персональных данных в их руки попадают наши ФИО, контакты и место жительства. Как следствие, мы становимся жертвами спам-атак, инициаторы которых в попытке украсть наши деньги представляются судебными приставами, следователями, налоговыми инспекторами и менеджерами банков.
Проблема усугубляется отсутствием у многих интернет-пользователей должных знаний о работе с персональными данными. По результатам совместного опроса ВЦИОМ и Ассоциации больших данных, почти 40% жителей России не понимают, как используются их персональные данные, а 47% граждан и вовсе не слышали о таком типе данных.
В то же время та информация, которую мы предоставляем при заключении пользовательских и иных соглашений, – это «новая нефть», которую корпорации желают черпать в нескончаемом количестве. И, в отличие от сырья, запасы персональных данных как нематериального ресурса почти безграничны. К счастью, государства пока довольно жестко ограничивают работу цифровых платформ с персональными данными и во главу угла ставят именно интересы пользователей.
Российская правовая система предельно четко регулирует порядок и механизм работы с персональными данными. Так, 152-ФЗ строго определяет, на каких условиях и какие именно данные могут собираться с письменного согласия субъекта или без такового. К таким данным относятся ФИО, год и место рождения, адрес, абонентский номер, сведения о профессии или иные данные. Важно, что закон обязывает операторов и третьих лиц, получающих доступ к персональным данным, обеспечивать их строгую конфиденциальность.
Кроме того, постановление Правительства от 01.11.2012 № 1119 и приказ ФСТЭК от 18.02.2013 г. № 21 регламентируют организационную и техническую защиту персональных данных, например, условия автоматизированной обработки данных, передачи их по шифрованным каналам связи, разграничение прав доступа к данным.
Вместе с тем с 1 сентября 2015 года в нашей стране действует положение, которое обязывает операторов персональных данных обрабатывать и хранить данные россиян с использованием баз данных, размещенных исключительно на территории РФ. А с 1 сентября 2022 года в силу вступили изменения 152-ФЗ, ужесточающие ответственность операторов за несоблюдение правил по защите данных и предписывающие им требования уведомлять Роскомнадзор и ФСБ России об инцидентах, связанных с нарушением конфиденциальности персональных данных граждан.
Помимо законодательных механизмов, государство предлагает и более гибкие решения. Например, в конце декабря 2022 года распоряжением Правительства РФ была утверждена Концепция формирования и развития культуры информационной безопасности граждан. В ней особо подчеркивается, что вне зависимости от возраста или сферы деятельности жителям нашей страны необходимо прививать цифровую грамотность, которая включает в себя особую заботу о сохранности персональных данных.
Если же обращаться к мировому опыту регулирования персональных данных, то здесь стоит обратить внимание на Поднебесную. В Китае с конца 2021 года действует закон о защите личной информации (PIPL). Постоянными темами в законе являются конфиденциальность, контроль и согласие личности на оборот своей «личной информации» (в Китае этот термин аналогичен «персональным данным»). PIPL предоставляет гражданам Китая право знать, принимать решения, ограничивать использование или возражать против использования их личной информации (PI).
Нормы PIPL применяются и к умершим лицам. Ближайшие родственники умершего, в целях защиты его законных и легитимных интересов, могут получить доступ, копировать, исправлять или удалять соответствующие данные умершего, если перед смертью не было иного указания.
На территории недружественного нам Евросоюза ключевую роль при обработке персональных данных играет Общий регламент защиты персональных данных (GDPR). Его положения предусматривают, что при сборе пользовательских данных платформа обязана предоставить человеку такую информацию, как его контактные данные и цели обработки его данных. Также Регламентом постулируется, что ключевыми требованиям к политике конфиденциальности являются ясность, прозрачность и ориентированность на пользователя. Официальные руководящие принципы GDPR объясняют, что политика конфиденциальности должна быть интуитивно понятной, иметь логичную структуру и удобную навигацию внутри документа. Регламент обязывает компании указывать в политике конфиденциальности, в какие страны передаются персональные данные пользователей и какие системы обеспечивают такую международную передачу.
Сфера защиты персональных данных не ограничивается правовым регулированием. Последние годы дали толчок активному развитию сегмента Privacy Tech решений, благодаря которым пользователи могут по-новому взглянуть на проблему защиты и оборота своих данных. Только на конец 2021 года стартапов в сфере Privacy Teсh насчитывалось свыше 200, а инвестиции в них превышали $4,2 млрд.
К этому рынку стоит присмотреться как минимум из-за нестандартных решений, которые фаундеры предлагают своим потенциальным клиентам. Если посмотреть на западную рыночную модель, то мы увидим, что сегодня она ориентирована на возможность монетизировать собственный цифровой след и тем самым осознать значимость личной информации, предоставляемой цифровым платформам.
Так, приложение для продажи персональных данных DataWallet позволяет человеку самостоятельно решить, какой именно информацией он готов поделиться с цифровым миром. Приложение собирает все данные, в том числе из соцсетей, обезличивает их, объединяет в аналитические отчеты, которые затем продают брокерам данных. Вырученные деньги распределяются между всеми пользователями, чьи данные вошли в купленный отчет. В среднем пользователь может заработать на такой продаже от 1 до 50 долларов.
Американский стартап Datacy, в свою очередь, подтягивает данные из приложений и браузеров пользователя и создает из них пак, который можно продать компаниям, органам власти и прочим институтам. Такими данными могут быть покупки из интернет-магазинов, поисковые запросы, тематика просмотренных постов и лайки в соцсетях.
Российский рынок Privacy Tech решений также предлагает пользователям интересные инструменты. Недавно стало известно, что «МТС Red» – дочерняя компания МТС в сфере кибербезопасности – разрабатывает B2C-приложение, которое позволит за деньги получить доступ к защищенной связи с собственным файерволом, блокировщиком рекламы и VPN.
Российская компания Omion также на возмездной основе предоставляет возможность «зачистить» свой цифровой след и уничтожить персональные данные со всех сервисов, откуда они могли бы быть похищены.
Примеры российских Privacy Tech стартапов – важный индикатор, свидетельствующий, что в нашем обществе есть спрос на защиту своих данных на самом высоком уровне, и за удовлетворение этой осознанной потребности пользователи готовы платить.
Совершенствующаяся в разных точках земного шара регуляторика, а также развивающийся сегмент Privacy Tech решений свидетельствуют, что уже в самом ближайшем будущем каждый человек будет волен сам решать, как именно использовать персональные данные.
Граждане смогут как выставить свои данные на маркетплейсы в обмен на денежное вознаграждение, так и, наоборот, заплатить и получить в свое пользование софт, который упакует все персональные данные в закрытую экосистему и скроет цифровой след от назойливых глаз корпораций и злоумышленников.
Как итог, сберечь свои личные данные или начать активно ими торговать – право, а не обязанность. Только в условиях свободного выбора пользователи смогут по-настоящему осознать ценность своей личной информации и повысить культуру обращения с ней.