radio svoboda

А знаете ли вы, что вас могут продать или подарить? Точнее информацию о вас, ваши персональные данные. Они давно стали товаром. Но если несколько десятков лет назад в России информация о ваших доходах, образе жизни или месте жительства интересовала в основном спецслужбы, то теперь за нее готовы платить и вполне уважаемые компании.

Возможно ли сохранить приватность в современном мире? Защитит ли закон ваши персональные данные и что делать, если произошла утечка? Спросим у гостей сегодняшней программы Сергея Крылова и Сергея Гребенникова.

Диктор: Сергей Крылов — основатель и генеральный директор «Лиги защиты должников», член Научно-исследовательского совета при Общественной Палате Российской Федерации, один из авторов поправок к закону «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности».

Сергей Гребенников — директор регионального Общественного центра интернет-технологий, одной из старейших общественных организаций рунета (РОЦИТ), которая занимается созданием дружественной интернет-среды и популяризацией интернет-технологий с 1996 года, заместитель директора Ассоциации электронных коммуникаций, организатор российских интернет-конференций, форумов и наград.

Марьяна Торочешникова: Что, собственно, следует понимать под персональными данными? Потому что формулировки в законе не всем хватает. Это паспортные данные? Это фамилия и имя? Это конкретная фотография с подписью конкретного человека? Что называют персональными данными?

Сергей Гребенников: Персональные данные — это данные, по которым можно четко определить, что Сергей Гребенников — это именно я. То есть нужен, например, номер телефона и мои фамилия, имя и отчество, или паспортные данные плюс фамилия, имя и отчество, или электронный адрес плюс фамилия, имя и отчество — вот это уже будут персональные данные. И сочетаний различных элементов, что же такое персональные данные, очень много. Зачастую пользователи путают, что такое персональные данные. Где-то написали имя и фамилию просто, отправили скриншот либо разместили фотографию — и многие начинают считать это персональными данными и требовать это убрать. Это, естественно, персональными данными не является, и ни социальные сети, никакие интернет-ресурсы это не убирают. Пользователи обижаются, бегут в различные ведомства и так далее.

Марьяна Торочешникова: Вы сразу сказали о пользователях, имея в виду пользователей сети, тех людей, которые распространяют или собирают, или оставляют свои данные в интернете. Но ведь и в обычной, не цифровой жизни тоже есть место персональным данным, и в этой не цифровой жизни что считается персональными данными?

Сергей Крылов: Закон не разделяет, это интернет-сфера или просто какая-то социальная сфера на физическом уровне, это не имеет значения совершенно. Персональные данные могут выражаться и просто в паспортных данных. Даже когда мы где-то ксерим документы порой, это тоже персональные данные, и лицо, которое оказывает нам такую услугу, тоже является одной из сторон как раз этого закона о персональных данных, и оно имеет право оказать услугу, но не имеет право сбора этой информация, сохранения у себя и передачи ее третьим лицам. Если более широко раскрыть, чтобы было понятно, что может относиться к персональным данным, это фамилия, имя, отчество, номер телефона, адрес места жительства, места работы, расовая принадлежность, политические взгляды, даже религиозность человека, состояние его здоровья, его интимная жизнь — это все относится в широком смысле к разряду персональных данных. Фотография по своей сути тоже является частью персональных данных. Есть, конечно, в законе исключения — когда она была сделана, было ли дано согласие, потому что не каждая фотография, на которой вы изображены, является именно теми персональными данными, которые запрещено распространять без вашего согласия.

Марьяна Торочешникова: И какие данные запрещено распространять без согласия? И вообще, когда можно считать, что право на защиту моих персональных данных было нарушено?

Сергей Гребенников: Нарушают очень часто, но не всегда пользователь… Я буду говорить со стороны пользователей, потому что мы, так или иначе, интернет-технологиями занимаемся. Пользователь, как правило, не читает пользовательское соглашение, 99 из 100 человек не будут его читать.

Марьяна Торочешникова: Когда скачивают приложения…

Сергей Гребенников: Когда мы где-нибудь регистрируемся, не важно, это интернет-магазин, социальная сеть, это приложение, когда нам говорят: подтвердите «галочкой», что вы прочитали пользовательское соглашение, мы просто ставим галочку, не читая. А там написано, что «мы обрабатываем персональные данные, мы их храним, и мы их можем передавать третьим лицам для рекламных кампаний». Мы под этим сами подписываемся, а потом начинаем говорить: «Как же так, мне кто-то звонит, почему я где-то оставил данные, не подумал…» — и так далее. И зачастую, на самом деле, компании подстраховываются и во все пользовательские соглашения записывают историю про персональные данные. И здесь непонятно, кого винить — то ли самого себя, что я не прочитал это пользовательское соглашение, но, с другой стороны, прочитав его, я вижу, что мои персональные данные будут обрабатывают, хранить и передавать третьим лицам, и что я сделаю? Ничего. То есть либо я поставлю галочку и получу нужную мне услугу, куплю в интернет-магазине что-то, либо не поставлю галочку и ничего не получу.

Марьяна Торочешникова: Свободы договора нет никакой, он односторонний.

Сергей Гребенников: Абсолютно!

Марьяна ТорочешниковаЗакон о персональных данных, который предложил механизм противодействия утечкам личной информации, вступил в силу еще в январе 2007 года, и с тех пор много раз менялся, причем правила каждый раз становились суровее. Однако сегодня, как и десять лет назад, любой желающий может раздобывать базу Налоговой инспекции или ГАИ, причем сейчас для этого даже не нужно выходить из дома, в интернете есть все. А впрочем, для того, чтобы получить ваши персональные данные, совсем не обязательно преступать закон, вы сами уже рассказали о себе все, нужно только уметь искать.

Артур Хачуян, основатель SocialDataHub: Самое, наверное, популярное — это контактные данные в виде е-мэйла и телефона. Причем даже если человек не публиковал это в своем профиле, очень популярная история, когда, например, люди публикуют свой телефон в какой-нибудь группе «Отдам. Из рук в руки. Пермь», например, и забывают о том, что их телефон там есть в их собственном комментарии. Вторая по популярности вещь — это адрес домашний. Есть первая возможность, когда анализируются, например, гео-чекины людей, и, как правило, 80 процентов гео всех меток — это два кластера: работа и дом. И для 99 процентов пользователей социальных сетей то, что ближе к центру, это работа, а то, что дальше, это дом. Плюс, что касается несовершеннолетних, есть история, что дети публикуют свои адреса, а родители об этом не в курсе, а жилплощадь, как правило, одна и та же. И у нас по закону вроде как домашний адрес является персональными данными, но вот публикации в социальных сетях и гео-чекины персональными данными не являются, а из них, соответственно, можно домашний адрес получить. По сути дела, эти люди сами виноваты, что оставили свои контакты в открытом доступе.

Все, что касается нежелательных е-мэйл или телефонных рассылок, это все достаточно хорошо контролируется Минкосмвязи и всякими законами о спаме, но, по сути дела, никто от этого не застрахован, и, к сожалению, сейчас конечные люди, которые получают какой-то спам, нежелательную рассылку, они не идут и не пишут заявления никуда, и эти компании никто не наказывает, поэтому кто угодно может ваши данные получить.

Я знаю, что сейчас есть всякие спамерские конторы, которые даже в закрытые аккаунты залезают.Есть тоже такая популярная методика, берут вашего какого-нибудь школьного друга, с которым вы давно не общались, делают копию его страницы и стучатся к вам в друзья: «Привет! Давно не виделись. Моя новая страница». Вы его добавляете, и ему нужно пять секунд на то, чтобы сделать копию вашей страницы, и аккаунт удаляется, а вы не замечаете этого, у вас как был этот школьный друг в друзьях, так и есть, как правило, никто не проверяет. А спамеры или какие-то нехорошие товарищи уже получили все ваши персональные данные.

Если это, условно, в какой-то группе в социальной сети опубликовано, тогда, скорее всего, социальная сеть после жалобы Роскомнадзора месяца через три это удалит. А если это находится в Dark web, где непонятно, кто администратор ресурса, кто где, это никак оттуда не убрать.

Марьяна Торочешникова: Что должно произойти, чтобы было признано, что ваши персональные данные неправомерно кто-то кому-то передал?

Сергей Крылов: Для этого надо ответить в первую очередь на два очень важных вопроса: кто собирает и для чего? Потому что не требуется согласие человека на обработку и распространение персональных данных, когда этим, например, занимаются правоохранительные органы, судебная система, то есть для каких-то государственных нужд, для этого не требуется согласие. Второй случай — когда человек подписывает, скажем, оферту какую-то, соглашение, что он разрешает использовать и обрабатывать данные. Но сбор персональных данных, их обработка не ведется в хаотичном порядке, и она всегда имеет цель. Если цель достигнута, такие персональные данные даже в силу закона должны быть уничтожены. Соответственно, если человек даже в той же сети предоставил персональные данные, прочитал это соглашение, и он понимает, что персональные данные собраны для этой цели, и если в настоящем моменте идет распределение за пределами этой цели, тогда наступает это нарушение. На самом деле, свобода договора остается, потому что у вас есть свобода заключать сделку или не заключать ее, у вас есть свобода и право на то, чтобы предложить изменить договор. Этого никто никогда не делал, но вы помните, наверное, историю с Тиньковым, когда мужчине прислали предложение заключить договор, он его переписал и предложил подписать, и заключил договор на своих условиях.

Марьяна Торочешникова: И на этом банк сделал пиар себе.

Сергей Крылов: Это уже другой вопрос. Потому, резюмируя, когда государственные нужды, когда ты сам соглашаешься на обработку это не считается нарушением. Нарушением считается, когда ты не давал согласия, но где-то вдруг появляются твои данные, по которым тебя можно идентифицировать, появляются твои личные фотографии. Очень важно понимать, что фотографии, сделанные для общественных целей, на митингах, концертах, там, где человек находится в публичном пространстве, размещаются как есть и не требуют согласия, потому что там не идет акцент на конкретном человеке. Если опубликованы личные фотографии, тогда это считается нарушением.

Марьяна Торочешникова: В принципе, на среднестатистического городского жителя, имеющего доступ в интернет, по вашему предположению, какой объем информации о нем может храниться в социальных сетях, в интернете?

Сергей Гребенников: Столько информации, сколько ни один человек не может даже сам о себе обработать,. Потому что сегодня мы переходим на новый этап развития, когда, в том числе, в интернете появляется такое понятие – искусственный интеллект, который начинает нас изучать. Машинная обработка данных уже пришла к тому, что в интернете скопилось о людях столько информации, сколько мы просто сами о себе не можем узнать. Мне кажется, о нас машины знают уже больше, чем мы могли за собой заметить.

Марьяна Торочешникова: А для чего это делается вообще?

Сергей Гребенников: Ну, в различных сферах это делается для разных целей. Например, банковские продукты сейчас активно используют искусственный интеллект, и решение о принятии или непринятии человека в клиенты банка с точки зрения получения кредита сегодня делается уже в 50 процентах случаев машиной. То есть сегодня искусственный интеллект принимает решение – выдать или не выдать тому или иному человеку кредит. И на чем он основывается? На записях в социальных сетях, на кредитной истории, на очень-очень многих факторах, которые машина умеет моментально собрать. Недавно Сбербанк рассказывал о том, что решение о принятии положительного или отрицательного ответа в получении кредита иногда занимает до 30 секунд. Если раньше это было от одного до трех дней, то сегодня машина это делает за считанные секунды.

Марьяна Торочешникова: Но это кажется нечестным даже по отношению к людям в этой ситуации…

Сергей Гребенников: А здесь сами люди должны решить, хотят ли они идти дальше в этом направлении, хотят ли жить в том мире, о котором нам рассказывали в фантастических фильмах десять лет назад, когда машины за нас делают очень многое, или не хотят. И вот это философский вопрос.

Сергей Крылов: Все сбалансировано. Есть плюсы, есть минусы, все зависит от вашего отношения и от того, кто использует данные. Во-первых, речь идет о том, что в 60-70-е годы было страшное слово «бюрократия», и чтобы получить какое-то маленькое разрешение, которое сегодня можно за 30 секунд получить, человек мог месяцами бегать за справками, собирать информацию, он должен был пересекать большие расстояния, для того чтобы это сделать, и это было невыносимо. Во-вторых, всегда существовал, и он никуда не делся, человеческий фактор. Есть такое понятие – предвзятость. Вот не нравишься ты мне, смотришь на меня не так…

Марьяна Торочешникова: Ну, в то же время есть и такое понятие, как эмпатия. Я вижу, что тебе не хватает денег, нравишься ты мне, и я выдам тебе кредит.

Сергей Крылов: Поэтому машина объективнее к ситуации подходит, она берет просто набор определенных параметров.

Марьяна Торочешникова: По персональным данным, оставленным вами в открытом доступе, специалист может не только воссоздать ваш социальный портрет, но и предсказать ваши дальнейшие действия. И если вы думаете, что это интересно только психопатам, то глубоко заблуждаетесь.

Артур Хачуян, основатель SocialDataHub: Есть теория, что о человеке можно по ста лайкам все рассказать, но я думаю, что даже, наверное, по пятидесяти. Потому что по контенту, который потребляет человек, с 99,5-процентной вероятностью можно сказать, кто он. Там мама потребляет один контент, полицейский – другой контент, школьники, врачи и так далее. А когда мы поняли, какой контент потребляет человек, какая у него модель поведения, можно с точностью до месяца, полгода, год понять, что человек купит. Например, у мужчины есть машина и только что родился ребенок, значит, ему надо предложить детское кресло. Или, например, женщина опубликовала фотографию о том, что она на шестом месяце беременности, значит, через три месяца она ребенка рождает, в течение года ей нужно предлагать товары для новорожденных, через год – для годовасика и так далее. Это популярная история, называется она – прогнозоционный маркетинг, который используется сейчас везде.

Здесь важна достоверность модели. У нас было такое публичное исследование, не для каких-то государственных товарищей, и задача была – предсказать количество людей, которые придут на митинг. Что мы сделали? Когда был 26 марта «Димон», мы до этого собирали людей, которые высказывали свое желание на этот митинг пойти – кто-то в группу подписался, кто-то сделал публикацию о том, что он пойдет, кто-то агитировал друзей. Затем, когда 26-го числа митинг был, мы собрали по открытым источникам, кто туда пошел, по фотографиям, по текстам и так далее, и сделали такую модель: человек говорил, что он пойдет, и по факту пошел он или не пошел. И на основании этой модели поведения то же самое сделали в июне, 12 июня. И у нас там плюс-минус пять тысяч человек, практически точно совпало количество. То есть были люди, которые писали, что хотят пойти, кто-то из них реально пошел, кто-то реально не пошел.

Марьяна Торочешникова: Кто еще и для чего собирает наши персональные данные сейчас? И насколько небезопасна ситуация, когда информации о нас в сети, как сказал Сергей, значительно больше, чем мы можем себе представить?

Сергей Крылов: Во-первых, информация собирается для того, чтобы изучать рынок. Используя определенные приложения, мы зачастую оставляем информацию: я побывал в ресторане, я побывал там-то, я пользуюсь такими-то банкоматами. То есть собирается объем информации по тем же банкам, где чаще всего люди находятся, и это определяет, например, ценность арендных площадей в будущем, потому что там есть трафик людей. Люди посещают определенные рестораны – значит, есть определенный интерес к местам, блюдам или маркам. Это та информация, которую заказывает практически любая компания, когда выходит на рынок, например, для того чтобы рекламу свою разместить, еще что-то.

Марьяна Торочешникова: И это все законно, это не нарушает никаким образом наши права?

Сергей Гребенников: Если данные обезличены, то это законно.

Сергей Крылов: Конечно! Когда мы получаем отчеты, конечно, там нет персональных данных. Но как их собрать? У нас есть механический способ: подходить к прохожим и говорить: «Где вы это делаете? Куда вы ходите?» – и это один вариант. Другой вариант – искусственный интеллект, который обрабатывает тот объем, который предоставляет сеть сегодня.

Марьяна Торочешникова: Это просто ускоряет процесс. Я хочу понять, где та грань, когда сбор и обработка переходят в сферу уголовного, например, преступления или нарушения гражданских прав.

Сергей Крылов: Самый распространенный случай – это вахта любая. Когда мы заходим на любое предприятие, нас просят предъявить паспорт и переписывают наши паспортные данные.

Марьяна Торочешникова: И в суде, кстати.

Сергей Крылов: Это государственный орган. Правоохранительные и судебные органы имеют на это право без вашего согласия. А вот вахтер, который работает в рамках закона об охранной деятельности, не имеет такого права.

Марьяна Торочешникова: Или консьержка.

Сергей Крылов: Да, и мы вообще не должны им ничего предоставлять. Вот это идет, действительно, незаконный сбор персональных данных, потому что человек имеет право не фиксировать, куда он заходит. И я, и остальные люди просто об этом никогда не заявляем, на это не реагируем, потому что у нас такой менталитет – мы обычно машем рукой и пускаем все не самотек.

Сергей Гребенников: Россия сегодня занимает второе место по утечке персональных данных, и, как правило, утечка персональных данных – это человеческий фактор, это не компьютер. Люди за это получают, а кто-то платит деньги за то, чтобы выносили флешку, отправляли почтой файл с персональными данными. Но, как правило, это заработок, заработок для одного человека, который украл персональные данные, по сути, нанеся значительный вред той компании, в которой он работает, потому что слил, например, конкуренту некую базу данных. Соответственно, те, кто платят, они тоже нарушают, потому что они нечестно пытаются вести свой бизнес. И в России уже больше 11 процентов таких вот случаев, которые происходят именно по человеческой вине.

Марьяна Торочешникова: Как воруют информацию с ваших мобильных телефонов? И сколько стоят ваши персональные данные? Об этом и других секретах рассказали нам сами хакеры, хотя они себя называют экспертами по безопасности.

Корреспондент: Зная только номер телефона, какую еще информацию о человеке вы можете получить?

wwwXyZ, эксперт по информационной безопасности: За две тысячи долларов можно купить устройство, которое перехватывает идентификатор сим-карты любого оператора. С помощью него можно прослушивать звонки, получать сообщения, определить месторасположение человека, заблокировать его номер.

Корреспондент: Возможно ли взломать не сим-карту, а сам телефон?

wwwXyZ, эксперт по информационной безопасности: Если у вас андроид версии 4.1, его можно взломать, отправив всего одно MMS, в него внедряют вредоносный код, который дает полный контроль над устройством. Залезть в айфон и брать с него данные можно благодаря уязвимости модема.

Корреспондент: Как происходит взлом почты или страницы в социальных сетях?

wwwXyZ, эксперт по информационной безопасности: Есть несколько основных методов. Способ нулевой – социальная инженерия, работает на 60 процентах всех юзеров. Идея заключается в обычной психологии человека. Представьте ситуацию: вам звонит или отправляет сообщение Павел Дуров, что, мол, из-за ошибки одного из серверов данные некоторых пользователей удались, просим сообщить пароль, а в качестве компенсации неудобств вам подарят пакет стикеров. Люди часто охотно сообщают все свои данные. Другой вариант: на почту приходит сообщение, вы его открываете, кликаете по картинке и попадаете на внешне такой же сайт почты, а на самом деле это подставной сайт, его можно сделать буквально за минуту. Следующий метод – «бротфорс»: обычно собирают какую-то информацию о человеке – дату рождения, любимый вид спорта, кличка животного, и создают небольшой словарь для так называемо «бута» – подбора паролей. Есть еще сникинг вай-фай сетей: хакер подключается к роутеру жертвы (слава настройщикам интернета, которые ставят по умолчанию пароль admin) и меняют настройки сервера так, что ему становится доступна вся информация.

Корреспондент: Обычно хакеры взламывают конкретную страницу? Или им важен не человек, а, скорее, набор характеристик его аккаунта, например, количество друзей?

wwwXyZ, эксперт по информационной безопасности:Зависит от целей. Если интересно накручивать лайки, количество подписчиков или спамить от имени этих аккаунтов, то абсолютно не важно, кого взламывать. В данном случае работают по принципу: что взломали, то взломали. Реже бывают заказы на определенного человека, когда хакеры работают на взлом именно его страницы.

Корреспондент: Как банковские данные человека получает кто-то еще, кроме самого банка?

wwwXyZ, эксперт по информационной безопасности: В большинстве случаев это вредоносные приложения на компьютерах и мобильных устройствах или поддельные сайты. Еще часто практикуются прозвоны на тему: ваш ребенок задержан, нужно перевести десять тысяч на карточку. Или: это банк, ваша карта заблокирована, нужно проделать такие-то действия для разблокировки. И тому подобное. Или же с помощью приложения на телефоне, которое вы сами же устанавливают, воруют доступ к веб-банку или мобильному банку. Так через ваше же устройство могут отправить платеж, и доказать, что вы ничего не оплачивали, будет очень сложно. На поддельных сайтах могут под разными благовидными предлогами выманивать данные карточек. Например, вас просят поучаствовать в благотворительности или перевести небольшую сумму, вы вводите данные карты, и они попадают к хакерам. Сегодня часто похищают банковские данные благодаря бесконтактной оплате картой – используют специальные чипы, которые считывают всю информацию с карты.

Корреспондент: Российские хакеры, если смотреть на них изнутри тусовки, действительно так хорошо подготовлены, что влияют на ход президентских выборов в других странах и прочее? Насколько вообще реалистична эта информация?

wwwXyZ, эксперт по информационной безопасности: Сами хакеры ни на что не влияют, так как большинство заинтересовано лишь в деньгах. Они лишь инструмент, и результат зависит от того, куда этот инструмент приложить. Подготовка у российских хакеров вполне достойна, но на Западе сообщество гораздо больше. Просто там большинству талантливых людей есть чем заняться легально, куда приложить свои усилия и таланты, например, создание софта в области информационной безопасности, в России же с этим серьезные проблемы, отсюда и число людей, которые не знают, чем занять. Понятно, к чему это приводит в итоге.

Марьяна Торочешникова: «Файнэншл Таймс» несколько лет назад опубликовала на своем сайте калькулятор, позволяющий оценить условную стоимость ваших персональных данных. Если вы не миллионер, а рядовой клерк, к тому же холостой, маркетологи заплатят за вас около 20 центов. Впрочем, за эти годы расценки могли измениться.

Как часто люди, которые собирают и обрабатывают ваши персональные данные, потом пользуются ими не по назначению, продают вас буквально? Раньше была очень распространена история, когда после заключения контракта с оператором сотовой связи, на телефон сыпались смс рекламные из самых разных организаций. Вроде бы чуть позже прикрыли эту лавочку, можно было жаловаться, и операторы сотовой связи поняли, что так делать не надо.

Сергей Гребенников: Конечно, это все-таки была несколько другая история, когда сотовые операторы предоставляли такую услугу, как рекламная рассылка. Кто угодно мог прийти, купить определенный пул номеров, например, там 100 тысяч из абонентской базы, и сделать рассылку: «Приходи покупать пиццу в мое кафе». Потом это законодательно запретили, но, естественно, существует масса других уловок, которыми сейчас пользуются те, кто собирает и обрабатывает персональные данные. Конечно, когда пользователь в интернете оставляет свои персональные данные, он не задумывается о том, что это может привести к какой-то беде. Потому что меня же во ВКонтакте спросили мою фамилию, имя, отчество, телефон, и я оставил, наверное, им это зачем-то нужно. Ну, и мне вроде бы удобно – меня Сергея можно найти, вы меня можете найти, все прекрасно. Но потом, когда случается какая-то трагедия, моим телефоном воспользовались, мой аккаунт во ВКонтакте взломали и начали от моего имени что-то не очень приятное постить, то я хватаюсь за голову.

Марьяна Торочешникова: Это еще не самое страшное! А если начали деньги собирать?

Сергей Гребенников: Или начали деньги собирать. Вот как только человек сталкивается с такой проблемой, он осознает: да, где-то я совершил ошибку и оставил свои персональные данные. С другой стороны, есть компании недобросовестные, которые, собирая персональные данные, просто их перепродают. И вот здесь, конечно, нужно идти и вместе с отраслью обсуждать, что делать дальше.

Марьяна Торочешникова: А как вы это себе представляете? Вот я, обычный человек, мой аккаунт где-нибудь во ВКонтакте вскрыли. Кто послушает меня, если я приду и начну что-то с отраслью обсуждать?

Сергей Крылов: Это уже отдельный состав Уголовного кодекса, это уже совершенно другое.

Сергей Гребенников: Здесь-то как раз просто. Вот РОЦИТ, организация, которую я представляю, как раз занимается взаимодействием с пользователями, потому что, естественно, ни одного пользователя ни во ВКонтакте, ни в Яндексе никто слушать не будет. А когда мы собираем пул проблем и понимаем, что эта проблема стала часто повторяться, она превратилась в системную, тогда мы идем либо в эту компанию и пытаемся решить этот вопрос, либо идем в соответствующее ведомство, либо идем в Государственную Думу, для того чтобы этот вопрос решить.

Марьяна Торочешникова: А что делать физическому лицу, чье право на безопасность персональных данных было нарушено?

Сергей Крылов: Я отвечу на этот вопрос, просто хотел дополнить Сергея. Я тоже считаю, что тут палка о двух концах, но все-таки, помимо того, что сами люди оставляют персональные данные, не задумываясь, не читая никакие документы, на самом деле, в большинстве случаев это проблема не только самого человека, но и государства в целом. Потому что человеку, выпуская в этот мир после школы и института, как правило, не прививают определенные навыки, что, прежде чем ты что-то делаешь, ты должен изучить то, чем ты будешь заниматься, соответственно, ты должен читать договоры, соглашения, инструкции какие-то. Этого нет с самого начала, и государство об этом, к сожалению, сегодня не позаботилось, и все, что нам декларируется, это только то, что мы должны жить честно. Но как это выглядит на практике, человек, выходя в жизнь, до сих пор не знает. Мы хватаемся за книжки и законы только тогда, когда право уже нарушено.

Марьяна Торочешникова: То есть в данном случае нет никакой цифровой гигиены, получается.

Сергей Крылов: Вообще нет! Ни правовой гигиены, ничего нет, финансовая у нас отсутствует полностью.

Марьяна Торочешникова: Но если это уже случилось, я наоставляла своих персональных данных, и меня вскрыли, начали рассылать сообщения моим друзьям: «Пришлите срочно денег…» – что делать?

Сергей Крылов: Если источник утечки персональных данных установить удалось…

Марьяна Торочешникова: А как его установить? И кто это должен делать? Куда писать? В администрацию социальной сети?

Сергей Крылов: Рассмотрим два варианта. Первый – удалось. Скажем, вы точно знаете, что это был магазин, там есть совместные какие-то акции, и эти акции вам сейчас присылают. Тогда вы направляете соответствующее заявление на прекращение обработки персональных данных, о запрете в ту организацию. Если все прекратилось, значит, вы достигли своей цели. Если этого не произошло или вы не можете установить источник распространении персональных данных, то вы можете обратиться с жалобой в Роскомнадзор. Роскомнадзор рассматривает данную жалобу, делает соответствующую проверку и может привлечь к ответственности то лицо, которое нарушило вашу безопасность.

Марьяна Торочешникова: А может не привлечь.

Сергей Крылов: Может дать отказ, и тогда вы можете его обжаловать. Даже если в центральном органе Роскомнадзора вам откажут, вы вправе обратиться в прокуратуру. Прокуратура уже свое расследование соответствующее проведет и может дать Роскомнадзору предписание сделать выездные проверки по ряду предприятий.

Марьяна Торочешникова: А в каком случае надо в полицию бежать? Или бессмысленно?

Сергей Крылов: У нас есть три вида ответственности. Гражданское законодательство, 150-я статья, защищает наше личное пространство, защита личной жизни. Соответственно, есть такое понятие, как моральный вред, и это гражданско-правовая ответственность, как правило, денежная компенсация. Человек обращается в суд…

Марьяна Торочешникова: Это когда вы точно знаете, с кого этот вред требовать.

Сергей Крылов: Вторая ответственность – по Трудовому законодательству, когда работники распространяют персональные данные, выносят флешки, базы данных и так далее. Есть административная ответственность как на юридических лиц, как на руководителей, так и на физических лиц, которые непосредственно это делают. И есть уголовная ответственность, и там огромные штрафы, вплоть до дисквалификации до двух лет, по-моему, занимать определенные должности. Если вы не знаете, так или иначе, если речь идет, скажем, об смс-сообщениях, всегда у нас есть номер, и этот номер всегда за кем-то закреплен. Поэтому фактически это и есть то лицо. Вы можете просто написать: «С данного номера мне приходит такая-то информация, что является нарушением…» – и так далее, вы описываете ситуацию. Роскомнадзор сам вычислит, кому принадлежит этот номер телефона, потому что у него есть все возможности доступа к такой информации. Это могут сделать и правоохранительные органы, точно так же и суд может запросить. Если это интернет, вам приходит с какой-то почтового ящика, и почтовый ящик тоже, как правило, регистрируется на кого-то, привязывается, как правило, по IP-адресу. Есть определенные технологии, которые в рамках, например, уголовных дел, я точно знаю, сто процентов находят, откуда это распространялось, потому что очень много показателей, привязанных к конкретному месту, и вычислить достаточно просто. Поэтому, если вы четко знаете, вы обращаетесь к конкретному человеку или конкретному юридическому лицу, если не знаете, то так и пишете в заявлении: «В отношении неустановленного лица…» Как правило, изначально все такие процедуры возбуждаются в отношении неустановленных лиц, а следствием уже устанавливается лицо.

Марьяна Торочешникова: Другой вопрос – насколько охотно следствие возьмется за расследование.

Сергей Крылов: Речь не о том, насколько охотно. Правоохранительная система обязана защищать нас, и вы подаете соответствующее заявление. Если вам отказали, вы можете обжаловать. Другой вопрос, что люди не до конца проходят определенные процедуры. Ему тут отказали, и он говорит: «Ну, мне тут отказали, и мне этого достаточно».

Марьяна Торочешникова: Что делать, если ваши данные попали в так называемый «черный интернет»?

Сергей Гребенников: На самом деле, в этом нет ничего такого, то есть Darknet и обычный интернет ничем принципиально не отличаются.

Марьяна Торочешникова: Ну, один проще регулировать, а другой сложнее.

Сергей Гребенников: Сегодня уже принят закон, который регулирует и запрещает использовать VPN для обхода тех или иных блокировок. И если VPN провайдеры не будут сотрудничать с Роскомнадзором и правоохранительными органами, то к ним будет запрещен доступ на территории Российской Федерации. Поэтому, естественно, «Тор» и подобные ресурсы используют в первую очередь для обхода каких-либо блокировок, но не для слива персональных данных. Через интернет пересылают персональные данные по защищенным каналам, но это никак нас не обезопасит от того, что в принципе слив откуда-то произошел. Нужно же искать источник, где наши персональные данные были собраны, и как они дальше начали попадать в различные источники. И здесь опять же есть другой правовой статус. Например, есть Мейл.ру, есть Амазон и другие компании, которые периодически сообщают о том, что произошла большая утечка персональных данных, и мы неоднократно об этом слышали. Куда эти персональные данные попадают? Скорее всего, к злоумышленникам, которые занимаются спам-рассылками либо подобными вещами. Что в этой ситуации делать и кто должен нести ответственность? Сейчас в стенах Госдумы обсуждается законопроект: если у компании произошла утечка персональных данных, у социальной сети какой-то, к примеру, и если социальная сеть, компания активно начинает взаимодействовать с правоохранительными органами и Роскомнадзором, то компания не привлекается к ответственности, потому что она оперативно сообщила о том, что существует такая-то проблема, проинформировала пользователей, проинформировала правоохранительные органы и оперативно начинает решать проблему.

Марьяна Торочешникова: А как в такой ситуации жить обычным людям? Им что, вернуться к аналоговым средствам связи?

Сергей Гребенников: Здесь, скорее, другая история должна быть поднята. Скорее, надо спросить: кому должны принадлежать персональные данные граждан РФ? Они должны принадлежать лично мне, как гражданину, то есть это мои персональные данные, государству, компании, другим частным лицам, правоохранительным органам, кому? Сейчас, например, персональные данные по сути никому не принадлежат, и это как раз дискуссионный вопрос, который поднимается на очень высоком уровне в нашей стране. Естественно, хочется сказать, что они принадлежат государству, потому что государство нас должно защищать и так далее. Но тогда получается, что государство обладает этими всеми персональными данными и что дальше?

Марьяна Торочешникова: Оно ведь может против нас же их и использовать, если вдруг мы станем неугодны этому государству в лице действующей власти, например.

Сергей Крылов: В принципе, ничего не изменилось. Речь о том, что раньше мы это вручную делали, и это скапливалось в бумажных носителях, и сейчас это делается через интернет-систему, и это просто быстрее складируется в каких-то файлах на серверах.

Марьяна Торочешникова: И к этому доступ проще.

Сергей Крылов: И раньше доступ был.

Марьяна Торочешникова: Когда существует глобальная сеть, достать данные при необходимом навыке и таланте значительно легче, чем если стоит какой-нибудь сейф, где в папках лежат бумаги, а ты находишься совсем в другом месте.

Сергей Крылов: Мне кажется, раньше сейфы взламывали намного быстрее, чем сейчас какие-то базы данных взламываются.

Сергей Гребенников: Марьяна говорит немножко о другом, что сегодня на флешке одной могут поместиться персональные данные всех 145 миллионов граждан России.

Марьяна Торочешникова: В том числе и об этом, да.

Сергей Крылов: Мы говорим об объеме и форме подачи, но суть, на самом деле, не изменилась, и как было раньше, так оно и остается, как могли заинтересованные лица это сделать, так и осталось, на самом деле.

Марьяна Торочешникова: Я не хочу на такой безнадежной ноте заканчивать этот разговор! Что нужно сделать человеку сейчас, чтобы максимально защитить себя и свои персональные данные от нежелательного использования?

Сергей Гребенников: В первую очередь, конечно, нужно повышать уровень своей цифровой грамотности. Если мы говорим про интернет, все-таки когда у нас в интернете просят нашу банковскую карту, просят ввести те или иные персональные данные, нужно внимательно относиться к тому, куда мы эти персональные данные вводим, понять прежде всего, а можно ли этому сайту доверять. Конечно, ответственность лежит в первую очередь на самом гражданине, на самом пользователе – внимательнее относиться к тем ресурсам, где вас просят оставить персональные данные.

Марьяна Торочешникова: А нужно ли превращаться в параноика и удаляться из всех социальных сетей, запрещать ставить теги на фотографиях, где присутствуете вы, не размещать нигде своих номеров телефонов и адресов электронной почты, в общем, скрыться в домике и ждать, что тогда никто вашими данными не воспользуется?

Сергей Гребенников: Нельзя! Этого ни в коем случае делать нельзя, потому что мы живем в современном мире, где интернет – это наша повседневная жизнь, в том числе. И если мы будем избегать интернета, тогда нам просто лучше не выходить на улицу. Есть определенные правила поведения на улице, и есть такие же правила поведения в сети, их нужно изучать, и их нужно транслировать абсолютно везде.

Сергей Крылов: Действительно, параноиком становиться не надо, хотя бы по той простой причине, что удаляй, не удаляй аккаунт, но информацию ты уже разместил, она уже осталась и где-то находится, уже сохранена. Поэтому это абсолютно бессмысленно. А задуматься надо над тем, стоит ли регистрироваться на всех сайтах подряд и оставлять свою информацию, стоит ли ради какой-то копеечной скидки в каждом магазине заполнять свои данные. Если уж вы приняли решение, что вам это нужно, прочтите соглашение об обработке данных, возьмите себе копию. И всегда знайте, что вы имеете право в любой момент отозвать свои данные, фиксируйте, где вы их оставляете. Если этого не делать, это просто халатное отношение к себе. И тогда, если что-то произойдет, знайте, вы своими руками сами все и сделали.

Оригинал выступления на сайте «Радио свободы»: Программа «Ничего личного»

© 2011-2017 ООО "Дельта консалтинг"
Все права защищены.