Болтун — находка для big data
Болтун — находка для big data
Скандалы с кражей данных с гаджетов и облачных хранилищ происходят все чаще. При этом сталкиваются с такими проблемами не только известные и публичные люди, но и обычные граждане, в том числе несовершеннолетние. Можно ли как-то защититься от такой беды? И в какой степени нам помогают существующие законы? Об этом наш сегодняшний собеседник, заведующий кафедрой теории и истории государства и права СПбГУ Владислав Архипов, уже много лет изучающий правовые аспекты применения компьютерных технологий, знает все. Или почти все.
– Согласитесь, Владислав Владимирович, когда человек обнаруживает, что с его банковской карты неожиданно исчезли все деньги, первая реакция его – обвинить в этом неких злоумышленников...
– Реакция верная. Однако и самому заботиться о безопасности тоже нужно. Сплошь и рядом люди пока, что называется, не грянет гром, к компьютерной безопасности относятся весьма несерьезно. Я бы даже не сказал, что это неграмотность – скорее, отсутствие определенной пользовательской культуры в обществе в целом. Ведь есть общеизвестные базовые рекомендации: не использовать простые или одинаковые для нескольких сервисов пароли, один и тот же электронный адрес для регистрации, к примеру, в банках и соцсетях, или же не доверять незнакомым собеседникам, которые почему-то интересуются личной информацией.
Впрочем, жизнь показывает, что иногда жертвами утечки данных становятся люди опытные – например, когда им звонит хорошо знакомый человек и просит срочно совершить покупку на каком-то интернет-ресурсе, который он не проверил. В итоге можно попасть на фишинговый сайт, выманивающий разные данные, в том числе, к примеру, все необходимые реквизиты банковских карт или ключи от электронных кошельков.
Естественно, по-прежнему работает «социальная инженерия» – получение данных от жертвы путем ее психологической обработки. В этом случае злоумышленник владеет какой-то частью информации – например, знает возраст, фамилию, имя и отчество человека, а остальное добирает, позвонив ему от имени некоей хорошо известной и уважаемой структуры. В последнее время активно упоминают несколько известных банков. Многие, особенно пожилые, доверчиво выкладывают их «представителям» все «явки и пароли». Виноваты здесь, однозначно, мошенники. Но это не означает, что можно позволить себе потерять бдительность.
– Хорошо, но все-таки ту первичную информацию – фамилию, имя, отчество и факт наличия счета в определенном банке – злоумышленник откуда берет? Кто-то для него взламывает закрытые базы данных?
– Кража данных при помощи хакерских атак – дело сложное и дорогое. Такие случаи бывают, но лишь тогда, когда речь идет, скажем, о промышленном шпионаже. Информация же, которой пользуются мошенники, – это чаще всего результат «внутренней» утечки, которую организуют, как выражаются разведчики, «кроты». Иногда это сотрудники, обиженные на руководство – например, считающие себя несправедливо уволенными и успевающие на прощание «хлопнуть дверью». Не менее распространенная причина – откровенное разгильдяйство и пренебрежение требованиями безопасности со стороны администраторов сети. И это не только у нас, но и во всем мире. Недавно, например, в Бразилии база с данными о многочисленных заболевших коронавирусом просто оказалась в открытом доступе. Здесь уже никакой «крот» не нужен. Разумеется, есть и ведомства, и частные организации, где требования к безопасности стоят на первом месте, и любая утечка – это ЧП. Безопасность там обеспечивается, во-первых, мерами правовыми – принятием соответствующих локальных нормативных актов. Во-вторых, техническими – установкой специального программного обеспечения и оборудования.
В-третьих, организационными – обучением и постоянной тренировкой персонала.
Но в обычных, простых и «мирных» структурах, не связанных, к примеру, с особыми требованиями по защите информации или гостайной, люди часто рассуждают просто: зачем сильно напрягаться, если все равно за утечку строго не накажут?
– Неужели действительно так?
– Нет, в принципе ответственность, конечно, есть. В России существует закон № 152-ФЗ «О персональных данных», и за его нарушение в коммерческих или государственных структурах предусмотрено административное наказание. При этом с недавнего времени оно ужесточилось – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает девять, а максимальный штраф составляет до 75 тыс. рублей. Если же речь идет о нарушении требования о локализации, то штраф может достигать и 18 млн рублей. Но по сравнению с затратами, необходимыми для обеспечения информационной безопасности, это совсем немного.
Для сравнения могу привести европейское законодательство. C 25 мая 2018 года в ЕС применяется новый регламент защиты персональных данных – GDPR (the General Data Protection Regulation), который за нарушение правил обработки персональных данных в отдельных случаях предусматривает штраф до 20 миллионов евро или 4% от годового оборота фирмы. В прошлом году компания Google была оштрафована во Франции на 50 миллионов евро за недостаточно прозрачные условия пользовательского соглашения. У нас за схожие нарушения наказание вряд ли превысит 40 тысяч рублей.
– А как наш закон защищает рядового гражданина, чьи персональные данные, будучи украдены, используются, к примеру, для шантажа или дискредитации личности?
– Зависит от обстоятельств дела. Если речь не идет о нарушении права неприкосновенности частной жизни или тайны сообщений, то применяются общие положения об административной ответственности. Если же нарушена неприкосновенность частной жизни или тайны сообщений, то возможно уголовное наказание – можно получить до пяти лет лишения свободы. Таких дел уже десятки, хотя до реальных сроков доходит редко.
В гражданско-правовом порядке можно требовать компенсации морального вреда. Такая практика есть, хотя взысканные суммы и не очень большие. Если вопрос касается таких чувствительных данных, которые могут использоваться именно для вымогательства (например, какое-нибудь особенно личное и неприглядное видео), то речь может идти об ответственности уже за само вымогательство – в самых серьезных случаях предполагается лишение свободы вплоть до 15 лет.
Впрочем, создавая «опасный» цифровой контент, надо всегда помнить, что все тайное может стать явным. Лично я, например, ни на каких цифровых носителях подобные сведения о себе не создаю и не храню, да и в принципе не склонен к каким-то действиям, информация о которых может быть использована для шантажа.
– Говорят, что одна из известных поисковых систем следит за нами через веб-камеры наших компьютеров...
– Это вполне возможно. Более того, есть известный феномен – если вы о чем-то говорите при лежащем рядом включенном мобильном телефоне, то вскоре на него приходит контекстная реклама на тему вашего разговора. Правда, руководители компании, заподозренной в этом несанкционированном вторжении в частную жизнь, утверждают, что все делается автоматически, информацию фиксируют и обрабатывают роботы, и поэтому ни о каком воровстве персональных данных говорить нельзя. Думаю все же, что здесь может быть некое лукавство: человеку все равно, кто «интересуется» его жизнью, важно лишь то, что эти сведения потом используются для воздействия на него самого.
– Сбывается предсказание известного фантаста: Большой Брат следит за нами!
– Причем уже давно. Увы, к тому моменту, когда стало понятно, что Интернет – гигантский инструмент по управлению общественным сознанием и поведением, было уже поздно пытаться полностью брать его под контроль. Вряд ли это возможно даже в Китае с его подходом к ограничениям в Сети. Остается уповать на социальную ответственность интернет-компаний.
– Но ведь, согласитесь, при нынешней всеобщей повернутости на гаджетах люди порой сами выкладывают о себе в открытом доступе столько информации, что и воровать не надо!
– Да, это так. Фактически многие пишут досье на самих себя. В числе прочего давая наводки злоумышленникам. Выложили свои фото с экзотического курорта – ага, вас нет дома, квартира пуста. Рассказали о своей семье и невзначай назвали девичью фамилию матери, а это слово часто используется в качестве пароля при оформлении банковских карт.
Конечно, последствия «невинной болтовни» в Сети могут быть и не столь роковыми. Допустим, человек поделился с друзьями по чату своим домашним исполнением некоего музыкального произведения, а журналисты разместили этот сюжет на федеральных каналах и начали комментировать. Привлечение излишнего внимания к личной информации, которая вроде бы и не закрыта, но при этом не предназначалась для всеобщего обозрения, иногда вполне можно расценить как вторжение в частную жизнь. Но я очень сомневаюсь, что в ближайшем будущем удастся создать универсальный юридический инструмент, позволяющий наказывать за подобные действия. И еще вопрос – надо ли это делать, если пользователь сам не ограничил доступ к такой информации, даже если она предназначалась для небольшого круга друзей.
Думаю все же, что, скорее, сама интернет-среда сформирует некие нормы самоконтроля. Попросту говоря, прежде чем что-то выкладывать в Сеть, человек взвесит все возможные последствия этого. В конце концов стратегия поведения в Интернете станет такой же осознанной, как Правила дорожного движения. Я, например, имею свой печальный опыт: в первые годы пользования соцсетями пару раз по неосторожности подставился, став объектом необоснованных нападок. Теперь выхожу в Сеть сугубо для информационного общения, не вступаю ни в какие дискуссии и редко оставляю комментарии.
– Вы уверены, что это полностью оградит вас от негативных эмоций?
– Конечно, нет. При желании даже из сугубо официальной информации можно сделать некий «компромат». Есть, например, сайт, где студенты разных вузов весьма откровенно высказываются о своих преподавателях. Можно допустить, что для кого-то это обернется репутационным ущербом, у кого-то возникнут проблемы с работодателем. Но если высказывания студентов не носят откровенно оскорбительного характера и особо не нарушают закон каким-нибудь иным образом, наказать «обидчиков» будет очень сложно или же просто невозможно.
В Европе вопрос об ответственности за несанкционированное использование открытых данных о частной жизни активно обсуждается уже много лет. Практика ЕСПЧ говорит, что факт их общедоступности еще не дает кому-то права произвольно ими распоряжаться. Известно, например, громкое дело одной финской компании – она стала создавать базы данных, используя находящиеся в открытом доступе сведения о доходах физических лиц. Эти материалы сначала печатала в журнале, а потом стала продавать в электронном виде. Суд счел это неправомерным – хотя сведения как таковые в Финляндии и доступны каждому человеку, но привлечение к ним общественного внимания является покушением на частную жизнь.
– Регистрируясь на различных сервисах в соцсетях, мы, скажем так, уже не совсем добровольно вынуждены рассказывать что-то о себе. Покупая в онлайне билет в театр, человек должен сообщить свои имя, фамилию, адрес электронной почты, номер телефона и дать согласие на обработку его персональных данных. Тот же билет в кассе продадут без единого вопроса...
– Если речь идет о конкретной ситуации, то было бы правильно уточнить все обстоятельства и условия обработки. Допускаю, что если речь идет об «именных» билетах и мерах по борьбе с перепродажей билетов, в каких-то случаях это может быть допустимо. 19 декабря 2005 года Россия ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Там как раз и говорится о том, что обрабатываться должны только те данные, которые необходимы для цели обработки. Это положение конкретизировано в вышеупомянутом законе # 152-ФЗ. Однако приходится признать, что оно часто нарушается, и на уровне рядового пользователя противостоять этому очень трудно. Нужно скоординированное движение субъектов персональных данных в борьбе за свои права. Можно, например, обратиться в суд с иском по поводу понуждения к заключению договора. Но эти действия требуют достаточного упорства и больших затрат времени. А если вам нужно купить билет или что-нибудь другое именно сейчас, то вы уже ничего сделать не можете.
– А не прослеживается ли здесь широко применяемая сегодня технология big data, когда «цифровой профиль» человека автоматически составляется из всей информации, которая есть о нем в Сети – не только в соцсетях, но и, скажем, при безналичных расчетах?
– Да, похоже. По правде говоря, подобная деятельность не всегда соответствует той модели отношений, которая подразумевается в законе. Бывает, например, что отдельные операторы договариваются между собой, объединяют базы данных и используют их не в тех целях, для которых эти данные собирались. В недавнем годовом отчете одной из крупнейших мировых соцсетей было открыто заявлено, что главный риск для бизнес-модели этой компании – законодательство о персональных данных, и в первую очередь европейское. Неудивительно – все сервисы, которые для пользователей бесплатны, на самом деле дают огромный доход именно за счет миллионов их «досье». Эти гигантские базы данных покупают рекламные компании, которые ежеминутно и обрушивают на нас продукты своей деятельности.
– Но сплошь и рядом пользовательские соглашения, которые подписывает человек, регистрируясь на том или ином сервисе, предполагают еще и передачу персональных данных третьим лицам...
– Вот здесь и кроется неопределенность! Признаюсь, мнения расходятся, но мне кажется, что все третьи лица должны быть четко указаны, иначе ваши данные могут завтра быть использованы в любом контексте. Вы, к примеру, разместите на аватаре свой портрет, а с использованием популярной нынче технологии deep fake ваша голова окажется «пришита» к чужому телу, которое исполняет некие неприемлемые для вас действия. И доказать моральный ущерб вам будет очень сложно, если речь, конечно, не идет о явных нарушениях – например, вашем «присутствии» на порносайте.
– Подытожим сказанное. Отсутствие правовой культуры пользователей Интернета накладывается на крайне несовершенную правовую систему и «дикий» рынок, где единственная мораль – прибыль любой ценой.
– Оценки правовой системы и рынка могут быть различными, но проблема понятна. С одной стороны, у нас есть красивые общие принципы, которые очень хорошо выглядят на бумаге. С другой стороны, мы имеем цифровую индустрию, которая развивалась не только без законодательного регулирования – долгое время оно попросту отсутствовало, но и с уверенностью в том, что многие законодательные нормы не могут к ней применяться. И в этом убеждении интернет-сообщество пребывало где-то двадцать лет. Если говорить о системных изменениях, то только в начале 2000-х право стало понемногу проникать в эту сферу, а в России робкие попытки начались примерно в 2009-м. К тому моменту все интернет-компании сформировали свои экономические модели, в том числе в сфере обработки персональных данных. Сейчас идет мучительная притирка этих моделей к общечеловеческим понятиям. Мир коммерции «тестирует» наспех создаваемые правовые конструкции, нащупывая пределы возможного.
– Право всегда будет отставать?
– По определению – да. Для создания юридических инструментов требуются месяцы и даже годы, а Сеть требует сиюминутных решений. Думаю, будущее за созданием некоей модели управления своими правами в цифровой форме. Конечно, это потребует серьезного изменения информационной инфраструктуры и займет много времени. Если бы, допустим, в каждом гаджете было локальное приложение, которое позволяло бы отслеживать, куда ушли персональные данные его хозяина...
– И если бы он мог за каждый случай их несанкционированного использования привлечь виновника к ответу...
– Думаю, техническую часть этого процесса постепенно можно обеспечить. Интернет-сообщество просто должно дозреть до необходимости подобных изменений. А право подтянется.
3 декабря, в День юриста, в Петербурге состоялась церемония вручения премии «Юстиция», которая уже много лет присуждается Ассоциацией юристов России. Владислав Архипов был награжден в номинации «За успехи в юридической науке». Мы от души поздравляем нашего собеседника и желаем ему дальнейших успехов в его научной деятельности.
Комментарии