alexandr_palkin (alexandr_palkin) wrote,
alexandr_palkin
alexandr_palkin

Category:

Дмитрий Журавлёв: Компромат без срока давности. Что не так со сбором персональных данных в России

«Приватность переходит в разряд благ, недоступных большинству»
Фото: depositphotos.com
Необезличенные персональные данные — это компромат без срока давности. Уже сейчас мошенники могут купить базу заказов из магазина товаров для взрослых и шантажировать покупателей. Новая инициатива властей с регистрацией в клубах и барах по QR-кодам — история из того же ряда. Кто и как собирает персональные данные россиян и можно ли спасти умирающую приватность?



Где и как собирают персональные данные


Что бы человек ни сделал: оформил загранпаспорт на «Госуслугах» или купил билет на сайте авиакомпании, поискал в «Яндексе» лекарство от насморка или носки на Wildberries — информация о нём попадёт в руки властей или маркетологов.
Клиентов просят делиться персональными данными, даже когда в этом нет нужды. Например, весной пользователи «Яндекс.Навигатора» заметили, что приложение просит VIN (идентификационный номер. — Прим. «Секрета») их автомобиля. Предлог — узнать, не отзывает ли производитель авто из-за каких-то неполадок.п

В офлайне не легче. Камеры на стенах домов следят за прохожими. Телефоны отчитываются о своём местоположении. Мобильные приложения собирают геокоординаты. Метро сохраняет станции, на которых зашёл и вышел каждый пассажир (через «Тройки», социальные карты и даже сами смартфоны).


В стратегии развития крупного бизнеса заложена big data («большие данные» — структурированные и неструктурированные данные, которые используют для конкретных целей и задач. — Прим. «Секрета»). Технология анализирует особенности поведения клиентов. Власти не отстают, выступая всё с новыми инициативами. Одна из громких — «пакет Яровой».


«Пакет Яровой» — два антитеррористических законопроекта, которые установили новые требования по регулированию Рунета. По нему сайты из реестра организаторов распространения информации, в том числе мессенджер Telegram, сервис знакомств Tinder, сайт «Хабр», соцсети «ВКонтакте» и «Одноклассники», обязаны собирать и предоставлять по запросу силовых ведомств личные данные пользователей, а также их переписку, аудио-, видео- и другие сообщения.



Раньше данные были разрознены: условный Ozon хранил информацию о покупках клиентов, Netflix — о любимых видео и сериалах, а Foursquare — о перемещениях. Каждая компания применяла только то, что сама собрала. Государственные ведомства тоже почти не обменивались информацией. Теперь же бизнес охотится за полными портретами клиентов и граждан, интегрируя данные из разных источников. Государство тоже консолидирует данные. Для этого 8 июня президент Владимир Путин одобрил введение Единого регистра данных о населении. Данных не обезличенных, а, наоборот, предельно личных. В законе говорится об идентификаторе — номере, по которому можно найти «совокупность сведений о человеке в государственном информационном ресурсе».

Этот номер будет навечно закреплён за гражданином. В регистр будут стекаться данные из разных ведомств: ФИО, даты рождения и смерти, сведения о семейном положении, поле, воинском учёте, регистрации в качестве ИП, постановке на учёт в качестве плательщика налога на профессиональный доход.


Всё это выглядит довольно апокалиптически: приватность переходит в разряд благ, недоступных большинству.



Чем полезен сбор персональных данных

Но так ли всё плохо? Ещё десять лет назад любое взаимодействие с органами власти было сродни пытке. Теперь, чтобы получить, например, загранпаспорт, нужно заполнить форму на «Госуслугах» и приехать за документом. Уже через несколько лет ведомства смогут обмениваться информацией за доли секунд и у граждан не будет нужды ходить по инстанциям.
Реклама станет не надоедливой, а полезной. Чем чаще лайкаешь посты и новости, реагируешь на специальные предложения, тем точнее подстраивается алгоритм. Поставщики начнут делать клиентам комплексные предложения. Например, человек купил билет в Сочи, а ему тут же приходит письмо: закажите трансфер из аэропорта у одной компании, забронируйте домик в Красной Поляне у другой, арендуйте лыжи или сноуборд в третьей. И всё это со скидкой.


Данные помогут бизнесу максимизировать прибыль. Компании будут лучше знать потребности клиентов и смогут предложить товары, спрос на которые не смогли бы раньше предсказать. Например, маркетплейс продаёт кружки с изображением зайца из «Ну, погоди!». Почему бы не предложить кружку родителю, чья дочь по три раза в неделю пересматривает этот мультфильм через стриминговый сервис.

Почему сбор данных в существующем формате — это опасно

Аксиома: любая база данных утечёт. Завтра или через три года, целиком или по кусочкам, но это обязательно случится. Вот чем опасен сбор персональных и необезличенных данных.

Уже сейчас меньше чем за 10 000 рублей можно узнать состояние банковских счетов любого клиента топ-банка. Всё это не в Даркнете, никакой Tor не нужен. Плату за услугу принимают чуть ли не переводом с карты на карту (специалисты по информационной безопасности сходятся во мнении, что в России в 70% случаев утечка происходит по вине сотрудников. — Прим. «Секрета»).


Россиянин регистрируется как ИП, и на новоиспечённого предпринимателя тут же начинаются «телефонные атаки» из разных банков. Зачастую происходит это в режиме реального времени: прошла регистрация — через пару минут звонок. При этом сотрудники финансовых организаций знают, кто, когда и где оформил ИП.



В Даркнете пятидневный доступ к городской камере наружного наблюдения в Москве стоит 5000 рублей. За 10 000 рублей найдут нужного человека по системе распознавания лиц.

Фото: mos.ru, CC BY 4.0

Мошенники уже знают о людях гораздо больше, чем те готовы рассказать. Поэтому так эффективны мошеннические звонки из банков, в последние месяцы превратившиеся в России в настоящее бедствие. Преступник, выдавая себя за сотрудника банка, называет ФИО и паспортные данные жертвы. И люди верят, легко сообщая коды из СМС и пароли от онлайн-банка. И, как итог, теряют деньги.

Вслед за бизнесом и государством преступники учатся анализу, собирают и сопоставляют информацию из разных источников. При этом закон «О персональных данных» мошенников, естественно, не пугает. В работе с информацией у них даже преимущество перед частным бизнесом.

Например, после голосования о поправках к Конституции в Сеть попали паспорта проголосовавших онлайн граждан. Утекли только номера без ФИО — казалось бы, в чём ущерб. Но мошенники привязали эту базу к более полной. В итоге получили персональные данные людей, голосовавших через «Госуслуги». Теперь этим людям можно, например, разослать фальшивые имейлы от лица «Госуслуг». Соврать о выигрыше в государственную лотерею и попросить реквизиты карты для перевода.

С данными о перемещениях на такси и вовсе не нужно никакого изящества. Выясняешь маршруты состоятельного человека, садишься в засаду и выжидаешь. Лёгкие деньги.п

Инициатива властей с регистрацией в клубах и барах по QR-кодам может привести к похожим последствиям. Список посещённых заведений с указанием даты и времени — не те данные, которыми хочется делиться с неограниченным кругом лиц. Риски самые разнообразные: от разбоя до угроз и шантажа.

Единый регистр населения усугубит проблему — любой контакт с государством запомнят навсегда. Если хулиганил в школе, это может всплыть и в 70 лет. Причём любое потенциальное правонарушение предполагает доступ ко всей информации о человеке, включая всю личную переписку и звонки. Государство может делать с персональными данными ещё более интересные штуки. Вроде «социального рейтинга» в Китае: сходил не на ту демонстрацию — целый год не сможешь покупать билеты на поезд и самолёт, даже если событие прошло пять лет назад. Технологии уже есть, нужно только принципиальное решение их внедрить.


Массовое применение персональных данных убивает конкуренцию. Крупные компании, у которых больше клиентов и данных о каждом, эффективнее привлекают потребителей. Небольшим игрокам остаётся либо уйти с рынка, либо превратиться в низкомаржинальных поставщиков ресурсов. Нечто вроде того, что случилось с маленькими таксопарками после прихода «Яндекс.Такси», Uber и Gett.

Вдобавок персональные данные — ещё один рычаг давления на компании со стороны государства. На наших глазах разворачивается история с сервисом такси Wheely, который отказывается передавать властям данные о передвижении своих автомобилей — по сути, данные о передвижении пассажиров. Дошло до того, что суд приостановил работу сервиса.

Делиться с властями данными опасно и по коммерческим соображениям. Вернёмся к примеру с Wheely. Может получиться, что информацию о перемещениях автомобилей соберут и она утечёт. А потом конкурент сделает клиентам Wheely предложение на 10% дешевле. Передавать данные — это риск.

Как контролировать и ограничить сбор своих персональных данных

Плохая новость: у россиян нет шансов уследить за сбором личной информации. В этом главный парадокс закона «О персональных данных». Гражданин ни за что не узнает, какой информацией о нём и в каком объёме владеет государство и частный бизнес, а также кто этой информацией пользуется.

Да, согласно этому закону, гражданин может потребовать у компании удалить собственные персональные данные. Вот только для этого клиент должен помнить каждый кинотеатр, куда он покупал билеты онлайн, каждую доставку, где он заказывал пиццу. И даже после этого уведомление об удалении данных наверняка пришлют по электронной почте. Минимум один канал связи останется.

А некоторые персональные данные власти прямо запрещают удалять. Например, банки ни при каких обстоятельствах не сотрут сведения о транзакциях клиентов. На транзакции распространяется закон о противодействии террористической деятельности.

В таких условиях, чтобы надёжно контролировать собственные персональные данные, нужно быть очень особенным человеком:

  • не пользоваться банковскими картами;

  • переписываться только в зашифрованных мессенджерах (надеясь, что они действительно зашифрованные);

  • не говорить ничего хоть сколько-нибудь секретного или личного, если рядом лежит чей угодно телефон;

  • внимательно следить, доступ к каким данным запрашивают мобильные приложения, и отказывать тем, которые хотят слишком много. Например, те же координаты или контакты;

  • не вводить ничего на сайтах, в интернет-магазинах и сервисах;

  • воспользоваться «правом на забвение» в поисковиках. Например, форма запроса для «Яндекса» находится здесь. А вот форма Google. Такие же есть у Mail.ru и Bing.

Чтобы хоть как-то защитить личные данные, человеку придётся перестроить весь жизненный уклад. Но в любом случае останутся камеры, следящие за передвижениями, сигналы вышек мобильной связи, поездки на общественном транспорте и ещё много цифровых следов.п

Фото: mos.ru, CC BY 4.0, depositphotos.com

Что делать, чтобы «выжить» и подстроиться под мир, полный данных

С правовой точки зрения граждане России беспомощны — мы не имеем рычагов, чтобы влиять на законы о данных. У коммерческих же структур нет интереса биться за защиту персональных данных — заработать здесь не получится, для борьбы не хватает экономической силы.

В России есть правовые активисты, выступающие за приватность. Конкретные организации легко найти в интернете и при желании поддержать волонтёрством или деньгами. Но активисты — это почти всегда фанатики, которые мгновенно подпадают под влияние внешних сил.

Может быть, начать стоит с осознанности и малых дел. Почаще менять сим-карты и банки. Быть анонимным там, где возможно. Не ставить все мобильные приложения подряд. Не говорить лишнего в мессенджерах. Полностью свои данные такими способами не уберечь, но можно снизить хотя бы их объём, осевший в чужих базах.

Глобально же в России, да и в мире не хватает общественной дискуссии на тему защиты персональных данных. В той же истории с Wheely неплохо бы открыть разбирательство с общественным контролем, чтобы власти объясняли, на каком основании вмешиваются в частную жизнь граждан.



Секрет фирмы
Tags: Безопасность государства, Кибербезопасность, Цифровизация
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 1 comment