Право на приватность: обсуждать цифровой профиль рано

«Информационная культура» запустила серию вебинаров о приватности данных; на первом участники дискуссии пытались понять, что может защитить в России право на частную жизнь.  

Участники первой дискуссии «Цифровой профиль россиянина: право на приватность» должны были обсудить принципы разработки платформы «Цифровой профиль», государственные супераппы и сервисы, созданные на основе личных данных граждан. Но вместо этого разговор у них получился о том, как в принципе защитить свою приватность России, где защищать её, в общем-то, и некому.

.

Специальный госорган, получение разрешения на передачу персональных данных и вознаграждение за неё или кодекс этики?

.

«В 2020 году приватность никому не нужна», — сразу с печального начал партнёр «Центра цифровых прав» и руководитель юридической практики «РосКомСвободы» Саркис Дарбинян. Бизнес не заинтересован в ней, потому что для него она представляет дополнительные проблемы, государство не обладает для этого нужными институтами, а пользователи считают, что пусть за ними следят, им скрывать нечего. Видимо, и свобода слова им не нужна, раз они ничего не опасаются, заметил Дарбинян. И поскольку приватность никому не нужна, ни в чьей повестке, в том числе политической, она не представлена.

Цифровой профиль, биометрическая система — всё это пугает увеличивающейся централизацией сбора данных. «Это кощунственно для прав человека», — считает юрист. В мировой практике пользователи знают, какие данные о них собираются, кем и для чего – это и есть настоящий контроль над своими данными.

В России этого нет, и чтобы появилось, необходимо создать институт защиты приватности и в рамках него — независимый орган по защите приватности.

Пока его нет, разговаривать о цифровом профиле бессмысленно, настаивает правозащитник.

Создание института не поможет, скептически отнеслась к этой идее директор компании «Датамания» Светлана Белова. Институт — всегда объект чьего-то интереса. «Мы создаём институт, потому что это кому-то выгодно». Поэтому он не решит проблему, кто-то просто заработает на нем денег.

Бизнес очень хочет торговать данными, конечно же, рассказала Белова. Но, по её мнению, можно делать это так, чтобы удовлетворить взаимные интересы компаний и пользователей. Спикер рассказала о схеме компромиссного легального предоставления персональных данных, к которой пришла её компания. Заключается она в следующем: компания, желая передать данные своего клиента третьему лицу, каждый раз запрашивает у пользователя разрешение на это. Запрос приходит в специальное приложение, где можно посмотреть, кому и какие данные хотят передать. Человек может отказаться предоставлять свои данные, но в случае их передачи он получает вознаграждение.

«То, что ценно для бизнеса, может быть вознаграждено, — заключила Белова.

К слову, GDPR (Общий регламент по защите данных ЕС — прим. ред.) обязывает операторов данных создавать интерфейсы, с помощью которых пользователи могут выгрузить все метаданные о себе, собираемые провайдером. Такие гиганты, как Google, Facebook, Apple добросовестно сделали эти интерфейсы. Даже соцсеть «ВКонтакте», на которую в силу её работы в Европе распространяется GDPR, предоставляет подобную опцию.

Когда глобальные дата-корпорации (Google, Facebook, Apple) нарушают приватность больше, чем государство, государство может быть стратегическим союзником граждан в защите их прав, рассказал директор АНО «Информационная культура» Иван Бегтин. Но в России государство само стало нарушать приватность и извлекать из этого прибыль. «Рассчитываем на него как на проводника защищающей госполитики, а оно злоупотребляет». Из-за этого доверие государству крайне низкое, что проявляется в крайнем раздражении при внедрении таких приложений, как «Социальный мониторинг». Главный критерий внедрения технологий — уровень доверия к государству.

Однако положительные работы с данными всё же существуют. Например, введение кредитных историй похоже на работу с данными: банки собирают истории, фиксируют факты доступа к этим историям и т.д. Но если на рынке у нас есть выбор, к какой компании обратиться и какие данные отдавать, то при получении госуслуг — нет. Это значит, что государство получает монополию в работе с такими данными.

Ограничить монополию можно с помощью кодекса этики, считает Бегтин, то есть мягких, рекомендательных норм. Только после этого можно переходить к жёсткому законодательному регулированию.

Помимо этого также нужно ввести явное согласие на сбор данных, а государству отдельно ещё сформировать себе репутацию адекватного регулятора. Возможно, тогда доверия будет больше, а государство станет союзником как граждан, так и бизнеса. Первых оно будет защищать, для вторых создаст нормальные механизмы легализации бизнеса.

.

Реформа Роскомнадзора, институт уполномоченного по защите данных или инструменты для самостоятельной защиты?

Дальше в ходе завязавшейся дискуссии Белова предложила разделить данные на статистические и динамические данные, чтобы убрать из обсуждения путаницу. Статистические данные — это те данные, при помощи которых государство взаимодействует с гражданами, например, серия и номер паспорта, СНИЛС. Они и так есть у государства и могут дать некоторые блага цифровизации при регистрации на «Госуслугах». Динамические данные – информация про то, «кто я, где я, с кем я, что покупаю». С ними дело обстоит «хитрее», и хотя государство, по мнению Беловой, именно на них особо пока и не претендует, защищать их нужно сильнее.

Саркис Дарбинян скептически спросил, кто в России может их защищать. Светлана Белова ответила, что это должно делать государство, «была бы воля». Существуют различные технические решения, которые можно применять как для бизнеса, так и установить на пользовательских устройствах. Тогда Дарбинян предложил разделять технические решения (Data security) и кибербезопасность другого рода — Data privacy. Первую реализовать ещё можно, а вот по второй много вопросов: кто имеет авторизованный доступ данных, когда, на каких условиях? Кто контролирует госорганы? Белова считает, что на граждан можно вполне переложить часть ответственности.

У нас нет органа власти, защищающего права граждан, подключился к дискуссии Бегтин. В России есть силовой Роскомнадзор, в мире вообще этим занимается общество защиты прав потребителей.
Проблема утечек на втором месте, отметил он. На первом находится доступ к данным тех, кто имеет большие полномочия, но не несёт ответственности. Самый большой рынок данных — поиск информации по людям.

«Государство бездействием создает правовой нигилизм. Люди пользуются прозрачностью личной жизни других и начинают злоупотреблять».

Модератор дискуссии Василий Буров, соучредитель АНО «Информационная культура», задал вопрос, что же тогда делать. Светлана Белова считает, что самое главное — повышать грамотности населения и создавать инструменты самостоятельной защиты. «Нефть подешевела, но есть новая нефть — данные. Эти данные стоят безумных денег, и эти деньги кто-то получает. А как бы и пользователям получить, данные-то их? Нужно найти баланс интересов», — заявила Белова. По её мнению, в защите данных полагаться на государство не приходится, нужно рассчитывать только на себя.

Иван Бегтин снова обратился к мировой практике, которая на данный момент пришла к созданию национальных стратегий данных с акцентом на этику. Такой опыт имеют США, Великобритания, Австралия и немного, в области искусственного интеллекта, Германия. Бегтин повторил, что сначала нужно закрепить соответствующие нормы как рекомендации и только спустя время – в законах. Также, по его мнению, следует провести реформу защиты приватности. Роскомнадзор может сохранить функцию защитника безопасности, потому расформировывать его никто не будет. Но в идеале нужен отдельный уполномоченный по персональным данным — датакомиссар. Либо этим должен заниматься органы, защищающие права потребителей.

В контексте обсуждения независимого государственного органа Саркис Дарбинян добавил про три условия самостоятельности госоргана. Она определяется независимостью финансирования, сменяемостью руководства и независимостью назначения его главы (например, главу выбирает парламент, а не назначает правительство). В этих условиях у госоргана могут появиться соответствующие компетенции, которые позволят ему по-настоящему защищать права граждан. Пока в России такого нет, и в этого надо начать, прежде чем обсуждать цифровые профили, подытожил юрист.