Privacy Day 2023: все ли данные мы уже потеряли?

27 января на конференции Privacy Day 2023 эксперты в области защиты персональных данных во время трека «Общество» обсудили вызовы, с которыми наша приватность столкнулась в 2022 году. Читайте ниже о том, как изменяются подходы в использовании и защите персональных данных (ПД) в годы критических событий (военных действий, санкций, пандемии, глобальных катастроф) и каковы здесь актуальные практики. Вы узнаете, что такое русский парадокс приватности, почему в Китае нет социального рейтинга, а в России фактически есть, а также сколько процентов местных властей в Великобритании мониторят соцсети пользователей.

Приватность во время военных действий и глобальных катастроф

Роман Нестер о русском парадоксе приватности

Куратор магистратуры «Коммуникации, основанные на данных» НИУ ВШЭ Роман Нестер поделился промежуточными выводами эксклюзивного исследования вуза на основе 40 интервью о том, как граждане относятся к сбору данных в интернете.

Главные выводы исследования следующие:

1. Приватность — не исключительно коммерческий или государственный вопрос. Тема политически заряжена для большинства людей. «Она интегрирована в политико-социальный контекст общества», — заявил Нестер.  

2. Вопросы слежки стали актуальнее. Раньше превалировал практический аспект: не важно, собирает сервис данные или нет, люди продолжали им пользоваться. Сейчас респонденты разных возрастов обращают внимание на то, собирают ли приложения данные о них, а также чаще используют Telegram, потому что он за ними «не следит». 

3. Приватность — термин скорее для экспертов, чем для пользователей. «Для большинства людей отсутствует понятие права использовать общие пространства без слежки», — говорит эксперт. 

4. Приватность vs безопасность.

«Интересно, что людей не так волнует, что кто-то узнает детали их частной жизни, как то, что их могут обмануть и обокрасть. Поэтому люди готовы к тому, чтобы данные защищало именно государство, несмотря на возможную слежку с его стороны», — рассказал Нестер.

Выступающий также отметил интересную деталь: в общественном дискурсе отсутствует защита граждан как категории, людям важно, чтобы их «не трогали» индивидуально, не вмешивали в политику, позволили заниматься своими делами. 

5. Люди хотят чтобы виновные в утечках были наказаны. Граждане одобряют то, что государство забирает контроль над данными у компаний себе: новые законы, выступают зеркалом запроса общества. Хотя часть людей доверяют компаниями и желают, чтобы те участвовали в регуляции.

«Одна респондентка, не будучи экспертом, сама того не зная, предложила в этих целях модель блокчейна, при которой государство не обладает полным контролем над данными», — рассказал эксперт.  

6. Русский парадокс приватности: с одной стороны, у людей богатое социальное воображение и запрос на уважение к их данным, с другой — выученная беспомощность, выражающаяся в невозможности защитить свои данные («они и так про нас всё собрали»).

«У людей есть запрос на прозрачные, сильные, независимые институты по защите персданных. У них есть интуитивное представление о справедливом устройстве приватности, в котором в равной степени представлены государство, общество и бизнес, у них есть гражданская субъектность», — заключил Нестер.  

👉 Почему «Роскомсвобода» защищает право на приватность?

Павел Чиков о том, что люди стали чувствительнее к утечкам

2022 года — рекордный по числу утечек, напомнил адвокат Павел Чиков. По его словам, во-первых, в большинстве случаев утечки — результат взломов, во-вторых, при этом взломов, произошедших на фоне «спецоперации»:

«Есть чёткий след, что это элемент кибервойны». 

Однако главное «качественное» изменение таково, что раньше данные чаще продавали, а теперь их стали именно публиковать. Кроме того, к ним делают удобные интерфейсы для пользования — веб-сайты, визуализированные в виде карты с возможностью поиска. 

👉 «Сетевые свободы»: 2022 год стал рекордным по количеству и объёму утечек

Утечки у «Яндекса» и СДЭК, по словам спикера, вызвали у общественности «взрыв мозга».

«Есть ощущение, что люди стали по-другому относиться к своим персональным данным. Публика говорит, что её стали беспокоить утечки, но при этом чёткого ответа на это от властей в реальности нет: ни больших штрафов, ни уголовных дел, ни компенсаций», — говорит эксперт и прогнозирует, что, если тренд сохранится, разрыв между общественным запросом и действиями государства продолжит расти.

Почему коллективные иски, когда к заявлению присоединяется много людей, не работают, вопрос, по словам спикера, открытый. Напомним, в ноябре Мосгорсуд подтвердил отказ районного суда допустить в дело ещё 728 заявителей (после первых 20), которые присоединялись к иску позднее. 

👉 «Роскомсвобода» и «Сетевые свободы» подали коллективный иск к «Яндекс.Еде»

«В кейсе с «Яндекс.Едой» был колоссальный спрос на защиту. Пять лет назад не поверил бы, что люди будут судиться из-за утечки персданных. Но московский суд сказал «нет», и это одно из больших препятствий со стороны государства в деле защиты индивидуальных прав. Государство не даёт возможность судиться в упрощённом режиме. Тогда мы решили, что хотите так, значит будут тысячи индивидуальных исков», — пояснил эксперт. 

Артём Козлюк о том, что при отсутствии работающих институтов надо работать на уровне низовых инициатив

Со стороны государства нет запроса на защиту персональных данных граждан, в отличие от самих граждан, продолжил тему общественных интересов руководитель «Роскомсвободы» Артём Козлюк. По его мнению, утечки — следствие отсутствия надлежащего контроля и независимых институтов. 

«Роскомсвобода» ещё три года назад выступала против масштабного применения камер наблюдения.

«Мы не против технологий, мы за мораторий, пока не будет общественного консенсуса по поводу их использования», — объясняет Козлюк.

Иначе в результате неправомерного применения технологии происходят: 

• сливы данных;

• неправомерный доступ к данным со стороны третьих лиц; 

• трансформация поведения.

👉 Кампания против распознавания лиц

«Проблема то не только не находит понимания у властей, но всё больше и больше развивается. Мы видим программу «Умный город» в Москве и Санкт-Петербурге, которую потом экстраполируют на всю страну», — считает Козлюк.

Он также напомнил, что аналитики из DLBI подсчитали, что за прошлый год могли утечь данные, эквивалентные информации о 75% России.

«Проблема зашла в каждый дом. Надо повышать грамотность, чтобы тезис «мне нечего» скрывать исчез из повестки. А общественные организации должны объяснять, что подвергая риску свои данные, подвергаешь риску и людей, с контактируешь», — убеждён эксперт.

👉 «Мне нечего скрывать», или зачем защищать персональные данные?

Таким образом, общественные организации должны проводить юридическую и просветительскую работу.

«Несмотря на текущую политическую ситуацию, мы всё ещё можем помогать пользователям защищать их права. К сожалению, общественным организациям заходить к государству очень-очень тяжело. Я, например, нахожусь в комитете по информационной политике, информационным технологиям и связи Госдумы, нам присылают готовящиеся законопроекты, мы аргументированно пишем на них отзывы, показываем все пробелы, но наше мнение оказывается на дальней полочке. Даже «спасибо» уже не пишут, хотя мнение ещё зачем-то спрашивают. Поэтому давайте работать снизу, давайте работать с людьми», — резюмировал спикер.

Иван Бегтин о трендах в области приватности и открытости данных

Директор АНО «Информационная культура» Иван Бегтин не согласился с тезисом, что просвещение сейчас может кому-то помочь.

«Государство действует против гражданских активистов не государственными, а военными методами. Сначала оно будет признавать их «иноагентами», потом нежелательными, а затем станет обвинять в госизмене тех, кто будет продвигать обсуждаемую повестку сильнее, чем государство сейчас это допускает. При этом степень допуска непонятна, ужесточения ежедневны, — заявил он. 

По словам эксперта, утечки — большой риск для пользователей. Но хакеры нападают на гражданские объекты, такие как «Яндекс», «Авито», «Почта России».  Поэтому государство  может использовать нарратив, что эти компании — жертвы, так что компенсации пользователям ждать не стоит.

Политика государства сейчас заключается в максимальной поддержке IT-сектора. Государство не только не снизило расходы на него, но, наоборот, увеличило, несмотря на все проблемы с экономикой.

«Бизнес IT-компаний не изменился. Даже те организации, у кого были контракты не по профильным темам, не пострадали. Почти все технологические компании приходят с утверждением, что при закручивании гаек мы, во-первых, не сможем импортозаместиться, во-вторых, просто уйдем из России. Те, кто могут, уходят, те, кто нет, грозят сворачиванием бизнеса. А государству крайне важно показывать, что будто ничего не происходит», — рассказал эксперт. 

Утечки приводят к усилению регулятора, а тот предельно циничен: если может воздействовать на бизнес в своих целях, он воздействует, продолжил Бегтин. Гражданское возмущение — способ влиять на бизнес. Кроме того, бизнес становится прогосударственным, поэтому государство станет вставать на сторону корпораций.

Таким образом, эксперт не видит, что что-то может измениться. «Впрочем, может быть, низовое движение поможет», — говорит он.

Из других проблем он отметил то, что страна идёт в сторону закрытости. Ранее Россия была одной из самых открытых стран (госконтракты, юрлица), сейчас всё переходит в плоскость пиара, например, бюджетные организации ведут соцсети и таким образом якобы демонстрируют открытость.  

👉 Открытые данные. Открытые кем, кому и почему

Другая проблема — игнорирование приватности компаниями. Анализ «Информационной культуры» мобильных приложений в RuStore ранее показал, что в RuStore для разработчиков нет обязательств по соблюдению приватности и практике раскрытия кода. 

👉 «Инфокультура» исследовала приватность мобильных приложений в RuStore

Ещё одна проблема — идея национального удостоверяющего центра.

«Это крайне опасная штука, поскольку позволяет подменять сертификаты незаметно для пользователей. Следует противодействовать ей во всех формах: не использовать на рабочих устройствах; купить отдельную машину, если придётся устанавливать сертификат. Иначе это приведет к контролю государства за конечными устройствами пользователей», — заключил эксперт.

Напомним, в ноябре 2022 года в Госдуму был внесён законопроект о создании информационной системы национального удостоверяющего центра. 

👉 Можно ли доверять национальным TLS-сертификатам?

Артур Хачуян о том, что компании борются не за приватность пользователей, а за свою монополию

Генеральный директор Tazeros Global Systems Артур Хачуян был краток. По его мнению, сейчас «спецоперация» проходит не только на поле сражений. Обилие информации создаёт мнимую информированность, потому что мы не можем проверить источники. 

Также он рассказал о том, что в последние три года Google поменял системы отслеживания в браузерах якобы для защиты пользователей (убрали сторонние трекеры, куки третьего поколения), но на самом деле — в целях сохранения своей монополии. 

«Когда стартап только заходит на рынок и не может использовать все фишки, которые были раньше, это печально».

 Другое дело, что пользователи от этого выигрывают. 

Нестер в ходе дискуссии отметил интересную деталь, что вопрос приватности во время панели даже не стоит, а обсуждается только вопрос безопасности:

«Про нас уже всё собрали, у нас нет права защитить себя. Мы можем бороться только за то, чтобы то, что собрали, поменьше терялось».

Бегтин, впрочем, не согласился и здесь. По его мнению, потери бывают разных уровней. Утеря с электронных почт, потеря медицинских данных, тотальная слежка по камерам видеонаблюдения — это всё разные вещи. «И третье пока ещё не достигнуто», — сказал он.

По окончании выступлений спикеры дали рекомендации по защите данных. К ним относятся:

• обучение;

• проактивная позиция граждан: писать жалобы, в т.ч. при необоснованном сборе данных;

• освещение в СМИ;

• обучение чиновников («Вы строите слежку против себя самих»).

👉 «Секьюрно: ваш персональный ассистент по безопасности»

Актуальные кейсы и новые практики

Ксения Бакина о мониторинге соцсетей со стороны государства и компаний

Специалист по правовым вопросам британской правозащитной организации Privacy International (PI) Ксения Бакина выступила с докладом на тему мониторинга социальных сетей со стороны государства и частных компаний. 

«Соцсети играют важную роль. Это то место, где люди формируют и высказывают свои идеи, выражают несогласие, разоблачают коррупцию и организуют акции протеста», — начала эксперт. 

В качестве примера она рассказала про полицию Великобритании, которая  часто использует соцсети для прогнозирования поведения людей и наблюдения за протестами. PI направила в полицию 250 запросов в соответствии с местным Законом о свободе информации в разные регионы. По итогам выяснилось, что

• 60% местных органов мониторят соцсети;

• мониторинг применяли не только для отслеживания протестных настроений, но и при выплатах пособий, и даже предоставлении услуг для детей;

• информацию использовали даже для обвинения в мошенничестве и отказе срочной помощи людям в условиях крайней нищеты;

• мониторинг проводился бесконтрольно;

• проверка эффективности мониторинга отсутствовала;

• у госорганов нет инструментов для аудита этого мониторинга;

• если у пользователей нет настроек конфиденциальности, данные собираются легко. 

«Но права человека не зависят от конфиденциальных настроек», — подчеркнула эксперт.

👉 Как удалить информацию о себе из соцсетей

Для того чтобы противодействовать произвольному мониторингу, PI вмешалась в дело Салмана Батт против Великобритании в ЕСПЧ. Это дело касается сбора персональных данных упомянутого человека и его объявления экстремистом. Информация о нём была получена из разных источников, в том числе из Facebook и Twitter. 

PI утверждала, что

- мониторинг — серьёзное вмешательство в частную жизнь;

- использование соцсетей в подобных целях выходит за рамки ожиданий людей;

- мониторинг должен регулироваться предсказуемыми законами и содержать ряд строгих гарантий.

На данный момент дело ещё не рассмотрено в ЕСПЧ.

Другой кейс — деятельность Clearview AI, занимающейся сбором изображением лиц людей в интернете. В компании сообщали о базе в два млрд лиц из «Вконтакте» и базе в 10 млрд лиц по всему миру. Организация продаёт доступ к этим изображениям полиции и другим частным компаниям. 

«База данных в руках полиции позволяет группировать людей по разным признакам и открывать двери для дискриминационного отслеживания», — пояснила проблему Бакина.

27 мая 2021 года PI подала жалобы в органы по защите ПД во Франции и Великобритании. Она также помогла подать аналогичные жалобы  партнёрам в Италии, Греции и Австрии. 

В этих жалобах утверждалось о том, что для сбора нет оснований и такой сбор незаконен. В итоге в Италии, Греции и Франции компанию оштрафовали на 20 млн евро в каждой стране и приказали прекратить обработку. В Великобритании штраф составил  7,5 млн фунтов стерлингов. В Австрия решение ещё ожидается.

👉 Clearview AI предлагала полиции по всему миру бесплатно тестировать свою систему распознавания лиц

В марте Clearview AI предложила Украине технологии наблюдения. 

«Мы обеспокоены этим, потому что люди в Украине находятся в наиболее уязвимом положении. Предлагать использование противоречивых технологий в такой ситуации — совершенно безответственно», — заявила эксперт. 

По её словам, в контексте военных действий возможно, что, например, гражданских лиц могут принять за солдат, что приведёт к ужасным последствиям. Гарантий защиты персданных компания не даёт в принципе, во время военных действий они исчезают полностью.

«Мы призвали отозвать предложение, но нам не ответили. Для подобных компаний, конечно, ни одна человеческая трагедия не является запретной», — заключила Бакина.

Михаил Климарёв о Госуслугах как о системе социального рейтинга

Директор «Общества защиты интернета» Михаил Климарёв рассказал, что известный китайский социальный рейтинг был частной инициативой. Это была экспериментальная система, действие которой приостановили в 2020 году. 

А вот в России есть портал Госуслуг, которым, по словам главы Минцифры Максута Шадаева, ежемесячно пользуются 18 млн человек. Климарёв назвал сервис инструментом выявления информации о людях (штрафы, приводы в полицию и пр.) и инструментом влияния. 

Так, например, утекшая база данных сторонников Навального была обогащена данными с Госуслуг, и у людей по электронным почтам вычисляли места работы, рассказал эксперт.

Он добавил, что именно портал Госуслуг и является самой настоящей системой социального рейтинга.

«По любому признаку, который государство придумает, можно ранжировать людей и влиять на них», — заключил Климарёв. 

Алексей Мунтян о болевых точках в области защиты персданных

Эксперт по защите персональных данных и соучредитель Russian Privacy Professionals Association Алексей Мунтян обозначил «боли» в области защиты ПД в России. К ним относятся:

• необходимость для зарубежных компаний локализовать данные пользователей в России;

• обоюдное недоверие в вопросе трансграничной передачи данных;

• эмиграция IT-специалистов;

• прекращение работы иностранных консультантов в России, из-за чего страдает качество услуг;

• санкции при попытке использовать иностранные прайваси-сервисы;

• движение в сторону от европейской модели регулирования прайваси.

Но есть и хорошие новости. Несмотря на выход из Совета Европы (СЕ), эксперт не видит перспективы выхода из Конвенции о защите физических лиц при автоматизированной обработке персональных данных (её можно подписывать и странам, не являющимся участницами СЕ). 

«Мы по-прежнему остаемся в генеральной тенденции развитя защиты персданных», — говорит Мунтян.

При этом политический контекст, конечно, толкает власти на ориентацию на другие страны, в частности, на Китай.

👉 Не только в ЕСПЧ. Куда обращаться после выхода России из Совета Европы?

Предыдущий текст:

Privacy Day 2023: Прошлый год — год утечек. Что дальше?