Privacy Day 2022: осознанно ли собираются данные в России?

Биометрия в школах: «Иллюзорный обмен свобод на безопасность»

Координатор юридической службы и член правления Общественного Движения «Родители Москвы» Вера Трошина во время секции «Биометрия и другие персональные данные в школах: в чем опасность единой базы данных о детях» выступила за право на традиционное очное образование.

«Мы не против технологий, но каждая технология должна иметь строго определенное место реализации и научное обоснование как минимум»,— заявила она.

По её мнению, «Московская электронная школа» (МЭШ), запущенная в 2018 году, — это «инструмент ограничения департаментом образования и администрациями школ прав учащихся на получение традиционного очного образования». Он собирает персональные данные (ПД) и формирует цифровой профиль в целях наполнения больших баз данных без информирования родителей о целях и о праве на отказ от сбора данных.

Трошина выделила несколько проблем, связанных с МЭШ.

1. МЭШ находится вне законных оснований. Для её внедрения необходимо постановление правительства в соответствии со ст. 20 закона «Об образовании». Его не было, рассказала Трошина, а на запросы о законных основаниях приходили отписки.

2. Никто не проводил анализ возможного вреда. Цифровые технологии должны быть законодательно ограничены исчерпывающим перечнем отдельных случаев их применения, считает Трошина: «Это чувствительная сфера. Воздействие должно было быть исследовано заранее». 

3. Родители, которые хотели отказаться «услуги», по факту сделать этого не смогли: обработка данных не прекращалась, только происходила она уже не в интересах субъекта ПД, а в интересах образовательного учреждения, в рамках выполнения госзаказа. Это нарушает постановление Минпросвещения, говорящем о том, что при отзыве согласия на сбор ПД этот сбор производиться не должен, рассказала спикер.

Всё это приводит к избыточному контролю и нарушению права на приватность. Оптимальный вариант, по мнению Трошиной, когда перечень случаев использования технологий должен быть законодательно ограничен, использование допустимо только в старших классах.

Юрист «Роскомсвободы» и Digital Rights Center Никита Истомин согласился, что происходит «иллюзорный обмен свобод на безопасность». По его словам, технологии умышленные преступления не остановят. Но тогда зачем эти технологии, задаётся он вопросом? По мнению эксперта, государство хочет стать супероператором ПД (видим это на примере Единой биометрической системы, которая стала государственной) и постепенно готовит для этого правовую почву, например, идя по пути разрешения сбора биометрии без согласия субъектов для противодействие терроризму.

«В России данные собираются на всякий случай — вдруг где пригодятся», — заявил он. 

Старший юрист, DPO компании Joom CIPP/E, CIPM, FIP, член правления RPPA Олег Блинов отметил, что закон о персональных данных в общем-то нормальный.

Проблема заключается в том, что работает он только в одну сторону. Например, на бизнес распространяется, а на государство — нет. Соответственно, как результат правоприменительной практики в стране не достаёт. И взяться ей неоткуда, потому что Роскомнадзор не является независимым органом. 

«Когда являешься частью вертикали, применять ограничения крайне сложно. Сама структура отношений не располагает к этому», — пояснил выступающий. 

По его словам, первый шаг на пути улучшения в этой области — повышение прав квалификации РКН и гарантии его независимости.

Член правления Лиги образования, соавтор программ развития руководителей образования в РАНХиГС Михаил Кушнир обозначил три подхода, которые используют в попытке разрешить сложившиеся противоречия эксперты. Это улучшение закона («здесь подкрутим»), его обновление («там изменим») или полная трансформация трансформация (принципиально иное отношение). Сам Кушнир придерживается третьего варианта.

«Закон о ПД принципиально неверен, — заявил он. — Защита данных строится в логике бумаги». Он пояснил: на бумаге данные собирать трудно, их надо соединять. Например, различные анализы крови кладут в одну папку. которую подписывают. Чаще всего её обозначают при помощи ФИО, фактически применяя идентификацию. Но идентификация не должна быть под защитой, считает Кушнир:

«Защищать нужно транзакции, чтобы не было утечек данных, а идентифицировать меня должно быть легко».

Закон нужно пересмотреть радикально, резюмировал он. 

«В 2004-2006 гг. о-очень старался протолкнуть независимый надзорный орган в рабочей группе Госдумы по подготовке закона о ПД, вот прям центральная тема у нас была, — написал в чате трансляции специалист по кибербезопасности Сергей Смирнов. — ​Специально доклад подготовил тогда с обзором уполномоченных органов по приватности и ПД в странах ЕС. Правительство доклад прочитало, похвалило и сделало по-своему». 

По его словам, у правительство изначально категоричен: уполномоченный орган по ПД должен быть только под контролем правительства

«Это у них принципиальная позиция, — согласился в том же чате глава юридической практики «Роскомсвободы» Саркис Дарбинян. — Поэтому и модернизированный протокол к 108 Конвенции никогда не ратифицируют. Наднациональный Роскомнадзор над Роскомнадзором недопустим».

Директор направления «Развитие человека на основе данных» в Университете 20.35 Андрей Комиссаров, пожалуй, единственный выступил за сбор данных, отметив, правда, что он должен быть осознанным. Эксперт привёл множество примеров, когда сбор данных и распознавание лиц могут быть полезны:

• при анализе психоэмоционального состояния учащихся (по лицу);

• отслеживания случаев травли;

• отслеживания вовлечённости в обучение (по эмоциональной окраске лица);

• отслеживания «когнитивной пассивности» — неуспеваемости учащихся.

По его словам, непонимание и неприятие использования технологий происходит из-за отсутствия прозрачности:

«Если бы родители понимали, что при сборе данных, например, снижается риск ребёнка заболеть, вряд ли бы они были против».

Но сбор данных должен быть осмысленным: если не понимаем, зачем собираем, собирать не надо, ещё раз подчеркнул он.

Модератор секции, директор АНО «Информационная культура» Иван Бегтин подвёл итоги. Он сделал вывод, что на секции прозвучало много опасений и критики Роскомнадзора, закона о ПД и правоприменения, а также сожалений о том, что между государством и субъектами ПД почти нет диалога, для родителей не ведётся разъяснительная работа.

«Нет понимания работы с персональными данными. Возможно, надо организовать процесс, чтобы это понимание стало возникать», — резюмировал он в конце панели.

Источник: «Благосфера»

Биометрия для бизнеса: «Форма европейская, содержание китайское»

На секции «Цена лица. Биометрическая идентификация в бизнес-процессах» модератор, соучредитель Russian Privacy Professionals Association Алексей Мунтян задал приглашённым экспертам вопрос — как современное регулирование биометрии отразится на бизнесе? 

Ведущий юрист «Роскомсвободы» Саркис Дарбинян считает, что пока оно оборачивается для предпринимателей проблемами. «Ещё два года назад мы говорили о грядущей государственной монополии. Если ПД — нефть для цифровой экономики, понятно, кто ею управляет, даже если декларируется, что она принадлежит народу». ФЗ-479, переводящий ЕБС в статус государственной, по словам юриста, поставил точку в этом вопросе. Однако помимо монополии есть и другие проблемы, в частности, белые пятна в законодательстве. Например, в связи с чем можно собирать биометрию? Или вот как применять противоречащие друг другу положения, когда, с одной стороны, по закону у граждан есть право отказаться от сдачи биометрии, но, с другой, банки без неё не могут выдать кредит?

Свободно работать с биометрией дадут единичным организациям, получившим аккредитацию в Минцифры, прогнозирует Дарбинян. Для остальных ЕБС — «добровольно-принудительная накачка биометрией».

Сфера биометрии — полностью зарегулирована, продолжил юрист. И хотя это может выглядеть не так уж плохо («Роскомсвобода» сама постоянно говорит, что распознавание — технология двойного назначения, с ней надо обращаться деликатно), хорошего в целом мало. В системе много изъянов. Так, непонятно, кто несёт ответственность за ошибки и неправильную работу системы — оператор фактически от неё освобожден.

«Основная проблема — отсутствие гарантий для бизнеса и граждан, которые должны стоять в центре процесса», — подытожил Дарбинян. 

Head of Legal & DPO в компании Double Data Екатерина Калугина отвечала на вопрос необходимости сбора данных сотрудников компаний. Эксперт предложила сначала определить, для чего нужен этот сбор. Возможно ли обойтись без него? «Очевидно, внедрение технологий должно сопровождаться оценкой воздействия на права субъектов». По её словам, люди без юридического образования не понимают всех последствий, которые может иметь неправильное использование технологий.

«Большая заслуга и Саркиса, и «Роскомсвободы», что такое юридическое объяснение даётся, и люди могут задуматься над последствиями», — заявила Калугина.

Главный эксперт-юрист ФГУП ГРЧЦ Роскомнадзора Денис Садовников рассказал, что обработка биометрии в России осуществляется «в серой зоне и явочным порядком». «У нас, как и в Европе, спецкатегории персональных данных нельзя обрабатывать, за исключением ряда случаев. Но эти исключения перечислены несистемно, «заплаточным способом», ad hoc», — пояснил он. 

Поэтому, по его мнению, работу с ПД нельзя признать соответствующей законным критериям, а именно: уважению существующих прав как таковых, наличию необходимости сбора и пропорциональности целей, признанных в демократическом обществе. 

Садовников напомнил, что существует три модели обработки ПД:

• европейская, с приоритетом прав человека, субъекта ПД;

• американская, позволяющая многое государству и бизнесу, но дающая и субъектам ПД многочисленные инструменты для самостоятельной защиты;

• китайская, при которой всё находится в руках государства и собирается для государства, но оно хотя бы защищает ПД если не от себя самого, то от других субъектов. 

В России же нет последовательности. Сейчас страна сделала шаг в сторону Китая, хотя до этого брала за образец право ЕС, говорит эксперт.

«Хорошо бы выбрать вариант. И лучше китайский, чем никакого», — заключил он.

С отсутствием последовательности в действиях госорганов согласился и Дарбинян. Он напомнил, что ООН и Совет Европы призывали ограничить распознавание лиц. И формально Россия прислушивается к рекомендациям в области сбора биометрии. Но начинка всё равно оказывается китайской.

«Получается, что подход Совета Европы — давать возможности бизнесу, при этом соблюдая права пользователей, у нас не работает», — посетовал юрист.

О  других событиях, связанных со слежкой и интернет-цензурой (блокировка Tor в России, шатдауны в Казахстане, скандалы с применением шпионского ПО), смотрите здесь. Оособое внимание обратите на интервью с представителями Tor. Оцените также и проекты Privacy Accelerator, питчинг которых также прошёл во время конференции.