Privacy Day: как и от кого защищать персональные данные?

Как прошла первая в России практическая конференция, посвященная приватности в сети и защите персональных данных. Фото: Алексей Богатырь.
Как прошла первая в России практическая конференция, посвященная приватности в сети и защите персональных данных. Фото: Алексей Богатырь.

В Евро­пе и США День защи­ты дан­ных отме­ча­ют с 2007 года. Несмот­ря на то, что Рос­сия вхо­дит в Совет Евро­пы, эта дата у нас не закреп­ле­на в наци­о­наль­ном кален­да­ре – мно­гие о ней даже не слы­ша­ли. Веро­ят­но, пер­вым шагом к тому, что­бы испра­вить ситу­а­цию, ста­ла кон­фе­рен­ция Privacy Day 2019.

Кон­фе­рен­ция, посвя­щен­ная при­ват­но­сти в Сети и защи­те пер­со­наль­ных дан­ных, состо­я­лась 28 фев­ра­ля 2019 года в мос­ков­ском цен­тре «Бла­го­сфе­ра». В ней участ­во­ва­ли спе­ци­а­ли­сты круп­ных IT-кор­по­ра­ций, пред­ста­ви­те­ли вла­сти и экс­пер­ты пра­во­за­щит­ных орга­ни­за­ций.

Участ­ни­ки срав­ни­ва­ли поли­ти­ки раз­лич­ных стран по защи­те дан­ных, рас­суж­да­ли, этич­но ли обу­чать искус­ствен­ный интел­лект на пер­со­наль­ных дан­ных, а так­же раз­би­ра­ли успеш­ные кей­сы ком­па­ний по обра­бот­ке и хра­не­нию кон­фи­ден­ци­аль­ной инфор­ма­ции.

Саркис Дарбинян открывает конференцию Privacy Day. Фото: Алексей Богатырь.
Сар­кис Дар­би­нян откры­ва­ет кон­фе­рен­цию Privacy Day. Фото: Алек­сей Бога­тырь.

Кон­фе­рен­цию открыл адво­кат в сфе­ре кибер­пра­ва, руко­во­ди­тель Цен­тра циф­ро­вых прав Сар­кис Дар­би­нян. Он под­черк­нул: тема при­ват­но­сти каса­ет­ся всех и обсуж­да­ют ее дав­но. В 1890 году аме­ри­кан­ские юри­сты Сэмю­эл Уор­рен (Samuel Warren) и Луис Брэн­дис (Louis Brandeis) опуб­ли­ко­ва­ли ста­тью «Пра­во на Прай­ве­си», где упо­ми­на­ли пра­во чело­ве­ка «быть остав­лен­ным в оди­но­че­стве».

Про­дол­жил дис­кус­сию Нико­лай Дмит­рик, руко­во­ди­тель депар­та­мен­та пра­во­во­го регу­ли­ро­ва­ния циф­ро­вой эко­но­ми­ки Наци­о­наль­но­го цен­тра циф­ро­вой эко­но­ми­ки МГУ им. М.В. Ломо­но­со­ва. Ситу­а­цию с защи­той дан­ных он назвал мек­си­кан­ским тупи­ком: инте­ре­сы сто­рон вза­им­но эффек­тив­но огра­ни­чи­ва­ют друг дру­га. Пра­во­вые меха­низ­мы защи­ты дан­ных не рабо­та­ют, при этом сама защи­та дан­ных пре­вра­ща­ет­ся в кар­го-культ.

Николай Дмитрик: в России нет инструментов для защиты персональных данных. Фото:  Алексей Богатырь.
Нико­лай Дмит­рик: в Рос­сии нет инстру­мен­тов для защи­ты пер­со­наль­ных дан­ных. Фото: Алек­сей Бога­тырь.

Культ сло­жил­ся в Афри­ке, когда сол­да­ты достав­ля­ли в бед­ные реги­о­ны про­дук­ты само­ле­та­ми. Жите­ли обособ­лен­но­го кон­ти­нен­та бла­го­да­ри­ли за эти дары духов – ров­но до тех пор, пока Афри­ка не полу­чи­ла неза­ви­си­мость (гума­ни­тар­ная помощь пре­кра­ти­лась). Что­бы задоб­рить духов, они нача­ли вос­про­из­во­дить инфра­струк­ту­ру, с кото­рой были зна­ко­мы, как уме­ли. Так появи­лись самые при­ми­тив­ные соору­же­ния, бук­валь­но из соло­мы и палок.

Сей­час мы нахо­дим­ся в таком же поло­же­нии и вос­про­из­во­дим систе­му защи­ты дан­ных, огля­ды­ва­ясь на Евро­со­юз. Рос­сия с точ­ки зре­ния ЕС, конеч­но, не соот­вет­ству­ет меж­ду­на­род­но­му трен­ду: наши про­це­ду­ры «сде­ла­ны из соло­мы», уве­рен экс­перт.

Дмитрий Мариничев: в цифровом мире все подсчитано и известно заранее. Фото: Алексей Богатырь.
Дмит­рий Мари­ни­чев: в циф­ро­вом мире все под­счи­та­но и извест­но зара­нее. Фото: Алек­сей Бога­тырь.

О спо­соб­но­стях искус­ствен­но­го интел­лек­та рас­ска­зал Дмит­рий Мари­ни­чев, пред­при­ни­ма­тель, интер­нет-омбуд­смен, член экс­перт­но­го сове­та «Агент­ства стра­те­ги­че­ских ини­ци­а­тив» и гене­раль­но­го сове­та «Дело­вой Рос­сии». Он задал ауди­то­рии зада­чу: в бес­пи­лот­ном авто­мо­би­ле едет мать с дву­мя детьми, в это вре­мя на доро­ге появ­ля­ет­ся высо­ко­по­став­лен­ный уче­ный. Кто ока­жет­ся жерт­вой?

Еще по теме: Сар­кис Дар­би­нян: «циф­ро­вые репрес­сии уси­лят­ся»

Ответ напом­нил «Мат­ри­цу»: ока­за­лось, «лож­ки не суще­ству­ет». В циф­ро­вом мире все под­счи­та­но и извест­но зара­нее – кто идет и едет, с какой ско­ро­стью и по какой тра­ек­то­рии. Поэто­му такие ситу­а­ции, а зна­чит и жерт­вы, исклю­че­ны. Мы стал­ки­ва­ем­ся с подоб­ны­ми зада­ча­ми из-за неопыт­но­сти. Ситу­а­ция ста­нет про­ще, когда искус­ствен­ный интел­лект будет при­ме­нять­ся мас­со­во и не вызы­вать удив­ле­ния. Этот пере­ход, по мне­нию Дмит­рия Мари­ни­че­ва, ста­нет мини-рево­лю­ци­ей.

Иван Иваницкий: не стоит жертвовать приватностью и безопасностью ради удобства и комфорта. Фото: Алексей Богатырь.
Иван Ива­ниц­кий: не сто­ит жерт­во­вать при­ват­но­стью и без­опас­но­стью ради удоб­ства и ком­фор­та. Фото: Алек­сей Бога­тырь.

При­ват­ность на блок­чейне про­ком­мен­ти­ро­вал Иван Ива­ниц­кий, веду­щий ана­ли­тик ком­па­нии SmartDec, кото­рая зани­ма­ет­ся про­грамм­ным обес­пе­че­ни­ем и созда­ни­ем смарт-кон­трак­тов. На блок­чейне нет людей – есть толь­ко адре­са, никто не зна­ет, какой из них кому при­над­ле­жит. Так обес­пе­чи­ва­ет­ся ано­ним­ность. Но в то же вре­мя на блок­чейне созда­ет­ся пуб­лич­ное хра­ни­ли­ще дан­ных без воз­мож­но­сти моди­фи­ка­ции и уда­ле­ния дан­ных. В этом хра­ни­ли­ще могут ока­зать­ся адрес полу­ча­те­ля и отпра­ви­те­ля тран­зак­ции (от кого и кому идут день­ги), а так­же ее объ­ем.

Еще по теме: Как исполь­зо­вать тех­но­ло­гию блок­чейн для соци­аль­ных и обще­ствен­ных про­ек­тов

Таким обра­зом, нель­зя пола­гать­ся толь­ко на блок­чейн, желая защи­тить свои инте­ре­сы в кибер­про­стран­стве. Свое выступ­ле­ние спи­кер завер­шил цита­той Бен­джа­ми­на Фран­кли­на: «Те, кто готов пожерт­во­вать насущ­ной сво­бо­дой ради малой толи­ки вре­мен­ной без­опас­но­сти, не достой­ны ни сво­бо­ды, ни без­опас­но­сти». В циф­ро­вом мире это зву­чит как «не сто­ит жерт­во­вать при­ват­но­стью и без­опас­но­стью ради удоб­ства и ком­фор­та».

Мадина Касенова: в России сложилась ситуация правового нигилизма. Фото: Алексей Богатырь.
Мади­на Касе­но­ва: в Рос­сии сло­жи­лась ситу­а­ция пра­во­во­го ниги­лиз­ма. Фото: Алек­сей Бога­тырь.

Выступ­ле­ние экс­пер­та Инсти­ту­та иссле­до­ва­ний Интер­не­та Мади­ны Касе­но­вой было посвя­ще­но постро­е­нию систе­мы защи­ты дан­ных с помо­щью инсти­ту­тов пуб­лич­но­го и част­но­го пра­ва. Срав­нив опыт Евро­пы и Рос­сии в сфе­ре защи­ты инте­ре­сов поль­зо­ва­те­лей, она при­шла к выво­ду, что у нас сло­жи­лась ситу­а­ция пра­во­во­го ниги­лиз­ма, когда закон иска­жа­ет пра­во­вые реа­лии.

Един­ствен­ным успеш­ным кей­сом защи­ты прав экс­перт назва­ла дело «Ива­щен­ко про­тив Рос­сии». Страс­бург­ский суд при­су­дил ком­пен­са­цию €4,7 тыс. жур­на­ли­сту Юрию Ива­щен­ко, у кото­ро­го в 2009 году при воз­вра­ще­нии из Абха­зии тамо­жен­ни­ки ско­пи­ро­ва­ли и изу­чи­ли содер­жи­мое ком­пью­те­ра. Скла­ды­ва­ет­ся ситу­а­ция, выра­жен­ная про­стой фор­му­лой: дан­ные – это новая нефть, а кон­фи­ден­ци­аль­ность – это валю­та, кото­рой мы пла­тим за нее. Сохра­нить баланс меж­ду эти­ми поня­ти­я­ми при­зван Гене­раль­ный регла­мент о защи­те пер­со­наль­ных дан­ных (англ. General Data Protection Regulation, GDPR).

Это­му регла­мен­ту орга­ни­за­то­ры посвя­ти­ли целый блок выступ­ле­ний. Стар­ший юрист PricewaterhouseCoopers Артем Дмит­ри­ев рас­ска­зал, как дей­ству­ют пра­ви­ла GDPR в Рос­сии. По его сло­вам, регла­мент мож­но при­ме­нить пря­мо (дей­ству­ют нор­мы само­го регла­мен­та ) или кос­вен­но (через парт­не­ра-рези­ден­та ЕС).

Артем Дмитриев рассказал, как действуют правила GDPR в России. Фото: Алексей Богатырь.
Артем Дмит­ри­ев рас­ска­зал, как дей­ству­ют пра­ви­ла GDPR в Рос­сии. Фото: Алек­сей Бога­тырь.

Если GDPR при­ме­ним, то есть два пути: либо адап­ти­ро­вать ком­па­нию, либо локаль­но внед­рять соот­вет­ствие с GDPR в отдель­ных биз­нес-про­цес­сах ком­па­нии.

Еще по теме: Что рос­сий­ским фон­дам нуж­но знать про пра­ви­ла защи­ты пер­со­наль­ных дан­ных GDPR

В ком­мен­та­рии Теп­ли­це Артем Дмит­ри­ев рас­ска­зал, как быть в этой ситу­а­ции НКО: «Я реко­мен­дую занять пере­го­вор­ную пози­цию. Сна­ча­ла выяс­нить, какое отно­ше­ние сама орга­ни­за­ция име­ет к ЕС. Если она заре­ги­стри­ро­ва­на в Рос­сии и не име­ет отно­ше­ния к Евро­пе, речь о регла­мен­те не идет. Если это часть какой-либо круп­ной меж­ду­на­род­ной груп­пы, сто­ит начать с обсуж­де­ния внут­ри самой груп­пы. У Евро­пы фун­да­мен­таль­ный под­ход к GDPR, пред­по­ла­га­ет­ся, что его будут соблю­дать все. Часто пред­став­ле­ний о суще­ству­ю­щих реа­ли­ях в отдель­но взя­той стране у евро­пей­ских кол­лег нет. Поэто­му сна­ча­ла – пере­го­во­ры и толь­ко потом реше­ние: при­ме­нять регла­мент или нет. Если все же при­ме­нять, идти по одно­му из путей, опи­сан­ных выше».

Отдель­ной боль­шой темой ста­ла охра­на пер­со­наль­ных дан­ных, кото­рую деталь­но рас­смот­рел Сар­кис Дар­би­нян. Объ­ек­та­ми защи­ты могут стать:

  • доб­рое имя чело­ве­ка;
  • честь и досто­ин­ство чело­ве­ка;
  • дело­вая репу­та­ция чело­ве­ка или ком­па­нии;
  • изоб­ра­же­ние чело­ве­ка;
  • пер­со­наль­ные дан­ные;
  • част­ная жизнь;
  • кон­фи­ден­ци­аль­ная переписка/переговоры.

Рабо­та юри­стов начи­на­ет­ся с фик­са­ции пред­по­ла­га­е­мо­го нару­ше­ния. Спе­ци­а­ли­сты выяс­ня­ют, что пред­став­ля­ет собой веб-ресурс, на кото­ром рас­про­стра­ня­ет­ся поро­ча­щая инфор­ма­ция (соц­сеть, СМИ, тар­ге­ти­ро­ван­ный лен­динг), кто автор мате­ри­а­ла и вла­де­лец доме­на, на какую ауди­то­рию рас­счи­тан этот ресурс.

Далее нота­ри­ус состав­ля­ет про­то­кол осмот­ра сай­та, а линг­вист выно­сит заклю­че­ние (напри­мер, о поро­ча­щем доб­рое имя выска­зы­ва­нии). Так­же важ­но собрать принт­скри­ны и элек­трон­ные копии стра­ниц сай­тов с исполь­зо­ва­ни­ем Wayback Machine или Google Cache.

Экс­перт рас­ска­зал о наи­бо­лее рас­про­стра­нен­ных спо­со­бах обра­бот­ки пер­со­наль­ных дан­ных, нару­ша­ю­щих тре­бо­ва­ния зако­но­да­тель­ства. Это созда­ние фей­ко­во­го акка­ун­та от име­ни пуб­лич­ной лич­но­сти, а так­же исполь­зо­ва­ние фото пуб­лич­но­го лица в каче­стве оли­це­тво­ре­ния попу­ляр­но­го интер­нет-мема, не име­ю­ще­го отно­ше­ния к лич­но­сти «селеб­ри­ти».

Если в Евро­пе защи­ту пер­со­наль­ных дан­ных обес­пе­чи­ва­ет GDPR, то в Рос­сии подоб­ный зако­но­про­ект нахо­дит­ся на рас­смот­ре­нии. Пока самым близ­ким ана­ло­гом регла­мен­та мож­но счи­тать Феде­раль­ный закон РФ от 27 июля 2006 года № 152-ФЗ «О пер­со­наль­ных дан­ных» – он регу­ли­ру­ет дея­тель­ность по обра­бот­ке пер­со­наль­ных дан­ных. Так­же при нару­ше­ни­ях мож­но ссы­лать­ся на Кодекс Рос­сий­ской Феде­ра­ции об адми­ни­стра­тив­ных пра­во­на­ру­ше­ни­ях (КоАП).

– Мы не ожи­да­ли, что такое коли­че­ство людей заин­те­ре­су­ет тема при­ват­но­сти. Было око­ло 300 участ­ни­ков и более 20 спи­ке­ров. Это наш пилот­ный про­ект и пер­вый Privacy Day в Рос­сии, сей­час с уве­рен­но­стью мож­но ска­зать, что все про­шло хоро­шо, фид­бек поло­жи­тель­ный. Одной из самых инте­рес­ных тем ока­за­лась без­опас­ность дан­ных (data security), обшир­ную дис­кус­сию вызвал кейс осно­ва­те­ля и ком­мер­че­ско­го дирек­то­ра сети Jeffrey’s Coffee Алек­сея Миро­но­ва. В сле­ду­ю­щем году мы про­ве­дем Privacy Day вовре­мя: во всем мире его отме­ча­ют 28 янва­ря, – резю­ми­ро­вал Сар­кис Дар­би­нян.