В этом и заключается принципиальное отличие российского законодательства о персональных данных от европейского, рассказали эксперты на II ежегодной конференции, которая так и называлась: «Работа с персональными данными: новые правила безопасности в цифровом мире». В Европе компании, уличенные в противоправном использовании таких данных, рискуют заплатить многомиллиардные (в рублевом эквиваленте) штрафы. Но при этом законодательство, особенно действующий с начала прошлого года Генеральный регламент о защите персональных данных (GDPR), а также судебная практика во главу угла ставят права человека.
В России штрафуют на смехотворные по сравнению с этим суммы – до 75 тыс. рублей. Правда, в первом чтении уже приняты поправки в КоАП, по которым штрафы за нарушения требования хранить персональные данные россиян на территории РФ будут достигать аж 18 млн рублей. Но не факт, что законопроект дойдет до финала в таком виде – слишком уж не вяжется такая строгая санкция с другими аналогичными правонарушениями.
Но в целом государство уже взяло курс на создание баз данных своих граждан со всеми сведениями о них. Первая, под патронатом ФНС, должна заработать в ближайшие два-три года. А потом, глядишь, посчитают всех и вся. Вот только от спамеров с рекламными предложениями нам никак не отбиться, жалуйся не жалуйся – ответа не получишь. Потому что главная цель охраны персональных данных в России – безопасность и государственные интересы, а права человека, увы, вторичны.
Устрицы не предлагать
Кажется, совсем недавно мы и знать не знали о том, что такое персональные данные. И вот они уже превратились в некую «священную корову», «новую нефть» – big data, большие данные. В кафе при одном из американских университетов, например, студентам предлагают расплачиваться персональными данными за кофе. И разве так страшно соглашаться на «печеньки» (cookies) с различных платформ, которые потом, отследив наши предпочтения, услужливо предложат те товары, которые мы давно разыскиваем?
Люди поделились на две категории, говорит директор по связям с госорганами Baring Vostok Марина Амелина. Первые стараются оставлять о себе как можно меньше данных в Сети, блюдут свою анонимность. Вторые, наоборот, с удовольствием делятся информацией и наблюдают, как их обогащенные данные используются для улучшений сервисов. Последние, конечно, должны соблюдать законы и с пользователями заключать соглашения. «Платформа может обмениваться вашими обогащенными данными с букингом, сервисами доставки еды, как бы намекая: устрицы предлагать не нужно, вы любите окрошку, – говорит эксперт. – Но об этом нужно договориться, юридически зафиксировать».
Но и у тех, кто ратует за анонимность, есть на то резоны. Однажды в Америке зашел человек в «Макдоналдс». Настроение было у него плохое, день не задался, и он сорвался на беременную девушку-кассира – нагрубил, запустил стаканчиком. Эту сцену зафиксировала видеокамера, запись попала в интернет. Человека возненавидели, подвергли обструкции. Он потерял работу и долгое время не мог найти новую – куда бы он ни приходил, везде всплывала та история. Несчастный оказался в полной социальной изоляции и застрелился в собственной машине.
Конечно, не все утечки столь фатальны по своим последствиям. Но даже спамерам тоже никто не рад. А в России уже известны случаи взломов портала госуслуг, последствия которых могут причинить существенный материальный вред. Кража личности – больше не миф, а суровая реальность. Недавно «Профиль» подробно рассказывал о том, насколько массовыми стали утечки персональных данных и как ими могут воспользоваться мошенники. Техники и технологии киберпреступников разнообразны и постоянно совершенствуются. Специалистам по кибербезопасности приходится работать на опережение, но их старания не будут достаточно эффективными, если законодатели будут топтаться на месте.
Пока за нарушения правил хранения персональных данных россиян на территории РФ штрафуют всего на 5 тыс рублей. В скором времени эта сумма может измеряться в миллионах
Shutterstock / FotodomПерсональные хроники
История законотворчества в области защиты персональных данных берет свое начало ни много ни мало с Декларации «О правах человека» ООН 1948 года, рассказывает старший менеджер KPMG России и СНГ Кристина Боровикова. «Это один из первых документов в мире, которым были определены фундаментальные права человека, в том числе право на частную жизнь, тайну переписки, на свободу высказываний», – говорит она.
В 1953 году те же постулаты были закреплены в Европейской конвенции «О защите прав человека и основных свобод». Но само определение «персональных данных» родилось в период с 1968‑го по 1974 год, когда Совет Европы дорабатывал конвенцию и принял рекомендации по обеспечению неприкосновенности частной жизни, а также по развитию технологий и научных разработок. Также в 1973 и 1974 годах были выпущены резолюции и рекомендации по обеспечению обработки личных данных человека с использованием автоматизированных банков данных в частном и государственных секторах. В этих резолюциях были определены и права субъектов персональных данных.
Вся последующая эволюция законодательства была обусловлена тем, что страны Европы тесно общались между собой, обменивались информацией. Экономические связи крепли, а правила обращения с персональными данными у всех были разные. Нужно было все унифицировать. К выходу конвенции такие страны, как Германия, Великобритания и Франция, уже имели в конституциях формулировки, которые гарантируют тайну переписки и сохранность личной информации. Другие страны в период с 1968‑го по 1980‑й тоже начали дорабатывать локальное законодательство.
В 1980‑м Организация экономического сотрудничества и развития (ОЭСР) разработала рекомендации по обработке личных данных, а также передаче этой информации. Эти рекомендации легли в основу создания в 1981 году Конвенции «О защите физлиц при автоматизированной обработке персональных данных» (ETS‑108). Россия ратифицировала ее в 1998 году. Эта конвенция легла в основу российского федерального закона «О персональных данных» 2006 года. На основе этой конвенции был построен и GDPR.
В 1995 году была принята самая известная директива по обработке персональных данных. Она распространяется на Европейский союз и обязует страны ЕС дорабатывать свое законодательство с учетом требований директивы. Это был серьезный шаг к унификации законодательства. Затем в 2000‑м принципы обработки персональных данных закрепили в Хартии по правам человека ЕС. А в 2007‑м единое определение персональных данных для ЕС было принято Лиссабонским соглашением.
«Но им чего-то не хватало, – рассказывает Кристина Боровикова. – Законодательство в странах ЕС все равно было разрозненным. Где-то нужно было уведомлять контролирующие органы о занесении в специальный реестр (по аналогии с российским реестром организаторов распространения информации), а где-то – нет. В одних странах назначались ответственные за обработку данных, в других их не было. Тогда и случился GDPR».
Генеральный регламент вступил в силу в 2018 году и сразу ошарашил бизнес-сообщество: раньше таких колоссальных штрафов не было не только в европейских странах, но и вообще в мире, включая США. Вслед за GDPR обновили и конвенцию ETS‑108 Совета Европы, а это означало, что новые правила стали обязательными не только для Евросоюза, но почти для всего остального континента, включая Россию.
Удар по кошельку
Один из первых штрафов по GDPR в размере 400 тыс. евро получила больница в Португалии в начале прошлого года, рассказала директор по консалтингу InfoWatch Мария Воронова. Регулирующий орган посчитал, что к данным пациентов имело доступ большее число персонала, чем это было необходимо. А немецкий сайт знакомств Knuddles оштрафовали на 20 тыс. евро за то, что логины и пароли хранились в незашифрованном виде. Датская компания-перевозчик Taxa 4x35 была оштрафована на 160,8 тыс. евро за хранение в своих системах более 8 млн записей личной контактной информации, в том числе геолокацию, без правового основания – просто так, про запас.
«Штрафы по GDPR очень высокие, и бизнес реально за это наказывают, – говорит Кристина Боровикова. – Для российского бизнеса такие суммы – смерть». При этом суммы штрафов прямо пропорциональны нанесенному ущербу. В сети отелей Marriott, например, из-за утечки данных пострадали гости из 31 страны, некоторым пришлось менять паспорт. За это компании пришлось заплатить сумму, эквивалентную 7,8 млрд рублей.
Кроме утечек, поводом для штрафа могут стать жалобы субъектов персональных данных. «А они очень активно их пишут, – продолжает эксперт. – Недавно European Data Protection Board (контролирующий орган по GDPR) приводил статистику по росту количества жалоб – число выросло в среднем до 100 жалоб на одну компанию».
Испанская футбольная La Liga за свою хитрую слежку за пользователями была наказана на сумму, эквивалентную 17,8 млн рублей. Лига использовала мобильное приложение, которое во время трансляций матчей запускало запись и отслеживало болельщиков в барах. По геолокации компания могла проследить, какие из баров оплатили подписку на трансляцию, а какие – нет. Есть и другие примеры. Райффайзенбанк наказали за то, что тот передавал кредитные истории и личные данные клиентов по WhatsApp. Google оштрафовали в пересчете на рубли на 3,6 млрд только за то, что их политика по обработке персональных данных была недостаточно ясной.
При этом GDРR ориентирован на защиту прав человека, подчеркивает Мария Воронова. Поэтому в нем очень подробно расписаны категории персональных данных. В отличие от российского законодательства, например, в GDPR к ним относят cookies, IP-адреса, геолокацию, номер машины. Есть и специальная категория: расовая принадлежность, этническое происхождение, политические взгляды, состояние здоровья и т. д. «Даже ФИО супругов и их пол – тоже спецкатегория, – добавляет эксперт, – потому что по ним можно определить ориентацию человека».
Потому и приведенный в начале статьи случай с отправившимся на пляж прогульщиком для Европы – обычная практика. Мария Воронова привела еще несколько примечательных примеров. Человек получил взыскание за служебное нарушение, доказательством которого стала видеозапись этого проступка, сделанная его сослуживцем на мобильный телефон. Но в итоге за незаконную запись оштрафовали саму компанию.
Работница другой европейской компании потребовала удалить дату ее рождения и возраст из справочника сотрудников на портале компании. Женщина заявила, что уже немолода и опасается, что ее могут уволить по причине возраста. Даму из системы удалили. Многие компании в Европе используют биометрический вход в свой офис (по сетчатке глаза, например). Но можно отказаться от биометрического профилирования, и для таких сотрудников в компании организуют отдельный вход. При переходе из одного банка в другой можно потребовать удаления всех своих данных из первого банка, и это обязательно будет сделано.
«Если я не хочу, чтобы мои данные, даже обезличенные, использовались где-то для каких-то статистик, я могу реализовать это право в Европе, – продолжает эксперт. – В России нас даже никто об этом не спрашивает». Или вот еще пример. Телеком-оператор OTE был оштрафован на 400 тыс. евро за отправку рекламных рассылок без согласия пользователей и без возможности отписаться от рассылки. «Можете представить себе такую ситуацию у нас?» – задает вопрос Мария Воронова. Это утопия, уверена она, поскольку сама провела эксперимент: рассылала запросы (по всей форме, по действующим регламентам) по разным организациям с требованием уточнения ее данных в рамках закона «О персональных данных», писала отказы от их обработки. «Ни разу ответа не получила,– сообщила о результате эксперимента эксперт. – Пока это у нас не работает».
Русская вольница
Не стоит думать, однако, что российским компаниям европейские штрафы не грозят. Если у наших компаний есть свои филиалы в Европе, они тоже подпадают под действие GDPR. Как и онлайн-магазины с доставкой по ЕС, как и открытые для пользователей всего мира соцсети с хостингом в России, как и поставщики услуг (туркомпании, перевозчики). Таргетированный сбор cookie-файлов для рекламы и поведенческих моделей (если на сайте организации установлена, например, Яндекс Метрика или Google Analytics) даже для общедоступной обезличенной статистики тоже может стать объектом внимания контролирующих органов ЕС. Если у российской компании заключен договор с европейцами, то ответственность (и штраф) в случае нарушения обращения с персональными данными наступит на его основании. Если такого договора нет, то компании могут запретить деятельность в Европе.
Но в самой России с персональными данными «в определенном смысле полная вольница», признает Марина Амелина. «Государство до сих пор не определилось, кто же на самом деле коренной владелец данных», – говорит она. Например, уже сейчас есть миллионы датчиков, которые собирают данные об автомобилистах, их стиле вождения, предпочтениях, геолокации. Но никто не знает, куда передаются эти данные и как используются.
Конечно, ответственность за нарушение законодательства РФ в области персональных данных есть. Она предусмотрена статьей 13.11 КоАП. Только вот максимальная санкция за эти нарушения всего 75 тыс. рублей. Для большинства компаний это не деньги. При этом каждое третье дело по привлечению к ответственности заканчивается отказом по процессуальным основаниям – просто не успевают привлечь, отмечает ведущий юрист ФБК Legal Валентина Полякова. Срок привлечения к ответственности – три месяца. Роскомнадзор и суд в него часто не укладываются.
Еще хуже дела обстоят с нарушением правил о локализации персональных данных – обязанности хранить данные граждан РФ на территории РФ. Специальной статьи для этого нарушения нет, поэтому наказывают по ст. 19.7 КоАП («Непредставление сведений»), а максимальная санкция по ней и вовсе 5 тыс. рублей.
Проблема в том, что закон «О персональных данных» безнадежно устарел – в этом году ему стукнуло 13 лет. Закон даже толком не определяет, что такое персональные данные, и дает туманное объяснение, что это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». «Роскомнадзор буквально месяц назад признал, что email и номер телефона также являются персональными данными», – говорит Мария Воронова.
Изменения планируются, и весьма кардинальные. Так, Госдума приняла в первом чтении поправки в КоАП, добавив в ст. 13.11 еще два пункта о нарушениях требований о локализации персональных данных. Санкции приблизятся к европейским: юрлиц будут штрафовать на сумму от 2 млн до 6 млн рублей, а за повторное нарушение – от 6 млн до 18 млн рублей.
«Меры ответственности просто пугают, – говорит Валентина Полякова. – Непонятно, как будет определяться степень вины и размер наказания. Почему суммы такие большие? Для всех ли юрлиц и ИП они будут идентичными, как это коррелируется с их оборотами?». Правда, профильный думский комитет по законодательству тоже отметил: санкции слишком высоки и не соответствуют подходам, которые применяются в КоАП в аналогичных ситуациях. «Например, ответственность за разглашение в интернете сведений, содержащих гостайну, составляет от 100 тыс. до 1 млн», – добавила эксперт.
По идее, законодательство в области персональных данных в России должно развиваться симметрично GDPR. Поскольку конвенцию Совета Европы ETS‑108 в этой сфере уже поправили, а Россия ее подписала, то теперь очередь за ратификацией и внесением соответствующих изменений во внутреннее законодательство. Сейчас проект ратификации находится на стадии общественного обсуждения. «Но ходят слухи, что на этом этапе он и останется», – говорит Кристина Боровикова.
Россия пошла по пути огосударствления персональных данных, говорят эксперты. Это означает, что операторами баз данных россиян будет либо само государство, либо госкомпании
Антон Денисов / РИА НовостиПод недреманным оком государства
Если это так, то по какому пути пойдет Россия? Похоже, что он уже выбран: государство, по всей видимости, вознамерилось стать единоличным владельцем всех персональных данных россиян. Во всяком случае, именно такую версию обрисовал депутат Госдумы, заместитель председателя комитета по информационной политике и информационным технологиям Андрей Свинцов.
«Недавно мы приняли законопроект о создании единой базы населения на основе данных ЗАГСов, – сказал он. – Ее оператором будет ФНС. Наверное, по таким лекалам в целом пойдет развитие системы big data и защиты персональных данных». Таким образом, ФНС получит сведения не только о каждом гражданине, но и обо всех его ближайших родственниках. «Наверняка там будут еще агрегироваться взаимосвязи физлица, его окружения, юрлиц, бизнеса, налогов, доходов, расходов – всего, что важно для государства, чтобы высосать последнее из людей», – предполагает депутат. Пока в этой базе не будет, например, сведений о недвижимом имуществе или транспортных средствах.
Но это пока. Скорее всего, предполагает депутат, после того как в течение двух-трех лет эта база заработает, в ближайшие 10 лет будут созданы еще 5–10 аналогичных баз, операторами которых станут госорганы (Роскомнадзор, ФСБ) или госкомпании. «Весь остальной бизнес на контрактах будет получать тот объем данных, за который он заплатит», – рассуждает Андрей Свинцов. Ну а потом, лет через 20, появится и единая база.
И зря бизнес протестует и угрожает сворачиванием развития технологий, уверяет депутат. Технологии развиваются слишком быстро, государству за ними не поспеть все равно. И для него «обеспечение безопасности важнее, чем развитие того или иного сервиса, которое может привести к непредсказуемым последствиям».
Такими последствиями стали последние выборы в Мосгордуму, на которых проводился эксперимент с электронным голосованием, привел пример депутат. «Единая Россия» с треском пролетела, – напомнил Свинцов. – Точнее, как бы не участвовала. Но представители «как бы от этой партии» большинство в Думе чуть не потеряли. На это они пойти не могли, и пять округов они ночью «перерисовали» за счет электронного голосования».
Проблема в том, что проверить подлинность такого волеизъявления невозможно. Зашел человек в свой аккаунт на госуслугах, проголосовал, сигнал поступил в КОИБ (комплекс обработки избирательных бюллетеней), и тот распечатал бюллетень. «Но таким образом можно получить 100% за «Единую Россию», – рассуждал депутат. – Так и вышло. В этих пяти округах, в электронных КОИБах, рейтинг за «как бы «Единую Россию» 50–80%. На всех остальных участках 20–30%».
Может быть, «там не было чистого мошенничества», предполагает он: «Просто заранее собрали (в этих округах) свой ядерный электорат, раздали пароли, заставили пройти регистрацию через «личный кабинет» и за счет этого выиграли. Но это очередная технология, уловка». Проверить это нельзя – бюллетени обезличены. «Это технология, которая позволит правящей на момент выборов партии выигрывать всегда», – считает депутат.
«Ключевое в любой стране – политические процессы, экономические идут как следствие», – резюмировал Свинцов. Но все зависит от того, куда движется этот процесс. «В России на митингах телевизионщики снимают публику, запускают это в эфир, – приводит еще одно сравнение Мария Воронова. – В Европе любой намек на распознавание политических взглядов гражданина – это обработка спецкатегории персональных данных без его согласия. Там съемка митингов должна вестись либо удаленно, чтобы не было возможности идентифицировать лицо и опознать гражданина, либо фон с митингующими должен быть размытым».