В Беларуси нет полноценного закона о персональных данных. Это значит, что информация о вас (адрес, телефон, распорядок дня и любимые сайты) и вашем бизнесе может использоваться кем угодно, и для чего угодно. Почему это плохо, и как изменить ситуацию, мы рассуждаем вместе с экспертами.

Дело не в хакерах, а в цифровой идентичности

 

Об этом нам рассказывает Алексей Козлюк, сотрудник по исследованиям и правовым вопросам Центра правовой трансформации Lawtrend. По его словам, приватность и цифровая идентичность человека становятся очень важны. А использование новых технологий, киберпреступность и массовая слежка в интернете порождают новые вызовы.

«В интернете есть сотни мест, в которых мы оставляем данные о себе буквально каждый день – начиная социальными сетями, и заканчивая компаниями-авиаперевозчиками. При этом неочевидно, куда эти данные уходят и кому перепродаются, – рассказывает немного жуткие, но вполне реальные вещи Алексей.

Нам не нравится, если в реальной жизни за нами подсматривают в окно, роются в наших бумагах: почему же мы должны мириться с таким порядком в виртуальном пространстве.

Эти огромные массивы данных собираются и обрабатываются. Сведения о нашей личности, привычках, о поведении в дальнейшем могут быть использованы самым неожиданным образом. Вопрос защиты персональных данных – это вопрос не только и не столько технической защиты от краж и утечек, а понимание того, как происходит оборот персональных данных. Защита видится не запретом на использование, а правом человека понимать, как используются его персональные данные и контролировать эти процессы.

Этот вопрос стоит остро во всем мире, но Беларусь пока идет своим путем. По крайней мере, на законодательном уровне скорее закрывают глаза на проблему, чем активно ее решают. Наше законодательство не обеспечивает должный уровень защиты персональных данных, в нем даже нет единого определения этого понятия.

В Беларуси нет закона о персональных данных. Мы не подписали конвенцию Совета Европы о защите персональных данных. При том, что мы не входим в Совет Европы, эта конвенция открыта для подписания, и к ней важно присоединиться стране, которая хочет, чтобы персональные данные граждан пользовались одинаковой защитой во всем пространстве.

Что мешает принять важные законы

 

Оказывается, объективных препятствий этому нет. Все дело (как это бывает нередко) – в незаинтересованности и своего рода «интернет-халатности» общества – простых граждан, бизнеса, чиновников…

«В стране нет серьезной общественной дискуссии по этому поводу. Когда мы начали заниматься этой темой, организовывали ряд круглых столов и социологическое исследование, чтобы увидеть, каково понимание проблемы. И оказалось, что оно очень поверхностное – не только среди простых людей, но и среди бизнеса, чиновников, общественных организаций, – делится наболевшим Алексей Козлюк.

Дискуссии по этим вопросам вяло протекают в узких профессиональных кругах, но в этих дискуссиях практически не слышен голос бизнеса, государства, общественных организаций. Мы примерно представляем их позицию, но не видим активных действий с их стороны.

И это чревато опасными последствиями: государство, не видя четкой позиции по этому вопросу у других сторон, может начать действовать по стандартному белорусскому пути: запретить / разрешить. С учетом предыдущего опыта, можно утверждать, что это создаст только новые проблемы и неопределенности».

Как работать в «подвешенном» состоянии?

 

Что могут и чего не могут делать компании в отношении персональных данных граждан? Закон об информации, информатизации и защите информации говорит, что любое использование персональных данных может осуществляться с письменного разрешения лица, которому эти данные принадлежат. Используете данные без такого разрешения (согласия с условиями предоставления услуг)? Вы нарушаете закон!

Если начать добросовестно и повсеместно применять уже существующее законодательство, это парализует многие бизнесы – уверены эксперты.

Например, служба такси. Оператор спрашивает ваше имя, а адрес и телефон узнает из условий заказа. При следующем звонке оператор может сам назвать вас по имени и спросить «машину к дому?». Все это хранится в базе данных службы такси, хотя по законодательству компания не может хранить ваши данные без вашего письменного согласия. Скорее всего, когда вы садитесь в такси, вы не подписываете такой документ…

Сегодня бизнесу удобно не иметь вообще никакого законодательства о персональных данных, чем такое, каким оно порой бывает в Беларуси. В то же время, в таких условиях актуально саморегулирование – выстраивание единой корпоративной политики по отношению к персональным данным в различных секторах, – говорит Алексей Козлюк.

Впрочем, не все так плохо. Правовые отношения использования персональных данных все же регламентируются, хотя и не в полной мере.

Даниил Линчевский, специалист аналитического центра компании Software Security Systems – разработчика решений в области информационной безопасности и контроля персонала – рассказывает, какие документы регламентируют этот щекотливый вопрос:

«…Есть Указ Президента Республики Беларусь от 16.04.2013 N 196 «О некоторых мерах по совершенствованию защиты информации», содержащий нормы технической и криптографической защиты информации, обязательные для применения собственниками информационных систем, в которых обрабатывается служебная информация ограниченного распространения, информация о частной жизни физического лица и персональные данные.

Кроме того, 1 января 2014 г. был введен в действие технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY), а также вступил в силу приказ Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ) от 17 декабря 2013 г. № 94 «О перечне технических нормативных правовых актов, взаимосвязанных с техническим регламентом ТР 2013/027/BY».

По мнению Даниила Линчевского, рынок информационной безопасности в Беларуси находится на начальной стадии развития, однако уровень сознательности белорусского бизнеса в вопросах защиты от утечек данных растет, что влечет за собой внедрение специализированного ПО на предприятиях в ряде отраслей.

«По нашим данным как компании-разработчика DLP-решений, прежде всего, это банки и иные финансовые учреждения (более 60% всех организаций, использующих программное обеспечение для предотвращения утечек информации), транспортно-логистические компании и производственные предприятия»,  – говорит Даниил.

Точное количество белорусских компаний, использующих системы защиты данных, неизвестно. Согласно опросу, проведенному порталом dev.by, это порядка 25% от общего числа организаций. О безопасности по-настоящему беспокоится каждый четвертый бизнес.

Бывают ли на самом деле «кредиты без справок и поручителей»

 

В банке вам вряд ли предложат выгодный кредит на большую сумму, не поинтересовавшись вашей персоной. Как минимум это будет кредитная история, как максимум – поручители и справка о доходах. Обещают золотые горы и не просят никаких документов? Что-то здесь нечисто…

«На ваше удивленное «что, совсем не нужны никакие справки?!» в банке вам могут ответить «все нормально, мы вас уже проверили». Мы ведь знаем, кто работает в службах безопасности банков, и можем предполагать, какой доступ к государственным базам данных они имеют, – полагает Алексей Козлюк.

Ситуация остается неопределенной, и мы не может быть уверены в том, что государство защищает наши персональные данные должным образом. Выражение «пробить по базе» известно всем, и это – совершенно незаконная деятельность. Facebook в этом плане вызывает большие опасения, но еще большие опасения вызывают белорусские субъекты, которые могут нанести нам больший вред.

Например, теоретически, имея контакты в компании, предоставляющей услуги мобильной связи, вы можете узнать информацию о третьем лице: о его передвижении, об исходящих и входящих звонках. Остается только надеяться, что внутренние правила безопасности как-то регулируют эти вопросы.

При этом мы не говорим, что нужно полностью запретить оборот персональных данных. Нет, должны быть ясные для всех сторон правила. Должно быть прописано, что можно делать в этой сфере, а чего нельзя – и государству, и бизнесу. Мы находимся в окружении стран, где эти вопросы уже более-менее урегулированы».

Есть сведения, что закон о персональных данных все-таки будет разрабатываться и приниматься. Однако эксперты отмечают, что скрытность, с которой принимаются такие решения, вызывает опасения.

Вполне возможно, с этим документом мы ознакомимся уже после голосования в парламенте. В нем вряд ли будут учтены интересы всех сторон и последние тенденции в этой сфере. Единственным приемлемым вариантом разработки закона является вовлечение всех заинтересованных сторон и открытая общественная дискуссия.

«Болевые» точки информационной уязвимости и потенциальный ущерб

 

«Наши исследования показывают, что, несмотря на поверхностное понимание вопросов защиты персональных данных, граждане все же считают сферу приватности важным объектом защиты. Компании в этом вопросе выступают в роли субъектов, которые обрабатывают, хранят и используют персональные данные. И в этом смысле у них совершенно другие интересы, чем у простых людей. Для них дополнительные системы защиты персональных данных – это дополнительные расходы. Но при этом, если у вас будет выбор воспользоваться услугой компаний, которая ответственно относится к хранению ваших персональных данных и компанией, которая вообще не задумывается об этом, то при прочих равных вы выберете первую. Это становится конкурентным преимуществом, – рассуждает Алексей Козлюк.

По-другому стоит вопрос экспорта услуг. Например, вы делаете IT-продукт для отечественного рынка, который будет работать с зарубежными клиентами.

В этом случае вам будет сложно объяснить зарубежным клиентам, что в Беларуси нет всеобъемлющего законодательства по персональным данным, как и четкой обязанности эти данные защищать. Западные клиенты вряд ли поймут и одобрят такой подход, ведь вопросы приватности в западной культуре занимают важное место.

Гипотетически, если белорусские правила использования персональных данных будут признаны несоответствующими европейским принципам и той же конвенции Совета Европы, то может быть запрещен обмен персональными данными с компаниями из Беларуси.

На чем «спотыкаются» компании в деле защиты информации?

 

«В первую очередь основную угрозу компании несет отсутствие выстроенной системы информационной безопасности как таковой, что включает в себя целый ряд мероприятий: начиная с разработки корпоративной политики безопасности и заканчивая внедрением соответствующих программных решений, – рассказывает Даниил Линчевский.

Если говорить конкретно о наиболее уязвимых каналах передачи данных – по статистике, собранной нашим аналитическим центром, это популярные в бизнес-среде мессенджеры, USB-накопители, электронная почта, облачные хранилища данных и принтеры. При этом человеческий фактор в любом случае имеет первостепенное значение: будь то намеренное хищение данных или банальная невнимательность, когда конфиденциальные данные уходят не тому адресату».

По мнению эксперта, для бизнеса утечки данных грозят не только весомыми финансовыми убытками, но и практически невосстановимыми репутационными потерями.

Если «утекли» персональные данные клиентов – будьте уверены, что вас ожидает отток клиентской базы. Утечка и разглашение конфиденциальной корпоративной информации и вовсе может обернуться полным крахом бизнеса.

Социальные сети: сервис в обмен на приватность

 

Сайты, на которых мы общаемся и развлекаемся, тоже занимаются массовым сбором персональных данных. Мы платим за удобство и бесплатное использование сервисов частичной потерей контроля над своей цифровой приватностью: сведениями о нас, наших покупках, перемещениях, поиске. Все это используется для таргетирования рекламы, а персональные данные перепродаются, и это глобальный рынок.

«Например, популярные приложения для Facebook или Вконтакте предлагают узнать, кто ваша родственная душа и т.п. Они собирают все ваши контакты, статистику лайков и репостов, анализирует это и сообщает, что в прошлой жизни вы были, например, львом. Это очень забавно, но мы не задумываемся, как и где используются собранные приложением сведения, – комментирует Алексей Козлюк.

Полагаю, что Facebook как социально-ответственная сеть более-менее контролирует эти потоки, но гражданам в первую очередь нужно самим осознавать, где и что они рассказывают о себе.

Персональные данные без разрешения лица могут передаваться только после обезличивания. Тогда они уже не являются персональными данными. Это когда не говорят, что Иван Иванов путешествует самолетами определенной авиакомпании и столько-то раз в день заходит на Facebook, а сообщают статистические данные без возможности определить конкретное лицо.

В иных случаях у человека должна быть возможность понимать и контролировать распространение личных данных, в том числе через общие требования закона и пользовательские соглашения».

Фото: личный архив Алексея Козлюка, novagromada.com.ua, imanima.com, smci.com, hob-trendtalk.com, i1.manchestereveningnews.co.uk, ijnet.org, juslex.ru, funlib.ru

Bel.biz