«Любая сверхконцентрация чувствительных данных опасна»

В 2019 году в России может появиться портал, с помощью которого россияне смогут контролировать распространение своих персональных данных. Такое предложение содержится в проекте программы «Цифровая экономика», направленном Минкомсвязью в в правительство.

Предполагается, что создание ресурса решит проблему неконтролируемого сбора и дальнейшего использования персональных данных. В частности, по словам президента Фонда информационной демократии Ильи Массуха, на таком портале нужно будет фиксировать использование паспортных данных.

В результате пользователь, авторизовавшись, сможет увидеть, кто использует его персональные данные‚ и при желании запретить организации работать с ними. Как пишет газета «Известия», ссылаясь на копию проекта, которой она располагает, за ведение ресурса будет отвечать Роскомнадзор.

По мнению Ильи Массуха, для создания и работы такого портала потребуется ряд законодательных актов, в том числе такие, которые будут устанавливать ответственность компаний за невнесение необходимой информации. По мнению же Карена Казаряна, главного аналитика Российской ассоциации электронных коммуникаций, действующее законодательство уже позволяет создать такой портал, однако его создание может даже ухудшить защиту данных.

«В Европе этим занимаются независимые организации. У Роскомнадзора очень много обязанностей, у его представителей не всегда есть время заниматься персональными данными. Создание такого портала может ухудшить защиту персональных данных пользователей от утечек», – приводит газета его слова.

Опрошенные изданием эксперты считают, что с технической точки зрения создание портала не будет сложным, если использовать авторизацию сайта государственных услуг, и что такой проект вполне реально выполнить к 2019 году.

Прокомментировать ситуацию согласился Иван Бегтин, специалист в области работы с данными, директор АНО «Информационная культура», член Комитета гражданских инициатив. В беседе с «Полит.ру» он высказал мнение, что идея, стоящая за предложением создать подобный портал сама по себе неплоха.

«Сама идея, которая стоит за предложением создать такой портал, не настолько порочна, как может показаться. Она состоит в том, что государство создает один портал, через который человек не сам передает паспортные данные, а, если я верно понимаю концепцию, то компания – организация или государственное учреждение – сама запрашивает доступ к его данным, а оператор одобряет его. Это сопровождается фиксацией факта, что данные предоставлены; ну, и если я это верно понимаю, организации обязаны будут уведомлять портал и, тем самым, этого гражданина об использовании его данных. По крайней мере, если все будет сделано правильно, оно будет выглядеть примерно так.

Но у этого вопроса есть разные аспекты. Первый связан с тем, доверяем ли мы государству как хранителю подобных данных. В России имели место прецеденты с утечкой персональных данных: например, огромное количество баз данных до сих пор продаются на всяких Горбушках, на Савеловском рынке и так далее. И где гарантия, что аккаунты, которые там были зарегистрированы не окажутся в этой единой базе? Благо там будет собрано много персональных данных. А это нарушает принцип «не создавать баз данных на все», хранить информацию так, чтобы данные были «размазаны» по системам. Кто-то при нарушении этого принципа начинает получать преимущество – и это, видимо, Роскомнадзор.

С другой стороны, у нас есть пример правильного хранения данных – существует портал госуслуг, в котором уже зарегистрированы миллионы, и пока каких-то публичных утечек, больших или нет, мы не наблюдали. Ну, может, конечно, они происходили, но их быстро «гасили», либо же они были очень малоизвестны. Публично действительно ничего такого не случалось, и это уже отчасти обнадеживает.

Такой подход к объединению персональных данных – это примерно та же история, что и с единой авторизацией на портале госуслуг. Главный вопрос, который тут возникает, таков: а на хрена нужен подобный портал, если уже есть портал госуслуг и систему одобрения или неодобрения запроса на предоставление персональных данных было бы логично встроить туда? Потому что это сейчас – основной реестр персональных данных, не считая, пожалуй, реестров ФНС, Пенсионного фонда, ФОМС и ФСС.

Если говорить о моих личных опасениях, то я считаю, что любая сверхконцентрация чувствительных данных опасна, и наше государство – далеко не банковская система в смысле защищенности данных. Когда человек идет в банк и там подписывает кучу бумаг и сдает кучу своих данных, он, по крайней мере, уверен, что эти данные никуда не утекут. Я за все время вообще почти не видел утечек из банков – разве только из региональных филиалов, и то это довольно быстро гасилось. Дело в том, что у банков есть жесткая коммерческая мотивация на то, чтобы это никогда не происходило. Способно ли наше государство обеспечить такой уровень защиты, у меня есть сомнения, поэтому я не выступаю таким уж фанатом этой идеи. Это с одной стороны.

С другой стороны, появление такой базы данных даст новую возможность для давления на бизнес. Ведь персональные данные используют огромное количество компаний и организаций: туристические фирмы, все компании, которым отправляют данные для трудоустройства, и так далее. По сути, государство пытается сделать аналог того, что сделал когда-то Google для авторизации.

То есть, если вы авторизуетесь внешним приложением через систему Google или Facebook, вы даете некоторое количество данных внешнему приложению, передаете какую-то свою личную информацию ему под управление. И если здесь будет использоваться та же модель, то получится, что, по сути, государство начинает конкурировать с транснациональными корпорациями. Это тоже, надо сказать, вызывает некоторые вопросы. Способно ли оно на это, может ли оно бежать так же быстро и вообще является ли это государственной функцией, или же тут должна действовать некая третья доверенная сторона? Словом, почти все вопросы тут связаны с доверием.

А что касается возможности запретить использование своих данных... Ну, смотрите: предположим, вы дальнейшее использование запретили. Вы отправлялись в туристическую поездку, турфирма запросила ваши паспортные данные, вы одобрили их предоставление, турфирма их получила – и данные к ним вошли. Они их получили для чего-то – для оформления каких-то билетов или платежей. И в их внутренних системах информация о вас фактически фиксируется, пусть она и не в формате скана вашего паспорта, но она есть. И после того, как вы запретили этой фирме использовать ваши данные, вы не можете убедиться, что во внутренних системах она их тоже больше не использует.

В законодательстве есть некоторое противоречие по срокам хранения информации и по предоставлению ее. Например, когда люди селятся в гостиницу и при заезде в номер предъявляют паспорта, единым образом фиксируется. К этим данным имеют доступ миграционная служба, МВД – то есть, это один из инструментов отслеживания людей, контроля за их перемещением. И есть обязательства по долгосрочному хранению этой информации. И как все это будет регулироваться? В какой части эта новая единая система будет выполнять функции защиты прав граждан и в какой части она будет выполнять функции государственного мониторинга за каждым шагом, за деятельностью гражданина? Вот это интересно», – сказал Иван Бегтин.