гаджеты информбезопасность персональные данные технологии

28.5.2020

Инструменты цифровой слежки

Возможности электронного госконтроля над гражданами возросли в период пандемии

Тотальная информационная прозрачность становится реальностью. Госсервисы собирают все больше сведений о гражданах, в том числе биометрических, особенно это стало очевидным в период распространения коронавируса. Эксперты видят проблему не в объеме накопленных данных, а в отсутствии эффективного управления и контроля общества, что грозит утечками.

БЕЗОПАСНОСТЬ – В ЕФИР

В конце мая 2020 года Госдума приняла закон о создании единого федерального информационного регистра (ЕФИР), содержащего сведения обо всех россиянах.

Этот реестр – инструмент аккумулирования уже содержащихся в государственных информационных ресурсах сведений о населении. Идея объединения информации уже была реализована в той или иной степени на уровне баз данных миграционной службы и сайта госуслуг, констатировал в разговоре с RSpectr руководитель юридического департамента российского хостинг-провайдера и регистратора доменов REG.RU Павел Патрикеев. По его словам, подобные комплексные хранилища свойственны большинству развитых стран.

Эксперт REG.RU подчеркнул, что размещенные персональные данные (ПД) обезличат, а сам регистр будет вестись обособленно, правда, принципы такого учета пока не уточняются.

Проект поможет повысить качество госуправления за счет более эффективного взаимодействия разных инстанций, рассказал RSpectr директор по маркетингу Comindware Антон Ермаков.

Николай Чудаков, «Актион Право»:

– При обращении гражданина за какой-либо услугой не потребуется писать запросы в различные госорганы, чтобы они предоставили информацию из своих баз. Достаточно будет один раз обратиться к единому регистру и получить из него все необходимые данные.

Аналитик «СёрчИнформ» Алексей Парфентьев разъяснил RSpectr, что граждане смогут также обращаться с запросом на внесение изменений в персональную запись в ЕФИР. В последней редакции документа учтены претензии, которые предъявлялись к нему раньше, сообщил представитель «СёрчИнформ». По его словам, целостность и достоверность данных будет обеспечена усиленной цифровой подписью.

И все же эксперт считает, что

хранение большого объема сведений в одном месте серьезно увеличивает риски информационной безопасности (ИБ)

Антон Ермаков, директор по маркетингу Comindware:

– ЕФИР является отличной приманкой для желающих оценить свои силы в добыче труднодоступных данных. Ущерб, который может быть причинен в случае утечки такой базы, трудно оценить, поскольку содержащиеся в ней ПД открывают возможности для огромного количества мошеннических схем.

Алексей Парфентьев, «СёрчИнформ»:

– Во-первых, следует ждать хакерских атак. Во-вторых, только представьте, что к подробным данным о каждом гражданине имеет практически неограниченный доступ миллион госслужащих, тысячи госструктур и каждый человек в стране. Почему каждый человек? Потому что в законе не прописано разграничение прав на доступ в определенному виду информации. Как, к примеру, решить проблему: люди официально состоят в браке, но по каким-то причинам находятся в конфликте и не хотят, чтобы информация о них была доступна супругу? То же самое касается других подобных случаев, когда люди связаны юридически оформленными отношениями.

Это один момент. Второй касается ценности данных, собранных в ЕФИР. Каждая такая запись будет дорого стоить на «черном рынке». У большинства рядовых госслужащих весьма скромная зарплата, что усиливает соблазн воспользоваться служебным положением. А значит, неизбежны мошенничества, торговля данными и утечки информации.

Павел Патрикеев, REG.RU:

– Такая система должна быть тщательно проверена на соответствие требованиям ФСБ и ФСТЭК. Центр обработки данных будет обязан пройти все аттестационные и сертификационные испытания на соответствие требованиям к защите информации, содержащей ПД. При разработке инфраструктуры не должно использоваться иностранное оборудование. Только после этого можно будет говорить о минимизации каких-либо рисков для граждан.

А. Ермаков посетовал, что законопроект не прошел обсуждения, которое бы соответствовало его значению. По его словам, ответы на многие, вполне обоснованные, вопросы не прозвучали в публичной или экспертной дискуссии.

Эксперт Николай Замятин обратил внимание на разъяснения замглавы налоговой службы (оператора ЕФИР), который сообщил, что основу нового ресурса составят более 500 млн записей актов гражданского состояния и базы данных МВД.

Если в РФ 146 млн граждан, то на каждого гражданина в таком случае придется менее 3,5 единицы информации, посчитал он. Но обязательных данных: о рождении, о регистрации брака, о родственных связях, о регистрации по месту жительства, СНИЛС, ИНН, об образовании, о возможной судимости… как минимум восемь, задается вопросом Н. Замятин.

Представитель Comindware заключил, что время для корректировки закона, в том числе в части создания адекватных решений в области ИБ есть. Документ начинает действовать с 2022 года, некоторые нормы вступят в силу в 2025 году.

ФИКСАЦИЯ ЛИЦА – ДОКАЗАТЕЛЬСТВО ВИНЫ

Технология распознавания лиц (AFR*) в РФ уже активно используется, но это законодательно не урегулировано, сказал на профильной онлайн-конференции партнер Digital Rights Center Саркис Дарбинян. По его словам, действующий закон о ПД описывает обработку биометрических данных, но не дает фреймворка для того, чтобы правоохранительные органы применяли AFR. Это возможно только при наличии согласия субъекта в письменной форме. При этом пандемия не указана в числе исключений, которые предусматривает документ.

Несмотря на этот факт, системы видеоаналитики сыграли ключевую роль в борьбе с распространением коронавируса в России. Например:

– Росгвардия отслеживала находящихся вне дома людей с помощью беспилотников,

– ГИБДД испытывала сервис «Карантин» по поиску нарушителей самоизоляции и др.

Юристы полагают, что

фиксация лица стала доказательством вины, что является опасной тенденцией

Саркис Дарбинян, Digital Rights Center:

– В начале апреля утверждены поправки в Кодекс Москвы об административных правонарушениях. Теперь в случае фиксации инцидентов с использованием AFR протокол не составляется, то есть дело рассматривается в упрощенном порядке, и считается, что вина лица автоматически установлена. Это противоправная норма, которая противоречит федеральному законодательству. Таким образом, впервые признается вина по отпечатку лица.

Более того, участники российского рынка AFR готовы к дальнейшему развертыванию технологии, а именно:

«Ростех» предложил продукт по видеоналитике регионам,
Сбербанк (разработчик – «дочка» VisionLabs) анонсировал умные камеры, которые могут внедрить в учебных заведениях с 1 сентября,
губернатор Нижнего Новгорода подписал указ, обязывающий бизнес, который хочет запустить работу после карантина, за свой счет устанавливать на предприятиях системы видеоаналитики.

Между тем ряд стран ограничивает распространение AFR.

Верховный суд Израиля недавно постановил, что власти не могут отслеживать местоположение граждан для борьбы с Covid-19, пока не будет принят специальный закон. Бельгия и Люксембург совсем запретили видеомониторинг общественных пространств, потому что технология нарушает права человека.

Сан-Франциско и Окленд в штате Калифорния ввели мораторий на ее применение правоохранительными органами до конца 2022 года. В этих городах четко регламентируется и порядок использования технологии в коммерции. С. Дарбинян, пояснил, что владелец компании должен публично, например, на входе в магазин, разместить соответствующее объявление.

17 января 2020 года Еврокомиссия опубликовала 18-страничный документ о моратории на AFR в публичных местах (стадионы, ТЦ) от 3 до 5 лет в целях выяснения разумной методологии оценки воздействия технологии и возможных мер по управлению рисками, рассказал С. Дарбинян. Но чуть позже стало известно, что законодательный орган Евросоюза дал право принимать эту норму самим странам.

В феврале 2020 года Европол сообщил о планах создать панъевропейскую базу данных для AFR, чтобы полиция каждого члена ЕС могла вносить в нее информацию. Венгрия, в свою очередь, 6 мая объявила о приостановке защиты европейских прав на приватность на время ЧП. Эти события вызвали бурю обсуждений в правозащитной среде.

PANDEMIC BIG BROTHER vs ЦИФРОВАЯ ДИКТАТУРА

По общему мнению, 2020 год станет периодом гонки за биометрическими данными. Прогрессивное человечество не хочет жить в условиях цифрового тоталитаризма, который может наступить, если AFR будут применяться массово. В оцифрованном Китае уже установлено 173 млн камер и контролируется каждый шаг отдельного гражданина.

Саркис Дарбинян, Digital Rights Center:

– Трансформация поведения – одно из самых опасных последствий применения AFR. Человек, находясь под объективом камеры, знает, что его могут идентифицировать, и в этих обстоятельствах действует непредсказуемо.

Общественные организации «Роскомсвобода» и Human Constanta в апреле 2020 года запустили интерактивную карту нарушений цифровых прав в условиях пандемии – Pandemic Big Brother. Проект по сути является общественным мониторингом цифровых прав граждан в разных странах.

По словам редактора проекта Алены Рыжиковой, за два месяца исследований описаны нарушения цифровых прав в 70 странах.

Алена Рыжикова, «Роскомсвобода»:

– В Европе, где частично снимаются ограничения, приложения, отслеживающие контакты больных коронавирусом, не являются обязательными, а имеют рекомендательный характер.

В Азии иначе: например, в Китае в сервисы Alipay и WeChat интегрированы QR-коды здоровья, которые сканируются повсеместно – при поездках на такси, посещении торговых центров и т. д.

Аналогичная система разворачивается в Индии. Там планируют введение слежки с помощью дронов с функцией распознавания лиц. Этот проект будет интегрирован с местной системой цифровой идентификации граждан, которая насчитывает более 1 млрд пользователей.

Международная правозащитная организация Human Rights Watch раскритиковала карантинное приложение «Социальный мониторинг», нарушающее права человека. Как известно, зарегистрированным в сервисе выписали штрафов более чем на 200 млн рублей.

По словам руководителя общественной организации «Роскомсвобода» Артема Козлюка, в РФ

есть высокие риски, что меры по отслеживанию действий граждан с помощью электронных инструментов сохранятся и после окончания пандемии

Все ПД, используемые при оформлении цифровых пропусков в регионах РФ, будут удалены из госсистем, заявил 26 мая глава Минкомсвязи РФ Максут Шадаев. Стоит отметить, что Татарстан уже уничтожил подобные, собранные во время пандемии базы данных.

Саркис Дарбинян, Digital Rights Center:

– Пока AFR в РФ – это не транспарентная система, все ее регламенты закрыты или предназначены для внутреннего пользования. И мы не знаем, кто имеет доступ к чувствительным данным.

С. Дарбинян напомнил, что ранее правозащитники «АГОРЫ» подавали иски против развертывания AFR в российской столице. Они не увенчались успехом только потому, что ДИТ Москвы отказывался признать, что технология используется. Сегодня это очевидно, и важно продолжить судебную кампанию. «Роскомсвобода» ищет граждан, которые пострадали от штрафов, выданных с помощью систем видеоаналитики.

Эксперт заключил, что эти вопросы мог бы решать независимый орган по защите приватности, а пока в его отсутствие нужно введение моратория на применение AFR в стране.

ГОССЕРВИСЫ В РФ НЕ СОБЛЮДАЮТ ПРИНЦИПЫ ПРИВАТНОСТИ?

Права российских граждан в части приватности мобильных приложений никто не защищает, констатировал глава АНО «Информационная культура» Иван Бегтин.

По его словам, часто новые функции в сервисах вводятся не по причине востребованности, а исходя из желания компании получить новые разрешения, а значит, данные пользователей.

В приложение могут быть встроены десятки трекеров, передающих информацию третьим лицам – тем или иным коммерческим структурам.

С начала 2020 года АНО проводит исследование в этом направлении, обращая внимание на условия использования и хранения ПД. Выяснилось, что эти критерии разработчики часто игнорируют, даже при создании массовых госсервисов, которых в РФ насчитывается чуть более сорока.

Иван Бегтин, «Информационная культура»:

– Мы ориентируемся на французский некоммерческий стартап Exodus Privacy, осуществляющий мониторинг приложений в европейской и американской экосистеме. Доступен открытый код, на основе которого можно проводить анализ.

Exodus Privacy показывает профиль любого сервиса и сколько трекеров он содержит

Исследование будет опубликовано 15 июня, а в перспективе будет создана база данных по Google Play России. Но уже сегодня можно сказать о том, что ряд госсервисов** в России использует трансграничную передачу ПД подписчиков, делясь сведениями с App Metrica (7 случаев), Google Firebase Analytics (10), Facebook Analytics (6) и др.

О фактах пишут в СМИ: в мае 2020 года выяснилось, что приложение проверки электронных пропусков i.moscow/covid может передавать третьим лицам информацию о пользователях.

По словам И. Бегтина, обращения к российским регуляторам об устранении нарушений не работают, и единственным способом влияния на положение дел является широкое освещение проблемы в медиа.

Эксперт считает, что необходимо принятие законодательных норм о защите ПД в мобильных приложениях, как это сделали, например, в Австралии.

*AFR (Alternate Frame Rendering) – технологии автоматического распознавания лица. Позволяют сканировать биометрию лица, создавая числовой код для каждого человека, проходящего мимо камеры.

**«Активный гражданин», Troika Top Up, «Мои документы онлайн», «Лидеры цифрового развития», «Добродел», MosMetro, Moscow transport, «Почта России», «Парковки Москвы», «Помощник Москвы».

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ: