На защите личного

Каковы риски и угрозы накопления больших объемов данных

Легкий доступ к данным госорганов и частных компаний видится основой развития цифровой экономики и новых технологий. Некоторые даже предлагают предоставить широкому кругу возможность использовать персональные данные (ПД), в том числе биометрические, без согласия самого человека. Об оборотной стороне этого подхода читателям RSpectr рассказывает руководитель направления персональных данных ФГУП «Главный радиочастотный центр» Екатерина Ефимова.

ИНТЕРЕСУЮТ МНОГИХ

В условиях, когда возможности заимствования извне ограничены, конечно, нужно искать способы для того, чтобы создавать собственные информационные технологии и решения.

Но нельзя делать из людей безмолвных наблюдателей за использованием и распространением их личной информации

Обогащая обезличенные сведения о перемещениях, медицинские, фискальные данные, информацию о полученных услугах, истории просмотров роликов и фильмов, можно получать такие цифровые профили человека, которые перевернут наше представление о приватности, частной жизни и семейной тайне.

Сами по себе наши персональные данные интересуют многих, но далеко не все из них преследуют благие цели

Есть органы власти, которые предоставляют госуслуги, занимаются планированием развития городов. Общественная ценность от использования данных здесь обычно не подвергается сомнению, поэтому в законах, как правило, прямо пишут, чем занимаются эти организации.

Есть коммерческие организации, которым нужны наши данные, чтобы лучше выявить наши интересы и предложить нам более релевантные услуги, товары или контент на сайте. Для этих случаев общественная ценность от использования такой чувствительной информации далеко не всегда очевидна.

Все мы сталкивались с назойливыми звонками или СМС с рекламой ненужных нам услуг. Поэтому

сегодня в законе написано, что такое использование данных должно происходить с вашего согласия

И, наконец, есть откровенно нелегальное использование наших данных. Речь о сервисах интернет-пробива. О мошенниках, которые используют данные, чтобы методами внушения, манипуляций и иными психологическими техниками добиться от жертвы своих целей – заставить перевести деньги, совершить правонарушение, ввести человека в состояние стресса и паники.

ИНСТРУМЕНТ В РУКАХ МОШЕННИКОВ

Один из примеров – когда от имени начальника организации в мессенджере пишут сотруднику, что с ним на связь выйдет человек в погонах и нужно следовать его инструкциям. Аккаунт в мессенджере выглядит как настоящий – фото, телефон, используется информация об оргструктуре организации и т.д.

Способствует этому, конечно, большое количество данных, которые попали в общий доступ с начала Специальной военной операции. Тут сложно не разглядеть руку наших противников. Впрочем, они это особенно и не скрывают.

Воруют все, до чего могут дотянуться. Большинство утечек данных содержит идентификаторы – имя, телефон, адрес и т.д. Мало утечек, которые содержат транзакционную информацию, которая характеризует нас гораздо лучше, чем эти имя и телефон. То есть

основной эффект от утечек данных скорее медийный

Это нужно, чтобы создать впечатление, что сведения о российских гражданах слабо защищены и государство не в состоянии справиться с этой проблемой.

Для сравнения: за пару лет Роскомнадзор зафиксировал около 400 инцидентов с признаками утечек данных. В то же время у нас только в реестре операторов содержатся сведения о миллионе организаций.

В реестрах ФНС – 3 млн юридических лиц и ИП, которые как минимум обрабатывают данные о своих сотрудниках – чуть более одной сотой процента.

Впрочем, это не значит, что данные защищены хорошо. Это скорее сигнал всем нам, что по нам работают более тщательно, чем раньше, и пришло время сосредоточиться при защите данных.

БИОМЕТРИЯ В ЗАКОНЕ

Использование биометрии в повседневной жизни с каждым днем становится все более обыденным явлением. В настоящий момент существует несколько видов биометрии, которые применяются для идентификации людей на основе их уникальных физиологических или поведенческих характеристик: это фотоизображение лица, голос, отпечатки пальцев и иная биометрия.

В России обработка биометрических персональных данных регулируется профильным законодательством, включая Федеральный закон «О персональных данных» и федеральный закон от 29.12.2022 № 572-ФЗ.

Важным аспектом обработки биометрических ПД, как и других видов личной информации, являются вопросы целеполагания и наличия правовых оснований обработки

1. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме (за исключением случаев, установленных федеральными законами).

2. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические ПД и (или) дать согласие на обработку персданных, если в соответствии с федеральным законом получение оператором согласия на обработку личной информации не является обязательным.

4. Не допускается обработка персональных данных, несовместимая с целями их сбора.

РИСКИ ОСОБОЙ КАТЕГОРИИ

Развитие информационных технологий, в том числе искусственного интеллекта (ИИ), значительно расширяет возможности по использованию биометрии.

Отпечатки пальцев, радужная оболочка глаза и другие биометрические данные остаются неизменными на протяжении всей жизни

Поэтому возникают и повышенные риски, связанные с неправомерной обработкой биометрии, среди которых:

1. Неспособность изменения биометрических данных в отличие от паролей или PIN-кодов. Если биометрические сведения попадут в руки злоумышленников, жертвам будет трудно предпринять эффективные меры безопасности, такие как смена пароля.

2. Потеря конфиденциальности. Биометрические данные часто считаются очень чувствительными, поскольку они уникальны для каждого человека. Их утечка может раскрывать личные и интимные аспекты жизни.

Особенно остро риск потери конфиденциальности стоит, если речь идет об использовании биометрии несовершеннолетних.

3. Возможность подделки. Хотя биометрические данные обычно сложно подделать, это не является невозможным. Добившись утечки, злоумышленники могут использовать биометрические данные для фальшивых авторизаций или мошенничества.

4. Риск кражи личности является серьезным аспектом в том числе и в этических вопросах.

Биометрия – это особая категория персональных данных, которая и по закону, и по здравому смыслу должна находиться под более высоким уровнем защиты

Подчеркну, что вопросах соблюдения требований законодательства при обработке биометрии нужно приложить даже больше сил и средств, чем при обработке иных видов персданных.

Важно понимать, что уже сегодня мы должны задумываться об увеличении рисков, связанных с обработкой биометрии, и искать способы защиты этой чувствительной категории не с точки зрения сегодняшнего дня, а перспективы как минимум пяти лет.

Сейчас биометрия – это модно, это удобно.

Но на первом месте всегда должны стоять возможность обеспечить должную защиту биометрических данных

А также в целом вопрос прямой необходимости использования биометрии. Если нет твердой уверенности в том, что организация сможет обеспечить неприкосновенность биометрических сведений своих работников, посетителей, то лучше сделать выбор в пользу более «простых» технологических инструментов.