Философия личных данных: от приватности до защиты

Государству и обществу нужна концепция культуры использования персональных данных

Вопрос защиты персональных данных (ПД) для россиян становится все более актуальным. Государство также усиливает правовое поле ради безопасности личной информации граждан. Цифровизация общества и экономики требуют повышения ИТ-культуры, как для самих владельцев персданных, так и для операторов ПД во избежание избыточного сбора и обработки личной информации. Сможет ли в этом помочь концепция проектируемой приватности (privacy by design), читателям RSpectr рассказал эксперт по защите персональных данных и соучредитель Российской ассоциации специалистов по защите личных данных (Russian Privacy Professionals Association, RPPA) Алексей Мунтян.

ОТ ПОНЯТИЯ ДО ЗАКОНА

– В России понятие персональных данных (ПД) закреплено законодательно и все чаще входит в обиход граждан в вопросе безопасности. Термин «приватность» малоизвестен и больше распространен за рубежом. Как эти понятия взаимосвязаны и в чем их различие?

– Это изначально разные вещи. Понятие «приватность» (privacy) появилось в США в конце XIX века и сейчас понимается в четырех формах: телесная, пространственная, коммуникационная и информационная. Последняя наиболее актуальна в современном цифровом мире и корректно ее называть data privacy. Она означает, что у каждого из граждан есть право на информационную автономность («на уединение»), когда можно ограничивать себя от общества ради личного информационного пространства. Например, мы реализуем свою приватность в соцсетях, когда закрываем или открываем определенные данные о себе. Информационная приватность – это управление своими данными, а защита персональных данных – регламентирование их использования сторонними лицами и организациями.

Если приватность возникла в США как форма защиты частной жизни звезд и после перешла на всех граждан как концепция права на свое пространство, то закон о защите персональных данных (personal data protection) появился на рубеже 60-70-х годов XX века в Европе как инструмент для защиты физических лиц и регулирования использования их данных кем бы то ни было. Катализатором стал скачок в развитии технологии автоматизированной обработки персданных и в целом информационных технологий.

Тогда начали формироваться правила игры между гражданами, государством и бизнесом. Все понимали, что без обработки персональных данных ни одно государство не может нормально функционировать. И регламент по защите ПД стал неким общественным договором, где население признавало право государства и бизнеса на обработку персональных данных, но при соблюдении определенных норм. Принципы были заложены в конвенции Совета Европы №108 от 1981 года, и сейчас закреплены в статье 5 Общего регламента ЕС о защите персональных данных – General Data Protection Regulation (GDPR).

Чтобы показать разницу, приведу примеры информационной приватности и защиты персональных данных.

Врач просит у пациента согласие на использование его медицинских анализов для сравнения с показателями других 100 тыс. пациентов со схожими характеристиками, чтобы просчитать вероятность развития тех или иных заболеваний в будущем. Это предложение на обработку ПД пациента, которые организация хочет получить. Медики должны получить разрешение в задокументированной форме, в которой прописывается вид данных для использования, период, с кем этими данными смогут делиться и какова цель этой обработки.

Иная ситуация с защитой приватности, которая реализуется в ограничении доступа в бытовую жизнь со стороны других физических лиц или организаций. Например, гражданин не может ставить камеру на лестничной площадке, если она фиксирует жизнь его соседа напротив, когда тот открывает входную дверь и съемка идет с охватом чужого жилого помещения.

Причем в Западной Европе иногда возникает ситуация, когда нарушение приватности трактуется как нарушение требований защиты персональных данных. Здесь все зависит от того, какую законодательную практику более эффективно применить в данный момент. В России схожая ситуация: 

нарушение информационной приватности может быть переквалифицировано в нарушение требований закона «О персональных данных»

Это связано с тем, что информационная приватность появилась в доцифровую эпоху и в первую очередь касалась работы СМИ. Тогда у людей не было камер для быстрой фиксации событий.

СПРАВКА

Алексей Мунтян, соучредитель Российской ассоциации специалистов по защите личных данных (RPPA)

В 2008 году с отличием окончил факультет правового обеспечения информационной безопасности МИФИ. В 2013-м получил образование в области интеллектуальной собственности и телекоммуникационного права в University of London.

В 2010–2011 годах осуществлял информационное наполнение «Портала персональных данных Роскомнадзора» – pd.rkn.gov.ru.

С 2015 по 2021 год отвечал за защиту персональных данных (Data Protection Officer, Data Privacy Manager) в Johnson&Johnson, DHL Express, консорциуме «Альфа-Групп», АО «Сбербанк КИБ».

С 2021 года – соучредитель и член правления Russian Privacy Professionals Association

Является сопредседателем Privacy & Legal Tech кластера РАЭК.

– В российском законодательном регулировании нет «приватности», но есть активное реформирование закона «О персональных данных». Способны ли нормативные новеллы улучшить защиту приватности граждан?

– Действительно, гарантии приватности у нас в основном прописаны в Конституции и в Гражданском кодексе в статьях 152.1–152.2 (Охрана изображения и частной жизни гражданина).

Для защиты своей частной жизни гражданам придется пойти в суд и провести там немало времени. При нарушении использования ПД процедура намного проще – достаточно написать жалобу в прокуратуру или Роскомнадзор. Простой пример: частный детектив по заказу собирает на вас информацию. Можно обратиться в суд по статье 137 УК (нарушение неприкосновенности частной жизни) или написать заявление в силовые структуры. Это достаточно долгая и муторная история, без очевидного результата. Вариант другой: вы можете пожаловаться в Роскомнадзор либо в прокуратуру, но уже с позиции, что некое лицо обрабатывает ваши персданные без наличия законного основания.

Есть хороший пример с британской королевской семьей. Папарацци сняли принца Гарри, его жену и родственников в одном из их имений в Англии. И юристы семьи вместо того, чтобы пойти по классическому пути – предъявить иск о защите чести и достоинства, выдвинули обвинение в незаконной обработке ПД. Поскольку при нарушении Общего регламента о защите персданных (GDPR) не нужно доказывать наличие ущерба. В итоге главный редактор издания приезжал и извинялся.

КОНЦЕПЦИЯ ОПТИМАЛЬНОГО СБОРА ДАННЫХ

– Если закон о защите ПД – это нормативно-правовой подход к проблеме, то концепция «проектируемой приватности» ближе к философии правильного использования персданных?

– В профессиональной среде «приватность» и «защита персональных данных» используются синонимично. Для россиян privacy воспринимается сугубо как защита ПД, а не как институт защиты частной жизни. И когда мы говорим о концептах privacy by design, то исходим из принципа – вместо того, чтобы бороться с угрозами, лучше их не создавать. Поэтому идет речь об уменьшении обработки ПД, об изначальном планировании, о разумной предусмотрительности. Если говорить простым языком, то «проектируемая приватность» – это разумная предусмотрительность и уход от избыточного сбора личной информации клиентов со стороны операторов. Помимо рисков неправомерного использования, налицо оптимизация затрат: меньший объем ПД – меньше расходуется времени и других ресурсов.

Privacy by design – это достаточно широкий концепт, который применим и к дизайну бизнес-процессов, связанных с обработкой данных, и к дизайну информационных систем, сервисов и так далее. То есть речь идет о том, что компания должна анализировать риски, связанные с ПД, на всех стадиях жизненного цикла.

В качестве примера можно привести отрасль ритейла, многие представители которой следуют принципам «проектируемой приватности» и тем самым снижают риски для своих клиентов. При процессинге финансовых операций с помощью банковских карт они маскируют большую часть цифр на пластиковом носителе клиентов «звездочками». В итоге платежные сведения хранятся, но в ограниченном объеме, который бесполезен для потенциальных злоумышленников в случае утечки данных.

Этот пример показывает, что внедрение стандартов, снижающих избыточное использование данных, на руку всем – от операторов до субъектов персданных, то есть нам с вами.

– Если уже есть практика «проектируемой приватности», значит, Россия развивается правильным путем в тренде защиты личных данных?

– Хорошо бы нам это зафиксировать на уровне закона, как в GDPR в статье 25. Тогда будет можно контролировать применение этой концепции на уровне государства. В Европе такое регулирование значительно облегчает всем жизнь. Например, в Румынии банк и его технический подрядчик были оштрафованы за нарушение принципов приватности. Банк заказал техническому подрядчику новую версию автоматизированной банковской системы, через которую проводились бы операции. Разработчик, видимо, использовал свои стандартные технические библиотеки для создания ПО, предоставив заказчику стандартизированный функционал. В результате при осуществлении безналичного перевода другая организация видела достаточно большой объем данных о плательщике, в том числе место его проживания и иные данные. Надзорный орган Румынии посчитал это, согласно статье 25 GDPR, нарушением принципа минимизации обработки данных.

Но проектирование приватности касается в той же мере рядового пользователя интернета. Например, вы скачали приложение на свой смартфон, и у вас сразу же запрашивается разрешение на доступ к данным в вашем телефоне, геолокации и так далее. И в этот момент важно соизмерить пользу от приложения и риски, которые несет доступ.

Принцип проектируемой приватности реализуется не только в Сети, но и офлайн. Почти каждый из нас сталкивался с ситуацией, когда работодатель просит подписать согласие на обработку персональных данных для самых разных целей: получения ДМС, профобучения, командировок и прочего. Мы подписываем, даже не зная, будут ли все эти варианты к нам применяться.

По факту мы даем согласие работодателю про запас, хотя должен исповедоваться принцип «в нужный момент»

В странах, где законодательно прописан принцип приватности, работника нельзя вынудить давать согласие, поскольку он изначально экономически более слабая сторона, зависимая от своего работодателя. Точно так же вы не должны давать автоматическое согласие в школе, где учится ваш ребенок, поскольку вы оба зависимы от образовательного учреждения.

Если мы говорим о трудовых отношениях, в Европе есть три правовых основания для обработки данных. Требования закона, который говорит о том, какие данные нужно обрабатывать в трудовых отношениях. Требования трудового договора, контракта: там как раз работодатель должен изначально расписать, как и какая обработка может иметь смысл и необходимость. И третье – это законный интерес компании для осуществления эффективной и непрерывной деятельности. К сожалению, в нашей стране вся эта конструкция не описана строгими нормами закона, это больше принципы.

– В какой форме вы видите возможные регуляторные изменения?

– В форме внесения поправок в федеральный закон «О персональных данных». Затем необходимо нормативно сформировать некое руководство, которое будет описывать, чего конкретно государство ожидает от операторов ПД. И проектирование приватности станет частью культуры компании. Так же как частью этой культуры стала необходимость коммуницировать с субъектами ПД в случае утечек их данных.

У нас есть требование закона как свод обязанностей, к которым хорошо бы прописать рекомендации, руководство. Пока это разрозненная история, мы видим устные либо письменные позиции, которые излагаются отдельными представителями госорганов. В некоторых случаях это статьи, мнения, комментарии, которые публикуются на сайтах ведомств. Для развития культуры приватности и ухода от избыточного сбора данных нужны понятные и ориентированные на практику разъяснения.

Денис Кунгуров