Цифровая приватность. Защита персональных данных

Что представляет собой защита персональных данных? Можно ли говорить о «цифровой слежке» правительства при финансовой, идейной и технологической поддержке недемократических государств-партнеров или возможности контроля персональных данных и их защиты от несанкционированной или незаконной обработки, хранения, уничтожения или повреждения этой информации? Как найти золотую середину и адекватно балансировать в вопросах обеспечения кибербезопасности страны с одной стороны, а с другой –  соблюдать права и свободы как в офлайн-, так и онлайн-среде? Эти и другие вопросы так или иначе напрямую связаны с глобальной цифровизацией и, как следствие, попытками зарегулировать эту сферу с точки зрения государственного управления. Вместе с тем, эти вопросы важны для обеспечения устойчивой экосистемы информационной и кибербезопасности в целом. И сегодня в условиях информационного бума и применения цифровых технологий в борьбе с COVID-19 этот вопрос обретает особую актуальность.

Источник: Facebook

Почему важна грамотность в сфере защиты персональных данных

С 2006 года 28 января ежегодно отмечается всемирный день приватности или защиты персональных данных. Главной задачей этой образовательной инициативы является продвижение лучших практик защиты приватности и персональных данных, в частности в интернете и социальных сетях, а также в повышении уровня осведомленности о рисках, связанных с незаконными сбором и обработкой их личных данных. Если говорить простыми словами – объяснять людям, какие личные данные собираются, обрабатываются и почему, а главное – какими правами они обладают в отношении этой обработки. Вместе с тем, помимо образовательного компонента речь также идет о разработке технологических решений и инструментов для поощрения индивидуального контроля над персональными данными, соблюдения правил и законов о приватности и конфиденциальности, а также диалога и сотрудничества между государством, бизнесом, академическим и экспертным сообществом, гражданским обществом и другими заинтересованными этими вопросами игроками.

Защита права на неприкосновенность частной жизни (приватности) в целом и данных в частности сильно различается по всему миру. В отчете Freedom House-2018 говорится, что 15 стран рассмотрели законы о защите данных, а в 35 государствах уже приняты такие законы. В частности отмечается, что законы о защите персональных данных, которые были предложены или приняты в Аргентине, Бразилии и Индонезии, очень напоминают европейский Общий регламент по защите данных ЕС (Регламент ЕС 2016/679) или т.н. GDPR, вступивший в силу в мае 2018 года. Вместе с тем вопросы защиты персональных данных в недемократических государствах, в частности в России, Китае и Казахстане, также остро стоят на повестке дня в условиях масштабной цифровизации всех сфер деятельности.

На данном этапе законы и нормативные акты, касающиеся приватности и защиты персональных данных, постоянно трансформируются. Важно быть в курсе любых изменений в законодательстве и постоянно проверять соответствие правилам приватности, конфиденциальности и безопасности данных. Проблемы, связанные с приватностью и конфиденциальностью, существуют везде, где собирается, хранится, используется и, наконец, уничтожается или удаляется личная информация –  в цифровой форме или иным образом. Неправильный контроль или его полное отсутствие ведет к раскрытию информации, ее утечке и другим проблемам, и последствиям, связанным с работой с персональными данными во всех сферах жизнедеятельности.

Терминологический аппарат

Для понимания ситуации крайне важно определиться с терминологическим аппаратом, который на русском языке зачастую неверно трактуется или переводится с английского, когда речь идет о приватности, конфиденциальности и персональных данных.

Чаще всего в русскоязычном поле идет подмен понятий, когда приватность и конфиденциальность используют в качестве синонимов в повседневной жизни. С юридической точки зрения эти понятия принципиально отличаются. На самом деле конфиденциальность – это личная информация, которой обмениваются с адвокатом, врачом или другими лицами, и которая, как правило, не может быть передана третьим лицам без явного согласия клиента. Приватность относится к свободе от вторжения в личные дела и личную информацию (право на неприкосновенность частной жизни). В то время как конфиденциальность является этической обязанностью, приватность является правом, основанным на общем праве.

Цифровая приватность на практике означает право на хранение, передачу, предоставление информации кому-либо посредством интернета. Конфиденциальность, по сути, защищает от злоупотреблений полномочиями со стороны власти, даже если при этом человек ничего плохого не делает.

Персональные данные – это информация, относящаяся к идентифицированному или идентифицируемому лицу. Персональные данные включают в себя медицинские записи, расследования и судебные разбирательства по уголовному правосудию, финансовые институты и их транзакции, биологические признаки (генетический материал), геолокацию, веб-серфинг и пользовательские настройки с использованием файлов cookie и т. д.

Идентифицируемое лицо  –  это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на такой идентификатор. Это может быть имя, идентификационный номер, данные о местоположении, сетевой идентификатор одного или нескольких факторов, характерных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности этого физического лица, в том числе IP-адрес или идентификатор cookie, или абсолютно другие факторы. Если возможно идентифицировать человека непосредственно из обрабатываемой информации, то она может являться персональными данными. Персональные данные могут также включать специальные категории персональных данных – данные о судимости и преступлениях. Поскольку они считаются более чувствительными, их обработка возможна только в более ограниченных обстоятельствах.

Если защита персональных данных – это защита от несанкционированного доступа, то конфиденциальность данных – это авторизованный доступ: кто его имеет и кто его определяет. Иными словами, защита данных – это, по сути, техническая задача, в то время как конфиденциальность данных является правовой (юридической). Признается тот факт, что технологии не смогут обеспечить конфиденциальность личных данных, в результате чего разрабатываются правовые, образовательные и прочие инициативы, чтобы минимизировать  негативные последствия нарушений стандартов и принципов международного права в области прав человека. Большинство протоколов защиты конфиденциальности по-прежнему уязвимы для уполномоченных лиц, которые могут получить доступ к данным. Бремя этих уполномоченных лиц, прежде всего, связано с законом о конфиденциальности, а не с технологиями.

Стандарты международного права в области прав человека ООН

Ст.12 Всеобщей декларации прав человека говорит о том, что «никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств».

В декабре 2013 года Генеральная Ассамблея ООН приняла резолюцию 68/167, в которой выражалась обеспокоенность по поводу негативных последствий и воздействия, которые цифровая «слежка и прослушка» оказывают на права человека. Призывая соблюдать право на цифровую приватность, ООН подтвердила тот факт, что права, которыми люди обладают в реальной жизни, также должны быть защищены и в онлайн-среде. Международное право в области прав человека обеспечивает универсальные рамки, на основе которых должно оцениваться любое вмешательство в права человека на неприкосновенность частной жизни. Генеральная Ассамблея призвала все государства пересмотреть свои процедуры, практику и законодательство, касающиеся наблюдения за сообщениями, перехвата и сбора персональных данных, и подчеркнула необходимость обеспечения государствами полного и эффективного выполнения своих обязательств по международному праву в области прав человека.

Впоследствии был подготовлен и представлен доклад о праве на неприкосновенность частной жизни в эпоху цифровых технологий, в котором подтверждается необходимость уважать и защищать это право. Резолюция 69/166 ГА ООН запустила процесс создания специальной процедуры, когда Совет по правам человека в своей резолюции 28/16 объявил о появлении первого Специального докладчика по вопросу о праве на неприкосновенность частной жизни, в том числе в контексте новых цифровых технологий.

Международный пакт о гражданских и политических правах также предусматривает, что никто не должен подвергаться произвольному или незаконному вмешательству в его частную жизнь, семью, жилище или переписку, а также незаконным посягательствам на его/ее честь и репутацию, и «каждый имеет право на защиту закона от такого вмешательства или нападок».

Другие международные документы по правам человека содержат аналогичные положения (Европейская конвенция о правах человека и Хартия основных прав ЕС). Хотя право на неприкосновенность частной жизни не является абсолютным, любой случай вмешательства должен подвергаться тщательной и критической оценке его необходимости, законности и соразмерности.

Мировой опыт защиты персональных данных

Защита персональных данных в разных частях планеты обретает новые оттенки, поскольку в большей степени связана с управлением и контролем над интернетом, и, как следствие, масштабным ростом авторитаризма. Неограниченный сбор личных данных ограничивает право человека на одиночество, без которого мир, процветание и свобода личности – плоды демократического мира – невозможно сохранить или использовать.

Согласно результатам исследования, проведенного британской компанией Comparitech, все без исключения страны мира очень далеки от обозначенных задач по соблюдению приватности на постоянной основе, и, как следствие, защиты персональных данных. По разработанным критериям от 1 до 5 (баллов), из 47 государств, принявших участие в проекте, только пять получили оценку выше трех баллов. Если одни страны более ответственны и прозрачны, то другие принимают постоянные систематические меры безопасности, в частности цифровой слежки за собственными гражданами.

Таблицы 1, 2. Неприкосновенность частной жизни

Если говорить о защите персональных данных, важно обратить внимание на GDPR (Общий регламент по защите данных), который устанавливает семь ключевых принципов в отношении личной информации:

  • Законность, справедливость и прозрачность обработки данных;
  • Ограничение цели сбора и использования данных;
  • Минимизация данных (сбор только необходимых данных);
  • Точность (неточные данные должны быть удалены или исправлены);
  • Ограничение хранения (срок хранения данных);
  • Честность и конфиденциальность (защита от несанкционированной или незаконной обработки, уничтожения или повреждения данных);
  • Подотчетность (обязанность соблюдать GDPR и способность продемонстрировать соответствие регламенту).

Эти принципы лежат в основе любого подхода к обработке персональных данных в Европе, более того, они обладают экстерриториальным принципом. Это означает, что все организации, собирающие, обрабатывающие и хранящие персональные данные физических лиц, которые сотрудничают с Евросоюзом, призваны защищать цифровые права граждан и должны соответствовать этим требованиям. GDPR требует, чтобы владельцы персональных данных получали более осмысленное согласие, повышали прозрачность того, какие данные собираются и почему, и предоставляли пользователям возможность загружать, передавать или удалять свою информацию.

Защита персональных данных в Казахстане

21 мая 2013 года в Казахстане был принят Закон «О персональных данных и их защите» (далее Закон). Согласно Закону, «персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе». Главной целью этого закона является «обеспечение защиты прав и свобод человека и гражданина при сборе и обработке его персональных данных» (ст.2), при этом о хранении речи пока не идет. Кроме того, закон предоставляет гарантии защиты персональных данных – комплекс мер, в том числе правовых, организационных и технических, в целях реализации прав на неприкосновенность частной жизни, личную и семейную тайну; обеспечения их целостности и сохранности; соблюдения их конфиденциальности; реализации права на доступ к ним и предотвращения незаконного их сбора и обработки. При этом особенности защиты персональных данных в электронной форме для государственных систем определены в Законе «Об информатизации».

25 июня 2020 года Президент РК К.-Ж. Токаев подписал Закон «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам регулирования цифровых технологий», который вносит изменения и дополнения в 35 законодательных актов, в том числе 7 кодексов и 28 законов. Главным нововведением стало создание уполномоченного органа в сфере защиты персональных данных (по аналогии с Data Protection Agency) в лице Комитета информационной безопасности (КИБ) Министерства цифрового развития, инноваций и аэрокосмической промышленности РК (КИБ получил статус Агентства по защите персональных данных).

За нарушение законодательства о персональных данных и их защите предусмотрена ответственность в рамках административного и уголовного кодексов РК (ст.147 и 211 УК РК «Нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите» и «Неправомерное распространение электронных информационных ресурсов ограниченного доступа», ст. 205 «Неправомерный доступ к информации, в информационную систему или сеть телекоммуникаций», ст. 208 «Неправомерное завладение информацией», ст.79, 641 КОАП «Нарушение законодательства Республики Казахстан о персональных данных и их защите») с наказанием от штрафов до лишения свободы.

Обзор законодательства Республики Казахстан: Персональные данные и их защита.
Обзор законодательства Республики Казахстан в сфере информационной безопасности. Часть 2: Персональные данные и их защита.

Учреждение уполномоченного органа в сфере защиты персональных данных стало первым шагом на пути ожидаемого движения в сторону соответствия требованиям GDPR. Министерство цифрового развития, инноваций и аэрокосмической промышленности РК отмечает, что система защиты персональных данных в Казахстане будет дополнена в соответствии с европейским GDPR, хотя в то же время система сочетает в себе элементы российской и китайской концепций – «суверенный интернет», «великий файрволл», цензура и пр. Важно обратить внимание на то, что функции Агентства по защите персональных данных в основном зациклены на технологических решениях и соблюдении законодательства в этой сфере. Введение сервиса по защите персональных данных, который намерен уведомлять граждан о действиях с его персональными данными, не в полной мере отражает весь комплекс мер, который необходим для обеспечения всех принципов работы с персональными данными.

В частности, речь идет о том, как и кому профильный комитет будет предоставлять разъяснения по вопросам защиты данных, и насколько открытым будет этот орган. Мировая практика показывает, что уполномоченный орган должен быть независимым и самостоятельным, чтобы максимально прозрачно гарантировать соблюдение цифровых прав и защиту персональных данных. Более того, в текущих условиях, когда государственные органы пытаются априори обеспечить собственную безопасность, чтобы быть менее уязвимыми перед лицом новых угроз, очень часто они забывают о своих гражданах, которых критически важно обучать и повышать их осведомленность в этих вопросах. Как показывает исследование, граждане используют VPN-сервисы, чтобы обеспечить конфиденциальность своих данных, причем не ради защиты персональных данных от кибермошенников, а чтобы защититься от государственной слежки и прослушки.

Логично ожидать, что деятельность Агентства позволит уведомлять граждан о действиях с их данными. Однако это кажется маловозможным в нынешних условиях, когда доверие между государственными органами и гражданами отсутствует. Более того, принимая во внимание масштабную цифровизацию посредством внедрения видеомониторинга, систем распознавания лиц, биометрики с одной стороны, а также крупнейшие утечки данных в 2019 году из баз данных ЦИК и Генеральной прокуратуры – с другой, крайне важно понимать, какие гарантии защиты персональных данных может дать государство, и как оно собирается соблюдать взятые на себя международные обязательства по соблюдению прав и свобод человека в онлайн- и офлайн-среде.

На данном этапе правовой статистики по защите персональных данных в РК нет, а все случаи с утечкой данных заканчивались либо увольнением сотрудника, либо закрытием дела за отсутствием состава преступления. В этой ситуации правовой механизм необходимо развивать открыто и прозрачно. Важно развивать культуру защиты персональных данных, в том числе путем сообщения об утечках информации субъектам персональных данных. Это позволит выстроить доверительные отношения и воспринимать всерьез ответственность по сбору, хранению, обработке и удалению данных, чтобы минимизировать возможность утечки данных и, как следствие, защитить приватность их владельцев. Особую актуальность в этой связи обретают специально запущенные мобильные приложения SMARTAstana и Covid19live.kz, а также использование имеющихся возможностей для цифровой «слежки» посредством камер Сергек для борьбы с Covid-19 и контроля передвижения.

Наконец, невозможно обеспечить информационную и кибербезопасность, если львиная доля граждан не знает о важности защиты персональных данных и кибергигиене. Для создания устойчивой экосистемы правительству и гражданскому обществу крайне важно уделять внимание повышению уровня осведомленности и знаний граждан в сфере цифровых прав и защиты персональных данных.

Рекомендации по приведению положения в Казахстане требованиям и стандартам международного права в области прав человека в соответствующей области

  • Ст. 20 Закона «О персональных данных и их защите» говорит о том, что персональные данные подлежат защите, и ее гарантом выступает государство. Создание уполномоченного органа в сфере защиты персональных данных – первый шаг на этом пути. Однако наиболее важные аспекты, касающиеся конкретных функций, полномочий и процедур Агентства в целом и его работников в частности, остаются неурегулированными. В этой связи важно разработать и четко прописать все эти аспекты и передать функцию защиты персональных данных от Генеральной прокуратуры Агентству.
  • Несмотря на наличие специального органа, который будет заниматься вопросами защиты персональных данных, все государственные органы без исключения должны соответствовать выработанным техническим, этическим и юридическим параметрам по сбору, обработке, хранению и уничтожению данных. Вместе с тем, важно, чтобы закон о персональных данных заработал. Однако карательная практика не позволит решить системные проблемы, а только будет откладывать решение наиболее важных проблем – в т. ч. обучение кадров, создание правовой и цифровой культуры во всем государственном аппарате – на более поздний срок. Впрочем, увольнение также не может оставаться способом наказания за нарушение законодательства, потому что оно определяет четкие механизмы привлечения к ответственности.
  • В условиях невозможности создания независимого и самостоятельного органа по защите персональных данных представляется логичным в краткосрочной перспективе запустить механизм общественного контроля, состоящего из представителей гражданского общества, бизнес-сообщества, юристов, исследователей и правозащитников. Подобный элемент позволит адекватно реагировать на нововведения в сфере защиты персональных данных, участвовать в их разработке и внедрении, а также заниматься мониторингом соблюдения прав, фиксацией нарушений, продвижением культуры защиты персональных данных и контролем того, чтобы объемы собираемых данных были пропорциональны преследуемой цели.
  • Учитывая масштабную цифровизацию в ходе реализации национальной программы «Цифровой Казахстан», деятельность уполномоченного органа по защите персональных данных и обязательства должна соответствовать международным стандартам в области прав человека. Необходимо разработать конкретные требования к сбору и обработке данных, прописать сроки хранения и уничтожения личной информации, в том числе для внедрения видеонаблюдения и использования искусственного интеллекта, с целью предотвращения и снижения рисков нарушения прав человека. Этический компонент защиты персональных данных должен стать основой цифровой культуры и цифрового общества by default (по умолчанию).
  • Наконец, наряду с технологическими и юридическими мерами защитить персональные данные невозможно без образовательного компонента. Фокус на цифровые права и защиту персональных данных позволит гораздо быстрее развивать цифровую культуру, а кибергигиена должна стать неотъемлемой частью повседневной жизни каждого.

Анна Гусарова

"Директор Центральноазиатского института стратегических исследований, стипендиат программы Чивнинг, адъюнкт-профессор Европейского центра исследований безопасности имени Джорджа Маршалла"