Большие данные граждан: между энтузиазмом бизнеса и фобиями обывателей

BIS Journal №3(42)/2021

27 июля, 2021

Большие данные граждан: между энтузиазмом бизнеса и фобиями обывателей

Как «цифра» меняет представления людей о приватности и правовую базу государства.

Цифровизация продолжает менять наш привычный мир. Сегодня одновременно действуют несколько разнонаправленных тенденций:

  • Государство стремится повысить за счёт цифровизации управляемость страной, сделав одновременно жизнь населения удобнее и безопаснее. Для этого оно собирает данные обо всех и каждом, агрегирует их и применяет в управленческих решениях на всех уровнях власти: от муниципальной до федеральной.
  • Граждане, с одной стороны, с удовольствием пользуются благами цифровой цивилизации: совершают покупки и оплачивают услуги ЖКХ онлайн, покупают билеты на интернет-сайтах, частенько заглядывают на сайт госуслуг. С другой стороны, беспокоятся о том, в чьи руки попадают их паспортные данные, снимки с уличных видеокамер и параметры банковских карт.
  • Бизнес стремится собирать детальные сведения о людях, чтобы лучше знать своих клиентов и предлагать им персонализированные услуги.
  • Персональные данные утекают через бреши в системе защиты клиентских баз данных прямиком в теневой Интернет. Одним из драйверов роста DarkNet являются именно личные данные граждан.

Эти тенденции переплетаются, подпитывая друг друга, а развитие технологий больших данных только подстегивает процесс. Так, государство собирает и консолидирует данные разных ведомств, составляя из них цифровые профили граждан. Бизнес использует в своих целях не только сведения о клиентах, полученные собственноручно, но и те, что собирает государство и разные коммерческие организации. Формируется легальный рынок больших данных, а параллельно живёт своей жизнью нелегальный: мошенники, комбинируя украденную и открытую информацию, плодят фальшивых цифровых двойников.

Какие тренды усиливают сегодня вышеуказанные тенденции? Каким образом они меняют риски безопасности персональных данных?

 

ПРЕСТУПНОСТЬ НАГУЛИВАЕТ ЖИРОК

Статистика МВД свидетельствует, что за пандемийный 2020 год количество киберпреступлений в России выросло на 73,4%. По данным ОНФ, за этот год мошенники похитили 2,8 млрд руб., что на 70% больше, чем годом ранее. Подобная цифра и в отчёте Банка России: хищения через системы ДБО выросли в 2020 г. на 70,1% по сравнению с 2019 г. А доля социальной инженерии в общем числе операций в данном случае составила около 80%.

«Поскольку ИТ-инфраструктуры компаний, особенно крупных, более или менее защищены, основной удар пришёлся на слабое звено — их сотрудников и мелких контрагентов: число разнородных фишинговых атак выросло в разы. Поддельные сайты, рассылки и подставные телефонные звонки стали очень правдоподобно имитировать официальные источники, из-за чего на удочку мошенников попалось рекордное количество человек. Получила развитие и технология подделки голоса и видео — deepfake», — рассказал С. Шерстобитов, гендиректор ГК Angara в интервью CNews.

По данным аналитиков Group-IB, продажи доступов в скомпрометированные сети компаний выросли в этот период в 4 раза – до 6,2 млн долл., а объём рынка продаж краденых данных банковских карт вырос на 116% и приблизился к 2 млрд долл. Высокие темпы роста характерны как для текcтовых данных (номер, дата истечения, имя держателя, адрес, CVV), так и для дампов (содержимое магнитных полос карт). Количество предлагаемых к продаже текстовых данных выросло на 133% — до 28,3 млн карт, а дампов — на 55% (до 63,7 млн). При этом, по данным Банка России, лидируют по количеству мошеннических операций CNP-транзакции (покупки через Интернет без физического предъявления карты), из них 61,5% являются результатом применения социальной инженерии.

В компании Positive Technologies отмечают, что популярным товаром в DarkNet стали скан-копии личных и конфиденциальных документов: паспорта, водительские удостоверения, ИНН, СНИЛС и т. п., а также финансовые документы, в том числе отчёты о кредитной истории граждан и скан-копии внутренних документов коммерческих компаний (рис. 1).

Рисунок 1. Типы продаваемых в Darknet конфиденциальных документов. Источник: «Рынок преступных киберуслуг 2018», Positive Technologies

 

Паспортные данные злоумышленники используют для регистрации в различных интернет-сервисах. Например, чтобы переводить денежные средства другим пользователям в системе «Яндекс.Деньги», злоумышленнику достаточно иметь реальные паспортные данные любого человека, а остальную информацию он сможет получить из открытых источников (социальных сетей, ресурсов государственных органов). Такой кошелёк не связан с личностью злоумышленника, что развязывает ему руки.

По оценкам Андрея Некрасова, начальника Главного организационно-аналитического управления Генпрокуратуры РФ, ещё пять лет назад доля компьютерных преступлений в общем объёме составляла менее 2%, а в 2020 г. она достигла 25%. Раскрываемость же таких преступлений составила лишь 20%.

Одна из причин такого положения дел – непрозрачная структура Интернета. Аналитики Positive Technologies утверждают, что только 4% страниц в Сети сегодня проиндексировано поисковыми системами. За пределами их возможностей остается так называемый глубокий Интернет (DeepWeb), состоящий из приватных форумов, закрытых баз данных (медицинские, исследовательские, финансовые) и т. п., и главное – DarkNet.

Эксперты предсказывают, что быстрорастущий «чёрный рынок» персональных данных будет активно расти и дальше. По оценкам учёных Р. Алигулиева и Р. Махмудова из Национальной академии наук Азербайджана, приведённых в их исследовании «Особенности "чёрного рынка" персональных данных и создаваемые им проблемы» (журнал «Информационное общество», №1/2021), самый крупный «чёрный рынок» персональных данных в мире находится в США – он занимает около 60% мирового рынка и составляет 15,2 млрд долл. Вторым по величине является китайский рынок ПД – 2,4 млрд долл. Следующие – Великобритания, Канада и Франция соответственно.

Питательной почвой для роста этого рынка являются утечки данных, как внешние, так и внутренние. Сложность борьбы с ними заключается в том, что, во-первых, источников утечек – великое множество: личные данные могут быть украдены не только из базы данных кредитной организации, но и из торговых или обслуживающих предприятий.

Во-вторых, компании непросто определить, действительно ли доступ к клиентским данным необходим тому или иному сотруднику по работе или его поведение следует считать подозрительным и пресекать?

В-третьих, ситуация с утечками в нынешнем виде сложилась благодаря пробелам в законодательстве. По оценке Р. Алигулиева и Р. Махмудова, до сих пор законодательство ни одной страны не признаёт какую-либо информацию, в том числе и персональные данные, предметом продажи.

На данный момент только закон «О защите персональных данных потребителей», принятый штатом Калифорния в США (вступил в силу 1 января 2020 г.), предусматривает куплю-продажу персональных данных. Согласно этому закону, продажа персональных данных – это предоставление компанией персональных данных потребителя в коммерческих целях третьей стороне в устной, письменной, электронной или других формах за плату. В данном случае речь идёт о продаже персональных данных, собранных компанией от потребителей, которых она обслуживает, третьему лицу, желающему использовать эту информацию в коммерческих целях. То есть этот закон не регулирует прямые отношения между владельцами персональных данных и их получателями. Эксперты прогнозируют, что такой правовой механизм в будущем будет применяться на всей территории США, а также в других странах.

Термин «кража персональных данных» как юридическое понятие в настоящее время отражён только в законодательстве США и Великобритании. В законодательствах многих стран такие действия описываются через другие понятия, например «нарушение неприкосновенности личной жизни», «несанкционированный доступ к компьютерной информации» и т. д. В результате, несмотря на то что технологии больших данных сегодня относятся к числу ключевых технологических и экономических тенденций в мире, законодательные конструкции в этой области ещё только предстоит создать.

Законодатели пытаются приспособить к новым условиям старую законодательную базу. Так, 11 июня Владимир Путин подписал закон, который вводит новые штрафы за разглашение информации ограниченного доступа (до 10 тыс. руб. для граждан и до 50 тыс. руб. для должностных лиц) – на порядок больше, чем раньше. Под это зонтичное понятие попадает множество различных типов данных, например, коммерческая или банковская тайна, тайна усыновления, адвокатская тайна, тайна связи и т. п. Также ужесточена уголовная ответственность за незаконное распространение и использование информации, составляющей коммерческую, налоговую и банковскую тайну, а также за разглашение информации для должностных лиц, которые по служебной необходимости имеют доступ к сведениям о мерах безопасности, применяемых к сотрудникам правоохранительных органов.

 

ЦИФРОВАЯ ТРАНСФОРМАЦИЯ В ГОССТРУКТУРАХ

В госсекторе РФ сейчас популярна идея клиентоориентированности. Речь о том, что вложения в цифровизацию российского госсектора помогли в результате создать инфраструктурный базис. Настало время цифровых сервисов для клиентов государства: граждан и бизнеса. При этом соответствующие государственные информационные системы (ГИС) создаются как многоуровневые конструкции, в рамках которых данные граждан собираются на нижнем уровне, затем консолидируются и обрабатываются на следующих уровнях: региональном, ведомственном, федеральном. Собственно, создание таких информационных конструкций и составляет суть цифровой трансформации, происходящей в госструктурах.

Например, в рамках создаваемой ГИС Минздрава вся система здравоохранения превращается в единый цифровой контур. В нём выделяется федеральный и региональный уровень, а также уровень ВИМИС (вертикально-интегрированные МИС) по каждому профилю заболеваний (рис. 2, 3). Это более глубокий уровень цифровизации, чем, например, внедрение медкарты пациента.

Рисунки 2, 3. В рамках создаваемой ГИС Минздрава вся система здравоохранения превращается в единый цифровой контур. В нём выделяется федеральный и региональный уровни.

 

На 2021 г. запланирована реализация регионального уровня единого цифрового контура здравоохранения, а также новых сегментов вертикально-интегрированных медицинских систем – по сердечно-сосудистым заболеваниям, направлениям акушерства, гинекологии и неонатологиии профилактической медицины. Иными словами, речь идёт об увеличении доли услуг, которые человек может получить удалённо, не посещая медицинское учреждение.

Похожие процессы идут в сфере образования: создаётся единая цифровая образовательная среда (ЦОС). Её идея, по словам чиновников, в усилении возможностей классической очной школы за счёт электронных образовательных ресурсов. Эти ресурсы предоставят школьнику сервисы, реализованные на современных образовательных платформах. Другой тип сервисов направлен на организацию образовательных процессов: оценка успеваемости, цифровые дневники, родительские собрания, биография ребёнка и т. д.

Минспорта РФ также занято созданием ГИС. По словам замминистра А. Сельского, эта ГИС не стремится подменить собой всю отраслевую информатизацию. Её предназначение – выполнять функции проводника для сквозных отраслевых сервисов и агрегатора/поставщика данных для других информационных систем отрасли и региональных систем.

На федеральном уровне все данные из разных ГИС консолидируются в виде НСУД (Национальная система управления данными), которая создается как федеративная база данных. А между разными структурами данные передаются с помощью новой версии системы межведомственных электронных взаимодействий СМЭВ 4. Главное отличие новой версии СМЭВ от предыдущих заключается в том, что данные становятся доступны не только в режиме межведомственных запросов со сроком обработки 5 дней, но и в формате витрин данных, например ведомственных витрин (рис. 4).

Рисунок 4. СМЭВ 4 как федеративная база госданных. Источник: Минцифры, май, 2021 г.

 

По сути, НСУД – это единая платформа управления большими госданными, которая содержит, в частности, описания моделей данных. С точки зрения фронтальной системы, например портала госуслуг или коммерческихfront-систем, получение данных из единой федеративной государственной базы данных будет подобно обычному обращению к обычной СУБД. При этом потребители запрашивают данные в терминах единой модели, а поставщики данных (ведомства) управляют своими данными самостоятельно (рис. 5).

Рисунок 5. Архитектура НСУД. Источник: Минцифры, апрель 2021 г.

 

В период 2021–2023 гг. запланировано создание 41 витрины ФОИВ, включающих свыше 300 видов сведений. Пилотные проекты витрин уже идут в ФНС (ФИАС, ЕГРЮЛ, ЕГРИП), ГУОБДД МВД России (реестр транспортных средств), ПФР (база учёта пенсионных прав граждан), Росреестр (сведения из ЕГРН). Подключение Роскомнадзора, кстати, запланировано на 2023 г.

Вопрос использования госданных различными государственными системами для анализа решается за счёт создания озера деперсонализированных данных, оформленных в виде тематических наборов данных. К настоящему времени в НСУД описано 250 наборов данных. «Cозданных наборов уже достаточно, чтобы понимать текущую ситуацию на разных рынках внутри страны», — подчёркивает Олег Качанов, замминистра цифрового развития, связи и массовых коммуникаций РФ.

Следующий шаг – доступность наборов данных НСУД для внешних пользователей. К ним Минцифры относит разработчиков систем искусственного интеллекта (в целях обучения своих ИТ-систем на обезличенных наборах реальных данных) и иных бизнес-пользователей. Предполагается, что в течение 2021–2022 гг. будет создано 25 паспортов наборов данных для ИИ, и уже в сентябре начнётся их размещение в НСУД, как в формате аналитического хранилища, так и в формате витрин данных.

Минцифры заявляет, что платформа НСУД должна заработать до конца года.

Таким образом, сегодня выделяется три уровня доступности госданных для внешних потребителей:

  • данные госуправления, доступные только ФОИВ;
  • данные госуправления, доступные для исследовательских задач;
  • данные госуправления, доступные для бизнеса и граждан.

Для поддержки этого направления предусмотрен ряд законодательных инициатив, направленных на внесение поправок в 152-ФЗ «О персональных данных». Так, законопроект № 992331-7 предусматривает обезличивание персональных данных без согласия субъекта при условии, что обезличенные данные получены на законных основаниях. «Это ключевое изменение, согласованное с регулятором в сфере информационной безопасности»,—отмечает Олег Качанов, замминистра цифрового развития, связи и массовых коммуникаций РФ. Кроме того, не допускается создание условий для деобезличивания ранее обезличенных ПД. А также в ряде случаев, строго определяемых Правительством РФ, бизнес должен безвозмездно предоставлять в определённые Правительством госорганы обезличенные ПД, которые могут быть использованы для госуправления, а также для развития решений ИИ в госсекторе.

 

БД СПЛОТИЛИ ГОСУДАРСТВО И БИЗНЕС

По мнению А. Серебряниковой, президента Ассоциации больших данных, в области совместного использования больших данных у бизнеса и государства сложилось полное взаимопонимание, достичь которого обычно непросто. Так она характеризует появление законодательства об экспериментальных правовых режимах (ЭПР) и регуляторных песочниц, которые предназначены для исследования механизмов бизнеса на персональных данных.

В конце января 2021 г. вступил в силу Федеральный закон №258 «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», за ним следует законопроект-спутник № 1129501-7 «О внесении изменений в отдельные законодательные акты РФ в связи с принятием Федерального закона № 258-ФЗ». Он призван исключить законодательные препятствия для тестирования новых технологий в рыночной среде (рис. 6).

Рисунок 6. Законопроект-спутник. Источник: Минэкономразвития России, март, 2021 г.

 

Для экспериментов в формате регуляторных песочниц выбрано семь направлений (ЭПР):

  • Оценка эффективности лекарств (исследование повседневной клинической практики применения лекарств у пациентов);
  • Беспилотные авто (эксплуатация высокоавтоматизированного транспорта без водителя за рулем для коммерческих такси-перевозок);
  • Телемедицина;
  • ИИ в медицине (медицинские услуги с применением инновационных технологий);
  • Дистанционное заключение договоров (применение биометрии для удалённого заключения договоров связи);
  • Беспилотные летательные аппараты (использование дронов для доставки грузов на труднодоступные территории);
  • Сервис «Моё дело» (подбор оптимальных сфер для старта предпринимательской деятельности на основе анализа больших данных).

«Это, действительно, большое достижение и серьёзная смелость со стороны государства, потому что речь идёт об установлении новых правил для проведения согласованных экспериментов, — заявила А. Серебряниковав марте на круглом столе "Перспективы развития отрасли больших данных с учетом появления экспериментально-правовых режимов". — Это очень понятно бизнесу и сложно для понимания государства. Но сложилась политическая воля, и закон был принят».

Действительно, государственная воля для поддержки экспериментов с большими данными и решениями ИИ на их базе потребовалась, ведь только в части направления здравоохранения речь идёт фактически о перезагрузке телемедицины. В марте Минздрав выдал рекомендации для онлайн-приёмов больных. Госдума работает над телемедицинским законопроектом, который позволит работникам предприятий проходить медосмотры с помощью цифровых технологий. Эксперты говорят, что государство повернулось лицом к телемедицине.

ЭПР «Моё дело» — рекомендательный сервис для предпринимателей, собирающихся начать бизнес, — будет запущен уже в этом году. Предполагается, что будет создана платформа для использования обезличенных данных операторов персональных данных. И для её поддержки понадобится ввести упрощённый порядок обработки персональных данных.

По большому счёту, бизнес заинтересован в том, чтобы добавлять в свои экосистемы государственные услуги и таким образом реализовывать бесшовный переход из экосистем коммерческих компаний в госсистемы для получения государственных услуг. Проекты ЭПР позволят бизнесу снять нынешние регуляторные проблемы, связанные с использованием данных из государственных систем, ресурсов и реестров, обеспечить недискриминационный доступ бизнеса к государственным данным с использованием открытых протоколов.

Д. Тер-Степанов, заместитель гендиректора АНО «Цифровая экономика», сетует, что подобная активность воспринимается российскими регуляторами как поле для рисков, и отмечает: «У нас есть три года, чтобы в ограниченных условиях изучить возможные риски, в том числе для государства. И выявить обоснованные, чтобы не допустить в дальнейшем внедрения технологий, которые могут такие риски создавать». Эта организация помогает правительству отбирать следующие ЭПР для реализации, заботясь при этом о создании конкурентной среды для бизнес-участников.

 

РЕГУЛИРОВАНИЕ БОЛЬШИХ ДАННЫХ В РФ

Функции регулятора персональных данных граждан в нашей стране возложены на Роскомнадзор. Он ведёт реестр операторов персональных данных – по состоянию на начало 2020 г. в нём числилось 402 642 организации, в том числе:

  • государственные органы – 6829;
  • муниципальные органы – 33 862;
  • юридические лица – 334 110;
  • физические лица (в том числе ИП) – 27 841.

При этом сведения о месте нахождения баз данных с персональными данными граждан РФ, что требуется по закону, предоставили 86,75% операторов, внесённых в реестр.

Как отмечает А. Липов, глава Роскомнадзора, регулятору сложно справляться с растущим потоком жалоб, поступающих от граждан. Так, в 2019 г. их количество выросло на 20% и достигло 43 тысяч (официальные итоги 2020 г. ещё не оглашены). По каждому обращению Роскомнадзор как уполномоченный орган, занимающийся защитой прав субъектов персональных данных в сети Интернет, обращается в суд с соответствующим исковым заявлением. Но ещё более усложняет ситуацию, что активность регулятора оказывается не очень эффективной: компании, нарушающие закон о персональных данных, не пугают штрафы – их «потолок» составляет всего 75 тыс. руб. Кроме того, обработчики персональных данных передают сведения друг другу, а проверить всю цепочку ведомство не может.

Неслучайно несколько лет назад ведомство задумалось о внедрении практик по типу саморегулируемых организаций в сфере обработки ПД. Кодекс добросовестных практик в сети Интернет, разработанный Роскомнадзором, стал инструментом повышения «сознательности» компаний, обрабатывающих ПД граждан. На данный момент Кодекс поддерживают более 7 тыс. операторов персональных данных по всей России.

Свой Кодекс этики использования данных разработали два года назад Ассоциация Больших данных и Институт развития Интернета (ИРИ). Он представляет собой свод отраслевых стандартов профессионального и этического поведения, которые участники признают и обязуются исполнять. Положения Кодекса распространяются на оборот всех типов данных: от пользовательских до промышленных —и содержат принципы профессиональной этики при их сборе, обработке, использовании и хранении. За 2019–2020 гг. в соответствующем реестре разместилось 24 компании.

 

А ГДЕ ИНТЕРЕСЫ ЧЕЛОВЕКА?

Весной этого года в Совете по правам человека при Президенте РФ стартовала разработка «Цифрового кодекса». Была создана рабочая группа по защите цифровых прав граждан, в которую вошли представители ИТ-индустрии, Роскомнадзора, других профильных ведомств и эксперты. Со стороны СПЧ эту тему курирует И. Ашманов, президент ИТ-компаний «Крибрум» и «Ашманов и партнёры».

Глава СПЧ В. Фадеев считает, что российское законодательство не справляется с защитой граждан в цифровой среде. С ним согласен И. Ашманов: «Везде, где обсуждаются вопросы цифровизации, например, образовательной сферы или здравоохранения, чиновники разговаривают с бизнесом. Иногда говорят, что привлекают к своим задачам академическое сообщество. Диалога с общественностью нет». По мнению эксперта, утечки персональных данных – это не самая большая проблема, гораздо серьёзнее риск манипуляций с помощью этих данных.

Действительно, утечки данных создают основу нелегального бизнеса и приводят главным образом к финансовым потерям граждан, что теоретически поддаётся регулированию с помощью Уголовного кодекса. Манипулирование данными – это вариант «причинения добра», под который практически невозможно подвести ни УК, ни КОАП РФ. Более того, прямой ущерб для человека может не просматриваться. Он возникает персонализировано, когда конкретный человек усматривает в пользовании его ПД чей-то злой умысел.

Игорь Ашманов приводит пример: в концепции цифровизации средней школы есть понятие образовательной траектории учащегося. Но что под ней скрывается: мониторинг учебного процесса ребёнка в интересах статистики или попытка влиять на его выбор предметов для усиленного изучения?

Кто-то видит злой умысел в муниципальных программах безопасных городов с множеством видеокамер на городских улицах, а кто-то – в телемедицине. Кому-то не нравится настойчивость коммерческих компаний в навязывании услуг, которая явно связана с появлением у этих компаний некоторых сведений о гражданах. А кто-то недоволен тем, что силовые структуры умеют «вычислять» участников протестных мероприятий.

Получается, что новые понятия «цифровой суверенитет человека» и «цифровой суверенитет государства» нередко вступают в противоречия? Да, это так, подтверждает председатель Конституционного суда РФ В. Зорькин в своей статье «Право в цифровом мире» («Российская газета», 29.05.2018): «Как всегда, сложным будет отыскание баланса между регулятивными и охранительными нормами. С одной стороны, государство не должно оставлять человека в сети Интернет один на один с преступными посягательствами на его права, законные интересы и имущество. Но, с другой стороны, применяемые меры (технологии) противодействия преступности не должны превращаться в чрезмерные ограничения, посягая на саму суть (основное содержание) конституционного права на информацию и находящейся под его защитой свободы поведения человека в интернете».

 

НОВЫЙ ОБЩЕСТВЕННЫЙ ДОГОВОР?

Похоже, что, по большому счёту, речь идёт о формировании нового общественного договора между гражданами, бизнесом и государством. Договора, призванного гармонизировать цифровые «интересы» в обществе. На каких весах нужно взвешивать «добро» от повышения безопасности для человека и «зло» от потери privacy? Можно ли обеспечить такой механизм обработки ПД на стороне госструктур и бизнеса, который сделает эту обработку прозрачной и контролируемой со стороны граждан?

 

Редакция BIS Journal собрала мнения российских экспертов по этому кругу вопросов...

Смотрите также