IT
Новости и аналитика Аналитические статьи Большие данные, большие проблемы: как защитить приватность в эпоху цифровых технологий?

Большие данные, большие проблемы: как защитить приватность в эпоху цифровых технологий?

Большие данные, большие проблемы: как защитить приватность в эпоху цифровых технологий?
© Vector-Juice / Фотобанк Фотодженика


Цифровой след

Цифровой след – любая информация, которую пользователь оставляет в Интернете. При этом пользователь может самостоятельно оставлять сведения о себе и своей деятельности: переписываясь с кем-то онлайн, совершая онлайн-покупки или другие действия в сети. Цифровой след создает дополнительные риски для таких лиц, заметил глава практики цифрового права SEAMLESS Legal Владислав Елтовский. Доступность данных увеличивается в связи с количеством субъектов, которые имеют к ним доступ – операторов и иных лиц. Также повышение доступности обусловлен объемом данных – это не только информация, которую о себе оставляет пользователь, но и сгенерированные в отношении него данные в цифровой среде.

В первую очередь цифровой след способствует отслеживанию онлайн-активности пользователей. Многие сайты и сервисы следят за активностью пользователей для таргетирования рекламы или сбора различных аналитических данных. Это может привести к нарушению приватности, но иногда пользователи дают такое согласие, обратил внимание амбассадор Doczilla.Pro, к. ю. н. Александр Трифонов. Например, каждый сайт собирает информацию о пользователе и его действиях в сети и сохраняет их на его устройстве в виде небольших файлов – куки (cookies). Как объясняют эксперты Лаборатории Касперского, куки делают пользование сайтами и сервисами удобнее для пользователей – например, запоминают внесенные на сайт данные, чтобы при повторном посещении страницы их не нужно было вводить повторно1. Но помимо функций, полезных для посетителей сайтов, cookies также позволяют сервисам собирать данные о пользователях, чтобы предлагать на их основе материалы и показывать рекламу. Такие куки могут принадлежать не только владельцам ресурса, но и компании, с которыми они заключили партнерское соглашение (это называется "сторонние файлы cookie"). Во многом из-за этого куки и заработали себе сомнительную славу инструментов для слежки, резюмируют эксперты Лаборатории Касперского.

Когда пользователь оставляет данные в сети, он дает компаниям возможность профилировать самого пользователя и его поведение, обратил внимание Владислав Елтовский. Все это может повлиять на информационный пузырь вокруг пользователя: ограничить выбор предлагаемых товаров или услуг, а также замкнуть новостной фон. Доступность данных в сети также делает человека более уязвимыми для мошеннических атак, так как утечки в любом случае происходят из множества сервисов. Так, предоставление реквизитов банковской карты большему количеству сервисов повышает риск распространения в Интернете этих данных и получения к ним доступа со стороны мошенников.

Кроме того, утечки данных могут повлечь и более серьезные последствия, связанные с личной безопасностью. Раскрытие адреса жительства неопределенному кругу лиц может привлечь недоброжелателей. Наконец, для людей, имеющих высокую узнаваемость, цифровой след является более критичной проблемой, так как утечка даже номера телефона может послужить причиной существенных неудобств, заключил эксперт.


Как снизить количество "цифровых следов"?

Полностью скрыть цифровые следы в Интернете практически невозможно, но есть ряд советов, которые помогут минимизировать их.

  • Ограничьте передачу данных

На практике это сделать довольно сложно. Однако эксперты советуют стараться предоставлять данные только в необходимых случаях. Так, если имя и фамилия не являются обязательными, не указывать их, либо ограничиться инициалами, приводит пример Владислав Елтовский.

  • Используйте сервисы с функционалом VPN

Виртуальные частные сети помогают скрыть местоположение и защитить онлайн-активность от отслеживания, отметил Александр Трифонов.

  • Пользуйтесь анонимными браузерами

Помогает минимизировать количество собираемых данных об активности в Интернете, заметил Александр Трифонов.

  • Регулярно меняйте пароли и используйте двухфакторную аутентификацию
  • Не регистрируйтесь через аккаунты соцсетей (используя логин и пароль)
  • Не предоставляйте данные на сомнительных сайтах
  • Изучайте политики обработки данных

Специалисты в сфере защиты персональных данных неоднократно указывали на проблему нечитабельности подобных документов. Однако Владислав Елтовский советует ознакомиться с политикой обработки данных хотя бы на тех сайтах или сервисах, где предоставляются чувствительные данные [специальная категория персональных данных, к которым европейское законодательство относит биометрические данные, данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные убеждения и т.д. (ст. 9 Общего Регламента о защите персональных данных) –  прим. ГАРАНТ.РУ].

  • Удалите аккаунт, если прекращаете пользоваться сервисом

В случае прекращения использования сервиса Владислав Елтовский советует удалить аккаунт, а также потребовать удаления персональных данных и отозвать согласие на обработку. Ранее ГАРАНТ.РУ приводил подробную инструкцию, как это сделать.


Защита биометрических персональных данных

Другая важная тема в сфере защиты приватности – обработка биометрических персональных данных.

Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека. На основании этих особенностей можно установить личность человека, а также они используются оператором для установления личности субъекта персональных данных (ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", далее – Закон о персональных данных).

Обработка биометрических персональных данных должна осуществляться с письменного согласия субъекта (п. 1 ч. 1 ст. 6 Закона о персональных данных). Предоставление биометрических персональных данных не может быть обязательным, за исключением прямо предусмотренных этим законом случаев (ч. 3 ст. 11 Закона о персональных данных).

Невозможно собирать биометрию:

  • с камер наблюдения
  • из других источников, которые не предусматривают предварительного получения согласия.

К исключениям относятся:

  • реализация международных договоров РФ о реадмиссии;
  • осуществление правосудия и исполнение судебных актов;
  • проведение обязательной государственной дактилоскопической или геномной регистрации;
  • в случаях, предусмотренных законодательством РФ:
    • об обороне;
    • о безопасности;
    • о противодействии терроризму;
    • о транспортной безопасности;
    • о противодействии коррупции;
    • об оперативно-разыскной деятельности;
    • о государственной службе;
    • о порядке выезда из России и въезда в нее;
    • о гражданстве;
    • о нотариате;
    • уголовно-исполнительным законодательством.


Что относится к биометрическим персональным данным?

Роскомнадзор периодически дает разъяснения, какие сведения являются биометрическими персональными данными. Так, к биомерическим персональным данным относится цифровая фотография лица владельца загранпаспорта нового поколения, записываемая на содержащийся в нем электронный носитель (п. 6 Перечня, утв. постановлением Правительства РФ от 4 марта 2010 г. № 125) (Письмо Роскомнадзора от 29 августа 2022 г. № 08-78032). Ранее ГАРАНТ.РУ подробнее разбирался в данном вопросе, читайте в нашем материале: Биометрические персональные данные и технологии идентификации: какие правовые проблемы могут возникнуть?

Минцифры России давало подробное разъяснение в отношении того, какие сведения о человеке могут быть биометрическими персональными данными (Письмо Минцифры России от 28 августа 2020 г. № ЛБ-С-074-24059 "О методических рекомендациях").

При соблюдении следующих трех условий персональные данные признаются биометрическими.

1

Признаны такими в силу положений НПА

2

Характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность

Физиологические параметры:

  • дактилоскопические данные – отпечатки пальцев человека, обработка осуществляется только на основании Федерального закона от 25 июля 1998 г. № 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации";
  • радужная оболочка глаз;
  • анализы ДНК;
  • рост;
  • вес и др.

ВАЖНО

Проведение государственной дактилоскопической регистрации, а также использование дактилоскопической информации, осуществляются в целях идентификации личности человека. Проведение государственной дактилоскопической регистрации возможно в случаях:

  • розыска пропавших без вести граждан РФ, иностранных граждан и лиц без гражданства;
  • установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа;
  • установления личности граждан РФ, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов, удостоверяющих личность;
  • подтверждения личности граждан РФ, иностранных граждан и лиц без гражданства;
  • предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.

Таким образом, Минцифры России обращает внимание, что дактилоскопическая регистрация посетителей для осуществления однократного или многократного пропуска на территорию не подпадает под действие Закона о персональных данных и в таком случае обработка биометрических персональных данных осуществляется без наличия оснований, предусмотренных законодательством России.

Письмо Минцифры от 28 августа 2020 г. № ЛБ-С-074-24059 "О методических рекомендациях" 

Иные физиологические или биологические характеристики: изображения (фотография и видеозапись), в частности фотографические изображения обучающихся, сотрудников и посетителей организации.

3

Используются оператором для установления личности субъекта персональных данных

Не относятся к биометрическим персональным данным:

  • данные, полученные при сканировании паспорта без проведения процедур идентификации, а только для подтверждения осуществления определенных действий конкретным лицом – например, заключение договора на оказание услуг, в том числе банковских, медицинских;
  • данные, полученные при осуществлении ксерокопирования документа, удостоверяющего личность;
  • фотография в личном деле работника;
  • подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы;
  • рентгеновские или флюорографические снимки в истории болезни (медицинской карте) пациента, поскольку они не используются медицинским учреждением для установления личности пациента;
  • материалы видеосъемки в публичных местах и на охраняемой территории.

Для понимания риска утечек персональных данных также следует рассмотреть техническую сторону вопроса. Биометрические персональные делятся на две категории:

  1. непосредственно "сырые" биометрические данные – фотография в системе контроля и управления (СКУД), снятая в соответствии с ГОСТом, следы отпечатков пальцев, запись голоса и т. д.;
  2. результаты математических вычислений.
1

Непосредственно биометрические данные

Утечка данного типа биометрии могут повлечь за собой создание дипфейков для различных целей – поддельных видео, аудио, фотографий, объяснил управляющий компании RTM Group Евгений Царев. Такими целями могут быть: компрометация личной или рабочей переписки, беспрепятственное проникновение в охраняемые помещения, заем денежных средств от имени другого человека, угрозы и т. д.

Банки и клиенты банков тоже могут столкнуться с проблемами: слепок голоса (голосовой след), сохраненный мошенником именно как звук, может использоваться для совершения финансовых операций удаленно, добавила юрист, преподаватель Департамента права цифровых технологий и биоправа НИУ ВШЭ Алена Геращенко. В совокупности с другими необходимыми персональными данными (Ф. И. О., номера счетов, номера телефонов, пароли, логины) слепок голос может повысить успех проведения мошеннических действий.

Дипфейки также могут быть задействованы наряду с другими приемами и технологиями при реализации комплексных атак на малые и средние предприятия, доля которых, по оценкам RTM Group, за последний год выросла почти на 150%. В частности, может быть создан аудио-дипфейк с голосом руководителя, привел пример Евгений Царев. С помощью подделки можно позвонить в банк или крупному клиенту и авторизовать ту или иную операцию (например, на перевод денежных средств).

Сейчас подобные инциденты реализуются нечасто, но уже в следующем году Евгений Царев прогнозирует их резкий рост. Эксперт считает, что появление возможности "оплаты голосом" или "лицом" спровоцирует злоумышленников воспользоваться данной возможностью с помощью дипфейков. Именно утечки биометрических персональных данных будут куда более критичными.

2

Математические модели, которые хранятся в системе распознавания.

Утечка таких данных несет риск использования их только при взломе самой системы распознавания, объяснил Евгений Царев. Если преступник не смог взломать систему, то компрометация математически моделей интереса не представляет.

Биометрию как математические вычисления в виде формулы использовать сложно, согласилась Алена Геращенко. Гипотетический риск может быть связан с созданием цифрового образа человека не им самим, а тем, кто эти данные украл. Перспективы практического использования таких образов сомнительны, считает эксперт.


Риски утечек биометрических персональных данных

Как ранее писал ГАРАНТ.РУ, утечки персональных данных можно разделить на две группы.

  1. Утечки вследствие нарушения внутренних процессов (инцидентов) компании, которая является оператором персональных данных (в соответствии с п. 2 ст. 3 Закона о персональных данных), а также других лиц, обрабатывающих данных по поручению оператора. Сюда относятся некомпетентные действия со стороны сотрудников компании и технические проблемы, связанные с уязвимостями информационных систем.
  2. Преднамеренные "утечки". Они происходят в соответствии с бизнес-моделью компании, которая занимается продажей данных.

Ключевой риск, связанный с обработкой именно биометрических персональных данных, вытекает из самого определения, заметила управляющий партнер Legal House Ольга Звагольская. Так как закон допускает использование биометрии для идентификации человека, поэтому в случае их кражи злоумышленники будут иметь возможность "подделать" личность человека, и совершать от его имени юридически значимые действия.

Другой риск вытекает из практических особенностей обработки персональных данных. На практике для обеспечения обработки биометрических персональных данных создаются машиночитаемые базы данных, которые могут "утечь", обеспечив доступ к биометрии не только мошенникам, но и всем остальным, желающим ознакомиться с подробностями чужой личной жизни. Прочие собираемые и обрабатываемые персональные данные (например, номера телефона и Ф. И. О., адрес регистрации) неоднократно являлись предметом различных утечек, напомнила эксперт.

На данный момент вероятность утечек биометрических персональных данных ничтожно мала, обратил внимание Евгений Царев. Мошенники в большинстве случаев используют биометрию в открытом доступе – например, образцы голоса и фотографии из соцсетей.


Face Pay

Технология Face Pay – способ для бесконтактной оплаты проезда с помощью лица – применяется в Московском метро с 2020 года. В контексте защиты приватности и персональных данных у экспертов возникают противоположные мнения по вопросу безопасности использования данной технологии.

МНЕНИЕ

Полина Бадер, старший IP/IT юрист ASB Consulting Group:

"Даже интуитивно эта технология вызывает опасения, поскольку связывает две вещи, которые не хочется терять: лицо и деньги.

Биометрические персональные данные относятся к особой категории персональных данных, для обработки которых установлены специальные требования: как минимум, получение согласия субъекта в письменном виде. Московский метрополитен на текущий момент пренебрегает даже минимумом.

При попытке подключить FacePay мне предложили ознакомиться с условиями обработки персональных данных, а там – "Not Found". При этом функционал проставить галочку "согласен с условиями" и перейти на сбор биометрии работает отлично. На юридическом языке это означает, что Московский метрополитен осуществляет обработку биометрических персональных данных без надлежащего правового основания. Мы с помощником написали в техническую поддержку мобильного приложения Московского метрополитена запрос с просьбой предоставить документы, регламентирующие процессы обработки персональных данных. Нам ответили, что рассмотрят запрос в течение 30 дней.

Если не выполняются организационные требования защиты персональных данных, то с соблюдением технических мер также могут быть проблемы".


На сайте проекта указано, что "биометрические данные пользователей хранятся в зашифрованном виде на защищенных серверах в соответствии с требованиями законодательства РФ". Как заметил сертифицированный маркетолог, основатель агентства Oganov Digital Максим Оганов, такая защита подразумевает полное отсутствие изображений людей на серверах. Биометрический ключ – это дескриптор, считывающий множество точек на лице. Эксперт считает, что фактически фотографии пользователей никаким образом не могут попасть в руки мошенников или злоумышленников – сами данные хранятся на защищенных серверах банков, где действует строгий банковский протокол безопасности.

Безопасной систему считает также Евгений Царев. Он напомнил, что подключение к Face Pay добровольное, сопоставление изображения с Ф. И. О. возможно только с согласия пользователя. Эксперт подтвердил, что в базе данных хранятся только математические модели. Эксперт считает, что восстановить голос и изображение по ним невозможно – только сравнить с другими образцами. Также он заметил, что применяются специализированные стандарты для финансовых учреждений (например, Национальный стандарт РФ ГОСТ Р 57580.1-2017), что обеспечивает высокую конфиденциальность сведений.


Надежный способ защиты биометрических данных – какой он?

С технической точки зрения обеспечить абсолютную защиту данных представляется маловероятным. Развитие технологий совершенствует не только законные виды деятельности, но и расширяет возможности мошенников, хакеров и иных недобросовестных лиц, подчеркнул Владислав Елтовский. Причем введение требований об обеспечении адекватной и достаточной защиты данных предусмотрено большинством законов в сфере персональных данных в разных странах, включая Россию.

Однако на практике полностью исключить возможность утечек невозможно, даже в компаниях, которые тратят значительные ресурсы на защиту, заметил эксперт. Он считает, что это связано и с наращиванием активности хакеров, и с человеческим фактором внутри компаний. В последнем случае известны случаи утечек как в связи с незаконными действиями работников, сливающих данные, так и с банальной небрежностью, к примеру, открытие фишинговых сообщений.

МНЕНИЕ

Владислав Елтовский, глава практики цифрового права SEAMLESS Legal:

"Для надлежащей защиты данных со стороны операторов необходим более ответственной подход к их защите. Это касается технической составляющей, организационных подходов внутри компании по обеспечению защиты, регламентации процессов по обработке данных, проведения тренингов для работников, минимизации обрабатываемых данных и иных мер, обеспечивающих надлежащую, пусть и не абсолютную защиту.

С точки зрения российских законов уже довольно длительное время обсуждаются оборотные штрафы за утечки персональных данных, что может мотивировать компании более серьезно подойти к вопросам обработки персональных данных. Их принятие ожидается в скором времени, и, безусловно, повлияет на средний уровень защищенности данных.

Со стороны субъектов необходимо также развивать цифровую грамотность. Объем данных, обрабатываемых компаниями, особенно в цифровой среде, растет из года в год, и вряд ли эта тенденция изменится в ближайшее время. Таким образом, помимо расчета на добросовестность операторов данных и государства в осуществлении контроля, субъектом данных также необходимо быть более аккуратными в предоставлении сведений о себе новым оператором, а также не забывать требовать удаления своих данных их сервисов, которые уже не используются".


Можно обезопасить данные с определенным уровнем вероятности сохранения их конфиденциальности – для биометрии они не отличаются от медицинских сведений или личной переписки, заметил Евгений Царев. Но риски исключать нельзя, пока есть самое слабое звено – человек.


Правовое регулирование сферы IT в области персональных данных

Государство неоднократно предпринимало попытки по регулированию сферы IT, в частности в отношении защиты персональных данных. Рассмотрим наиболее важные с точки зрения защиты приватности.

Создание Единой биометрической системы (ЕБС) – Федеральный закон от 29 декабря 2022 г. № 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее – Закон № 572-ФЗ).

Большинство опрошенных ГАРАНТ.РУ экспертов выделили Закон № 572-ФЗ как наиболее значимый в сфере защиты данных за последние два года. Алена Геращенко также считает его самым важным нормативным актом для бизнеса. Он урегулирует новые правоотношения, складывающиеся между физическими и юридическими лицами, взаимодействующими с ЕБС, – в ней регистрируется и хранится биометрия, а также происходит идентификация или аутентификация физических лиц.

МНЕНИЕ

Владислав Елтовский, глава практики цифрового права SEAMLESS Legal:

"Теперь включение биометрии в ЕБС осуществляется исключительно на основании согласия физического лица, и в любой момент можно потребовать удаления биометрии из ЕБС. Соответственно, граждане вправе самостоятельно определить хотят ли они, чтобы их данные находились в ЕБС.

Закон об ЕБС также значительно изменил возможности бизнеса в использовании биометрических данных. Идея закона заключается в том, чтобы замкнуть все процессы по идентификации – установлению личности через принадлежащие ей биометрические данные – и аутентификации – подтверждению, что лицо, предоставившее биометрические данные, является тем, за кого себя выдает, – на ЕБС, и не допускать использования биометрии в иных системах.

На основании этого закона до 30 сентября 2023 года все коммерческие компании должны передать имеющееся биометрические данные (изображения и голос) в ЕБС.

После этого идентификация с использованием биометрии возможна только через подключения к ЕБС. Аутентификация возможна либо через ЕБС, либо через аккредитованные организации. Таким образом, любое использование биометрии – на данный момент, изображения или голоса – для целей идентификации/аутентификации для коммерческих организаций ограничен.

При этом существует и ряд исключений. В частности, это касается:

  • осуществления идентификации или аутентификации с привлечением уполномоченного сотрудника;
  • использование иной биометрической информации помимо изображения и голоса".

Ответом государства на рассмотренные риски является замыкание процессов, связанных с идентификацией по биометрии в рамках единой биометрической системы, создаваемой государством, отметила Ольга Звагольская. Размещение в указанной системе обрабатываемых биометрических данных является обязательным для банков и МФЦ. Аутентификация с использованием биометрии возможна только для аккредитованных государством организаций. Еще одним способом нивелирования рисков, предусмотренным государством, является запрет на обработку биометрии иностранными организациями.

На текущий момент этот закон касается только изображения и записи голоса, обратил внимание Владислав Елтовский. Но с 1 сентября 2024 года этот перечень биометрических данных может расшириться.

Определение случаев, когда запрещена аутентификация с использованием биометрии (Постановление Правительства РФ от 25 мая 2023 года № 815)

Документом определены случаи, когда не допускается аутентификация с использованием информационных систем организаций, осуществляющих такую аутентификацию на основе биометрических данных физлиц. К ним относятся:

  • проведение вступительных испытаний, а также промежуточных и итоговых аттестаций в образовательных организациях;
  • медицинская помощь с использованием технологий телемедицины;
  • отпуск лекарственных средств, в том числе дистанционный;
  • государственные и муниципальные услуги;
  • доступ к государственным информационным системам;
  • получение информационного добровольного согласия на медицинское вмешательство;
  • проведение медосмотров работников с использованием персональных медицинских помощников.

Новые правила подтверждения уничтожения и трансграничной передачи персональных данных – изменения в Закон о персональных данных

С 1 марта 2023 года подтверждать уничтожение персональных данных нужно в соответствии с требованиями, установленными Роскомнадзором. Также до передачи любых персональных данных за границу необходимо провести оценку получателя персональных данных и подать уведомление в Роскомнадзор. Подробнее о нововведениях читайте в наших материалах:

Цифровой кодекс

Принятие решения о кодификации в первую очередь зависит от разделения права на отрасли, в рамках которых можно выделить единый предмет регулирования, объяснил Владислав Елтовский. Наличие цифрового права как самостоятельной отрасли все еще спорный момент, но учитывая уровень развития цифровых технологий и значимости цифровых данных как для экономики, так и для жизни в целом, следует признать, что цифровая среда становится самостоятельным "местом" общественных отношений, которая зачастую имеет особенности, нетипичные для офлайн-среды.

МНЕНИЕ

Владислав Елтовский, глава практики цифрового права SEAMLESS Legal:

"Таким образом, как направление дальнейшего развития законодательства создание цифрового кодекса выглядит как разумный шаг, который поможет сделать законодательство:
(а) более соответствующим текущим общественным отношениям с технической точки зрения. Часть законов значительно устарели, что порой препятствует созданию новых цифровых продуктов;
(б) более адаптивным для довольно быстро изменяющихся технологий. На сегодняшний день создание новой технологии зачастую ставит юристов в тупик, так как возникает новый пласт общественных отношений, который не регулируется действующим законодательством. Соответственно, закрепление общих подходов и требований к развитию цифровой среды поможет установить базовые границы для развития технологий.

Кроме того, через цифровой кодекс можно попробовать уточнить и упростить текущее регулирование в цифровой среде. Сейчас зачастую формулировки законов, описывающих технические аспекты, являются чрезмерно объемными, что делает их практически нечитаемыми, особенно для людей без юридического и технического образования. Упрощение языка через имеющиеся способы юридической техники должно быть одной из дополнительных задач, которая могла бы быть решена через цифровой кодекс.

Безусловно, цифровой кодекс может и установить базу для цифровой безопасности, в первую очередь обозначив приоритет прав и свобод человека перед развитием технологий. Закрепление общих положений об обеспечении безопасности данных, безусловно, может быть одной из задач при создании цифрового кодекса.

Важно отметить, что это довольно трудоемкая задача, которая должна занять длительное время, чтобы проанализировать все изменения, которые потребуются в законах.

При этом нужно понимать, что цифровой кодекс не поможет полностью избежать "разбросанности" норм в разных актах. К примеру, законодательство о персональных данных посвящено не только обработке данных в цифровой среде, что не позволит полностью регулировать эти отношения на уровне цифрового кодекса. Аналогичным образом вопросы интеллектуальной собственности, которые актуальны для цифровой среды (в особенности для ИИ-технологий), не могут быть перенесены в цифровой кодекс, а должны регулироваться на уровне Гражданского кодекса.

Таким образом, на начальном этапе необходимо в целом определиться с объемом отношений, который будет регулироваться цифровым кодексом, и понять, насколько принятие цифрового кодекса упростит регулирования исходя из текущих норм, а не сделает его еще более запутанным".


Нововведения значительно влияют на бизнес-процессы компаний, которые предполагают взаимодействие с иностранными организациями, считает Владислав Елтовский. При любом трансграничном проекте теперь необходимо учитывать требования о трансграничной передаче.

Фактически эти нововведения налагают на операторов дополнительные обязанности с целью обеспечения безопасности обрабатываемых персональных данных, отметила старший IP/IT юрист ASB Consulting Group Полина Бадер. Однако эти изменения будут иметь ожидаемый эффект, если операторы фактически будут выполнять новые требования, а не только на бумаге. Эксперт предполагает, что этому может поспособствовать инициатива с введением оборотных штрафов. Рассмотрим другие обсуждаемые инициативы по регулированию цифрового пространства.

Оценивая принятый государством подход к регулированию защиты биометрических данных, Ольга Звагольская считает, что использование созданной государством единой системы обработки биометрических персональных данных с доступом к ней только аккредитованных организаций может нивелировать риски, связанные с утечкой самой базы. Вместе с тем, существенным риском остается возможность использовать для аутентификации в системы биометрии, украденной из иных источников.

Наличие уголовного наказания может потенциально повлиять на активность в опубликовании баз данных из слитой информации, считает Владислав Елтовский. Однако полностью это не исключит преступную деятельность, особенно учитывая ее интернациональный характер. Ужесточение закона об обработке персональных данных, а также потенциальное введение оборотных штрафов за утечки может поднять уровень защищенности данных, уверен эксперт.

Алена Геращенко считает, что стоит урегулировать серую зону биометрии – использование дактилоскопии, рисунков вен, размеров рук и прочих аналогов частными организациями. Нужно конкретизировать их правовой статус: если этих данных нет в ЕБС, возникает вопрос, можно ли их обрабатывать частным организациям.


***

Использование Интернета неизбежно несет риски оставления цифровых следов. Как справедливо заметила Полина Бадер, если есть устройство с выходом в Интернет, то получить нужную о вас информацию – это вопрос времени и денег. Реализация мер по безопасности не гарантирует полной конфиденциальности, но может снизить риски утечки данных. Большинство экспертов сходятся во мнении, что по вопросу риска использования биометрии пользователям в первую очередь нужно обезопасить себя самостоятельно: придерживаться ряда советов по минимизации цифрового следа. Чтобы снизить риски утечки биометрии, нужно рассчитывать не столько на правовое регулирование, сколько на просвещение пользователей по вопросам цифровой гигиены. Мошенникам даже не надо ничего воровать – все в открытом доступе, заключил Евгений Царев.

______________________________

1 Как правильно обращаться с cookies — практический эксперимент - Блог Касперского (https://www.kaspersky.ru/blog/how-to-control-your-cookies/32191/).

Документы по теме:

Читайте также: