В настоящее время сформировался общемировой тренд в сфере защиты персональных данных — все больше государств принимают специализированные законы, регулирующие эту деятельность. В Беларуси вот уже четыре года как принят закон «О защите персональных данных», который стал правовой основой регулирования в данной сфере как для организаций, так и для граждан. С какой целью его создали? Почему бесплатные онлайн-сервисы на самом деле дорого стоят вашей приватности? Как поддельный ChatGPT может украсть жизнь человека? Почему дети готовы рисковать здоровьем ради лайков? И какие сведения нельзя хранить в мессенджерах? На эти и другие вопросы в совместном проекте БЕЛТА и компании А1 «В теме. Технологии» отвечает Ольга Шибко, заместитель начальника управления образования и коммуникации Национального центра защиты персональных данных.
— Что тут скрывать, сейчас мы оставляем свои персональные данные повсюду. Делаем покупки в интернете, собираем детей в школу, заказываем медицинские услуги не выходя из дома. И самое простое — скроллим социальные сети, общаемся в мессенджерах. Чья это забота — защита персональных данных: государства, организаций или конкретно каждого гражданина?
— В Конституции Республики Беларусь сказано о том, что государство создает условия для защиты персональных данных и безопасности личности и общества при их использовании, признавая персональные данные частью нашей личной истории. Очень здорово, что в Беларуси появился закон «О защите персональных данных», а в целях его развития — указ Главы государства, благодаря которому создан регулятор, уполномоченный орган по защите прав субъектов персональных данных — Национальный центр защиты персональных данных.
Но, какие бы идеальные условия государство ни создавало, очень многое зависит от держателей массивов персональных данных — непосредственно организаций, которые эти данные собирают. Что греха таить, на них зарабатывают. В Беларуси порядка 400 тысяч организаций, которые обрабатывают наши персональные данные. Но, если мы внимательно рассмотрим закон «О защите персональных данных», то узнаем, что операторами являются не только организации, но и физические лица, если они обрабатывают персональные данные как индивидуальные предприниматели. Или если они это делают, чтобы получить доход, но не являются ИП. Например, адвокаты, нотариусы. Даже блогер, который монетизирует свою деятельность, тоже является оператором персональных данных.
С одной стороны, закон «О защите персональных данных» обязал всех операторов, держателей массивов персональных данных, соблюдать хотя бы минимальный перечень обязательных мер по защите собираемых, хранящихся, передаваемых личных сведений. Граждан этот закон наделил широким спектром прав. Благодаря этому сегодня каждый может быть условным общественным контролером оборота наших персональных данных и на самом деле способен влиять на эти процессы.
С другой стороны, в настоящее время наблюдается тренд на развитие технологий. Мы просыпаемся и скроллим ленту в социальных сетях, используем различные гаджеты, облачные сервисы. С усовершенствованием технологий сформировалось общество, в котором за человеком ведется наблюдение извне. Зачастую в обмен на блага цивилизации, возможность быстрой коммуникации, совершения онлайн-транзакций не выходя из дома мы предоставляем наши персональные данные. Это условное базовое требование. Мы принимаем политики конфиденциальности и обработки куки, порой не читая их, и даем свое согласие на обработку персональных данных.
На первый план выходит значимая тема: взамен на некую условно бесплатную услугу мы предоставляем персональные данные. Нужно понимать, что сегодня это очень ценный актив, топливо множества бизнес-процессов. Простым языком: если бы их не было, некому было бы ту или иную услугу продавать, навязывать, формируя потребительское поведение. Есть такое прекрасное выражение: если вы ничего не платите за товар, то вы и есть товар. В данном случае товаром являются наши персональные данные, и об этом очень важно задумываться.
— С какими вопросами касательно сферы защиты прав чаще всего обращаются граждане Беларуси в Национальный центр защиты персональных данных?
— Однозначно прослеживается тенденция: люди стали чаще пользоваться своими правами, изучать нормативно-правовые акты. Сегодня есть понимание, что никто без правового акта или согласия субъекта не может передавать персональные данные третьим лицам. Не может без согласия человека распространять их в интернете просто потому, что захотелось. Уровень осведомленности существенно повлиял на рост количества жалоб, с которыми к нам обращаются граждане. Если брать просто в цифрах, то за прошлый год их количество увеличилось в 2,5 раза. Если сравнивать с предыдущим периодом — то в 5 раз.
Чаще всего люди жалуются на неправомерность предоставления персональных данных третьим лицам либо на распространение их в интернете. Как я уже говорила, сегодня это запрещено. На любое действие с персональными данными нужна правовая норма либо согласие человека.
Также достаточно часто поступают жалобы на неправомерные направления рекламных рассылок. Потому что, естественно, они поступают субъекту персональных данных на его контактный номер телефона либо мейл. Что, в свою очередь, тоже является персональными данными. Если чуть-чуть отступить, то к таковым относится любая информация, с помощью которой можно косвенно или прямо идентифицировать физическое лицо. Обладая вашим номером телефона, при этом даже не зная имени, я могу совершать некие действия и влиять на потребительское поведение. И вот звонки рекламного характера — то, что действительно очень утомило наших людей. Наверное, нет уже такого белоруса, который не сталкивался бы со звоноботами или какой-то рассылкой, на которую он не давал согласия.
Сегодня граждане понимают, что неправомерно вести аудио- или видеозапись там, где это незаконно. Мы имеем дело с такими нетривиальными жалобами, когда камера видеонаблюдения установлена в комнате для переодевания или приема пищи, даже в уборной. Аудиоданные часто хранятся свыше допустимого срока — с этим мы, конечно же, тоже боремся.
Если выделять конкретные сферы, то 33% жалоб касаются сферы торговли и услуг. Они обладают беспрецедентными масштабами обработки персональных данных. Бизнес, зарабатывая на них, несомненно должен инвестировать в их защиту. 12% жалоб касаются деятельности товариществ собственников, садоводческих товариществ. Мы часто видим, например, камеру видеонаблюдения, установленную в тамбуре между несколькими входами в квартиры, — то есть сосед следит за соседом. А ведь это тоже неправомерно: для чего ему собирать и хранить эти данные и кто имеет к ним доступ? Те же списки должников на столбе во дворе, к сожалению, и сегодня имеют место.
Достаточно часто стали жаловаться на социальные сферы — образование и здравоохранение. Многие водят детей в школу, обращаются за медицинской помощью, и связанная с этими сферами информация является достаточно чувствительной. Всегда возникают вопросы: кто имеет к ней доступ, как надежно хранятся данные? Сведения о здоровье, диагнозах, посещениях поликлиники представляют собой часть личной истории. Граждане хотят, чтобы эти данные были надежно защищены, потому что они очень чувствительные. Сведения о семье, здоровье — это то, с помощью чего мошенники зачастую могут влиять на человека, в том числе шантажировать.
Поэтому мы, как уполномоченный орган по защите прав субъектов персональных данных, получая каждую жалобу, детально разбираемся с порядком работы с персональными данными в организации, которая допустила нарушение. Порядка 70% жалоб обоснованны.
— Очень интересно, особенно про больницы. Они же тоже сейчас все аттестуются на услуги центра кибербезопасности, да?
— Верно, но повторюсь. Государство обязует операторов реализовать обязательный комплекс мер. Но всегда же есть слабое звено — человек. Когда к какой-то конфиденциальной информации имеет доступ лечащий врач, это правомерно и нормально, он ведет лечение. Но когда медсестра из любопытства смотрит, что там у ее соседа со здоровьем, и передает сведения другому человеку — это уже неправомерное действие с персональными данными.
Интересный кейс у нас был, жалоба. Бухгалтер одной из организаций, получив больничный лист сотрудника, проявила любопытство и расшифровала численно-буквенный код, содержащийся в диагнозе. Выяснилось, что он лечил депрессию, да еще и в стационаре. Бухгалтер решила, что это очень интересный информационный повод, чтобы обсудить его за чашкой кофе с коллегами. Вскоре весь завод говорил о том, что условный Иванов, Петров или Сидоров лечил депрессию. Чем закончилось? Бухгалтер была привлечена к дисциплинарной и административной ответственности, штраф у нее составил 100 базовых. Ее уволили. А еще в данном случае пострадавший имел право обратиться в суд за взысканием морального вреда. Вот к чему привело невнимательное и неуважительное отношение к чужим персональным данным.
— Мировой тренд — развитие искусственного интеллекта. Уже и мошенники его используют для звонков, видеозвонков. А как развитие ИИ повлияло на защиту и обработку персональных данных?
— Искусственный интеллект, как и любая технология, может работать как во благо, так и во вред передовых процессов цифровизации. Скажу честно, ИИ сегодня используется в некоторых из них. Например, в обработке обезличенных медицинских персональных данных, с помощью алгоритмов осуществляется их систематизация и анализ. Это прекрасно. Сегодня, пожалуй, без технологий ИИ мы обойтись не сможем, они везде, и это нормально. В то же время мошенники стали использовать против людей в том числе технологии ИИ. Вы затронули тему создания дипфейков. Если мы видим в кружочке Telegram, что звонит наш руководитель или кто-то близкий, важно помнить: сегодня можно «оживить» любое фото. Сформировать, например, очередного лидера мнений, чтобы влиять на поведение людей.
К сожалению, есть и поддельные ChatGPT, которые без навыков программирования позволяют генерировать вредоносное ПО. А потом — максимально персонализированные фишинговые письма, те самые шифровальщики. Мошеннику уже не нужно быть программистом, он использует технологии ИИ.
Опять же, сегодня в нейросети загружают базы данных для систематизации и анализа. К сожалению, туда попадают и персональные данные, и информация, содержащая коммерческую тайну. Нейросеть обучается на всех данных, которые в нее попадают. Все, что мы туда загружаем, уже не является частью нашей личной истории. Моя знакомая переживает развод, и эту проблему она решает с ChatGPT, непосредственно с ним советуется. Когда я говорю, что человек — это не набор скриптов, что лучше пойти в терапию, она отвечает: «Нет, он все точно понимает».
Технологии больших данных и искусственного интеллекта сегодня могут влиять на человека, в том числе не во благо. Есть нейросети, которые позволяют «раздеть» человека. Берем любое фото, «раздеваем» человека и можем на него каким-то образом влиять.
— Персональные данные есть и у наших детей. Как и пожилые люди, это менее защищенная категория граждан. Дети часто находятся в интернете бесконтрольно, участвуют в играх, заходят в неизвестные чат-боты и мессенджеры, где на них могут повлиять, о чем-то попросить. Как можно защитить ребенка?
— Защитить детей очень важно, потому что безопасность — это базовая потребность человека, и только в безопасности ребенок может расти и полноценно развиваться. Я — мама, и у моей 9-летней дочки на телефоне установлен родительский контроль. Как минимум базовые вещи о безопасности нашей личной информации, персональных данных должны объяснить доверительные взрослые. Это база, на которой необходимо основываться. Соцсети, интернет — кладезь наших персональных данных. Любой взлом аккаунта ребенка, подростка предоставляет возможность для манипуляций, шантажа и буллинга. Сегодня дети с этим достаточно часто сталкиваются.
Если говорить о трендах, которые навязываются интернетом и социальными сетями, уже есть официально утвержденный диагноз — снэпчат-дисморфия. Это когда дети не воспринимают свое реалистичное изображение, а используют маски и фильтры, которые «улучшают» внешность. Обратная сторона такого явления — невозможность восприятия себя, своих качеств и внешности. Дети очень зависимы от социального одобрения. Мы так устроены: хотим, чтобы нас хвалили, поощряли, и сегодня эту «подпитку» дети получают через лайки, репосты, комментарии.
Эволюционно наша психика не была готова, что за нами может наблюдать неограниченное количество лиц. Поэтому родители должны рассказать и своим примером показать, как настроить приватность, конфиденциальность в социальных сетях. Почему необходимо ограничить аудиторию. Почему в переписке в мессенджере нельзя хранить приватные фотографии, реквизиты карты. Именно в интернете дети зачастую встречают тех самых мошенников, даже не понимая, что это они и есть. За профилем «Катя, 15 лет» может скрываться 45-летний Андрей, который пригласит на встречу — и чем она закончится? Родители должны об этом говорить.
Конечно же, нельзя забывать об интернет-зависимости. Родительский контроль в моей истории помогает ограничить количество времени пребывания ребенка в интернете. И вообще показать, что мир шире, чем интернет.
— Топ-5 ваших правил по защите персональных данных.
— Я бы выделила два блока. Первый — когда наши персональные данные в обороте в сети, я бы обратила внимание на парольную политику. Пароли должны быть надежными, стойкими, их нельзя повторять для разных аккаунтов. Недавно случилась массовая утечка паролей — 16 млрд записей из многих аккаунтов. Мы как регулятор настоятельно рекомендовали всем сменить пароли. Там, где возможно, обязательно нужно устанавливать двухфакторную аутентификацию, потому что это как минимум дополнительный барьер для защиты аккаунтов. Всегда рекомендуем использовать лицензионное программное обеспечение, антивирусы, обновлять их регулярно. Ведь любое обновление — это устранение уязвимостей. Не обновленное ПО часто является способом внедрения в аккаунт, проникновения к персональным данным. Настройка конфиденциальности — это тоже базовое правило, потому что не стоит сегодня все о себе транслировать.
Но, как я уже говорила, самая большая угроза для приватности — это сам человек. Мы часто публикуем избыточную информацию о себе и о своих близких. Первый цифровой след ребенок оставляет еще до рождения, когда мама выкладывает фото УЗИ, радуясь и сообщая миру, что у нее скоро будет малыш. Четверо из пяти белорусов сталкивались с нарушениями в части оборота своих персональных данных. Это говорит о том, что мы не всегда внимательно относимся к личной информации. Фото и видео избыточно распространять не стоит. Хранить в мессенджерах фото и реквизиты банковских карт нельзя. Это базовое.
Если говорить в целом об обороте персональных данных в нашем быту, нужно понимать, что необходимо рачительно относиться к своей личной информации и так же уважительно — к чужой. Если раньше мы устанавливали границы, заборы, закрывали дверь на ключ и полагали, что так мы защитимся, то сегодня в сформировавшемся обществе наблюдения делать это стало сложнее. Нужно помнить, что нельзя распространять чужие персональные данные и передавать их третьим лицам, даже если это фото и видео. Из интересного: закон «О защите персональных данных» не регулирует личную, семейно-бытовую сферу. Иначе, как я говорю, родительские чаты школ были бы запрещены законом. Но человек не свободен в распространении информации о частной жизни другого человека и его персональных данных. Это в соответствии с законом «Об информации, информатизации и защите информации» возможно только при наличии нормы права или согласия человека. Поэтому даже публикация фото с другом требует его согласия — конечно, достаточно устного, но это правило хорошего тона.
Очень важно в Беларуси формировать культуру бережного и рачительного оборота персональных данных.
— А перед тем как что-то сделать, #Подумайте5секунд о последствиях, к которым это все может привести.
— Безусловно! Интернет точно помнит все.
Источник: БЕЛТА