Большая данность

Конференция «Защита персональных данных», пленарное заседание которой 8 ноября посетил корреспондент D-Russia.ru, не стала формальной демонстрацией намерений государства в отношении наших с вами ПД. Проблема обсуждалась вполне конструктивно, выступавшие пытались нащупать решение.

Высокопоставленных чиновников на мероприятии хватало, однако солировали не они, а специалисты. Депутатов, заметим, не было вовсе, по крайней мере, среди выступающих, что несомненно пошло на пользу делу.

Открыл конференцию помощник президента России Игорь Щёголев: «Государство должно найти механизмы, которые не только на правовом, но и на техническом уровне обеспечивали бы гражданам защиту их данных. Поэтому нужны подходы и средства безопасности и для взаимодействия в сети Интернет, и для набирающего обороты Интернета вещей».

Выступление Игоря Щёголева
Выступление Игоря Щёголева

Глава Роскомнадзора Александр Жаров выстроил такой логический ряд: локализация ПД (т.е. хранение их на территории России) лежит в основе цифрового суверенитета страны, который, в свою очередь, необходим для технологической независимости России.

Александр Жаров
Александр Жаров

Заместитель европейского супервайзера по защите данных Войчех Вевьюровски солидаризовался с российскими коллегами – действия Евросоюза в защиту ПД граждан абсолютно необходимы, и есть смысл если не координировать их с Россией, то, во всяком случае, обогащаться опытом друг друга.

Заместитель европейского супервайзера по защите данных Войцех Вевьюровски
Заместитель европейского супервайзера по защите данных Войчех Вевьюровски

Потом говорили эксперты. Мы воздержимся от соблазна попросту изложить их выступления по-порядку. Вместо этого рискнём представить общий взгляд на проблему, который сложился у заинтересованного слушателя.

Неясная, но страшная угроза

Мотивы государств и корпораций, стремящихся защитить персональные данные своих граждан и сотрудников, понятны: нужно обезопаситься от шпионажа, промышленного в том числе, и от самой серьёзной угрозы – манипулирования массами людей.

После Сноудена объяснять это специально не надо. Тем не менее, вспомним для наглядности некоторые из множества примеров: «кубинский твиттер«; тот факт, что в мире 90% утечек в первом полугодии 2015 года оказались связаны с компрометацией персональных данных; и что в Британии более половины всех случаев финансового мошенничества сопровождаются кражей персональных данных.

С отдельно взятым субъектом ПД, т.е. гражданином, не так. Обыватель, как правило, не понимает, чем ему грозит потеря контроля над своими ПД. Кроме того, в массе свой он искренне полагает, что в состоянии сам распоряжаться своими данными по принципу «даю кому хочу», и с лёгкостью игнорирует возмутительные случаи неисполнения корпорациями своих обязательств.

Нельзя удалить собственное фото? Да кого это волнует

Показательно обсуждение истории с фотографиями, удалёнными пользователями iPhone – как выяснили отечественные специалисты, на деле изображения и после удаления остаются доступны в iCloud.

Многие IT-специалисты в Facebook реагировали в духе «а что такого, физически удалять запись в базе данных сложнее, чем продолжать хранить», рассмотреть суть вопроса, лежащую в области этики, им и в голову не пришло.

Разубедить наивного обывателя должны трагедии, ежедневно случающиеся с нашими детьми. По данным профессора МГУ Галины Солдатовой, 40% школьников в России оказывались в ситуации, когда их аккаунт в социальных сетях взламывали. Вспомните себя ребёнком и попробуйте вновь провести рассуждение «мои данные – моё дело».

Случается такое и со взрослыми. Вот пример того, как им пришлось испытать по-детски острую обиду из-за воровства фотографий, не предназначенных для чужих глаз. Взрослые-то обидчика покарать смогли, а дети не умеют. В подавляющем большинстве случаев они не идут со своей бедой даже к родителям.

Профессор Галина Солдатова
Профессор Галина Солдатова

Понимание того, что защитить свои ПД в одиночку нельзя, что это надо делать сообща, т.е. с помощью государства, постепенно приходит — такой точки зрения, по данным Microsoft, придерживаются граждане 13 стран, включая Россию. По данным Еврокомиссии, 90% граждан 28 европейских стран не хотят раскрывать персональную информацию в Интернете.

См. также: «Хищническая добыча данных, или Почему и как государство должно заботиться об информационной гигиене» >>

Более полную картину представил директор РАЭК Сергей Плуготаренко, используя данные The Boston Consulting Group.

Шкала терпимости европейцев и граждан США к злоупотреблению их ПД – по странам и типам данных
Шкала терпимости европейцев и граждан США к злоупотреблению их ПД – по странам и типам данных

ПД большие и маленькие

Формалисты, которые придерживаются ещё одной крайности, полагая, будто за пределами 152-ФЗ «О персональных данных» легальных форм жизни ПД не существует, заявят, что аккаунт в соцсети – это никакие не ПД, раз по нему, строго говоря, нельзя идентифицировать человека.

Суждение не слишком зрелое. Сегодня по нескольким геометкам и времени, когда человек в находился в определённых местах, можно назвать его имя. Что и откуда можно будет узнать о человеке завтра, трудно даже представить. Так что если защиту ПД регламентировать только упомянутым законом, закон этот будет неисполним, заявила Наталья Касперская (InfoWatch).

Наталья Касперская
Наталья Касперская

Игорь Ашманов («Ашманов и партнёры») отмечает ограниченность формального подхода и вводит термин «большие ПД», БПД (презентация доклада здесь). Характерные признаки БПД, они же составные части определения, таковы:

  • большие – значит действительно большие, такие, которые вручную нельзя ни собрать, ни обработать;
  • порождающие новую информацию, которая больше, чем простая сумма данных (пример – навигатор «Яндекса», который из множества отрывочных наблюдений за перемещением автомобилей создает карту загруженности транспортной сети города в реальном времени);
  • поступившие из разных источников (соцсети, поисковики, камеры, смартфоны и пр.);
  • разных форматов (текст, граф связей, картинки, видео, голос);
  • с ретроспективой (накопление признаков и маркеров);
  • не просто данные, а данные о людях.
Игорь Ашманов
Игорь Ашманов

Важность такого определения не следует недооценивать. В начале нулевых Ашманов начал борьбу с несанкционированными рекламными рассылками (чрезвычайно актуальная для того времени задача) с того, что определил понятие «спам» тривиальным, казалось бы, образом. В 2002-м вышел сервис «Антиспам», представлявший собой человеко-машинную систему, на это определение «заточенную» и весьма эффективную (благодаря ей, в частности, спам в Рунете довольно быстро сошёл на нет). Аналогия, разумеется, преждевременная, но к предмету статьи, как нам представляется, отношение имеет.

Важна также, с нашей точки зрения, классификация БПД с точки зрения гражданина цифрового мира.

Слайд презентации Игоря Ашманова
Слайд презентации Игоря Ашманова

Тот, у кого длиннее технологическая цепочка (в неё в идеале входят аппаратная платформа, включая сетевые хранилища и мобильные устройства, операционная система, браузер, онлайн-сервисы, приложения, счётчики для сбора веб-статистики), тот и имеет преимущество в обладании БПД. России необходимо что-то делать, и немедленно, чтобы завтра не пришлось импортировать свои же БПД.

Что именно следует делать – это сформулировала Касперская. От компаний требуется:

  • мониторинг всех каналов утечек БПД;
  • элементарная сетевая гигиена (использование proxy-серверов для выхода в Сеть, проверка приложений на плагины, собирающие данные, использование межсетевого экрана, шлюзов в Интернет и т.п.);
  • мониторинг в открытой сети (на сайтах госорганизаций, частных компаний, форумах, в социальных сетях) публикаций информации ограниченного доступа и персональных данных (ФИО, кредитных карт, телефонов, паспортных данных и удостоверений, адресов, номеров авто, и т.п.);
  • для критически важных онлайн-ресурсов – запрет на использование внешних счётчиков и, напротив, обязательное использование программ-детекторов кода, опасного для БПД.

Государство должно обеспечить в стране исполнение закона «О персональных данных», а также:

  • защитить граждан от сбора их данных;
  • ввести стандарты на хранение и сбор БПД;
  • предложить компаниям стандартное пользовательское соглашение о защите БПД;
  • ограничить возможности передачи БПД за рубеж;
  • уравнять условия для отечественных и иностранных производителей (хранение данных на территории РФ, единое пользовательское соглашение, подчинение нашим законам);
  • добиться использования отечественных средств защиты данных в каналах их передачи, решить проблему иностранных сертификатов шифрования.

Утилитарный смысл

БПД – ресурс улучшения жизни людей, возможность развития. Пример – программа строительства детских дошкольных учреждений в России, которая без данных о заявках на места в детских садах вела бы к неэффективным затратам на строительство. Ещё пример колоссальных затрат бюджета, которые ещё 10 лет назад были совершенно необходимы и которых теперь можно избежать: перепись населения.

БПД уже породили развитой рынок, на котором продаётся практически всё и всем. Существуют онлайн-биржи, где в течение десятков миллисекунд роботы перепродают друг другу данные о профиле пользователя, чтобы показать последнему «подходящую рекламу». Бесплатность множества онлайн-сервисов, включая дорогостоящее хранения данных – мнимая, пользователь сполна расплачивается за них собственными данными.

Обществу, если оно намерено сохраниться, принципиально важно обладать своими «большими персональными данными». Были бы они, а как обработать, придумаем. В этом заключается утилитарный смысл мер, предлагаемых для защиты БПД в России.

Термин «большие данные», кстати, ясного смысла не имеет и относится не собственно к данным, а к методам их обработки, служит для того, чтобы привлечь внимание к новым (читай: машинным) приёмам извлечения информации из сведений, которые кажутся разрозненными, полагает Ашманов. Не согласиться трудно. Математическую статистику, например, никто «методами работы с большими данными» не называет, хотя она существует не первый век.

Гуманитарный смысл

В отношении ПД и БПД сегодня действует одно право – право силы. Кто может дотянуться до БПД, тот их и присваивает. Достигнутое силой обладание чужими «косвенными», «ограниченного применения» и «воруемыми» данными (см. выше слайд презентации Ашманова) либо вообще не попадает под действие законов, либо остаётся неподсудным на практике.

Последствия такого положения дел непредсказуемы, но совершенно точно не положительны и даже опасны.

Человек – самое агрессивное из животных. Это продемонстрировал нобелевский лауреат Конрад Лоренц в монографии «Агрессия», 1963. Есть и современные данные, подтверждающие выводы Лоренца. Так, недавно показано, что в неуправляемом человеческом стаде 2% особей будут убиты не водородной бомбой, не чужестранными солдатами, а сородичами, по сути – соседями. Ни волкам, ни крокодилам такая статистика не снилась.

В этом состоит ещё одна, и важнейшая, причина, по которой людям следует заботиться о сохранности мира и своих государств. В условиях же бесконтрольной, как в первобытные времена, борьбы за дефицитный ресурс, каковым являются БПД, не то что человеческая история, но даже эволюция постиндустриального homo sapiens вполне может пойти вспять.

Разумеется, это лишь гипотетическая возможность, обсуждение которой уведёт нас далеко в сторону. Но обозначить её считаем необходимым.

Фото (с) Андрей Анненков