В последнее время мы все чаще слышим о том, как персональные данные граждан утекают в Сеть. К примеру, в начале декабря 2020-го москвичей взбудоражило известие о пропаже личной информации 100 тыс. пользователей приложения «Социальный мониторинг», переболевших коронавирусом, а в октябре 2019-го данные о 60 млн кредитных карт «Сбербанка» оказались на черном рынке.
Бенефициары таких утечек — хакеры и нечистые на руку сотрудники компаний. Если не говорить о рисках мошенничества с оформлением кредита на гражданина по ксерокопии паспорта, пострадавшим могут последовать назойливые звонки с предложением услуг или покупок товаров.
Самые крупные держатели персональных данных — цифровые сервисы. Это в том числе поисковики, соцсети, сайты госорганов, интернет-магазины. Но что скрывается за размытой формулировкой «возможность передавать данные третьим лицам», вписанной в их пользовательские соглашения или согласия на обработку данных? И как онлайн-платформы зарабатывают на данных, которые мы отдаем им добровольно?
В основном собранная о вас информация в интернете может быть использована для показа рекламы. Вы сами передаете сведения о себе цифровым сервисам, или их собирают алгоритмы интернет-компаний. Долгое время этот механизм работал без лишнего шума, потребляя персональные данные пользователей и принося Facebook, Google, Amazon и подобным компаниям миллиарды долларов прибыли. Однако принцип его действия всегда оставался личным делом техногигантов.
Сегодня в России назрела необходимость в новых механизмах защиты персональных данных. Один из шагов в этом направлении — подписанный президентом в конце декабря закон, который даст россиянам право требовать полного или частичного удаления персональных данных и возможность узнать, какие третьи лица получат от оператора доступ к ним.
Теперь цифровым сервисам нужно будет собирать более конкретные разрешения от пользователей. Причем согласие на публичное распространение и использование персональных данных придется получать отдельно от других согласий. У граждан же появится возможность понять и установить условия обработки личной информации. Например, разрешать просмотр, но запрещать использование данных для аналитики или оценки кредитоспособности.
Первыми прозрачностью «алгоритмов ранжирования» озаботились власти Евросоюза. Новые, беспрецедентно жесткие законодательные меры грозят крупным интернет-компаниям не только многомиллиардными штрафами, но и обяжут их регулярно предоставлять Еврокомиссии отчеты об использовании рекламных инструментов. То есть теперь IT-гигантам нужно будет объяснять государству, конкурентам и пользователям, почему они предлагают определенный контент, товар или услугу и кто заплатил за их рекламу.
Регулирование рекламных алгоритмов напрямую связано со стремлением Евросоюза защитить права граждан и бизнеса. Общий регламент защиты персональной информации — GDPR — начал действовать в Европе в 2018 году, еще до начала масштабной регуляторной кампании. Документ, гарантирующий пользователю право знать, как интернет-платформы собирают, обрабатывают и используют его персональные данные, заслуженно считается образцовым.
Теперь же, когда европейские власти вознамерились повысить алгоритмическую прозрачность онлайн-платформ, пользователи получат еще больше возможностей контролировать оборот своей личной информации в Сети. Положения GDPR дали европейцам осознание того, что персональные данные являются их частной собственностью, которой можно распоряжаться по своему усмотрению. Именно этого фундамента сегодня не хватает нашей стране.
Как ни странно, технологические корпорации, обеспокоенные ужесточением регуляторных мер, также поддерживают повышение открытости алгоритмов и расширение прав пользователей на собственный выбор. Об этом заявили Mozilla, Twitter, Automattic и Vimeo, направившие законодателям ЕС открытое письмо. Примечательно и то, что примеру Европы уже последовали в Америке. 14 декабря Федеральная торговая комиссия США опубликовала распоряжение для Amazon, Facebook, Twitter, WhatsApp, YouTube и других IT-компаний, в котором потребовала, чтобы они раскрыли методы сбора персональных данных пользователей.
На интернет-гигантов можно воздействовать штрафами. Утечки личных данных, допущенные по вине операторов, должны возмещаться непосредственно их субъекту. Для этого необходимо создать «институт компенсаций», размер которых может варьироваться от 10 тыс. до 1 млн рублей. Эти меры в том числе позволят сформировать понимание реальной, а не абстрактной ценности персональной информации. Сейчас судебная практика показывает, что получить соразмерные выплаты граждане не могут — максимум 10–20 тыс. рублей.
Отдельное внимание стоит уделить штрафам, назначаемым государством технологическим компаниям за неисполнение законодательства. Существующие российские санкции на фоне европейских выглядят излишне мягкими. Например, последний штраф Евросоюза к Twitter из-за утечки данных пользователей, выписанный в середине декабря, составил €450 тыс. Максимальное наказание за нарушение GDPR могло составить до 2% от выручки, или €1,2 млн. В России сейчас предусмотренный КоАП штраф за нарушения в сфере обработки личной информации не превышает 75 тыс. рублей.
Помимо этого нужно ввести независимый контроль и надзор за хранением и обработкой данных и используемых для этого алгоритмов. Нет никаких сомнений, что увеличение количества электронных сервисов приведет к потреблению большего количества наших данных, а значит, эффективные способы защиты цифровых прав граждан требуются уже сейчас. И, несмотря на всю многогранность этого процесса, первые шаги должны быть сделаны именно со стороны государства.
Автор — председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России