Большому бизнесу – большие данные. Поговорили по душам о персональных данных, взаимодействии бизнеса и государства в этой сфере, в прямом эфире на радио “Спутник” 7 ноября 2020 г.
Как государство и бизнес поделят данные россиян?
Дискуссия с участием адвоката Оксаны Курочкиной на радио “Спутник”
Большому бизнесу – большие данные. Поговорили по душам о персональных данных, взаимодействии бизнеса и государства в этой сфере, в прямом эфире на радио “Спутник” 7 ноября 2020 г. Ниже приводим текстовую расшифровку, а видеозапись передачи смотрите здесь.
Ведущий – Никита Воронков.
Гости:
Оксана Курочкина – адвокат АК“Право для бизнеса”, член Общественного совета при Роспатенте, эксперт Торгово-промышленной палаты России, специалист по информационному праву.
Михаил Быковский – руководитель проекта “Доступ к государственным информационным системам” Ассоциации больших данных, руководитель управления по взаимодействию с органами государственной власти “Тинькофф Банк”.
Ведущий: Приветствую всех! Сегодня мы поговорим о персональных данных, вот в каком контексте: большому бизнесу – большие данные. Частные компании хотят получить доступ к государственным информационным системам и готовы за это платить. Резолюцию с соответствующим предложением направила в Правительство Ассоциация больших данных (АБД), в которую входит Яндекс, Mail.Ru Group, Сбер и мобильные операторы. Инициатива АБД, в частности, подразумевает интеграцию портала госуслуг с экосистемами крупных компаний. В Минцифры России эту идею поддержали. Замминистра Олег Качанов сообщил, что для реализации предложения планируется создать государственную “фабрику данных”, через которую бизнес сможет получать доступ к государственным информационным системам (ГИС).
При этом эксперты указывают на риск утечек данных и их использования в недобросовестных целях.
Для чего бизнесу данные государственных информационных систем, как это отразится на приватности граждан, как решить проблему утечек конфиденциальной информации – будем разбираться сегодня в эфире. У нас в гостях Оксана Леонидовна Курочкина и Михаил Юрьевич Быковский.
Оксана Курочкина: Добрый день, уважаемые друзья!
Михаил Быковский: Добрый день!
Ведущий: Давайте оттолкнемся от того, каким образом взаимодействие устроено на данный момент? Что не устраивает бизнес, в чем он хочет это взаимодействие с властями улучшить?
Михаил Быковский: Я хочу отметить, что за последние 10 лет портал госуслуг и сами электронные госуслуги качественно улучшились. Я думаю, это бесспорный момент. Экосистема государственных услуг расширяется, параллельно расширяется и бизнес, строят свои системы банки и мобильные операторы.
Что такое экосистемы, по большому счету? Это возможность в одной точке, в одном
приложении получить весь спектр необходимых тебе услуг, будь то банковские услуги, или услуги по регистрации бизнеса, или госуслуги. Собственно, мы видим, что эти экосистемы начинают пересекаться или, по крайней мере, сближаться. Бизнес хочет своим клиентам предоставлять через свои мобильные приложения доступ, в том числе, и к госуслугам, а не только к услугам своего бизнеса.
Надо сказать, что это уже происходит, в принципе, и это прекрасно работает в качестве примера. Можно назвать, например, возможность зарегистрировать ИП или ООО через банковские приложения или приложения по бухучету.
Мы видим, что в этом случае происходит переток: мы заметили, что 25 процентов клиентов предпочитают не переходить на госуслуги, а брать такую услугу у нас.
Это логично, и это не говорит, что сайт госуслуг плохой. Я еще раз скажу: он шикарный, и я уверен, будет развиваться дальше. Просто людям так удобней.
Чтобы предоставлять качественную услугу, нам нужно договориться с государством о неких параметрах качества взаимодействия наших информационных систем.
Собственно, вот ровно про это мы и начинаем сейчас диалог с государством и про это был круглый стол, про который вы сказали в начале эфира.
Поэтому первый вектор – это доступ госуслугам, с минимальной задержкой, с быстрой выдачей результата и так далее.
Мы считаем, что от этого выиграют все. Люди начнут потреблять госуслуги, вообще не замечая этого – они не будут заходить на портал госуслуг, там регистрироваться,
вводить логин и пароль и так далее. Они будут получать госуслугу вместе с другой услугой, например, бухучета или платежей за какой-то товар.
Мы с интересом наблюдаем за инициативой Минтранса “безбумажные перевозки”,
классная инициатива. Есть перевозчик, зачем ему каждый раз в таможню относить подписанные бумаги? Он может их подавать в электронном виде.
Мы говорим: здорово, а у нас полно перевозчиков среди клиентов, может быть мы
будем давать эту вашу госуслугу через наш интерфейс? Это будет удобно и востребовано. Это первое направление.
Второе направление – это действительно доступ к данным, но не к персональным. К данным о знаках на дорогах, чтобы члены ассоциации могли развивать свои дорожные сервисы. Здесь тоже нужны подготовленные параметры качества, которые бы позволили делать такие сервисы качественно.
Наша инициатива – это, прежде всего, не про персональные данные, а про доступ к государственным системам на новом качественном уровне.
Ведущий: Вопрос к Оксане Леонидовне. У нас в России вообще есть юридическое определение персональных данных или любых других данных? Это как-то различается?
Оксана Курочкина: да, у нас есть закон, принят был достаточно давно, так и называется “О персональных данных”. К сожалению, определение, которое в нем
дается, что такое персональные данные, достаточно общее и размытое. Предполагается, что у каждой стороны есть свое понимание, что такое персональные данные. К примеру, оператор сотовой связи – для него персональными данными будет номер абонента, потому что по нему можно определить, кто же является владельцем, паспортные данные будут известны и так далее. Для работодателя персональными данными будет фамилия, имя, отчество работника. Поэтому сказать четко, что такое персональные данные, дать универсальное определение, обязательное для всех – нельзя.
Ведущий: Соединенные экосистемы, взаимно интегрированные, это как? К примеру, я захожу на сайт mos.ru и я могу не регистрироваться там “от и до”, а зайти через мою учетную запись в госуслугах. Вот это и является соединенными экосистемами?
Михаил Быковский: Это достаточно примитивный пример, ну да, это так. ЕСИА – это же идентификационный сервис, которым, по большому счету, могут пользоваться все.
Насколько я понимаю, он так и задумывался. Один из функционалов – это вход во все другие гос сервисы, чтобы понимать, кто вошел. ЕСИА и означает – Единая система идентификации и аутентификации.
Ведущий: Если говорить именно о персональных данных граждан: какие конкретно данные и каким путем сейчас российские компании их получают? То есть, это с непосредственного согласия граждан, я правильно понимаю? Когда ты какую-то услугу оформляешь, то обычно там есть “галочка”. Бывает сереньким
цветом на сереньком фоне написано, тем не менее, нужно это все отметить и твои
данные уже куда-то попали, я правильно понимаю?
Михаил Быковский: Мы про государственные персональные данные говорим сейчас, которые в государственных системах хранятся?
Ведущий: Я про те и про те
Михаил Быковский: Если мы говорим про государственные данные, то государство очень щепетильно относится к получению согласия. Могу конкретный кейс привести. Банки в настоящее время обязаны считать так называемый “показатель долговой нагрузки”. Это, по сути своей, дробь, в первой части которой находится объем займов, которые вы должны выплачивать ежемесячно. Он берется банком из кредитных бюро. А в другой части дроби должен находиться, собственно говоря, ваш официальный доход за месяц, и получается такое процентное соотношение. В зависимости от величины этого процентного соотношения, банк резервирует под этот кредит – деньги на случай банкротства, это для стабильности банковской системы делается. Так вот, эти данные о доходе мы, естественно, можем получить только из официальных каналов и получаем их из Пенсионного фонда. Происходит это через государственные информационные системы, с согласия субъекта.
Как получается согласие? Вам приходит смс: “Банк Х по вашему поручению заполнил заявку на то, чтобы такие-то данные из ПФР мы предоставили этому
банку, если вы согласны, то отправьте смс с таким-то кодом”. То есть там не “да-нет”, там код. Так это работает.
Так государство получает согласие на передачу персональных данных, например, банку, в случаях, предусмотренных законами. Поэтому государство крайне щепетильно в данном вопросе, и это правильно.
Оксана Курочкина: Хочу отметить следующее. У нас зачастую нет внимательного отношения к даче согласия. Если мы внимательно почитаем то, что написано мелким шрифтом, либо вот эти отдельные соглашения, которые размещены на сайтах, то увидим, что в большинстве из них указано: давая свое согласие, вы говорите “ок” передаче своих данных третьим лицам. Ставя эту галочку, фактически, вы уже согласны с тем, что ваши персональные данные могут быть переданы без дополнительного запроса к вам, любым третьим лицам. Это могут быть и госорганы, и бизнес-структуры. Поэтому мы должны заметить: как рассматривается данная проблема с точки зрения потребителя. И насколько эти данные необходимо передавать, какой их объем действительно нужен для того, чтобы заработали экосистемы, о которых говорит Михаил.
Ведущий: Этот список третьих лиц никак не очерчивается, третьи лица – понятие очень расплывчатое.
Оксана Курочкина: Абсолютно расплывчатое понятие, и это может регулироваться только законодательством. Поэтому, как я понимаю, и возникла данная инициатива, которую поддерживает Минцифра, чтобы помочь крупному бизнесу получить доступ к данным потребителей.
Михаил Быковский: Речь идет не про упрощение получения согласия, а про качественный доступ к государственным системам. Прежде всего, для того, чтобы получать оттуда электронные государственные услуги, а не персональные данные.
Персональными данными государство, по моему глубокому убеждению, никогда торговать не будет. Деньги государство может получать за техническое
обеспечение более высокого уровня качества. Это логично, потому что это
действительно дорого и кто-то за это должен заплатить. И коль скоро мы на этом
сформируем комплексную услугу, то за неё готовы платить. Но мы не платим за персональные данные, я ещё раз повторю: государство никогда не будет
торговать персональными данными, это аксиома. Мы в жизни с такими инициативами мы не выйдем, потому что это просто глупо.
Что касается сереньких галочек. Может быть, бизнес, какой-то интернет-магазин, этим могут злоупотреблять — ok. Но если мы говорим о государстве – то вам приходит смс, в которой написано: кому, что и почему вы отдаете, и вы отвечаете на нее “да”. Поэтому, если мы хотим поговорить про проблемы в целом персональных данных, как с ними обращаются небольшие компании – то это совершенно другая
история. Но если говорить про государство, то мы просим не персональные данные. Запрос у бизнеса есть на данные, которые не относятся к персональным никак, например – картографические, о дорожных знаках, о стройках – это не персональная история.
Ведущий: А эта информация разве не содержится на портале госуслуг?
Михаил Быковский: На портале госуслуг её нет, а у Росавтодора она есть. Если он ею поделится, это может сделать существующие сервисы еще лучше, а движение на дорогах еще безопаснее, пробки меньше и пр. Потому что на сервисах бизнес зарабатывает, а заработать он может только в том случае, если сервис несет в себе удобство для клиента, какой-то value (ценность). В случае со знаками value – это выстраивание более понятного и простого маршрута, например.
Ведущий: Из сказанного вами я понял, что в общем-то бизнесу требуется для упрощения оказания услуг гражданам доступ вот к этим системам информационным, но опять же, а в чем упрощение? Так сложно зайти на
портал госуслуг? Условно, я смогу через Сбер заходить и то же самое делать, либо через Тинькофф?
Михаил Быковский: Попробую проиллюстрировать. Госуслуга – такая штука, которую хочешь не хочешь, а пойдешь и получишь. Возникает вопрос: а зачем вообще все это? Давайте останемся в бумажных историях, когда мы стояли в очереди в кассы, чтобы забрать бланк, его заполнить, ошибиться, отдать. Как бы все равно госуслугу потребят. Тем не менее, стали делать электронные госуслуги, зачем? Это экономит время, это удобно, это классно. Согласитесь со мной, что это здорово.
Мы говорим, что это будет просто следующий шаг: вы сможете госуслугу получить не на портале госуслуг, а через то приложение, которым вы в данный момент пользуетесь. Давайте на примере. Есть такая штука – ипотека. По сути своей, это целый комплекс сделок, первая сделка – это кредит. Вторая сделка – это регистрация залога, потому что вы квартиру свою оставляете залог, или вы получаете кредит на квартиру, которая будет залоге после этого. Вам мало подписать договор с банком, это по закону так, банк это не может сделать за вас. Это делается вместе – отдать сделку на регистрацию в Росреестр. Как это работает у технологичных банков: к вам один раз приезжает представитель, или вы один раз приходите в офис, заполняете все абсолютно документы, вам выдается
электронная подпись, и всё. Дальше все действия, как регистрация, так и снятие обременения – все происходит уже удаленно, по большому счету, без вашего участия. Вам приходит смс: “мы вас зарегистрировали” или “обременение снято”. Но
это же круто! Вот мы про такие кейсы. Их на самом деле миллион, и когда экосистемы будут состыковываться и будет больше и больше таких кейсов, людям будет все удобнее удобнее. Они будут получать сервис и частного бизнеса, и государственных услуг – в одном флаконе. Вот про что идёт речь.
Оксана Курочкина: Мы, безусловно, не можем отрицать, что идет прогресс, информационные технологии и развитие электронной системы государственных услуг способствует тому, что наша жизнь становится проще, быстрее, интересней. Мы уже не должны тратить столько времени, усилий на совершение формальных операций. Но мне бы не хотелось, чтобы у нас сложилось мнение: чтобы воспользоваться той либо иной госуслугой, мы должны в обязательном порядке предоставить согласие на использование своих персональных данных.
На эту тему высказался Верховный Суд. В начале 2020 года он вынес кассационное определение, в котором четко указал, что предоставление государственной услуги не связано с тем, что гражданин отказался от предоставления согласия на использование своих персональных данных. Отказ в реализации такой госуслуги является незаконным. Это очень серьезный момент, на него надо обратить внимание. Я не совсем понимаю, как именно потребители, наши граждане будут иметь возможность влиять на то, каким образом будут использоваться их данные. Адрес электронной почты, пароль, доступ к электронным сервисам государственных органов – насколько это будет защищено. Не получится ли так, что мы, предоставляя данную информацию, окажемся совершенно в беззащитной ситуации, с учетом того, что все государственные структуры подвержены утечкам.
Здесь Россия никаким образом не является исключением. Все, наверное, слышали, буквально в начале октября прошла информация о том, что в открытом доступе появились данные на почти всех избирателей США. То же самое в этом году случилось в Израиле, в Индии. Данные банковских счетов клиентов оказались в открытом доступе, мы сплошь и рядом это видим, поэтому надо очень взвешенно подойти к тому, какой объем информации все-таки предоставляется.
Ведущий: Да, этого важная проблема. Я когда готовился к передаче, отобрал некоторые примеры. Просто как снежный ком, вижу новости за последние сутки: порядка 1 млн 200 тыс данных пользователей программы накопления бонусов “РЖД Бонус” попали в открытый доступ. Там, правда, из персональной информации: фамилия, имя, отчество, телефон, пароль. Я не знаю, насколько с этой информацией могут работать мошенники, но это неприятно, как минимум. И дело, похоже, в халатности человека (сотрудника). Какое место занимает в
утечках именно человеческий фактор, или это происходит за счет грамотных действий злоумышленников?
Михаил Быковский: У нас очень любят рассказывать, как страшно жить. Действительно, такие кейсы случаются, это трудно отрицать. Аварии случаются, давайте не ездить на машинах. Наверное, утечки – это не повод отказываться от прогресса.
Ведущий: Давайте тогда скоростной режим наладим, обустроим дорожные магистрали (чтобы аварии не случались).
Михаил Быковский: Видимо, мы говорим об одном и том же. Если мы говорим о том, что нам нужные параметры качества по доступу в государственную систему, то они, безусловно, включают в себя и параметры безопасности. Просто в данном случае по этому параметру мы скорее рассчитываем, что государство его нам обозначит. Потому что все эти активности происходят с участием органов безопасности. В том числе поэтому я думаю, что тут скорее все будет очень хорошо защищено.
А вот те примеры, которые мы видим, говорят, что все-таки не госданные утекают, а из каких-то компаний, пусть и государственных. Мне лично кажется, что у нас почему-то очень плохо работает институт исков. Вот почему бы Оксане не собрать людей, которые пострадали от утечки персональных данных “РЖД Бонус”, не взыскать убытки, моральный вред. Почему-то этого никто у нас не делает, вот может быть вы расскажете, почему.
Ведущий: А как, кстати, собрать этих людей? Это значит, нужно получить доступ к этим данным, это не является правонарушением?
Оксана Курочкина: Я участник “РЖД бонус” и это, как вы сказали, неприятно. Мне не хотелось бы, чтобы мои данные оказались в системе непонятно какой, были предоставлены неизвестно кому. Сейчас этот процесс неконтролируемый.
Ведущий: Оксана Леонидовна, если, например, мои персональные данные утекли в сеть и могут быть скомпрометированы, в таком случае каким-то образом мои права
защищены? Вот что делать, идти в суд? Может ли кто-то кредит на меня оформить или что-то ещё?
Оксана Курочкина: У нас есть и административная ответственность лиц, которые окажутся виновны в утечке персональных данных, речь идет и о должностных лицах и о юридических лицах. У нас есть уголовная ответственность за нарушение права на неприкосновенность личности, это конституционное нарушение. Это очень серьезная проблема и здесь, безусловно, сама государственная машина привлекает
виновных к ответственности, наказывает штрафом, приостановлением деятельности. И есть право граждан на защиту своих интересов в рамках судебной системы. Речь идет об исках, они могут быть как частные от одного лица, так и коллективные иски. Но здесь необходимо понять, что нужно гражданам, которые хотят через суд защитить свои интересы. Необходимо будет доказать, что разглашение их персональных данных повлекло ущерб, и должна быть доказана
причинно-следственная связь. Какой может быть ущерб от того, что мне позвонили на следующий день после утечки моих данных, и предложили воспользоваться услугами какого-нибудь банка? Не знаю, как суд может оценить такой ущерб. Если речь идет о более глобальных ситуациях, как оформление кредита, в таком случае можно говорить о том, что мои права серьезно нарушены и ущерб этот установить возможно. Но процессы эти у нас в Российской Федерации, к сожалению, пока не получили большого развития, поскольку сама система не дает такой возможности. Те санкции, которые накладываются, и те суммы, которые подлежат взысканию, крайне малы. То есть, как говорят, овчинка выделки не стоит. Можно сказать, что даже такие серьезные истории, связанные с крушениями самолетов и поездов, когда были массовые коллективные иски пострадавших лиц, не привели к какому-то большому, значимому финансовому компенсационному результату.
Ведущий: Это о чем говорит?
Оксана Курочкина: Это говорит о том, что мы можем ругать или жаловаться на судебные системы других стран, можем смеяться со стаканчиков в Макдональдсе с надписью “осторожно, горячее!” Это всё говорит о том, что при каких-либо нарушениях прав граждан в других странах идут достаточно серьезные финансовые санкции. Поэтому становится проще написать на том же стаканчике “осторожно, горячее!”, чем потом разбираться с многомиллионными исками. Если бы у нас такая практика хотя бы постепенно начала работать, то исков стало бы больше, и ответственность стала бы более серьезной. Сейчас мы видим, по большей части, довольно халатное отношение к персональным данным, как со стороны бизнеса, так и со стороны чиновников.
Ведущий: Михаил, скажите как представитель бизнеса, правоохранители и
силовики как могут получить доступ к персональным данным? Просто какой-то запрос, или нужно прийти с ордером из суда, показать его и получить нужную им информацию на вашего клиента?
Михаил Быковский: Мне кажется, это вопрос больше к Оксане. Я могу только сказать, что конечно же нет, это регламентировано законом об оперативно-розыскной деятельности, зависит от категории информации. Потому что данные могут относиться ещё к банковской тайне, не только к персональным данным. И там вплоть до решения суда. В любом случае, просто какой-то опер не может прийти и получить эти данные просто так.
Ведущий: Оксана Леонидовна, может быть не про банки, а про другие компании. Недавно Яндекс опубликовал, какие запросы делались правоохранителями, какие запросы компания удовлетворяла. Насколько я понял, там достаточно простая процедура, это относится вот к той пометке про передачу данных третьим лицам, или нет?
Оксана Курочкина: Не совсем. Передача данных третьим лицам – это всё-таки использование информации для коммерческих целей, либо сбор информации для статистической отчетности и т.д. Здесь же данные могут быть действительно
предоставлены, как говорил Михаил, в рамках оперативно-розыскной деятельности, и иногда подобные данные предоставляются по решению суда. Мы, граждане, не являемся сторонами по подобным делам, они рассматриваются без вызова
сторон. К примеру, о том, что какой-то правоохранительный орган хочет получить доступ к вашему почтовому ящику – вы об этом узнаете, может быть, случайно, если дело дойдет до суда и вас привлекут к ответственности, и в материалах дела окажутся эти факты. То есть, вас не уведомляют об этом. Таким образом происходит передача данных от почтовых операторов и от мобильных операторов правоохранительным органам.
Ведущий: Что касается, опять же, утечек персональных данных. Я думаю, ни для кого не секрет, что если покопаться в интернете, то можно найти предложения о продаже разных баз данных. То есть, всему есть своя цена и я даже не говорю
о браузере Tor, о Даркнете, вот банально в поисковике, если поискать. С этим как можно бороться и в чем здесь проблема? Это будет всегда, пока мы в технологическом веке обитаем?
Оксана Курочкина: На мой взгляд, проблема будет всегда, ее можно только снизить. Здесь важно соблюсти несколько прав. Для себя я выделяю следующие.
1) “Право знать”, то есть необходимо подробно раскрывать в своих политиках о конфиденциальности, каким образом будет использоваться информация, как она обрабатывается и кому будет передаваться.
2) “Право на доступ и удаление”, то есть гражданин вправе обратиться с просьбой предоставить ему информацию, какие персональные данные имеются и запросить удаление этих данных.
3) “Право на отказ”, а именно – пользователи должны в обязательном порядке уведомляться о том, что их данные будут использованы в коммерческих целях. И должно быть право гражданина отказаться от этого.
4) “Право на безопасность данных и раскрытие информации”, какие меры по защите персональных данных предпринимаются, разумные, достаточные, есть ли обязательное страхование.
Если все эти элементы будут присутствовать, то какой-то минимум защиты мы получим.
Ведущий: К сожалению, констатирую, что время нашего эфира закончилось. Спасибо вам большое за то, что пришли сегодня к там студию! Тема действительно актуальна и она в будущем будет только набирать обороты.
Спасибо большое нашим гостям!