Президент InfoWatch Наталья Касперская - о том, кто и зачем собирает персональные данные граждан

Анна Урманцева

Подавляющая часть сбора и использования персональных данных происходит сейчас в серой зоне, не охваченной законом или вниманием правоохранителей, рассказала в интервью "Известиям" президент группы компаний InfoWatch Наталья Касперская. Она считает, что в России должен появиться "цифровой кодекс", регулирующий потоки личной информации. Также Наталья Касперская подробно описала, как именно персональные данные утекают из разных источников, в том числе с помощью гаджетов-шпионов. Сегодня смартфоны подслушивают разговоры своих хозяев даже при выключенной функции голосового помощника, а умные телевизоры распознают жесты, лица и голоса.

Базы и утечки

- Какие бывают базы данных с информацией о нас, россиянах?

Данная инфляция: в DarkNet подорожал "пробив" банковских клиентов
Средняя стоимость сведений об операциях гражданина за месяц выросла на 20% - до 9,3 тыс. рублей

- Закрытые и открытые. К закрытым относится большая часть государственных баз данных, собираемых уполномоченными на это госорганами и госкорпорациями. Это медицинские базы данных, базы данных "Госуслуг" с ФИО, адресами, базы данных органов ЗАГС, МВД, данные ГИБДД о водителях, о движении транспортных потоков, электоральные данные ЦИК, информация о детях и подростках в школах, данные РЖД о пассажирах и т.п. Собирают информацию также камеры, которые в Москве, например, стоят на каждом подъезде.

Кроме государственных есть частные базы данных, их собирают коммерческие корпорации, используя свои возможности наблюдения за клиентами. К частным относятся, к примеру, базы данных банков и бюро кредитных историй, где хранятся информация обо всех кредитах, которые люди брали, и как они их отдавали.

- Эти данные собираются законно?

- По большей части да, но незаконной может быть их передача и продажа на сторону, что регулярно происходит.

- Огромный объем данных о нас собирают мобильные операторы, для чего?

Персональная безответственность: количество утечек данных в России выросло в 10 раз
Чаще всего хакеры воруют информацию о клиентах транспортных компаний

- Это информация о звонках, SMS, платежах, скачиваемых приложениях, маршрутах абонентов по городу, они привязаны к ФИО и адресу человека. Яркий пример использования данных абонентов - письмо, которое пришло мне от "эксперта" отдела продаж МТС. В нем говорилось: "Теперь мы фиксируем и анализируем всю информацию о наших абонентах - звонки, SMS, посещение сайтов, геолокацию, финансовую активность и пр. Мы поможем вам эффективнее находить ваших потенциальных клиентов". Называлась база абонентов в 60 млн человек, которые "ежедневно генерируют терабайты данных для анализа". Этих абонентов МТС анализирует по 5 тыс. метрик на основе алгоритмов анализа больших данных.

Когда абонент получает на свой мобильный какую-нибудь рекламу, это может быть как раз результат такой продажи его данных. Например, человек пять дней в неделю ездит в "Леруа Мерлен"? Замечен в районе с новостройками и ищет в поисковике, как самому положить плитку в ванной? Он явно планирует ремонт квартиры, мы покажем ему баннеры о ваших услугах. А кто-то получит приток новых клиентов. Эти данные как бы закрытые, о чем написано в пользовательских соглашениях и договорах, но в реальности мобильные операторы часто незаконно продают их на сторону, а также передают госорганам.

Гаджеты-шпионы

- Посещения сайтов в интернете тоже анализируется?

Фокус на расстоянии: россиян предупредили об опасности метаданных
Информация о файлах, отправляемых через почту и мессенджеры, может использоваться мошенниками

- Да. Огромный объем данных собирают интернет-компании: это поисковики, интернет-СМИ, социальные сети и платформы (Facebook, Instagram, "ВКонтакте", Twitter). У многих есть свои счетчики, расставленные на сайтах третьих сторон, так что они видят вас не только на своей платформе, но и по всему интернету. Очень много данных наших пользователей у иностранных игроков (Google, Facebook, Apple). Они практически не выполняют никаких наших законов, считая себя вне нашей юрисдикции.

Интернет-компании собирают данные про посещения нами их сайтов, чтение статей, комментарии и посты, лайки, перепосты, поисковые запросы, покупки и даже речь при включенном смартфоне, ноутбуке.

- То есть сами гаджеты тоже шпионят - включенный смартфон или ноутбук анализирует нашу речь?

- Да. А еще умные телевизоры распознают жесты, предметы, лица, слушают звук в комнатах. Умные колонки или дома постоянно соединены с облаком, все время слушают звук и передают данные в облако.

- То есть нашу речь слышит смартфон, даже если мы не поставили на него виртуального помощника и не активировали голосовой ввод?

- Да, у смартфона есть такая функция. Даже если вы выключите голосовой ввод, вы никак не можете проверить, что встроенная функция распознавания речи не включена.

- Компьютер тоже подслушивает наши разговоры, если голосовой ввод не активирован?

- Компьютер по-другому устроен. У него нет таких возможностей по подключению к Сети, как есть у смартфона. И, как правило, хотя это зависит от конкретной модели, нет встроенной антенны.

С чистого лица: персональные данные хотят обезличивать по закону
Это поможет бизнесу инвестировать в технологии искусственного интеллекта

- Операционные системы и приложения тоже собирают данные?

- Да. И Android, и iOS. Эти данные могут не привязываться к фамилии-имени-отчеству. Но к другим устройствам того же пользователя или его семьи, к адресу и маршрутам, покупкам - всегда. А это означает, что пользователь может быть легко вычислен.

- То есть обычный пользователь выглядит для таких анализаторов как совокупность связанных устройств?

- Именно. А еще - как совокупность больших пользовательских данных с этих устройств, которую можно всесторонне проанализировать и выяснить все о конкретном человеке и его окружении: от уровня дохода до состояния здоровья, проблем, пороков и пристрастий.

- Почтовые сервисы?

- Да. Причем надо понимать, что многие сервисы принадлежат одной компании или имеют договоренности между собой. Например, Gmail, Hotmail собирают данные пользователей в единую базу, Google анализирует их содержимое и показывает им подходящую рекламу. Если вы пишете друзьям, что хотите заняться живописью, вам обязательно покажут кисти, краски и остальные сопутствующие товары. Данные с Google объединяются с данными Facebook и т.п.

Не все люди - злодеи

- Камеры на улицах?

Штрафной батальон: за дорожные камеры в кустах хотят наказывать рублем
Самих автомобилистов избавят от "писем счастья" с таких устройств

- Конечно. Большой объем видеоматериалов собирают и частные владельцы камер на улицах города - владельцы ТЦ, магазинов, учебных заведений и т.п. Большая часть этого сбора данных происходит незаконно или вне закона, в серой зоне. То же самое можно сказать про постоянную съемку видеокамерами городских администраций и других госструктур с распознаванием лиц граждан - это делается в серой зоне, то есть на самом деле с нарушением закона о персональных данных и с нарушением Конституции, права на тайну частной жизни.

- Но вряд ли кто-то будет против камер, если с их помощью потом поймают грабителя, который зашел в подъезд. Это же делается в целях безопасности.

- Не обязательно рассматривать всех граждан как преступников. Снимать - снимайте. А вот распознавать лица, очевидно, нужно только в трех случаях.

Первый, когда человек оказался в определенной временной и пространственной окрестности вокруг произошедшего инцидента: убийства, стрельбы, драки, грабежа, ДТП, кражи, угона.

ОСАГО по осени считают: когда камеры начнут проверять полисы
Стали известны некоторые подробности запуска автоматической проверки полисов ОСАГО с помощью комплексов фото- и видеофиксации.

Второй, если человек проходит по списку злодеев в розыске, лица которых надо распознавать везде: в аэропортах, на транспорте, на улице, в других публичных местах.

Третий - можно распознавать лица или чрезвычайные ситуации на строго охраняемых территориях: внутри ведомственных заборов или рядом с секретными объектами, но только если с сотрудников взяли подписку о согласии на видеофиксацию.

В остальных случаях - нельзя. Сейчас же распознают всех и всегда, так что в руках мэрии, ГИБДД оказываются данные о наших маршрутах, знакомствах, связях, привычках, привязанные к ФИО и адресу. Это недопустимо и должно быть запрещено законодательно. В этом и должна состоять защита граждан государством.

- Подождите, но, чтобы найти преступника, который находится в списке злодеев, нужно просмотреть лица всех остальных и убедиться, что это не он. Разве не так?

- Этого не требуется. Система распознавания лиц работает сейчас довольно хорошо. Это значит, что можно просто убедиться, что заданное лицо в данный подъезд не входило. А кто входил, к задаче поиска данного конкретного преступника отношения не имеет.

Путь к тотальному контролю

- Многие люди спокойно передают свои персональные данные, так как считают, что ничего страшного с ними произойти не может. Какие тут есть потенциальные угрозы?

Письмо несчастья: банки нашли новые способы атаковать клиентов рекламой
СМС о предодобренных продуктах приходят гражданам, когда они стоят у банкоматов

- Во-первых, коммерческое давление, то есть навязчивая неотвратимая реклама. Сюда же относится продажа данных о вас другим игрокам рекламного рынка, спам почтовый и телефонный. Второе - злоупотребление данными со стороны криминала и манипуляторов: попадание данных с вашим ФИО, графиком движения по городу, маршрутами в интернете, адресом в руки тех или иных злоумышленников - финансовых мошенников, вымогателей, шантажистов, черных риелторов, сектантов. Третье - это нарушение прав на тайну личной жизни госорганами, широким классом чиновников и IT-специалистами, которые имеют доступ к этим данным по службе и не имеют при этом подписки о неразглашении или формы секретности. Здесь широкий простор для манипуляций, шантажа, перепродажи данных.

Ну и, наконец, надо понимать, что накопление данных о людях - монотонно возрастающая функция, аддитивный процесс. Все больше данных о человеке оказываются в руках госорганов и частных игроков, все больше обмена этими данными, все время возрастает охват всех сторон частной жизни. Мы движемся в сторону тотального контроля.

Персональный рейд: регулирование обезличенных данных затягивается
Сначала методы "очищения" информации граждан протестируют в "регуляторной песочнице"

- Кроме законного сбора данных, как вы упомянули выше, есть и незаконные. А также ведь есть еще и утечки, о которых нам сообщают чуть ли не каждый день. Должно ли государство защищать персональные данные его граждан?

- У нас есть норма о защите частной жизни в Конституции, недавно в п. "м" ст.71 включили тезис о том, что данные должно защищать государство. Но пока законы на эту новую норму не разработаны. Есть закон 152-ФЗ, который регулирует сбор и использование персональных данных. Однако закон защищает только те данные, которые явно помечены как персональные. А данные с камер видеонаблюдения или собираемые платформами под действие этого закона не подпадают.

Поэтому подавляющая часть сбора и использования персональных данных происходит сейчас в серой зоне, не охваченной законом или вниманием правоохранителей. Использования личных данных платформами, площадками, государственными институциями в России никак не регулируется. Это ведет к злоупотреблениям и неправомерному использованию данных, к рискам дискриминации граждан по самым разным признакам. Если не остановить сбор персональных данных кем попало, нас ждут цифровые "Фукусимы".

Увели в привате: как не стать жертвой VPN-мошенников
Любители "халявы" могут серьезно поплатиться за свою беспечность

- Как вы представляете себе такую дискриминацию? Можно ли привести гипотетические примеры?

- Представьте: девушка, вводящая в поисковике вопросы, касающиеся материнства, может быть не принята на работу - ведь анализ ее пользовательских данных показывает, что она может забеременеть в скором времени и будет не очень эффективным работником. Это - дискриминация на основании медицинских персональных данных. И это - незаконно.

Пример посложнее - любого высокопоставленного чиновника или бизнесмена можно шантажировать, если в руках у его оппонента или мошенника окажется сводка таких данных: лицо интересующего человека на камере, номер его автомобиля, ежедневные маршруты, адреса, которые он посещает, список лиц, с которыми встречается, распечатка SMS из базы его мобильного оператора.

Наше государство должно защищать тайну частной жизни и сдерживать аппетиты тех, кто пытается засунуть нас в электронный концлагерь.

- Каких законов нам не хватает?

- Думаю, у нас должен быть закон про цифровую идентичность граждан, закон о праве на тайну идентичности, закон об обороте пользовательских данных. Они должны действовать на всей территории страны. Должен появиться большой "цифровой кодекс". Эта сложная работа еще впереди.

По понятиям зоны .ru: почему шифровальщики обходят русский домен
Вирусы-вымогатели автоматизированы так, чтобы не заражать крупные отечественные промышленные компании

- На днях замглавы Совета безопасности РФ Дмитрий Медведев заявил, что Россия имеет технические возможности, чтобы обеспечить автономную работу российского сегмента интернета. То есть мы можем быть отключены в любой момент и даже этого не почувствуем. Это действительно так?

- Технически отключить нас от Рунета точно могут, так как он зависим от внешних "управляющих", как в сфере маршрутизации и доменных имен, так и в области сертификатов шифрования. Резонансные случаи отключений ряда банков ("Россия", Собинбанк, СМП банк, Инвесткапиталбанк) от платежных систем Visa и MasterCard, отключения обновлений ПО Oracle и Microsoft российским компаниям, отключения Крыма от интернет-сервисов в свое время наделали много шума и ускорили ход импортозамещения.

Для обеспечения устойчивости к отключению интернета извне нужно создать дублирующую систему корневых серверов, которую будут контролировать российские структуры и специалисты, а также внедрять отечественные сертификаты шифрования.

Закон о суверенном bнтернете должен обеспечить такую независимость. Работы ведутся. Надеюсь, многое уже сделано и мы вполне защищены от внезапного отключения Рунета.