В Европе и США День защиты данных отмечают с 2007 года. Несмотря на то, что Россия входит в Совет Европы, эта дата у нас не закреплена в национальном календаре – многие о ней даже не слышали. Вероятно, первым шагом к тому, чтобы исправить ситуацию, стала конференция Privacy Day 2019.
Конференция, посвященная приватности в Сети и защите персональных данных, состоялась 28 февраля 2019 года в московском центре «Благосфера». В ней участвовали специалисты крупных IT-корпораций, представители власти и эксперты правозащитных организаций.
Участники сравнивали политики различных стран по защите данных, рассуждали, этично ли обучать искусственный интеллект на персональных данных, а также разбирали успешные кейсы компаний по обработке и хранению конфиденциальной информации.
Конференцию открыл адвокат в сфере киберправа, руководитель Центра цифровых прав Саркис Дарбинян. Он подчеркнул: тема приватности касается всех и обсуждают ее давно. В 1890 году американские юристы Сэмюэл Уоррен (Samuel Warren) и Луис Брэндис (Louis Brandeis) опубликовали статью «Право на Прайвеси», где упоминали право человека «быть оставленным в одиночестве».
Продолжил дискуссию Николай Дмитрик, руководитель департамента правового регулирования цифровой экономики Национального центра цифровой экономики МГУ им. М.В. Ломоносова. Ситуацию с защитой данных он назвал мексиканским тупиком: интересы сторон взаимно эффективно ограничивают друг друга. Правовые механизмы защиты данных не работают, при этом сама защита данных превращается в карго-культ.
Культ сложился в Африке, когда солдаты доставляли в бедные регионы продукты самолетами. Жители обособленного континента благодарили за эти дары духов – ровно до тех пор, пока Африка не получила независимость (гуманитарная помощь прекратилась). Чтобы задобрить духов, они начали воспроизводить инфраструктуру, с которой были знакомы, как умели. Так появились самые примитивные сооружения, буквально из соломы и палок.
Сейчас мы находимся в таком же положении и воспроизводим систему защиты данных, оглядываясь на Евросоюз. Россия с точки зрения ЕС, конечно, не соответствует международному тренду: наши процедуры «сделаны из соломы», уверен эксперт.
О способностях искусственного интеллекта рассказал Дмитрий Мариничев, предприниматель, интернет-омбудсмен, член экспертного совета «Агентства стратегических инициатив» и генерального совета «Деловой России». Он задал аудитории задачу: в беспилотном автомобиле едет мать с двумя детьми, в это время на дороге появляется высокопоставленный ученый. Кто окажется жертвой?
Еще по теме: Саркис Дарбинян: «цифровые репрессии усилятся»
Ответ напомнил «Матрицу»: оказалось, «ложки не существует». В цифровом мире все подсчитано и известно заранее – кто идет и едет, с какой скоростью и по какой траектории. Поэтому такие ситуации, а значит и жертвы, исключены. Мы сталкиваемся с подобными задачами из-за неопытности. Ситуация станет проще, когда искусственный интеллект будет применяться массово и не вызывать удивления. Этот переход, по мнению Дмитрия Мариничева, станет мини-революцией.
Приватность на блокчейне прокомментировал Иван Иваницкий, ведущий аналитик компании SmartDec, которая занимается программным обеспечением и созданием смарт-контрактов. На блокчейне нет людей – есть только адреса, никто не знает, какой из них кому принадлежит. Так обеспечивается анонимность. Но в то же время на блокчейне создается публичное хранилище данных без возможности модификации и удаления данных. В этом хранилище могут оказаться адрес получателя и отправителя транзакции (от кого и кому идут деньги), а также ее объем.
Еще по теме: Как использовать технологию блокчейн для социальных и общественных проектов
Таким образом, нельзя полагаться только на блокчейн, желая защитить свои интересы в киберпространстве. Свое выступление спикер завершил цитатой Бенджамина Франклина: «Те, кто готов пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности». В цифровом мире это звучит как «не стоит жертвовать приватностью и безопасностью ради удобства и комфорта».
Выступление эксперта Института исследований Интернета Мадины Касеновой было посвящено построению системы защиты данных с помощью институтов публичного и частного права. Сравнив опыт Европы и России в сфере защиты интересов пользователей, она пришла к выводу, что у нас сложилась ситуация правового нигилизма, когда закон искажает правовые реалии.
Единственным успешным кейсом защиты прав эксперт назвала дело «Иващенко против России». Страсбургский суд присудил компенсацию €4,7 тыс. журналисту Юрию Иващенко, у которого в 2009 году при возвращении из Абхазии таможенники скопировали и изучили содержимое компьютера. Складывается ситуация, выраженная простой формулой: данные – это новая нефть, а конфиденциальность – это валюта, которой мы платим за нее. Сохранить баланс между этими понятиями призван Генеральный регламент о защите персональных данных (англ. General Data Protection Regulation, GDPR).
Этому регламенту организаторы посвятили целый блок выступлений. Старший юрист PricewaterhouseCoopers Артем Дмитриев рассказал, как действуют правила GDPR в России. По его словам, регламент можно применить прямо (действуют нормы самого регламента ) или косвенно (через партнера-резидента ЕС).
Если GDPR применим, то есть два пути: либо адаптировать компанию, либо локально внедрять соответствие с GDPR в отдельных бизнес-процессах компании.
Еще по теме: Что российским фондам нужно знать про правила защиты персональных данных GDPR
В комментарии Теплице Артем Дмитриев рассказал, как быть в этой ситуации НКО: «Я рекомендую занять переговорную позицию. Сначала выяснить, какое отношение сама организация имеет к ЕС. Если она зарегистрирована в России и не имеет отношения к Европе, речь о регламенте не идет. Если это часть какой-либо крупной международной группы, стоит начать с обсуждения внутри самой группы. У Европы фундаментальный подход к GDPR, предполагается, что его будут соблюдать все. Часто представлений о существующих реалиях в отдельно взятой стране у европейских коллег нет. Поэтому сначала – переговоры и только потом решение: применять регламент или нет. Если все же применять, идти по одному из путей, описанных выше».
Отдельной большой темой стала охрана персональных данных, которую детально рассмотрел Саркис Дарбинян. Объектами защиты могут стать:
- доброе имя человека;
- честь и достоинство человека;
- деловая репутация человека или компании;
- изображение человека;
- персональные данные;
- частная жизнь;
- конфиденциальная переписка/переговоры.
Работа юристов начинается с фиксации предполагаемого нарушения. Специалисты выясняют, что представляет собой веб-ресурс, на котором распространяется порочащая информация (соцсеть, СМИ, таргетированный лендинг), кто автор материала и владелец домена, на какую аудиторию рассчитан этот ресурс.
Далее нотариус составляет протокол осмотра сайта, а лингвист выносит заключение (например, о порочащем доброе имя высказывании). Также важно собрать принтскрины и электронные копии страниц сайтов с использованием Wayback Machine или Google Cache.
Эксперт рассказал о наиболее распространенных способах обработки персональных данных, нарушающих требования законодательства. Это создание фейкового аккаунта от имени публичной личности, а также использование фото публичного лица в качестве олицетворения популярного интернет-мема, не имеющего отношения к личности «селебрити».
Если в Европе защиту персональных данных обеспечивает GDPR, то в России подобный законопроект находится на рассмотрении. Пока самым близким аналогом регламента можно считать Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» – он регулирует деятельность по обработке персональных данных. Также при нарушениях можно ссылаться на Кодекс Российской Федерации об административных правонарушениях (КоАП).
– Мы не ожидали, что такое количество людей заинтересует тема приватности. Было около 300 участников и более 20 спикеров. Это наш пилотный проект и первый Privacy Day в России, сейчас с уверенностью можно сказать, что все прошло хорошо, фидбек положительный. Одной из самых интересных тем оказалась безопасность данных (data security), обширную дискуссию вызвал кейс основателя и коммерческого директора сети Jeffrey’s Coffee Алексея Миронова. В следующем году мы проведем Privacy Day вовремя: во всем мире его отмечают 28 января, – резюмировал Саркис Дарбинян.