Закон о Big Data не обеспечит безопасность личных данных россиян
Правительство РФ заявило о разрабатываемом сейчас законе о «больших пользовательских данных», благодаря которому пользователи смогут запретить компаниям собирать информацию о себе. Последний фактор, к слову, для многих игроков бизнеса является важнейшей точкой роста. Директор компании Uniteller Алексей Богаткин считает, что наиболее правильно использовать модель регулирования в области Big Data ту же, что применяется в законе «о противодействии легализации доходов, полученных преступным путем…».
«Организация, которая продает Big Data должна в заявительном порядке разместить о себе информацию у регулятора. К этим организациям должны предъявляться требования, аналогичные требованиям к банкам по 115 статье ФЗ. Они должны проводить идентификацию своих клиентов, ограничивать доступ к информации, используя тот же список лиц, которые используют банки при ограничении предоставления финансовых операций», - уверен Богаткин.
По его словам, целью госрегулирования в этом секторе является минимизация основного риска: синтетическая информация на основе Big Data может быть использована во вред гражданину. Сложностей при внедрении закона целый спектр. Начиная с того, что требование получения согласий граждан на обработку является бессмысленным, так как в большинстве случаев невозможно определить, что является Сопутствующими данными, а что нет. К тому же далеко не всегда ясно передает ли ее гражданин, либо ее создает сама организация в процессе оказания услуг, в том числе для более лучшего оказания своих услуг. Также затруднительно будет проконтролировать и исполнение требования по получению согласия, так как согласие персонифицировано, а сопутствующие данные могут быть обезличены, и часто они образуются впоследствии.
«Как пример, ведется съемка камерой видеонаблюдения входа в ваш магазин, в кадр попадает вход в соседнее здание - чей-то дом. В процессе съемки сами собой фиксируются данные о жителях и гостях этого дома. Каким образом вы, - владелец магазина, будете оформлять согласие этих граждан на обработку этих данных?», - комментирует Богаткин.
Правительство РФ сегодня планирует регулировать тему сопутствующих данных, образующих Big Data, аналогично регулированию персональных данных. Эксперты РБК-Татарстан отмечают, что Big Data – не определенный набор данных, который как может включать персональные данные, так и может быть полностью обезличенным. Ценность в этом секторе представляют не сами конкретные данные, а информация, полученная на основе этих данных, или объединения этих данных с другим массивом Big Data, то есть синтетические данные, построенные на основе Big Data.
«Простой пример: каждый из пяти ваших знакомых говорит про вашего общего друга. Скажем, первый - где его последний раз видел, второй – о том, что они были в пятницу в баре, третий – о том, что чинил ему машину. Объединив данные, полученные от пяти знакомых, можно сделать выводы о предпочтениях вашего общего друга, о характере поведения, о его режиме дня о его собственности. В итоге мы получаем информацию, которая изначально не содержались в сообщении каждого из знакомых», - объясняет Богаткин.
Ведущий эксперт по информационной безопасности группы компаний InfoWatch Мария Воронова отмечает и еще один немаловажный фактор – неграмотность россиян в области информационной безопасности. «То, что принято называть «личной информацией» для большинства граждан в настоящий момент времени не имеет особой ценности. Данные людей практически полностью «оцифрованы» и транслированы в сети интернет. Уровень грамотности россиян в этой сфере не слишком высок. Предоставляя свои данные третьим лицам, граждане не всегда осознают сопутствующие риски», - говорит Воронова.
Чем объемнее и разнообразнее набор данных, которыми обладают злоумышленники, тем больше возможностей для преступления у них возникает. По словам Вороновой, правильно скоррелированная из разных источников информация может нанести существенный вред ее владельцу. Пользователи, предоставляющие сведения о своих платежных картах, сведениях о здоровье рискуют подвергнуться мошенничеству, «краже личности», компрометации репутации сотрудников в рамках конкурентной борьбы, взлому аккаунтов от различных сервисов, шантажу и вымогательству.
Несмотря на противоречия и пробелы, создание подобного может стать, если не решением, то важным шагом к обеспечению контроля над ситуацией с обращением больших массивов информации о пользователях, уверены эксперты.