Privacy Day 2020: карго-культ персональных данных и неэффективность РКН. Доклады приглашённых экспертов

Темами проведенной нами онлайн-конференции стали также государственные мобильные приложения, персональные и не очень персональные архивы и в сети, отчёты о прозрачности со стороны интернет-компаний, но особенно сильно от экспертов досталось всё-таки правоприменению российского закона «о персональных данных» и деятельности надзорного ведомства — об этом в третьей части наших публикаций о Privacy Day.   

.

152-ФЗ и карго-культ персональных данных

.

Юрист из Baker McKenzie Вадим Перевалов охарактеризовал российский закон о приватных данных следующим образом: он обязывает не достичь результата, а соблюдать определенные «ритуалы». Эксперт выделил следующие в рамках выполнения закона.

Первый ритуал — ритуал сбора согласий, который делают все, от  компаний до стоматологий. «Вы когда-нибудь пробовали его не подписать?» — спросил у аудитории Перевалов.  Без такого согласия ничего невозможно сделать, поэтому фактически ничье согласие не спрашивается. И нет информации о том, как эти данные будут обрабатываться, посетовал спикер.

Второй ритуал — заполнение уведомлений в Роскомнадзор. Их никто не читает, кроме одного сотрудника в ведомстве, который ими занимается, уверен эксперт. Роскомнадзор как ведомство следит за ними выборочно, только в контексте проверок.

Третий ритуал — написание политик конфиденциальности. В Европе тоже есть такое требование, но оно работает иначе.  Там сообщают, как собирают информацию, кто её может получить, при этом простым языком. У нас главные условия как будто —  множество цитат из закона, наличие привязки к компании и название «политика» в заглавии. Если документ неинформативен или не соответствует закону — с ним ничего нельзя сделать. «Полезного содержания нет», — заключил Перевалов.

Четвертый ритуал — локализация персональных данных. Это практически российское ноу-хау. В мире подобное мало где есть, и либо в облегченном варианте, либо, наоборот, отягчено, но смыслом. Возможно, на заре разработки закона имелся благой замысел по устойчивости Рунета, мол, нас отключат, а мы продолжим работать, рассуждает эксперт. Но сейчас закон написан совсем не так. В итоге гражданам неудобно, бизнес страдает, для государства тоже нет никакой пользы. Возможно, это всего лишь инструмент давления на зарубежные компании.

Пятый ритуал — уничтожение данных. Имеются в виду избыточные, устаревшие и другие сведения. И всё бы ничего, но в акте об удалении эта информация дублируется («такого-то числа удалён документ, содержащий следующие сведения о гражданине»). Получается, по фактически данные не удаляются.  

Для  изменения ситуации эксперт вывел следующие рекомендации:

— ориентироваться на результат, а не процедуры;

— дать больше свободы бизнесу, если он не нарушает чьи-либо права;

— защищать права граждан, а не Роскомнадзора.

В качестве хорошей политики конфиденциальности Перевалов привёл в пример League of Legends, у которой документ одновременно и содержательный, и развлекательно сделанный (поэтому легко читается).

.

Почему закон (152-ФЗ) 13 лет живет с неисправленными ошибками?

.

Управляющий партнёр консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников на вопрос в названии своего выступления «Почему закон 152-ФЗ 13 лет живет с неисправленными ошибками?» ответил сразу — так удобно, можно многие вещи делать и вписать их в закон или не вписывать, смотря что требуется.

Далее он указал на несколько ошибок в законе, явных, логических и других, которые и позволяют его трактовать так, как хочется. Например, блокирование персональных данных определяется как временное прекращение их обработки, в то время как следовало бы, по мнению юриста, употребить слово «использование», которое включает в себя не только обработку, но также сбор и хранение.

Другая ошибка — применение слова «уничтожение» в отношении персональных данных. По мнению юриста, здесь лучше подошло бы слово «удаление», поскольку уничтожение не подразумевает удаления — данные остаются у оператора.

Наконец, одной из ярчайших ошибок является то, что оператор должен предоставить субъекту персональных данных некоторую информацию, когда персональные данные субъекта получены оператором от третьего лица, до начала обработки данных. Но чтобы обратиться к субъекту, оператор должен собрать и записать эти данные, то есть, собственно, начать обработку, указал юрист.

Неточностью в законе является определение биометрических данных как физиологических и биологических особенностей, позволяющих установить личность. Термин не включает в себя необходимой явной связи с биометрическими методами идентификации. В противном случае и разнарядка полицейских с указанием особенностей внешности человека тоже может считаться биометрическими данными.

Интересно, что 152-ФЗ под открытыми данными явно подразумевает только информацию из телефонных справочников. Сейчас много данных в интернете, и непонятно, как регулировать их с точки зрения закона. Также закон грешит отсутствием системообразующих определений, таких как «база персональных данных», «сбор», «хранение», «использование» и др. Особенно расстраивает эксперта отсутствие определения утечки: «Нет понятия утечки — нет ответственности».

Следствия ошибок довольно значительны. Помимо трудностей для бизнеса, конечно же, есть вред и для обычных пользователей. К примеру, как удалить из отпечатанных телефонных справочников информацию, которая, получается, попала в открытый доступ без согласия субъекта персональных данных? Является ли фото на пропуск в бассейн биометрией? Можно ли использовать информацию из соцсетей? Почему не берётся согласие родственников на информацию о них при добровольном страховании сотрудника? Закон есть, но субъекту от него пользы мало, делает вывод эксперт. Документ позволяет выписывать штрафы, но реальные права не защищает. Хорошая иллюстрация — видеонаблюдение в Москве, которого в кейсе Алёны Поповой якобы нет, зато оно хорошо работает в системе цифровых пропусков. И в том и другом случае речь идет об одном владельце этих технологий — ДИТ Москвы.

Презентация Михаила Емельянникова / PDF / 1 Mb

.

Статус уполномоченного органа. Зачем нам нужен другой орган по защите данных

.

Количество протоколов и сумма наложенных штрафов — так представляет себе Роскомнадзор главный результат своей работы, заявил заведующий лабораторией правовой информатики и кибернетики МГУ Николай Дмитрик со ссылкой на презентацию отчёта ведомства.

По его словам, конечный результат подобных органов — удовлетворённость граждан защитой своих прав. Это Роскомнадзор не измеряет. Его больше интересует непосредственный результат — протоколы и штрафы. Ведомство борется за собственные полномочия и выделяемые деньги, констатировал эксперт.

Система отчетности Роскомнадзора такова, что он, во-первых, не может предъявить претензии различным министерствам, во-вторых, не подотчётен граждан, и в-третьих, действует исключительно в своих интересах.

Однако Россия является участницей Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». И в Конвенции есть требования к подобным органам: они должны обладать полной независимостью и свободой от инструкций, а их полномочия — сопровождаться достаточным финансированием. Кроме того, в документе приведён перечень того, что должен делать подобный орган — на него нужно ориентироваться.

По мнению Дмитрика, российским гражданам также может помочь институт адвокатуры. Ну и конечно — система распространения знаний, которая научит граждан и бизнес грамотно обращаться со своими данными. Штрафы ничему научить не могут, заключил эксперт.
***
«В России не важно, что написано в законе, в России важно, как понимает закон правоприменитель», — заявил после презентации спикера Михаил Емельяненков. Он рассказал, что в своей работе ищет для клиента решение, которое соответствует закону, следует правоприменительной практике и помогает клиенту решать бизнес-задачи.

Презентация НиколаяДмитрика / PDF / 1 Mb

.

Как сделать персональные архивы данных для миллионов пользователей

.

Директор по защите приватности пользователей «ВКонтакте» Александр Швец рассказал о больших реформах соцсети за последние два года.

Так, соцсеть, занявшая в Рейтинге соблюдения цифровых прав компаниями «Роскомсвободы» второе место, описала простым языком политику конфиденциальности в информационном разделе о защите данных. В 2018 году «Вконтакте» дала пользователям возможность полностью закрыть свои профили. В том же году соцсеть запустила архивацию данных пользователей. По запросу человек может получить выгруженные данные о своем профиле, платежах и пр. В 2019 году пользователям стала доступна архивация записей на стене – удобный способ быстро скрыть неактуальные публикации. Это позволяет убрать записи, но не удалять их.

«Человек имеет право на личное пространство. Мы дали ему возможность решать, что он хочет показывать о себе», — поделился Швец.

Презентация Александра Швеца / PDF / 3 Mb

.

Transparency report как путь к открытости ИТ-компаний и соблюдению цифровых прав граждан

.

Руководитель отдела по работе с пользователями «Хабра» Алексей Шевелев напомнил, что «Хабр» первым в России сделал отчёт о прозрачности. Произошло это в 2018 году после «шквала обращений» по поводу «ВКонтакте», когда стали заводить дела за репосты. «Мы подумали, что публикация информации о взаимодействии с госорганами будет полезна пользователям», — объяснил Шевелев.

Отчёт прозрачности — дело добровольное, за его отсутствие «ругать никто не будет», но он может улучшить лояльность аудитории, сказал спикер. Стоит, однако, помнить, что отчёт прозрачности не предполагает публикацию полного взаимодействия с госорганами, а только даёт информацию только о запросах по конкретным пользователям.

Выкладывая отчет, «Хабр» опасался негатива, но аудитория восприняла его хорошо. Ресурс публикует отчёт не по кварталам, а обновляет его постоянно. Изучив исследование «Роскомсвободы» о соблюдении цифровых прав пользователей компаниями, в рейтинге которого он, кстати, занял первое место,  «Хабр» внес некоторые правки, например, детальнее описал взаимодействие с госорганами.

Помогают компаниям и авторам оспаривать решения Роскомнадзора. Нелегкий опыт, признался спикер, но есть и успехи, например, в Мордовской области.

Сделав отчет, «Хабр» призвал другие ресурсы также раскрыть такие данные. Пока откликнулся только «Пикабу», который раскрыл информацию о запросах за первый квартал 2020 года.

Презентация Алексея Шевелева / PDF / 3 Mb

.

Приватность в мобильных приложениях

.

Открытость данных — важнейший приоритет для «Информационной культуры», если только это не нарушает права человека, особо отметил в начале своего доклада директор АНО «Информационная культура» Иван Бегтин.

Он рассказал об исследовании АНО о приватности мобильных приложений. Сейчас организация анализирует, какие внешние трекеры в них используются, какие разрешения запрашиваются, насколько популярны приложения, кто их разработал, какие отзывы о них, условия использования и хранения данных.

Анализ показал, что до недавних пор государство избегало разработки приложений, хотя на сейчас в России уже есть 43 госприложения. Самое популярное из них — «Госуслуги». В госприложениях до сих мало внешних трекеров и запросов разрешений, в отличие от коммерческих сервисво, однако «Социальный мониторинг» кардинально меняет картинку. «Социальный мониторинг не отдает вовне, но много накапливает внутри. У него запредельно много запросов на разрешения для такого типа приложений», — пояснил Бегтин.

Является ли государственное ПО общественным достоянием — глобальный вопрос, считает эксперт. Из него вытекает следующий — можно ли его легально декомпилировать? Другая проблема – что делать с приложениями для iPhone и iPad. Они довольно жёстко закрыты, их трудно изучать, в отличие от Android. Пока чётких ответов на эти вопросы нет.

Как повлиять на собираемые данные? Обращение к регуляторам не работает. «С «Роскомнадзором» бессмысленно вести переписку» — формально регулятор есть, но права граждан он не защищает. Единственный способ — медийное освещение проблем, полагает эксперт. Также нужно следить за ситуацией и повышать осведомленность пользователей, чем занимаются «Роскомсвобода», Центр цифровых прав и «Агора».

Если говорить о корпорациях, то противостоять им в случае необходимости, согласно мировой практике, помогают как раз таки госконтролеры. Какие-либо международные акторы взять на себя такую роль не готовы, считает Бегтин. В России же защищаться нужно от самих госконтролеров. И тут на выручку парадоксально могут прийти противодействующие им Google и Facebook.

Для того чтобы защититься самому и ни на кого не надеяться, можно использовать расширение для браузера Exodus Privacy, которые посчитают трекеры в устанавливаемых приложениях, порекомендовал Бегтин.

Презентация Ивана Бегтина / PDF / 400 kb

.

О Privacy Day 2020 — часть I
О Privacy Day 2020 — часть II

Запись стрима всей конференции:

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.