24.09.2020
Для защиты пользователей Интернет и прохожих предлагается принять специальный Цифровой кодекс. С такой инициативой выступил Совет при Президенте России по развитию гражданского общества и правам человека. Угрозы для безопасности граждан он видит как в использовании коммерческих ресурсов, так и государственных информационных систем.
24.09.2020. АПИ — По мнению главы Совета при Президенте Российской Федерации по развитию гражданского общества и правам человека (СПЧ) Валерия Фадеева основные проблемы в сфере цифровизации связаны с травлей в социальных сетях, охраной персональных данных и слежкой через камеры видеонаблюдения. Разработкой так называемого «цифрового кодекса» займется специальная рабочая группа.
Показательным примером нарушения прав со стороны государственных структур Валерий Фадеев считает дело волонтера общественной организации «Роскомсвободы» Анны Кузнецовой. За 16 тысяч рублей она купила у некого барыги отчет о своих передвижения по Москве в течение месяца, подготовленный на основе записей с городских камер видеонаблюдения и системы идентификации лиц. «В одной Москве установлено уже более 130 тысяч камер. Если можно проникнуть в эти системы, которые будто бы защищены, и любые злоумышленники могут воспользоваться этой информацией, то это тоже серьезный вопрос, это наши права, это права человека», – заявил Валерий Фадеев на круглом столе в ТАСС.
Иск Анны Кузнецовой против Департамента информационных технологий столичной мэрии, в ведении которой находятся камеры, уже поступил в Тверской районный суд. Чиновники отрицают нарушение, так как «записи с камер городской системы видеонаблюдения представляют собой исключительно изображения и не содержат персональных данных граждан», а доступ к Единому центру хранения данных (ЕЦХД) получают только уполномоченные ведомства.
Ранее аналогичный иск к московской мэрии и управлению внутренних дел предъявляла общественная активистка Алена Попова, оштрафованная за проведение несанкционированного пикета у Госдумы. При рассмотрении этого дела полиция представила запись с камеры, которая, по утверждению подозреваемой, «целенаправленно приближала фокус (увеличивала изображение) в 32 раза с фиксацией на её лице, что свидетельствовало о применении технологии распознавания лиц». Тогда как изображение относится к биометрическим персональным данным, использование которых допускается с согласия самого гражданина или иных предусмотренных федеральным законом случаях.
Но служители Фемиды не усмотрели нарушений. Ведь Департамент информационных технологий не занимается идентификацией, а без нее само по себе изображение не является биометрическими персональными данными. А систему видеоаналитики в целях обеспечения общественной безопасности в рамках закона использует полиция: «Технология «распознавания лиц» не является запрещенным способом использования информации ее обладателем. Аналитические алгоритмы могут выявить совпадение кодов и математических векторов исходного и анализируемого видеоизображения, лишь с определенной долей вероятности (65 процентов). Соответственно, вышеописанные процессы не могут являться идентификацией личности», – заключил суд, отклоняя требования Алены Поповой. К такому же выводу пришла и апелляционная коллегия.
Более того, столичные власти намерены продолжить развитие систем видеонаблюдения и распознавания лиц – в конце сентября вице-мэр Москвы Максим Ликсутов объявил о планах внедрения технологии такой идентификации для прохода в метро. В тестовом режиме она заработает уже весной 2021 года. Но, по логике, выбирать такой способ контроля вправе будут сами пассажиры – при нежелании предоставлять свои биометрические данные москвичи и гости столицы смогут пользоваться обычными картами и иными средствами оплаты проезда.
С другой стороны внедрение технологии распознавания лиц предусмотрено действующими правилами антитеррористической защищенности ряда объектов (в том числе стадионов с целью выявления спортивных хулиганов), требованиями транспортной безопасности, а также утвержденной Правительством России Концепцией построения и развития комплекса «Безопасный город». Ограничение приватности в таких случаях законодатели считают необходимым.
Неоднозначный эксперимент провели в Пермском крае – в трех школах установили камеры, записи с которых анализируют поведение и психологическое состояние учеников. Цель проекта, именуемого «Умная и безопасная школа» – выявление опасных школьников, которые, в частности, подобно «керченскому стрелку» предрасположены к преступлениям (так называемому «скулшутингу»). Первое тестирование уже обнаружило «признаки неблагополучия» у восьми процентов детей. Эксперимент поддержали Комитет по социальной политике Пермской городской думы и администрация города.
По утверждению авторов проекта законодательство о персональных данных не нарушается, так все записи делаются с согласия родителей: «Проводились родительские собрания, где мы объясняли и показывали, как работает наша система. Детей тех, кто не согласился (таких было меньшинство), мы не загружали в базу данных. При работе система их просто не распознавала. От камер на сервер компании данные поступали только в виде кода. Даже в случае взлома получить сведения о конкретных учениках не получится», – заявил ТАСС один из авторов проекта Зураб Сичинава. Но президент компании «Крибрум» Игорь Ашманов критически оценивает эти доводы: «Родитель не вправе лишить своего ребенка всех его прав. Дети хотят иметь личную жизнь, а разработчики радуются, что взломали эту скорлупу», – убежден эксперт.
Судебная практика рассмотрения подобных споров пока остается противоречивой. Например, также пермская школа «Мастерград» (не участвующая в спорном проекте) внедрила систему биометрической идентификации лиц входящих в образовательное заведение, в том числе учащихся. Роскомнадзор усмотрел в таких действиях нарушение, суд наложил на школу 25-тысячный штраф. Однако кассационная коллегия отменила это решение, так как учебное заведение имело согласие родителей на обработку биометрических персональных данных их несовершеннолетних детей.
Напомним, что регулятор – Роскомнадзор, признает биометрическими персональными данными в том числе фотографии или видеозаписи с изображением человек, но только если они позволяют установить личность и используются оператором для идентификации гражданина. В противном случае ведение, хранение и даже публикация видеозаписей с лицами граждан, по мнению чиновников, не является нарушением (АПИ подробно писало о таких спорах – Око начальника).
Эксперты СПЧ видят опасность и в раскрытии сведений о частной жизни в социальных сетях. Хотя вся информация добровольно публикуется самими гражданами (субъектами персональных данных). Например, согласно условиям социальной сети «Вконтакте» пользователь осознает, что размещенная им информация о себе «может становиться доступной для других пользователей сайта и пользователей Интернета, может быть скопирована и распространена такими пользователями». Все регистрирующиеся в Facebook дают согласие на передачу своих персональных данных в США. При этом любую размещаемую информацию администрация признает общедоступной: «Ее видят все люди в рамках наших сервисов или за их пределами, можно увидеть или найти через поисковые системы в интернете, API и традиционные СМИ, такие как телевидение. В некоторых случаях люди, с которыми вы общаетесь и делитесь информацией, могут скачивать эти материалы или делиться ими с другими людьми», – отмечается в правилах социальной сети
Вопрос легитимности обработки таких массивов пока остается нерешенным. Так, в нарушении законодательства о персональных данных обвинили ООО «Дабл», которое скачивало профили пользователей социальных сетей «Вконтакте», «Одноклассники», «МойМир», «Instagram», «Twitter», иных открытых источников («Авито», «Авто.ру» и другие). В свою очередь АО «Национальное бюро кредитных историй» (НБКИ) обрабатывала этот массив и продавала заинтересованным компаниям обработанную информацию об их потребителях и потенциальных клиентах. «Размещение персональных данных в открытых источниках не делает их автоматически общедоступными. Таким образом, доводы о том, что согласие клиентов на обработку персональных данных не требуется, обоснованно отклонены», – заключил арбитражный суд, подтверждая законность выданного НБКИ предписания Роскомнадзора о прекращении такой деятельности.
В свою очередь ООО «В Контакте» предъявило к «агрегаторам» иск о нарушении смежных прав на базу данных. Спор длится уже три с половиной года и, по мнению экспертов в сфере интеллектуальной собственности, является прецедентным для всей отрасли.
Валерий Фадеев обеспокоен и безответственностью самих пользователей социальных сетей: «Для них нормой стали оскорбления, травля, клевета. Травят не только известных людей. При этом никаких доказательств негативных поступков нет, нарушается презумпция невиновности. Занимаются этим люди слабые или с комплексом неполноценности. В нормальной среде это невозможно – есть законы, есть правила. Что с этим делать? Закрывать Интернет и свободное общение?», – вопрошает глава СПЧ.
Формально пострадавшие от таких действий вправе предъявить иск о защите чести, достоинства и деловой репутации. Но практика свидетельствует, что владельцы (администраторы) социальных сетей не отвечают за публикации пользователей. Равно как крайне редко удается доказать авторство негативной информации – при предъявлении иска ответчики отрицают принадлежность им соответствующего аккаунта. По этой причине, например, был отклонен иск владельца ООО «Имидж Гейм» Алексея Мокрова против его бывшего партнера Артемия Пшеничного: «Истцом не предоставлены доказательства подтверждающие, что сведения, которые он просит признать порочащими его честь, достоинство и деловую репутацию, распространены ответчиком. Запись «Artemii Pshenichnyi», размещенная на интернет-страницах, не может являться надлежащим доказательством того, что лицо с указанным ником и ответчик Пшеничный А.О.. является одним и тем же лицом», – отмечается в решении суда.
С другой стороны действующий Гражданский кодекс РФ предусматривает механизм разрешения таких споров – при невозможности установить распространявшего негативные сведения лицо потерпевший вправе обратиться в суд с заявлением о признании распространенных сведений не соответствующими действительности. Но истец в лучше случае добьется удаления спорной информации, при этом рассчитывать на возмещение причиненного морального или репутационного вреда и компенсацию судебных расходов не приходится.
В 2019 году Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций получила более 43 тысяч жалоб граждан на незаконную обработку персональных данных, доводы заявителей подтвердились в 7,2 процента случаев.
В реестр на сегодняшний день включено 412,3 тысячи операторов персональных данных.
Виктор Наумов, управляющий партнер санкт-петербургского офиса юридической компании Dentons
Мы всё больше погружаемся в мир искушений технологиями, которые становятся всё более мощными, дешевыми и массовыми. Наше общество объективно не готово к таким искушениям. Большинство пользователей Интернета и гаджетов не осознает последствий, в первую очередь негативных, которые могут возникнуть, когда они дают какие-то согласия, сдают отпечатки пальцев, проходят видеоидентификацию, нажимают кнопочки и так далее. Да и государство до сих пор не продумало адекватной системы противовесов возникающим в этих условиях угрозам. Законодательство и в целом правоприменение отстают, а потому бороться с нарушениями в этой сфере становится всё сложнее.
Возникло и новое массовое явление – цифровая идентификация. Это явление требует от нас нового взгляда на регулирование доступа к информации и ее распространению. Должны ли мы всех и постоянно идентифицировать? Как найти баланс между частными и общественными интересами? Коммерческим компаниям очень выгодно идентифицировать всех и вся, а потому тут также следует искать систему противовесов. На мой взгляд, есть смысл ввести новую категорию – тайну идентификации: гражданин должен быть уверен в добровольности предоставления сведений о себе и использовании их исключительно в заявленных целях.
Но прежде чем разрабатывать новое цифровое законодательство, нужно разобраться с безумным количеством разных старых норм, которые разбросаны в огромном числе правовых актах. И бизнесу, и государству, включая правоохранительные органы, очень сложно в этом ориентироваться. Только в сфере идентификации у нас тысячи нормативных актов – от законодательства о персональных данных до «антиотмывочного», электронного нотариата и налогообложения. В разных отраслях в зависимости от текущих конъюнктурных и чаще всего не очень высокоуровневых юридических решений возникают свои принципы, терминологическая база и так далее. Без системы, которой мог бы стать «Цифровой кодекс», нам будет очень сложно отказаться от неудачных конструкций, которые были приняты и продолжают приниматься.
Игорь Ашманов, президент компании «Крибрум»
Цифровизация, конечно, полезна. Но у нашего государства и его «айтишников» она вызывает неуемный азарт – идея все записать и все обо всех знать. Это же так круто! Например, федеральный закон о едином реестра граждан был принят в нарушении закона о персональных данных, который запрещает объединять данные без заранее сформулированной цели. Единственное объяснение – это круто!
Действующий федеральный закон «О персональных данных», на мой взгляд, фактически не работает. В частности, Роскомнадзор не имеет на самом деле инструментального контроля, то есть прав проверять, как данные используются и кому передаются. Он может только проверять наличие бумажки у оператора.
По хорошему у нас должно быть право на защиту цифровой идентичности человека и право отказаться использовать цифровые технологии в принципе. Сейчас все идет к тому, что нас фактически за «шкирку» тащат в цифровой мир. Например, я не могу сказать: «Я не хочу, чтобы моих данных не было ни в одной системе, я хочу получать все на бумаге». Я не могу это сделать, нас заставляют туда влезать. Без смартфона ты становишься пораженным в правах.
Нельзя, чтобы системы искусственного интеллекта могли принимать за человека решения, работая в автоматическом режиме. Решения, которые влияют на его судьбу и на его важные жизненные аспекты. Мы идем к тому, что данные продаются широким потоком и используется при выдаче кредитов, приеме на работу и так далее. Нам нужны правовые инструменты, то есть какой-то комплекс конституционных законов о правах человека в цифровом мире, их нужно сформулировать.
В рамках программы «Цифровая экономика» идет борьба за закон об общедоступных персональных данных. Очень сильная группировка – мобильные операторы, социальные сети, поисковики и другие, продвигают идею, что собирать любые данных можно и они принадлежат площадкам. То есть если вы зарегистрировались, например, «В Контакте», ваши данные принадлежат «Контакту». Все остальные должны у него их выкупать, чтобы он отбил свои вложения. В этом смысле никакая саморегуляция работать не будет. Это все равно что поручить волкам пасти овец. Сейчас эти операторы работают в серой правовой зоне.
Максим Тимофеев, правозащитник
На мой взгляд, проблема преувеличена. Конечно, надо формировать цифровую культуру – учить основам информационной безопасности как молодых, так и пожилых. Сейчас многие опрометчиво размещают в социальных сетях в открытом доступе материалы о своей частной и порой даже личной жизни, а потом удивляются, что они используются против них. Но никакой закон не может запретить самим гражданам раскрывать информацию о себе, в том числе делать ее общедоступной.
То же самое и с так называемой цифровой идентификацией. Необходимо бороться с нарушениями – продажей государственных баз данных, сведений о передвижении и иным незаконным доступом к такой информации. Но как сама по себе идентификация нарушает права граждан? Вот сегодня утром я ехал в метро, потом зашел в торговый центр. Это не частная жизнь, а мои действия в открытых публичных местах. Кроме камер в торговом центре меня могли идентифицировать продавцы, знакомые и другие посетители. Им что, надо завязывать глаза? Равно как и бабушкам у подъездов, которые, говоря юридически, собирают персональные данные всех проходящих.
В свою очередь, действующие нормы в сфере информационного права необходимо систематизировать. В этом смысле принятие Цифрового кодекса нужно поддержать.