banner banner

Почему персональные данные в Украине – практически незащищены?

Кражи и продажу персональных данных украинцев случаются в нашей стране с опасной периодичностью, – средства массовой информации буквально пестрят сообщениями об очередных жертвах мошенников. И хоть в Украине еще с 2010 года действует закон "О защите персональных данных", на практике он не работает. Фактически граждане беззащитны перед игроками мощной теневой индустрии, специализирующейся на незаконной торговле частной информацией украинцев.

Почему персональные данные в Украине – практически незащищены?
из открытых источников

Олег Титамир

Президент ОО "Украинская организация защиты потребителей услуг"

Кражи и продажу персональных данных украинцев случаются в нашей стране с опасной периодичностью, – средства массовой информации буквально пестрят сообщениями об очередных жертвах мошенников. И хоть в Украине еще с 2010 года действует закон "О защите персональных данных", на практике он не работает. Фактически граждане беззащитны перед игроками мощной теневой индустрии, специализирующейся на незаконной торговле частной информацией украинцев.

Мифическая "приватность"

Несколько лет назад основатель глобальной платежной системы PayPal Макс Левчин назвал метаданные – не больше и не меньше – "нефтью XXI века". По большей части, это – персональные данные клиентов мобильной индустрии, пользователей интернета, потребителей онлайн-торговли, различных мобильных приложений, других смарт-сервисов и тому подобное. Очевидно, что сфера применения метаданных является весьма широкой - от избирательных компаний, маркетинга и оценки финансовых, страховых рисков до сферы безопасности, разведывательной деятельности и тому подобное. В информационную эру рядовой человек открыт для посторонних лиц, как никогда. Ведь, пользуясь интернетом, электронной почтой или мобильной связью, он везде оставляет т. н. "цифровой след", из которого "третьи лица" могут незаконно добыть персональные данные лица.

Проблема заключается в том, с какой именно целью – законной или преступной - новые "распорядители" используют чужие личные данные. Наиболее "невинное" применение персональной информации граждан - это рекламные рассылки на электронные адреса потребителей или звонки на их мобильные номера с предложениями определенных товаров или услуг. И в огромном количестве случаев мошенники воруют персональные данные граждан, чтобы завладеть их деньгами или другой собственностью, в некоторых случаях даже речь идет о рейдерстве движимого или недвижимого имущества. И если раньше носители с базами персональных данных граждан можно было приобрести на некоторых столичных рынках, то сейчас теневые "брокеры данных" торгуют ими в сети, и не только в даркнете. К сожалению, в Украине такая практика является крайне распространенной и в основном безнаказанной, несмотря на то, что закон якобы защищает приватность граждан.

Так, согласно действующему законодательству, персональные данные относятся к конфиденциальной информации о лице - это, в частности, данные о его национальности, образовании, семейном положении, религиозных убеждениях, состоянии здоровья, а также адрес, дата и место рождения. Этими данными, согласно решению Конституционного суда от 20.01.2012 г. № 2-рп/2012 г., является также информация о личных имущественных и неимущественных отношениях конкретного человека с другими лицами, в том числе членами семьи, сведения о событиях и явлениях, происходивших или происходящих в бытовой, интимной, товарищеской, профессиональной, деловой и других сферах жизни человека и тому подобное.

Новости по теме

Согласно ст. 12 и 14 закона "О защите персональных данных", каждое лицо должно дать согласие на их распространение и имеет право знать, кому передаются его персональные данные. Без такого согласия их распространение является незаконным.

На бумаге все выглядит прекрасно. А как на практике? Думаю, многие помнят громкий скандал годичной давности – с масштабной утечкой персональной (и в основном – актуальной!) информации о 26 млн украинцев, которая была обнародована в одном из телеграмм-ботов. Тогда в информпространство были "слиты" данные внутренних и загранпаспортов, водительских удостоверений, номера телефонов, данные электронной почты и даже пароли от нее, другая конфиденциальная информация граждан. Впрочем, судя по всему, реальные виновники так и не были наказаны, к тому же не были официально названы и источники утечки персональных данных. Тогда многие обвинили в утечке информации портал публичных услуг "Дия", хотя в Министерстве цифровой трансформации тогда это опровергли, ссылаясь на надежные системы киберзащиты государственной платформы.

Другой пример. В марте с. г. мошенники "взломали" старую электронную почту киевлянки и оформили на нее кредит в банке. На сегодня вместе с процентами и штрафами "задолженность" женщины составляет около 12 тыс. грн! Уголовное дело расследует киберполиция одного из районов столицы с конца апреля с. г., когда женщина узнала о "кредите". Впрочем, банковское учреждение продолжает требовать с нее возврата денег.

Еще один свежий "кейс". В начале июля с. г. житель Кривого Рога узнал, что на его имя кто-то оформил кредит на сумму 10 тыс. грн. К тому же с его дебетовой карты было кем-то снято 13 тыс. грн его собственных средств. Мужчина заподозрил что-то неладное несколькими днями ранее, когда ему пришло сообщение от мобильного оператора о том, что якобы выполняется замена сим-карты. А после этого "старый" номер был отключен. Потребитель получал мобильные услуги по подписной, а не контрактной форме договора, поэтому мошенники банально "перевыпустили" его sim-карту. Криворожанин сразу подал заявление в киберполицию и Нацбанк. Но, по его словам, пока от госорганов никаких действий не было.

К сожалению, в большинстве случаев жертвы кражи их персональных данных являются практически беззащитными в нашем государстве.

 "Кража личности": краеугольные факторы риска

По мнению многочисленных экспертов, теневая индустрия торговли частной информацией граждан в Украине "поставлена на поток". Так, по свидетельству "Радио Свобода", за 25 долл. можно приобрести банковские данные любого лица, а за 100 долл. – почти полный "безлимит" на пользование персональной информацией человека в течение месяца. В даркнете и даже в легальном сегменте интернета можно приобрести все – от данных паспортов и водительских удостоверений до банковских трансакций, имущественного положения и актуального места пребывания лица. Речь не идет даже о сакраментальном "Большой брат следит за тобой", ведь государство действует по крайней мере по минимальным правилам, чего не скажешь о преступных "брокерах данных".

Конечно, можно сетовать на низкий уровень цифровой и финансовой грамотности многих украинцев, которые слишком безопасно относятся к тому, как используется их личная информация "третьими лицами". Однако постоянный "слив" и кражи персональных данных граждан – это, прежде всего, системная публичная проблема. А особенно – прямое следствие бездействия профильных госорганов, которые уже давно должны были создать эффективный инструментарий по защите (safeguards) конфиденциальной информации украинцев. Итак, определим основные "реперные" точки в этом контексте:

профильный закон "О защите персональных данных", принятый в 2010 г., является устаревшим, поскольку не учитывает современных трендов IT-технологий и цифровой экономики. Некоторые специалисты и вовсе считают этот базовый документ с самого начала мертворожденным". Ведь в основном он не учитывает современную правовую базу, которая действует в развитых странах, в частности краеугольные положения Регламента Европейского парламента и Совета (ЕС) 2016/679 о защите физических лиц в связи с обработкой персональных данных и о свободном движении таких данных (GDPR). Например, в украинском профильном законе нет градации персональных данных на общедоступные (в частности ФИО, электронная почта), "чувствительные" (напр., личная финансовая информация) и сверхуязвимые (в частности информация о состоянии здоровья). А значит – с одной стороны, создаются искусственные препятствия в пользовании общедоступными данными (напр., для бизнеса), а с другой – отсутствуют действенные инструменты усиленной защиты уязвимых данных, что приводит к непоправимому ущербу граждан. К тому же де-факто специальное законодательство в отношении сохранения и защиты персональных данных действует лишь в случае, когда утечка произошла из государственных учреждений или предприятий. Таким образом, практически отсутствует контроль за надлежащим обращением с личными данными граждан в коммерческом секторе, откуда происходит едва ли не больше всего "сливов" конфиденциальной информации;

невозможно говорить о хотя бы минимальной защищенности конфиденциальной информации украинцев, поскольку в системе государственной власти до сих пор отсутствует отдельный регуляторный орган, который бы осуществлял системный надзор за соблюдением законодательства по защите персональных данных, а именно – уполномоченный в сфере защиты персональных данных. Несмотря на то, что создание такой институции предусмотрено профильным законом от 2010 г.! Эффективность действующих органов в сфере защиты частной информации граждан - в частности уполномоченного по правам человека, киберполиции, судов - довольно сомнительна. Так, в 2020 г. киберполиция открыла 850 производств по факту незаконного использования частной информации, хотя на самом деле таких преступлений в десятки раз больше. К сожалению, у данного правоохранительного подразделения недостаточный кадровый потенциал и финансовое обеспечение, чтобы охватить весь криминальный спектр в этом сегменте. А чего стоит только судебная статистика: так, по данным Единого портала судебных решений, за весь 2019 год было вынесено только 15 приговоров по делам о преступлениях в сфере персональных данных;

в Украине отсутствуют как "пакет подзаконных актов, которые бы содержали детализированные регламенты защиты персональных данных на разных уровнях и регулирующие отдельные сферы применения профильного закона, так и система мониторинга утечек персональных данных и превентивных антихакерских систем. И возможно ли эффективно защищать частную информацию украинцев и периодически осуществлять "апдейт" профильного законодательства в соответствии с современными цифровыми трендами, если не обладать исчерпывающей статистической информацией и аналитическими данными в этой турбулентной сфере?!

крупнейшая утечка персональных данных, как правило, происходит из-за их продажи должностными лицами или инсайдерами бизнес-структур.  В то же время "ответственность" за ненадлежащую защиту личной информации чиновниками – это штраф от 1 700 до 17 000 грн, в зависимости от вида нарушения и его повторяемости. А ведь, продавая конфиденциальные данные, чиновник заработает в разы больше! К тому же, по экспертным данным, лишь 60% из 135 государственных реестров имеют аттестованные комплексные системы защиты информации. При этом реестры многих госорганов дублируют персональную информацию о гражданах, что создает дополнительные коррупционные риски в контексте вероятной торговли персональными данными. Что же касается бизнес-структур, то в смысле соблюдения ими норм защиты личной информации клиентов, компании практически никто в государстве не контролирует! Например, в ЕС об эффективности применения Регламента GDPR свидетельствует статистика: так, за последние 2 года за нарушение норм документа было взыскано с публичных и юридических лиц почти 360 млн евро. Кому-то известны аналогичные цифры в Украине?!

Что нужно, чтобы остановить "брокеров данных"?

Для этого, как минимум, необходимо:

правительству и парламенту - доработать закон "О защите персональных данных", актуализировав его положения с учетом новейших технологий по обработке персональных данных (напр., автоматической, т. н. профайлинга), а особенно – основных положений общего Регламента по защите персональных данных ЕС (в том числе внедрив "право быть забытым" и право на мобильность данных);

правительству - разработать детализированную нормативную базу, которая бы содержала основные алгоритмы защиты персональных данных - в частности с учетом их градации;

правительству – в течение года внедрить институт уполномоченного в сфере защиты персональных данных. Возможно, есть смысл создать этот орган по модели эстонской Инспекции по вопросам защиты персональных данных, сотрудники которой имеют полномочия проверять все госорганы на предмет соблюдения норм по защите персональной информации;

уполномоченному – создать в своей структуре специальный центр (think-tank), который бы осуществлял периодический мониторинг утечек персональных данных, комплексный анализ международной практики и разрабатывал бы актуальные изменения профильного законодательства;

правительству и уполномоченному – в перспективе 5 лет, совместно с ведущими бизнес-ассоциациями, отечественными и международными экспертами – разработать кодексы поведения по вопросам защиты частной информации в различных предпринимательских сферах. По моему мнению, в перспективе нескольких лет следует предусмотреть требование для компаний в контексте назначения в их штат специалиста по вопросам защиты персональных данных. А также – разработать соответствующий национальный "стандарт качества" в этой области с рекомендацией украинским компаниям проводить беспристрастный GDPR-аудит по стандартам ЕС. Он должен включать проверку того, какие персональные данные собираются и обрабатываются и каким образом, кем и на основании каких документов (в пределах и на условиях аутсорсинга) конфиденциальная информация обрабатывается.

Олег Титамир

Редакция может не соглашаться с мнением автора. Если вы хотите написать в рубрику "Мнение", ознакомьтесь с правилами публикаций и пишите на [email protected].

Источник: 112.ua

видео по теме

Новости партнеров

Loading...

Виджет партнеров