24 апреля, 2019, BIS Journal №1(32)/2019

Кто вы: доктор Джекил или мистер Хайд?


Заметки с конференции «Работа с персональными данными в цифровом мире»

Законотворческий процесс придал новый импульс развитию сферы ИБ. В штатах компаний должен появиться («Денег нет, но вы держитесь!») как минимум ещё один «офицер» - ответственный за защиту персональных данных. В связи с этим конференция «Работа с персональными данными в цифровом мире» показалась нам актуальной.

О ЧЕМ ШЛА РЕЧЬ

«Персональные данные», «личные данные», «обезличенные персональные данные», «цифровой профиль клиента» и др. терминология вконец запутала бизнес-сообщество. Чтобы его распутать на конференцию пригласили экспертов из МТС, Боинга, М-Видео, ФАС и др. Речь шла, в частности, о системном использовании законов (например, допускается передача персданных в рамках законов о борьбе с терроризмом и преступностью), внимательном анализе буквы закона (различие понятий «частная жизнь» и «работа»), судебной практике и т. д.

ПОКОРНОСТЬ СУДЬБЕ

Конференция продемонстрировала, что общество готово в очередной раз склонить голову перед новыми малопонятными законами. И это при явных в них противоречиях. Например, в текстах судебных актов, размещаемых на официальных ресурсах, кокетливо «запикиваются» ФИО участников процессов, а в картотеке дел на тех же ресурсах эта информация лежит открыто и тоже на вполне себе законных основаниях.

Никто при этом внятно не объяснил, что же нового внесла «цифровизация» в представления о коммерческой ценности персданных, и почему именно эти данные должны храниться на основе особых законов, отличных от уже известной «нормативки», касающейся конфиденциальной информации.

Да, сбор персональных данных и построение на их основе цифрового профиля клиента (или гражданина) – это новые технологии, которые иногда удешевляют, иногда ускоряют и иногда делают безопаснее процессы в бизнесе и госуправлении. Но! Как возможность использовать статанализ (на основе обработки массивов данных) может повлиять на изменение правил конфиденциальности при хранении и управлении персональными данными? Почему нельзя законодательной поправкой присвоить персональным данным гриф ДСП, и все обязательства государства перед гражданами в части заботы о безопасности этих данных были бы исполнены.

Ну, и ещё упомянуть в этой же поправке об отказе в присвоении грифа ДСП данным о гражданах, которые зарегистрированы в социальных сетях…

ИСТОРИЧЕСКИЙ ВЫЗОВ? ХА!

Чиновничество развлекается. Сначала вводит требование запрашивать разрешение граждан на передачу их персданных на обработку третьим лицам. Потом понимает, что, как минимум, граждане озвереют от количества приходящих им коротких сообщений, а как максимум, необходимо создавать технологию доверенной передачи ответов этих озверевших граждан… В результате появляется законопроект, согласно которому можно передавать данные граждан на обработку третьим лицам… без всякого уведомления.

А ведь этой вознёй затушёвывается принципиальное обстоятельство: в цифровом мире происходит подмена людей-личностей наборами данных, обрабатываемых в промышленных масштабах. В этих условиях реальные личностные качества могут не получить должной оценки и уважительного отношения, в результате чего возникнут глобальные кризисы доверия между людьми, между людьми и государственными институтами, между людьми и бизнесом... Этот социокультурный вызов грозит фундаментальным общественным ценностям.

Кроме того, технологии создания цифрового профиля клиента (ЦПК) несут угрозы и ценностям материальным. Говоря о банках, «автоматизированное» доверие к ЦПК, построенное дистанционно и без должного личностного общения с потребителем – это источник рисков. Кто и как может гарантировать соответствие виртуального поведения клиента (слепок его поведения в социальных сетях) поведению в реальных обстоятельствах? Различия между доктором Джекилом и его виртуальным мистером Хайдом способны обесценить самые совершенные технологии оценки кредитных рисков.

И вдобавок, утрата цифровых персданных доктора Джекила может мгновенно превратить его в злодея Хайда, требующего компенсации в суде. 

И всё это происходит на фоне не менее интересной ситуации с безопасностью «цифровых предприятий». А она, по словам замдиректора Positive Technologies Бориса Симиса, такова, что «с большой долей вероятности вы уже взломаны…»

И тут, как ни крути, надо признать, что российский закон о персональных данных и европейский GDPR создают новые отличные стимулы для поиска следов взлома. В Европе штрафные санкции – до 20 млн евро или 4% годового оборота компании. Штрафующие обычно выбирают большую сумму.

 

Смотрите также

Подпишись на новости!
Подписаться