По информации ТАСС, 29 ноября 2016 года председатель совета директоров «Лаборатории Касперского» Наталья Касперская заявила, что вся информация простых пользователей, собираемая с помощью информационных технологий (так называемые, «большие пользовательские данные»), в том числе поисковые запросы, информация о местонахождении, контакты, переписка пользователей, фото- и видеоматериалы, должны принадлежать государству. «Мое мнение, что эти данные должны являться собственностью государства, потому что пользователи этими данными не обладают. Пользователь отпустил их в информационное пространство, и утекло все, что он там написал. Значит, это не их принадлежность», – считает Касперская.
Зачастую компании, которые собирают «большие данные» россиян – иностранные. «То, что другие страны эту информацию свободно качают, и знают перемещения всех наших граждан, знают, о чем они думают и их политические предпочтения – это неправильно. Поэтому эти данные должны являться собственностью государства», – резюмировала она.
Наталья Касперская предложила решать этот вопрос силой закона: «законодательно заставлять такие компании передавать сертификаты, либо просто пытаться как-то аккуратно «загонять» данные в Россию». В качестве примера такого взаимодействия Наталья привела взаимоотношения властей Китая и Facebook.
«Параноидальный бред» или «Отечество в опасности»?
Реакция IT-сообщества на это заявление была неоднозначной. Одни эксперты оценили высказывания Касперской как «параноидальный бред» и увидели в этом стремление «урвать финансирование из госбюджета». Другие задумались на тему информационной безопасности страны.
Главный аналитик в АНО «Модернизация» Эдуард Пройдаков прокомментировал следующее: «Объявление больших персональных данных государственной собственностью не является панацеей. Более того, в этом есть известные риски для гражданского общества, поскольку нет никаких гарантий того, как государство будет пользоваться этой своей новой собственностью. С другой стороны, необходим комплекс мер для обеспечения информационной безопасности страны в условиях возрастающего киберпротивостояния, когда в качестве противника может выступать не только государство, но и отдельные организации. Выработка таких мер – дело не только силовых структур, но и всего российского и мирового IT-сообщества».
О необходимости регулирования «больших данных» в России уже говорили и глава Роскомнадзора Александр Жаров, и главы подгрупп при рабочей группе помощника президента РФ Игоря Щеголева. Сам Щеголев заявлял, что основные подходы к регулированию «больших данных» могут быть сформированы до конца 2016 года. При этом он уточнял, что под действие регулирования «больших данных» попадут не только интернет-компании, но и все, кто использует такие данные.
Подгруппа «Интернет + Общество», которую возглавляет Касперская, летом 2016 года начала работу над формулированием определения «больших данных». Изначально в отношении определения «больших данных» было две полярных точки зрения, рассказала Касперская. По ее словам, первая заключалась в следующем: все пользовательские данные, которые собираются любыми средствами и техническими устройствами, предлагалось отнести к категории персональных данных. «Но тогда получается, что, например, поисковые запросы становятся персональными данными, а это, конечно, не так», – отметила она. «Сейчас мы находимся на стадии дискуссии», – резюмировал Касперская. Она рассчитывает, что более конкретные предложения по вопросу регулирования «больших данных» россиян будут сформулированы примерно через полгода.
Что такое «большие пользовательские данные»
Вероятно, осознав, что далеко не все эксперты в восторге от ее предложения передать пользовательские данные в руки государства, Наталья Касперская опубликовала в Facebook на своей странице подробный комментарий, где уточнила свою позицию: «Большие пользовательские данные должны являться собственностью нации».
Кроме того, Наталья расшифровала термин Big Data: «Это более широкое понятие. Большие пользовательские данные (БПД) – это, по сути, Большие данные, собираемые о частных лицах. Это вся информация простых пользователей, собираемая поисковиками, приложениями, мобильными устройствами и прочее (поисковые запросы, информация о местонахождении, контакты, переписка пользователей, фото- и видеоматериалы, посты в социальных сетях, комментарии, видео с камер наблюдения, финансово-экономические данные, финансовые транзакции, покупки в электронных магазинах и прочее)».
Наталья Касперская усматривает угрозу в том, что эти данные будут храниться в сети вечно, в результате чего злоумышленник «может получить практически полную информацию о вас, включая персональные данные и самую интимную информацию».
В связи с этим вспоминаются протесты Европейского союза потребителей против использования микрочипов в одежде. В начале 2000-х годов применение чипов казалось прорывом – очереди в магазинах станут короче, стиральная машина сама сможет выбрать режим стирки. Но европейские потребители запротестовали – микрочипы позволят отслеживать перемещения людей. И чипы не нашли массового применения.
Наталья Касперская продолжает пугать: «Часто говорят о том, что большие пользовательские данные (БПД) должны регулироваться Федеральным законом №152 о персональных данных, который определяет, что владельцем персональных данных является лицо, эти данные предоставившее. Однако в случае БПД это невозможно – пользователь не предоставляет эти данные по собственному желанию (например, он прошел по улице, попал в зону действия видеокамеры – лицо его зафиксировано, но он же не давал разрешения на фиксацию своего лица). Таким образом, как только пользователь что-то сделал в интернете, действия и его последствия пользователю уже не принадлежат, поскольку он не может контролировать их дальнейшее распространение, не влияет на их дальнейшее существование, не может отозвать или запретить их использование нежелательным ему способом».
На взгляд автора этих строк, высокие размышления о кибербезопасности – это прекрасно, но начать можно с малого – с исполнения этого самого ФЗ №152, текстом которого эксперты потрясают друг перед другом. Регулярные рекламные звонки по телефону от ортопедов и стоматологов пока тревожат гораздо больше, чем воображаемые угрозы будущих воображаемых кибертеррористов. Может, для начала пресечь распространение баз данных с номерами телефонов граждан или использование роботов для набора номеров телефонов? Внести в административный или уголовный кодекс ответственность за навязчивую телефонную рекламу?
Трудно не согласиться с Натальей по поводу произвола производителей всевозможных мобильных приложений. «Так, например, мобильные приложения часто требуют разрешение на доступ к информации в смартфоне пользователя, которая для функционирования этого приложения вовсе не требуется. Если пользователь отказывается принять эти разрешения, то он не может установить приложение, даже если он заплатил за него деньги. Это довольно странная ситуация». Здесь без сертификации не обойтись. Нет знака Роспотребнадзора – значит, продажа такого приложения незаконна.
Пользователи не ведают, что творят
«На мой взгляд, проблемой этой должно заниматься государство, потому как сами пользователи этим заниматься не могут, а сервисы не заинтересованы этим заниматься – считает Касперская. – Государство действительно проблемой озаботилось. На этот счет есть Поручение Президента РФ Владимира Путина по результатам Форума «Интернет и Экономика» от 29 января 2016 года. «Минкомсвязи России, Минюсту России, ФСБ России, Роскомнадзору, ФСТЭК России совместно с заинтересованными федеральными органами исполнительной власти представить предложения в законодательство по регулированию обработки данных граждан Российской Федерации в сети Интернет». В соответствии с этим поручением создана рабочая группа при администрации Президента под руководством Игоря Щеголева. Данное поручение передано подгруппе «Интернет + Общество», которую возглавляет ваша покорная слуга. В нашей подгруппе мы обсуждаем, что требуется сделать для того, чтобы защитить частную жизнь наших граждан от произвола производителей IT-средств».
«Проблема оказалась гораздо глубже, чем мы ожидали, и она лежит в следующих плоскостях:
- Проблема информированности пользователей. Большинство людей в принципе не понимает, что их данные собираются, и что в сети нет личной жизни. Многие искренне думают, что публикации в соцсетях для друзей доступны только друзьям. Или идея, что их любимый смартфон непрестанно передает их данные кому-то, кажется им дикой.
- Проблема непонимания масштабов проблемы. Большинство людей бездумно ставит галочку о согласии с кабальными пользовательскими соглашениями, даже не читая их, исповедуя философию «да кому я нужен». Человек не задумывается, что, помимо далекого Агентства Национальной Безопасности США, он может быть интересен коллекторам, страховщикам, рекламщикам, банкирам и прочим.
- Проблема коммерческой заинтересованности сервисов в сборе БПД. Интернет-сервисы собирают все данные и считают их своей собственностью, они имеют сильную мотивацию продавать, покупать и иначе использовать эту информацию.
- Проблема отсутствия саморегуляции отрасли и этического осознания. Если бы сами операторы приняли бы некую этическую хартию касательно использования БПД, то возможно, это сняло бы значительную часть проблем».
Все перечисленные «проблемы» стары как мир. Неужели люди так глупы и не понимают, что информация о них есть и у рекламных компаний, и у коллекторов и служб безопасности банков. Еще не было интернета, а все эти службы уже имели информацию о гражданах.
На вопрос «Что делать?» Наталья Касперская отвечает сама себе: «Рабочая группа пока решение не приняла, поэтому выскажу свое личное мнение. Мне кажется, решение должно лежать в нескольких плоскостях. Для начала неплохо бы провести аналитику данных:
- выработать единую терминологию,
- определить, какие данные собираются, а какие являются произвольными,
- определить категории собираемых данных,
- построить модель угроз,
- изучить мировой опыт.
Это большая исследовательская работа. Далее я бы предположила, что неплохо было бы выработать этический кодекс по использованию больших пользовательских данных (БПД) и простимулировать интернет-отрасль к его обсуждению и принятию. К обсуждению стимулирующих мер должны быть подключены институты развития, образовательные учреждения. С законодательной точки зрения, должны быть обеспечены равные условия для всех операторов БПД (сейчас зарубежные игроки фактически не подчиняются российским законам). Наверное, нужен закон о БПД и правоприменительная практика. Закон, в частности, должен определить границы юрисдикции РФ в области больших пользовательских данных (БПД), категории игроков рынка оборота БПД, статус пользовательских соглашений (идеально было бы иметь определенный шаблон лицензионного соглашения для всех операторов БПД), права пользователя с возможностью разрешать и не разрешать сбор своих БПД и т.д. Надо понимать, что мы находимся в начале пути. И самое главное на этом пути – осознание проблемы».
Остается только надеяться, что, озаботившись борьбой с глобальными угрозами, эксперты не забудут о рекламном телефонном терроризме, от которого жители Москвы и других городов России страдают не в воображаемом будущем, а в самом что ни на есть настоящем.
Фото: Дмитрий Коротаев / Коммерсантъ
Я пользуюсь свободным браузером Mozilla Firfox, который разрабатывается глобальным сообществом. При открытии приватного окна окна я вижу: Защита от отслеживания ВКЛЮЧЕНА, если открою обычное окно - то этой функции нет. Это моё право выбора.
Как клиент, который пользуется услугами предоставляемыми Государством - жду не отслеживание , а защиту данных, в том числе фильтрацию недостоверной информации. Для этого у государства есть все данные и может помочь. Есть другие задачи, которые решает Государство и где может помочь Лабортория Касперского. То о чём пишет сама Касперская - прямо как дети - типа: Что упало - то пропало :(. Больше похоже на то, что какая-то информация вбрасывается и исследуется реакция ...
Понятно что нарушается множество прав людей. Что означает получение данных в собственность государства в контексте выступления Касперской? Есть ещё права на публикацию, передачу, использование и пр. Никто ещё не смог дать определение что такое персональные данные, которые хотят получить в собственность - это ведь ещё и может быть чьим -то творчеством - тогда что делать с законом об авторском праве и смежных правах и и т.п. - Это намного сложнее, чем она представляет ... :) и может оказаться в конечном итоге полным бредом ....
"...просто пытаться как-то аккуратно «загонять» данные в Россию». В качестве примера такого взаимодействия Наталья привела взаимоотношения властей Китая и Facebook".
Я бы предложил еще опыт Северной Кореи изучить заодно, раз уж на Китай обратили внимание.
Понятно, что обычным пользователям по барабану все эти очередные измышления о "нашей безопасности". Жаль только, что на это пойдут реальные бюджетные триллионы денег. Наших с вами денег.
Можно даже не спорить! У государства всегда на один патрон больше.