Прокуратура Москвы начала официальную проверку сервиса премиум-такси Wheely, который отказывается предоставлять данные о передвижении своих автомобилей столичным властям. «Мы считаем, что такой отказ от выполнения требований указа мэра — это прямая угроза здоровью и безопасности граждан», — публично заявил руководитель департамента транспорта столицы Максим Ликсутов.
Wheely — крупный международный сервис для заказа премиальных автомобилей с водителями, он был основан российским предпринимателем Антоном Чиркуновым в 2010 году в Швейцарии и поначалу работал Цюрихе, Вене и Амстердаме. Сейчас Wheely предлагает свои услуги в Лондоне, Париже, а также в семи российских городах: Москве, Санкт-Петербурге, Сочи, Казани, Екатеринбурге, Краснодаре и Перми. В Москве к платформе Wheely подключено 2800 водителей. Общий годовой оборот компании составляет 110 млн долларов. Конфликт с московскими властями у Wheely стал разгораться после того, как в столице в ходе ослабления карантина с 7 мая вновь позволили работать сервисам, связанным с перевозкой пассажиров (ранее, с 14 апреля, были разрешены только услуги такси). Однако одним из условий снятия этого запрета в Москве стала обязательная передача данных обо всех автомобилях с пассажирами в столичную Единую региональную навигационно-информационную систему (ЕРНИС), которая была создана в городе в 2013 году и содержала информацию о местоположении всех городских служб: скорой помощи, муниципального транспорта, ЖКХ, перевозчиков опасных грузов и проч.
В Wheely не согласны, что сейчас в ЕРНИС необходимо передавать также данные об автомобилях, оказывающих транспортные услуги частным лицам. Так, по словам представителей компании, от них требуют передавать исчерпывающую информацию об автомобиле (марку, модель, цвет, номер), данные о водителе (фамилию, имя, отчество, дату рождения, водительский стаж, номер телефона), актуальный статус машины (с пассажиром она или нет), а кроме того, показатели геолокации (местоположение каждой машины в реальном времени). «Эти данные дают возможность постоянно следить за любым водителем и косвенно — за пассажиром, — заявляет в своем открытом обращении Антон Чиркунов. — Если известен адрес пассажира, а это может быть и адвокат, и журналист, и политик, то не составляет труда отследить все поездки из этой точки и установить, когда и куда он поехал, с кем встречался».
В Wheely подчеркивают, что строго соблюдают все противоэпидемические требования (дезинфицируют автомобили, проверяют цифровые пропуска пассажиров), но свое несогласие предоставлять информацию о передвижении клиентов аргументируют тремя ключевыми тезисами. Во-первых, это незаконно: юристы Wheely указывают, что сейчас ни один закон Российской Федерации не обязывает передавать геолокацию машин, занятых перевозкой пассажиров, тем более в реальном времени; это предписано делать только автобусам. «Без федерального закона нельзя ограничивать права водителей и пассажиров на неприкосновенность частной жизни и защиту персональных данных, — подчеркивает Антон Чиркунов. — Подобная норма не должна вводиться без предварительного обсуждения, участия профильной комиссии в Госдуме, голосования. И полномочия местных властей (города или региона) на это не распространяются».
Во-вторых, в компании считают, что передавать такую информацию опасно: она легко может быть похищена злоумышленниками. «При передаче геолокации должно использоваться шифрование данных, — заявляет Антон Черкунов. — ЕРНИС сейчас шифрование не поддерживает, то есть геолокация от всех компаний передается в открытом виде. Злоумышленникам достаточно перехватить данные, чтобы получить информацию о местоположении каждой машины. Передача геолокации при таких условиях делает сервис менее безопасным и ставит под угрозу наших клиентов».
И в-третьих, мэрия говорит, что новые требования будут помогать бороться с пандемией, но на самом деле непонятно, каким образом сбор данных об автомобилях с пассажирами поспособствует борьбе с коронавирусом. «Это не решает никакую проблему, — возмущается Антон Чиркунов. — Цели сбора геолокации всех водителей неизвестны. Неизвестно также, как эта информация используется и у кого есть к ней доступ. Прецедентов передачи такого количества данных нет — ни в иных регионах России, ни в других мировых мегаполисах. Я хочу привлечь общественное внимание к этой ситуации. Мы уверены, что безопасности поездок можно достичь и без нарушения конфиденциальности».
Столичные власти, в свою очередь, внятно не разъясняют, зачем им понадобилось в обязательном порядке отслеживать передвижение всех машин, оказывающих услугу пассажирских перевозок. Официальные лица лишь подтверждают, что дело Wheely передано в столичную прокуратуру, которая обещает в скором времени дать действиям компании правовую оценку.
Неоднозначный цифровой учет
Борьба с пандемией дала властям значимый повод усилить цифровой контроль за гражданами. Возможно, в чрезвычайных условиях подобного рода меры цифрового контроля иногда могут быть оправданны, но в данном случае, по мнению бизнеса, перегибают палку. Например, помимо истории с Wheely публичное противостояние с регулятором по поводу защиты данных клиентов в настоящее время разгорается в туристической сфере: здесь власти на фоне борьбы с пандемией вернулись к идее введения электронной путевки, в которую в обязательном порядке должна вноситься и потом передаваться властям информация о том, кто, когда, с кем и за сколько отправлялся в путешествие. Сейчас против введения такого цифрового учета выступают российские туристические компании. В частности, в Ассоциации туроператоров России заявляют, что передача данных о частных поездках нарушает конфиденциальность клиентов и непонятно, как государство будет использовать эту информацию, к тому же опять не исключен риск утечки.
В последние недели скандальных случаев утечки данных стало заметно больше, и специалисты связывают это со спешным переходом многих компаний на удаленную работу без должного внимания к мерам кибербезопасности. Например, сейчас идет разбирательство о случаях нелегальной продажи данных о девяти миллионах клиентов служб доставки (по основной версии, эти сведения пропали из системы логистической компании СДЭК, что, впрочем, ее представители решительно отвергают). Начато также расследование того, как в интернете оказались паспортные данные оштрафованных в период карантина граждан. Еще один свежий скандальный случай связан с недавно выставленной на продажу на черном рынке базой данных автовладельцев из реестра ГИБДД, из которой можно узнать информацию о водителе, о дате регистрации его транспортного средства, о марке и модели машины.
Масло в огонь дискуссии о рисках неправомерного использования частной информации добавляет и государство своими неоднозначными инициативами. Так, в разгар карантина был принят закон о проведении в Москве пятилетнего правового эксперимента в области искусственного интеллекта (ИИ); он должен начаться 1 июля текущего года и призван создать благоприятные условия для разработки и внедрения продуктов и услуг, созданных на основе технологий ИИ. Пока параметры эксперимента детально не прописаны, но предварительно можно сказать, что суть его в следующем. Участвующие в нем IT-компании — разработчики новых продуктов на основе технологий ИИ занесут в специальный реестр и будут им оказывать различного рода поддержку в создании и продвижении их продуктов. Однако в начинающемся эксперименте есть тревожная составляющая — установление специального правового режима в отношении обработки персональных данных, на основе которых будут развиваться технологии ИИ. Иными словами, технологии станут внедрять с использованием персональных данных (видимо, собранных и накопленных столичными властями) людей, потребителей. В законе говорится, что участникам эксперимента такие данные будут передавать в обезличенном виде, но как должен происходить процесс деперсонализации, пока не ясно (как и то, какие задачи поставят перед попавшими в реестр компаниями). Говорится только, что «порядок уничтожения персонализации данных установит исполнительный орган власти Москвы, уполномоченный на координацию мероприятий экспериментального правового режима, предварительно согласовав его с Минкомсвязи России».
Угроза цифровой диктатуры
Во всем мире технологии обработки персональных данных стремительно превращаются в бизнес со внушительными оборотами. По данным Statista.com, объем мирового рынка больших данных (Big Data) в текущем году достигнет 56 млрд долларов, а к 2027-му — уже 103 млрд (см. график). Однако с правовой точки зрения использование персональных данных пока слабо защищено от произвола как коммерческих компаний, так и государственных органов.
Например, в России использование персональных данных регламентируется многими правовыми актами, главные из них — федеральные законы № 152-ФЗ «О персональных данных» и 149-ФЗ «Об информации, информационных технологиях и о защите информации». В частности, ФЗ «О персональных данных» позволяет физическим лицам требовать в суде возмещения имущественного и морального вреда, причиненного вследствие нарушения требований к обработке персональных данных. Однако в судебной практике такие дела почти не встречаются в связи с расплывчатостью формулировок того, что считать персональными данными, а также из-за незначительного наказания за их незаконное использование. По словам юристов, штрафы за нарушение порядка обработки персональных данных для юридических лиц в России составляют мизерные 15–75 тыс. рублей, в то время как в Европе за нарушение регламента о защите персональных данных компания может быть подвергнута наказанию в десятки миллионов евро. Например, к штрафу в 50 млн евро в прошлом году была приговорена властями Франции американская компания Google за нарушения в использовании личной информации в мобильной операционной системе Android.
Наряду с критикой неправомерного использования персональных данных представители бизнеса признают, что грамотно и честно выстроенные технологии учета данных о потребителях в разных сферах могут дать важные экономические преимущества. «Положительным примером здесь может служить снижение процентной ставки для потребителя на основе его скорингового балла, когда банк принимает решение об условиях кредитования с использованием собственной оценки, а также может дополнительно обратиться к провайдерам аналитических услуг, которые, используя собственные большие данные и обученные на них математические модели, дают банку дополнительную оценку по каждому клиенту. Так банк получает бóльшую уверенность в заемщике, а клиент — более выгодные условия получения кредита, — рассказывает Алексей Нейман, исполнительный директор Ассоциации больших данных. — Еще существуют сервисы, с помощью которых прогнозируют туристические потоки в городе или регионе по актуальным данным о туристах. Отдельные компании предоставляют рекомендательные сервисы на основе анализа информации для открытия новых бизнесов. Сейчас на рынке многие компании предлагают услуги на базе аналитики клиентских данных в помощь другим бизнесам».
«Конечно, полная передача данных о клиентах — это фактор, который вызывает объективные опасения у бизнеса и у граждан, — продолжает Арташес Сивков, исполнительный вице-президент ПАО “Вымпелком”. — Однако их анализ помогает государственным органам принимать важные решения, и в рамках инструментов больших данных можно отследить множество параметров, важных для городских служб. Это загрузка транспорта, динамика передвижения, соотношение туристов, горожан и дачников. Выводы, сделанные на основе передвижения абонентов, помогают грамотно распределять нагрузку на транспортную инфраструктуру, отслеживать тот же индекс самоизоляции, выявлять места скопления людей. Такие технологии анализа больших данных использовались в том числе при строительстве Московского центрального диаметра, при подготовке к чемпионату мира по футболу; они играют важную роль и сегодня. При этом следует подчеркнуть, что все подобные системы работают на основе деперсонализированных данных клиентов и сотрудничество с госорганами, например, телекоммуникационных компаний не предполагает передачу персональной информации».
Участники ИТ-рынка подчеркивают: для прозрачного развития рынка анализа больших данных необходимо развивать правовое регулирование таких технологий, как деперсонализация ценной для бизнеса клиентской информации. «Существует ряд технологий анонимизации, или обезличивания, данных, когда путем различных способов укрупнения информации в данных, хеширования или удаления персональных и идентифицирующих признаков, создания агрегатов из этих данных, добавления “шума” в данные и прочего становится возможно полностью отделить информацию от относящихся к ней субъектов, но практически полностью сохранить для бизнеса ее ценность», — объясняет Алексей Нейман.
Распространение коронавируса уже стало причиной разрастания антитехнологической истерии. Например, в Великобритании за последние недели зафиксировано около двух десятков случаев поджога и повреждения вышек сотовой связи пятого поколения 5G. Причиной таких актов вандализма стало распространение информации о том, что излучение сотовой связи нового поколения якобы снижает человеческий иммунитет и является одной из истинных причин распространения коронавируса. Примеры нападения на вышки связи есть и в России: в Северной Осетии рядом с селением Ногир недавно была сожжена базовая телекоммуникационная станция, из-за чего местные жители остались без связи. В правоохранительных органах не исключают, что поджог могли устроить противники 5G-связи. Люди сегодня все больше уверены в том, что новые технологии связи, такие как 5G, создаются вовсе не для того, чтобы они еще быстрее выходили в интернет, быстрее выбирали товар в онлайн-магазине или играли в компьютерные игры, — для этого мощности сетей уже достаточно. Перед создателями новых технологических укладов стоят цели, далекие от жизни обычного человека. И мнение, что сеть 5G нужна для того, чтобы следить за людьми (это наглядно демонстрирует сейчас Китай), уже не кажется таким уж конспирологическим.
Акты вандализма показывают: государству в нынешние тревожные времена нужно быть особенно осторожным в развитии технологических инициатив, в том числе связанных с использованием персональных данных. «Один из важнейших вопросов при проведении того же эксперимента, связанного с технологиями искусственного интеллекта в Москве, — это защита данных, доступ к которым получат участники проекта. К системе должны предъявляться достаточно высокие требования с точки зрения обеспечения информационной безопасности, — подчеркивает Илья Тихонов, специалист управления информационной безопасности группы компаний Softline. — Снизить настороженность общества возможно, если повысить прозрачность схемы проведения эксперимента. Пока даже у ИТ-сообщества нет четкого понимания, как будут собираться данные, кто станет оператором для их передачи, кто получит к ним доступ. Чем прозрачнее окажется схема работы экспериментальной площадки, тем меньше негатива со стороны населения будет вызывать ее организация».