Когда мы говорим об опасности утечек, неправомерном использовании персональных данных граждан или сведений, составляющих коммерческую тайну предприятия, и т. п., нужно смотреть на это с точки зрения неконтролируемого обмена данными. Все сталкивались с ситуацией, когда для получения сервиса (например, приобретения телефонного номера или автомобиля) мы подписываем договор, где указывается, что гражданин, получивший товар или услугу, разрешает передачу информации о себе третьим лицам. Формулировка часто неконкретная. И это важный аспект вопроса безопасности персональных данных: только потому, что вы поставили галочку в договоре, ваши данные могут стать предметом купли-продажи со стороны каких-то третьих лиц.
Нередко такие галочки ставятся при регистрациях на различных сайтах или для получения бесплатных услуг. В этом случае происходящее означает, что «продукт» — это на самом деле вы сами: ваше поведение, ваш профиль. Именно поэтому персональные данные граждан — наиболее острый аспект безопасности, ведь средств контроля за этим обменом, по сути, нет.
С одной стороны, персональные данные действительно нужно защищать. С другой стороны, те из них, которые мы легко раскрываем в соцсетях, уже и не являются персональными в смысле тайны частной жизни. С точки зрения четкого определения понятия «защищаемые персональные данные» — это серая зона.
Как выйти из этой серой зоны? Возможно, стоит приглядеться к концепции «обмен privacy на безопасность». Конечно, на улицах города за мной следит огромное количество видеокамер. По ним при желании можно проследить весь мой путь — от двери до двери, со всеми подробностями вроде скорости перемещения и остановок по дороге. Кто-то громко возмущается: тут нарушается право на тайну частной жизни! Я в принципе тоже не очень хочу, чтобы «Большой Брат» следил за мной, но готов рассмотреть сделку: что я приобретаю взамен утраты privacy? В экстремуме я не буду против того, чтобы поставить видеокамеры даже в свой дом, если оператор гарантирует, что ко мне в дом не придет преступник. Безопасность стоит гораздо дороже, чем потеря приватности. Но главное — такого типа услуга должна быть глобально доступна и однозначно принята максимальным количеством граждан.
У нас порой звучат предложения пойти по простому пути: запретить консолидировать персональные данные или жестко зарегулировать доступ к ним — например, хранить только анонимизированные данные. В этом случае напрашивается аналогия с оборотом оружия. Так, в стране, где можно легко купить оружие, этим правом может воспользоваться и плохой человек, и хороший — для того чтобы в случае опасности защитить свою жизнь. А в стране, где свободный оборот оружия запрещен, бандитам это все равно не мешает обладать оружием, хотя добропорядочным гражданам получить оружие очень непросто. Соответственно, все запреты консолидации данных будут работать в таком же ключе. Просто те люди, которые хотят строить на купле-продаже данных дополнительные услуги, понесут дополнительные издержки, потому что на первом этапе увеличится стоимость данных. А мошенники продолжат свою деятельность, потому что это дает им серьезную финансовую выгоду.
Вывод один: запретами проблему не решить. Нужно думать над инструментами санкций для тех, кто использует персональные данные граждан в мошеннических целях.
Ведь проблема главным образом не в том, что мошенник получил номер телефона. Проблема в том, что мошенник может связаться с гражданином и, используя методы социальной инженерии, причинить вред. Нужно уметь ограничивать использование персональных данных. И в этом, что парадоксально, могут помочь те же самые большие данные. Сегодня даже в обычном, не «темном» интернете есть немало ресурсов, где собираются и публикуются телефонные номера мошенников. Есть соответствующие мобильные приложения. На самом деле большие данные содержат много полезной информации о мошенниках, и ее нужно использовать для того, чтобы помогать тем, кто находится под угрозой.
Продолжу аналогию про оружие: чтобы эффективнее защищаться от мошенников, надо направить против них их же оружие — большие данные. Иными словами, надо не ограничивать оборот данных, а думать о том, как мониторить оборот персональных данных. Нужно заниматься форматами обмена персональными данными и именно их начинать контролировать, тогда появится обратная связь: кто и кому передал чьи-то личные данные. И тут, похоже, мы приходим к идее комьюнити: профессионалы должны объединить свои усилия. Никто объективно не может найти решение этой проблемы в одиночку, нужно искать его совместно.