Privacy Day 2021: важные дискуссии о приватности и проекты Privacy Accelerator

    В День защиты персональных данных 28 января «РосКомСвобода» совместно с Digital Rights Center и Privacy Accelerator провела ежегодную международную конференцию Privacy Day 2021. На ней подвели итоги 2020 года и очертили тренды 2021-го. Обсуждённые экспертами темы, такие как слежка на фоне пандемии COVID-19, непонимание государством, как правильно защищать персональные данные граждан и утечки информации из компаний, всё ещё остаются актуальными. Ниже мы осветим важные моменты из этих обсуждений, но начнём с представления проектов Privacy Accelerator, который был запущен при участии «РосКомСвободы».

    Проекты Privacy Accelerator

    Privacy Accelerator —  онлайн-программа интенсивного развития коммерческих и некоммерческих проектов в области приватности, анонимности, доступа к информации и свободы слова и цифровых прав.

    В 2020 году для контроля за распространением коронавируса были введены новые инструменты отслеживания через мобильные приложения. Также власти продолжают внедрять системы распознавания лиц, процесс непрозрачен и не подконтролен обществу, происходят утечки данных и их неправомерное использование. Угроза для свободы слова и самовыражения возрастает. В сентябре 2020 был выпущен первый поток Privacy Accelerator и отобрала для участия четыре проекта в области цифровой грамотности и защиты коммуникаций в Сети. 

    «Мы хотим увеличить число качественных проектов, обеспечивающих цифровые права граждан и их личную безопасность, благодаря менторским консультациям ведущих экспертов по направлениям и поддержке наставников», — рассказала координатор Privacy Accelerator Дарья Горбачёва.

    Программу поддержали «Хабр», ProtonMail, Qrator Labs и ряд экспертов. Мы помогли участникам реализовать продукты от идеи до запуска. Рассказываем о некоторых из них ниже. В скором времени планируем запуск нового потока с хакатоном на старте. В планах — проведение минимум двух таких программ в год. 

    «Тех технологий, что есть, либо недостаточно, либо о них плохо знают. Мы хотим, чтобы тема приватности вышла на более широкую аудиторию», — заключила Горбачёва.

    Personalka

    Проект-победитель Pandemic Hackathon, который прошёл в мае 2020 года.

    Представляет собой сервис анализа и хранения соглашений об обработке персональных данных. Как говорят авторы проекта, он призван повысить осознанность людей при подписании согласия на обработку их личной информации и привлечь внимание общества к проблеме нецелевого использования персональных данных. Рассчитан на два сценария — онлайн и офлайн. 

    Онлайн-сценарий учитывает сайты и интернет-сервисы, на которых согласие прячется за мелким шрифтом. Офлайн — бумажные соглашения, которые дают на подпись в магазинах, гостиницах. Проект предлагает сопровождение и помощь на всех этапах взаимодействия с компанией и её политикой. 

    Сначала авторы хотели сервис по отзыву соглашений. Но оказалось, что это всего лишь часть процесса. Поэтому в итоге сервис из трёх компонентов.

    1. Сайт, на который можно загрузить текст соглашения. Сервис проводит анализ соглашения по двум критериям: кто операторы данных и какие есть риски (реклама, передача данных третьим лицам). Также он предлагает шаблон отзыва согласия.

    2. Плагин в браузере, который находит все «точки», требующие передачи данных (кнопочки, галочки).

    3. Бот для бумажных документов, который умеет обрабатывать фото и скриншоты в процессе анализа соглашений.

    SelfPrivacy

    Open-source сервер-платформа на хостинге пользователя для развертывания персональных приватных сервисов, управляемых с помощью мобильного приложения через API провайдеров (Hetzner, AWS, Cloudflare). Все сервисы, такие как почта, VPN, мессенджер, менеджер паролей, файловое хранилище, будут собраны в одном месте.

    Лицензионное соглашение не требуется. Приложение предполагает открытый код, отсутствие регистрации, телеметрии, трекинга и, по словам авторов, «полную независимость» даже от разработчиков. «Скачали, установили — и всё», — говорят они.

    В планах у команды — тестирование, развитие платформы и релиз на площадках (F-droid, Play Market, App Store). 

    Amnezia

     Проект-победитель хакатона DemHack, который состоялся осенью 2020 года. 

    Сервис на основе полностью открытого исходного кода (серверной и клиентской части) для самостоятельного развертывания VPN-сервера, максимально безопасного и конфиденциального.

    Рынок коммерческих VPN растёт каждый год, поскольку VPN решает две важные проблемы — обхода блокировки сайтов и сохранения приватности пользователей. Авторы хотят положить начало новой тенденции — развитию простых и понятных интерфейсов с дешёвыми тарифами и установкой в один клик.

    «Мы планируем убедить провайдеров сделать удобный интерфейс, чтобы купить VPS сервер было не сложнее, чем оплатить любой известный коммерческий VPN сервис, — говорят разработчики. — Настроить собственный VPN сервер в 2021-м так же полезно, как купить биткоины в 2011-м».

    Алексей Сидоренко: «Четыре всадника апокалипсиса приватности: кто они и как их победить»

    Руководитель «Теплицы социальных технологий» Алексей Сидоренко в личном выступлении иронично представил проблемы с приватностью в виде четырёх всадников апокалипсиса, которые являются результатом асимметрии власти, когда у граждан и пользователей есть значительно меньше возможностей управлять своими персональными данными, чем у разработчиков и чиновников.

    Четыре всадника дата-апокалипсиса выглядят следующим образом.

    Избыточная коммерциализация. Она, что интересно, подразумевает не столько чрезмерный сбор данных Facebook (хотя и это тоже), сколько нелегальность сбора, например, на рынке пробивки данных.

    Махровая безалаберность. Появляется в силу человеческого фактора и отношения к человеку не как к человеку, а как строчке в базе данных.

    Тоталитарный оппортунизм. Работает по принципу «а давайте соберём как можно больше, а что с ними делать, разберёмся потом».

    Адская игрофикация. Максимальный сбор данных и сегментация. Уже находит своё воплощение в виде «Социального мониторинга» в Китае.

    Для борьбы со всадниками необходимы законодательные меры, как в Европе, где система построена вокруг людей и их интересов, а вокруг не строчек в базе данных. Сидоренко призвал изменить мышление в сторону гуманизма не только законодателей, но и разработчиков.

    «Давайте подойдём к приватности как к задаче для разработчиков, головоломке», — заявил он.

    Дискуссия «Большой Брат знает всё: зачем госорганам всё больше информации о нас?»

    Интернет-омбудсмен Дмитрий Мариничев на конференции был настроен серьёзно и при том пессимистично. По его мнению, через 10-20 лет с приватностью в России будет только хуже. При авторитарной модели управления нет граждан, а есть поданные, которые представляют для государства просто ресурс, по которому есть определённые данные и метаданные. Наша страна пойдёт по пути Китая, когда государство стремится к содержанию всей информации в реестрах.

    «В горизонте пяти лет мы увидим обработку всех собранных нейросетями массивов, на основе которых будут делаться выводы о людях и прогнозирование их поведения».

    По словам Мариничева, система наблюдения станет «внушать» человеку паттерны поведения, но он будет думать, что принимает решение сам. Сложится цифровая диктатура, однако в ней, как ни странно, людям будет комфортно, потому что жить они станут не задумываясь над тем, как они принимают решения. Сознательных же людей, которые видят, что что-то не так, довольно мало.

    В этих условиях может появиться тренд тотальной открытости данных, когда всё будет открыто, но действия с данными — только с разрешения их владельцев. «Грубо говоря, шифровать ничего не будем, но для действий с данными понадобится разрешение», — пояснил Мариничев.

    Директор «Общества защиты интернета» Михаил Климарёв рассказал, как в рамках составления (совместно с «РосКомСвободой») «Рейтинга соблюдения цифровых прав 2020» он оценил приложение «Госуслуги» по степени защиты данных пользователей.

    Исследование проводилось по методике Ranking Digital Rights, которая при изучении публичной позиции и политик компаний по соблюдению прав человека использует официальные веб-ресурсы компаний (технические домены третьего и более высокого уровня), веб-ресурсы материнских компаний/группы компаний, в которые входят сервисы (например, Mail.ru Group), официальные блоги компаний, а также открытые источники информации, в т.ч. СМИ и медиа-ресурсы.

    В рамках этой методики рассматриваемые вопросы группировались по четырём темам:

    – транспарентность;
    – права потребителя;
    – приватность;
    – свобода информации.

    Климарёв проанализировал «Госуслуги» по этим четырём пунктам (в каждом есть ещё множество подпунктов) и представил итоги в сжатом виде. Так, принципа свободы информации приложение не придерживается, transparency report не публикует, приватность защищает только на 30%, права потребителей — на 20%.

    В итоге приложение «Госуслуги» занимает «почётное последнее место в списке приложений». На первых трёх, к слову, расположились «Хабр», «ВКонтакте» и «Яндекс». Более детально ознакомиться с «Рейтингом соблюдения цифровых прав 2020» можно здесь. Подробная методология исследования представлена по этой ссылке. Ждите наш «Рейтинг соблюдения цифровых прав 2021» — он выйдет уже скоро!

    Директор АНО «Информационная культура» Иван Бегтин представил исследование «Государственные мобильные приложения. Куда передаются данные из приложений, созданных органами власти».

    В рамках него специалисты разобрали, какие данные собирают 44 государственных приложения («Мои Документы Онлайн», «Добродел», «Госуслуги», «Активный гражданин», «Парковки Москвы» и др.) из разных регионов и что могут с ними делать. Оказалось, что 39 приложения включают код сторонних трекеров, 38 при этом — код трекеров в зарубежных юрисдикциях.

    Данные передаются компаниям в США и Японии. Всего 5 сервисов не содержат сторонних трекеров. Это «ЕГР ЗАГС», «Госуслуги.Дороги», «Липецкая область», HISTARS, «Работа в России». В одном приложении может быть до 10 трекеров (Moscow transport).

    «Вопрос не в том, можно или нельзя так делать, а в двуличности власти, которая говорит об импортозамещении и одновременно сама поставляет данные за рубеж», — сделал важное замечание Бегтин.

    Как и Сидоренко, Бегтин полагает, что разработчикам следует быть более ответственными. Так, им стоит подумать о саморегулировании и внимательнее относиться к юридическим вопросам передачи данных сторонним сервисам.

    В одних случаях использование сторонних сервисах, впрочем, может быть оправдано (Google Crashlytics, Google Firebase), отметил Бегтин. В других это совсем необъяснимо и сделано исключительно для удобства разработчиков: Flurry, HockeyApp, Estimote, Amplitud, Mapbox. Следствием этого удобства и является передача данных компаниям, которые торгуют данными на рынке.

    Чем больше разрешений, тем больше шансов, что данные о вас передадутся в любой момент, заключил спикер. Пока регуляторы бездействуют, а разработчики не думают о приватности, Бегтин советует пользователям

    – тщательно взвешивать, стоит ли устанавливать на смартфон то или иное приложение;

    – проверять приложения на безопасность через такие сервисы, как Expodus Privacy.

    Директор Центра ИТ-исследований РАНХиГС Михаил Брауде-Золотарёв не согласился с Иваном Бегтиным, что риски по утечке данных за рубеж выше, чем в России, особенно если это данные про данные, а не сами пользовательские данные. Он считает, что это не так. Помимо этого спикер указал, что для эффективной работы законов надо отделить плохое от хорошего. В России для этого механизма нет.

    Не согласен Золотарёв с Бегтиным и в том, что регулирования в России нет. По его словам, оно есть — формальное. Но нет инструментов его реализации, соответствующей культуры в обществе и надзора над его исполнением.

    По мнению спикера, с инструментальной точки зрения, следует выделять не чёрные зоны законодательства, что тоже важно, а белые и работать с ними.

    «Механизм защиты данных понятен. При наличии политической воли и осознании потребности проблему можно решить за год-полтора и покрыть 80% законов о данных».

    Журналист-расследователь Андрей Каганских рассказал о том, как целый год вместе с «РосКомСвободой» он указывал Департаменту информационных технологий Москвы на отдельно взятую уязвимость в системе распознавания лиц. Никакой реакции на это не последовало (чиновники так и не остановили утечки данных с московских камер), а ответ для СМИ был всегда один — никаких утечек нет.

    «Это попытка моделирования реальности, когда говорят, что ничего не утекает», — отметил Каганских.

    Напомним, «РосКомСвобода» мониторила ситуацию всю весну, а летом провела эксперимент: волонтёр Анна купила полное досье на себя за 15 тыс. руб. Кроме того, выяснилось, что барыги на чёрном рынке на просьбу показать, как работает слив данных, предоставили данные шести человек просто в качестве примера.

    ДИТ отвечает, что система анонимна, но на деле возможны так называемые корреляционные атаки, когда фотографии сопоставляются с данными из других систем, в результате чего личность человека раскрывается, напомнил Каганских. К примеру, в МВД есть система, которая сверяет изображения с данными из системы «Российский паспорт». Получается, что анонимность системы по факту формальна. Можно использовать две системы и фото человека и на выходе получить досье на него.

    Юрист «РосКомСвободы» Екатерина Абашина рассказала, как должно реагировать общество на вызовы приватности. Она дала слушателям несколько конкретных советов.

    • Знать свои права как субъектов персональных данных.

    • Быть проактивными.

    • Понимать границы допустимого для государства.

    «Я призываю граждан внимательнее относиться к тому, какую информацию они передают госорганам и коммерческим организациям, разобраться, где требования законны, а где нет, и стараться отстаивать свои права, в том числе через суд, потому что другого порядка, к сожалению, во многих случаях нет. РосКомСвобода готова в этом помогать», — заявила Абашина.

    Юрист напомнила, что «РосКомСвобода» проводит кампанию за введение моратория на использование системы распознавания лиц Bancam и собирает случаи нарушения цифровых прав в в пандемию на карте Pandemic Big Brother. В первом случае вы можете помочь нам, присоединившись к кампании и подписав петицию на сайте, во втором — сообщив о соответствующих нарушениях.

    Помимо этого юристы «РосКомСвободы» оказывают юридическую помощь как отдельным лицам, например, Сергею Межуеву, так и в целом обжалуют постановления госорганов, как в случае с указом мэра Москвы Собянина о сборе персональных данных ушедших на удалённую работу сотрудников столичных организаций.

    По юридическим вопросам к нам можно обращаться на legal@roskomsvoboda.org.

    Подробнее о дискуссии читайте здесь.

    «На чьей стороне приватность? Мировые практики и болевые точки»

    Эксперты из Беларуси, Казахстана, Кыргызстана, Германии, а также из «РосКомСвободы» и Access Now рассказали о цифровых практиках государств в борьбе с коронавирусом, подвели итоги за год и сделали прогноз на будущее.

    Интересно отметить, что, как и на первой панели, в выступлениях спикеров звучали тезисы об ответственности разработчиков за производимые технологии, которые используются правительствами для слежки за гражданами. И грустно осознавать, что российская модель обращения с персональными данными на сравнительной шкале адекватной защиты всё чаще оказывается рядом с репрессивным Китаем. Самое печальное — предпосылок к позитивным изменениям в нашей стране нет.

    2020 год оказался годом пандемии, а вместе с ней ещё и тотальной слежки за гражданами, рассказала координатор проекта Pandemic Big Brother Алёна Рыжикова. В апреле «РосКомСвобода» и Human Constanta запустили карту Pandemic Big Brother, на которой собирают случаи нарушения цифровых прав.

    Почти вся карта окрашена в красный цвет, что означает, что введённые ограничения продолжают там действовать.

    Самым популярными средством слежки стали государственные мобильные приложения. Так, 116 стран запустили собственные коронавирусные приложения

    – для отслеживания контактов с заражёнными;

    – для выдачи цифровых пропусков;

    – для самодиагностики;

    – для отслеживания соблюдения обязательного карантина больными.

    Только в России в прошлом году было запущено четыре приложения:

    – «Госуслуги СТОП Коронавирус» (выдача цифровых пропусков);

    – «Социальный мониторинг» (контроль за соблюдением карантина);

    – «Карантин» (проверка цифровых пропусков у водителей);

    – «Госуслуги. COVID-трекер» (отслеживание контактов с больными коронавирусом).

    «Запуск таких приложения в ускоренном режиме приводит к тому, что приложения оказываются недоработанными, а собираемые данные лишены надёжной защиты, что приводит к утечкам» , — заявила Рыжикова и напомнила, как сервис «Социальный мониторинг» автоматически выписывал штрафы за нарушение карантина даже тем людям, которые этот карантин вовсе не нарушали.

    Во время пандемии усилилась интернет-цензура и охота на «фейки» , отдельно отметила спикер. В России весной был принят соответствующий закон, по которому на журналистов и СМИ посыпались штрафы. Подобные законы были приняты в более чем десяти странах мира. В Арабских Эмиратах могут оштрафовать на сумму до 5,5 тыс. долл., а в Марокко посадить на срок до трёх лет.

    «Это грубо нарушает право на свободу слова граждан. Наказание за такие «преступления» избыточны», — резюмировала Рыжикова.

    Эксперт правозащитной организации Human Constanta Алексей Казлюк отметил, что в Беларуси повестку коронавируса перебивает повестка протестов, которые начались после выборов президента в августе 2020 года. В стране имеет место слежка за протестующими.

    Власть внедряет технологии слежения — это плохо. Но все инструменты слежки хорошо работают и им можно противостоять — это хорошо. Более того, государство не успевает внедрять всё то, что хочет. Государства, которым не хватит денег на слежку, не успеют в полной внедрить соответствующие технологии. Это, собственно, Беларусь. А вот Казахстан и Россия вызывают более тревожные ощущения, отметил правозащитник.

    «2021 год — возможно, последний год, когда можно протестовать «безнаказанно». Потому что потом все инструменты для борьбы с коронавирусом получат новое применение».

    Между тем, как считает Казлюк, безответственность производителя технологий уходит в прошлое. Так, компания по распознаванию лиц Synesis попала в санкционный список Евросоюза. Международное адвокатирование — один из инструментов борьбы со слежкой. Правозащитники добивались подобного давно, но только сейчас тенденция наконец-то проявилась.

    «Мы должны просвещать и учить людей защищать свои данные», — уверен правозащитник. По его словам, это повестка на ближайший год.

    Заместитель председателя немецкой Pirate Parties International Грегори Энгельс рассказал об опыте Германии, представив два примера использования технологий в стране, один положительный, другой негативный.

    Положительный пример — приложение Corona Warn-app, которое спроектировано так, что исключает слежку за гражданами благодаря протоколу DP-3T Decentralised (данные сохраняются исключительно на телефоне). Близлежащие устройства обмениваются загружаемыми результатами тестов своих владельцев, но только таким образом, что понять, был ли человек в зоне риска, можно, а узнать, кто именно из контактов болен, — нельзя. Результаты сразу тестов идут со специальным QR-кодом, которые сохраняет в безопасности персональные данные владельца.

    Использование приложения анонимно и добровольно. Сервис не собирает данные, которые не нужны для отслеживания контактов, например, геолокацию, хотя и в Германии есть политики, которые, не понимая, как работают технологии, говорят, что надо собирать о людях больше данных.

    «Хорошо, что приложения спроектированы так, что данные, которые требуют политики, не только не существуют, но их и невозможно собрать», — отметил Энгельс.

    Негативный пример — рестораны оказались вынуждены вести списки посетителей и время посещения. Позже полиция стала забирать эти списки для своих нужд по причинам, не связанных с коронавирусом. Для конфискации этих данных нужно решение суда, его, разумеется, не было. К сожалению, рестораны, чтобы не связываться с полицией, отдавали эту информацию и даже сливали её в централизованное приложение, которое довольно быстро вскрыли хакеры.

    Основатель Eurasian Digital Foundation Руслан Дайырбеков заявил, что пандемия потребовала от государств принятия срочных цифровых решений. В том числе Казахстан внедрил разного рода технологии слежения, силу которых граждане ощутили в полной мере. За нарушителями режима самоизоляции следили при помощи мобильного приложения Smart Astana, систем городских камер видеонаблюдения «Сергек», «Карты мобильных абонентов», дронов и прочих цифровых инструментов.

    Дайырбеков отметил недостаточность механизмов обеспечения приватности и оценки влияния технологий. Кроме того, многие проекты свернули, но уничтожат ли собранные данные, непонятно.

    «К сожалению, нет правовых механизмов оценки влияния технологий на права человека».

    Спикер рассказал и о позитивном развитии законодательства в сфере персональных данных: прошедший год ознаменовался большим шагом в развитии этой области.

    Так, был принят закон о регулировании цифровых технологий, представляющий собой пакет поправок в существующие законы. Речь идёт о действительно позитивных изменениях, поскольку государство имплементировало международный стандарт минимизации данных, а также установило правила дактилоскопической, геномной и биометрической регистрации.

    Помимо этого появился уполномоченный орган по защите персональных данных, который, правда, пока сложно назвать независимым, поскольку представляет министерство цифрового развития.

    Юрист Гражданской инициативы интернет-политики в Кыргызстане Ирина Байкулова подтвердила, что в её стране было много вещей, которые отразились на карте Pandemic Big Brother. В Кыргызстане происходили следующие вещи.

    Ограничение свободы слова онлайн, преследование за посты в социальных сетях в рамках борьбы с «коронафейками». Врачей и активистов и заставляли отречься от слов и приносить извинения всему кыргызскому народу.

    Ужесточение санкций за нарушение санитарно-эпидемиологических норм, условий карантина и самоизоляции, распространение в Сети ложной информации. Были внесены изменения в кодексы об ответственности (приняты по ускоренной процедуре, без общественного обсуждения), введены штрафы за распространение недостоверной информации, если она «нарушает общественный порядок и спокойствие граждан» на территории, где объявлен режим ЧП.

    Ограничение доступа к официальной информации. Журналистов не аккредитовывали на брифинги госорганов.

    Несоблюдение конфиденциальности пациентов. В парламенте обсуждалась необходимость опубликования списков лиц, заразившихся коронавирусом. Подразумевалось, что люди, которые контактировали с заболевшими, сами пойдут сдавать анализы. Имели место утечки данных о больных (факты распространения в мессенджерах данных о пациентах), что к стигматизации, особенно в первые месяцы распространения инфекции.

    Слежка через государственные цифровые сервисы, использование технологий для отслеживания, нарушающих право на частную жизнь, в частности, мобильное приложение «Stop COVID-19 KG».

    Максимальный сбор данных трекерами на приложениями, вплоть до местоположения, при отсутствии положений конфиденциальности о том, кто собирает данные, как хранит, куда передаёт.

    Утечки данных. В социальных сетях и мессенджерах было распространено видео с описанием работы приложения, фактические разгласившее особо чувствительные персональные (медицинские) данных. Информация оказалась общедоступна.

    Электронные пропуска на разрешённые виды деятельности, такие как логистика, доставка продуктов в маркеты, оказание медицинской помощи, волонтёрство.

    Электронный маршрутный лист (обязательный документ онлайн или офлайн формы для возможности передвижения по городу в период ЧП/ЧС).

    Как хранятся собранные данные, сейчас неизвестно. Неясно, какое количество ПД было собрано, как они использовались, где и в каком виде они хранятся, кто имел к этим данным доступ, защищены ли эти данные от утечек.

    Несмотря на многочисленные нарушения, были и положительные моменты. Это оказание услуг связи и интернета абонентам, у которых сформировалась задолженность в оплате, и разработка большого числа бесплатных приложений по предоставлению информации об инфекции и консультаций врачей. Кроме того, невозможность получить многие государственные и банковские услуги позволила переоценить важность цифровизации, безналичных расчетов. Это ускорило цифровую трансформацию и государства, и бизнеса, считает Байкулова. Но вместе с тем, к сожалению, усилило и слежку.

    «Мы видим, что госорганы всё больше «присматриваются» к опыту других стран по использованию технологических механизмов контроля, и к сожалению всё больше обращаются не к европейскому опыту (защите privacy), а к китайскому и российскому. Причём скорее вне зависимости от пандемии COVID-19, этот тренд достаточно устойчивый, — заключила эксперт.

    Эксперт по защите цифровых прав из международной некоммерческой организации Access Now Наталья Крапива сделала прогноз о том, развитие каких трендов стоит ожидать в 2021 году. В их числе распознавание лиц, наблюдение за коммуникациями, применение искусственного интеллекта.

    Спикер также выделила следующие тенденции в проводимых политиках разных государств.

    1. Правительства станут требовать от людей паспорта вакцинации, что грозит раскрытием и утечкой персональных данных людей и дискриминацией. При этом не существует доказательств, что такие паспорта могут защитить от инфекции.

    2. Страны будут продвигать идею суверенитета данных. Отсюда вытекает положительный момент — независимость от технологических компаний. Однако Китай, Россия, Чили и даже страны Евросоюза понимают суверенитет как возможность тотальной слежки за гражданами.

    3. Регуляторы продолжат рассматривать защиту данных и конкуренцию совместно для контроля над BigTech. Политика защиты данных и антимонопольное законодательство будут совпадать, что проиллюстрировало антимонопольное заседание Конгресса США. Это хорошо, потому что не позволяет компаниям упрочить свою власть.

    4. Произойдёт реформа законодательства, связанного со слежкой, для обеспечения передачи данных с Евросоюзом. США уже потеряли возможность переносить данные из Европы к себе.

    5. Многие страны, где нет строгих законов о защите данных, начнут двигаться в этом направлении. Это США, Тунис, Эквадор, Индия, Австралия, Боливия. В России, к сожалению, предпосылок к этому нет.

    «Будем оптимистами и станем надеяться, что как можно больше стран подпишут, ратифицируют и полностью имплементируют «Конвенцию о защите физических лиц при автоматизированной обработке персональных данных» и её протокол. Эти документы способствуют продвижению концепции прав человека и защите данных во всём мире».

    Подробнее о дискуссии читайте здесь.

    «Соглашайся или уходи: почему интернет-платформы собирают наши данные и куда они утекают?» 

    Представители компаний и сами пользователи представили совершенно разные точки зрения на то, что компании имеют право делать с пользовательскими данными. Так, разработчик решений для финансовых организаций Double Data считает, что может анализировать данные из соцсетей, потому что они общедоступны по своей форме. Фармацевтическая компания Novartis, напротив, уверена, что данные не должны продаваться, если в их суть не заложена коммерциализация, поскольку пользователи соцсетей по умолчанию не предполагают, что их данные будут использоваться в подобных целях. Управляющий партнёр LT Consulting рассказал о своём иске к Apple, а представитель «РосКомСвободы» — о том, как можно влиять на отношение компаний к приватности клиентов.

    Заместитель генерального директора по правовым вопросам Double Data Екатерина Калугина представила доклад на тему «Пользовательские данные как инструмент конкурентной борьбы».

    Юрист рассказала, что данные пользователей нужны компаниям в областях применения искусственного интеллекта, больших данных, анализа данных — словом, везде, где необходимо обучать нейронные сети.

    Пользовательские данные — огромный ресурс, который может использоваться в том числе для устранения потенциальных конкурентов не только с рынка социальных сетей, но и со смежных рынков. Компания с доступом к данных пользователей получает преимущество. Ограничивая доступ к данным своим конкурентам, платформы пользуются двумя инструментами:

    – законодательством о персональных данных (кейс Facebook);

    – иммунитетом интеллектуальной собственности (Double Data против «ВКонтакте»).

    Российский опыт в области иммунитетов интеллектуальной собственности представлен, хотя и не исчерпывается, спором Double Data и «ВКонтакте». Напомним, социальная сеть в 2017 году подала в суд на компанию ООО «Дабл», которая собирала общедоступные персональные данные пользователей. Поначалу соцсети было отказано в иске, затем апелляционная инстанция отменила это решение, дело дошло до кассационного суда, который отправил его на новое рассмотрение в первую инстанцию — Арбитражный суд Москвы. «Дабл» утверждает, что их программа работает как поисковик и клиентам даёт только ссылки на профили пользователей. «ВКонтакте» же полагает, что «Дабл» именно извлекает данные пользователей из открытых профилей и использует в своих интересах, в то время как база данных — собственность соцсети.

    Развитие технологий возможно только в случае, если компании имеют равноправный доступ к открытым данным, уверена спикер. Претензии «ВКонтакте» — способ конкурентной борьбы, считает и гендиректор Double Data Максим Гинжук.

    Впрочем, в аналогичном споре Национального бюро кредитных историй, к которому у «ВКонтакте» тоже есть иск, и Роскомнадзора, проверившего НБКИ, Арбитражный суд Москвы признал, что социальные сети не являются источником общедоступных персональных данных применительно к положению ст. 8 закона «Об информации».

    Руководитель направления по защите персональных данных Novartis Россия/СНГ Илья Пикулин дополнил фразу Сергея Сидоренко: «Я не строчка в базе данных, а личность». Спикер рассказал о компании, которая является примером ответственного подхода к пользовательским данным.

    Транснациональная фармацевтическая компания Novartis заинтересована в данных и является потребителем сервисов, которые предоставляют данные. Но она старается трезво смотреть на то, что предлагают ей поставщики данных, например, рекламирующие программу поддержки клиентов. Как правило, они собирают о людях очень много данных и либо легко отдают их все, вплоть до скана паспорта, результатов медицинского тестирования или сведений о редких заболеваниях, либо просто убирают имена владельцев этих данных, не понимаю, что и без имени вычислить человека легко. А значит, настоящую деперсонализацию они не провели.

    «Процесс, которым мы можем управлять, — попытка снизить аппетиты поставщиков, убеждая, что людям некомфортно делиться данными и лучше их минимизировать. Ведь чем больше данных, чем выше шанс, что они утекут и попадут в руки к мошенникам. Это нарушает права пользователей, а нам такие данные не нужны», — сказал Пикулин.

    При этом Novartis не отказывается от продукции сразу, но проверяет, насколько использовании данных законно. Конечно, иногда это приводит к потере коммерческой выгоды, однако компания нацелена на privacy by design.

    Важно понимать, что чем больше данных задействовано, тем выше риск нарушений.

    «Как потребители мы должны менять культуру в отношении поставщиков услуг, чтобы соблюдался баланс между коммерческими интересами и правами субъектов. Когда они делятся в открытом доступе, не думают, что данные будут продаваться.

    Данные не должны продаваться, если в их суть не заложена общедоступность», — заключил эксперт.

    Управляющий партнёр LT Consulting Тигран Оганян рассказал о своём иске к Apple. Модератор Алексей Мунтян заметил, что благодаря таким кейсам репутация компаний становится всё более важной в аспекте приватности.

    В Нью-Йорке в своё время он приобрёл iPhone 6s и сим-карту T-Mobile, привязал телефон к своему Apple ID и использовал полученный телефонный номер около года. После этого, как потом выяснилось, гражданин США Реджи Лопес в Нью-Йорке купил iPhone 6 plus, а также новую сим-карту T-Mobile. Как только Лопес активировал сим-карту на новом iPhone, все сервисы Apple сразу привязались к его номеру телефона, в то время как старый телефонный номер Оганяна (он же новый номер Лопеса) оставался привязанным к Apple ID Оганяна.

    Лопесу было неизвестно, что ранее этот номер принадлежал Оганяну. И хотя Оганян деактивировал и даже не вставлял сим-карту в свой телефон, он стал получать сообщения и звонки по iMessage и FaceTime, адресованные новому владельцу телефонного номера Лопесу. При этом Apple никогда не предупреждала своих клиентов о необходимости вручную отвязать старые номера, используемые на iPhone, от аккаунтов Apple.

    Оганян получил более 100 сообщений и звонков, среди которых были личные фотографии и сообщения, явно адресованные Реджи Лопесу. Многочисленные попытки урегулировать данную проблему, включая обращение лично к Тиму Куку с просьбой провести внутреннее расследование, не увенчались успехом.

    В Apple только посоветовали удалить телефонный номер и сим-карту, которая и так давно не использовалась и была заблокирована.

    Сейчас Оганян судится с Apple с целью возмещения ущерба от обманных действий корпорации, умолчание которой о такой бреши в защите конфиденциальности нарушило права потребителей.

    «Это исключительно привилегия устройств Apple», — отметил Оганян «особенность» смартфонов корпорации.

    Юристы Оганяна доказали, что Apple в ходе маркетинговых кампаний предоставляла пользователям ложную информацию о защите их данных. Она позиционировала свои устройства как обладающие специальной защитой конфиденциальности. По этой причине компания назначала и премиальные цены. Оператор ItMobile также обманывал пользователей насчёт защищённости переписки и не требовал от прежних владельцев отвязывать номера от устройств, считает спикер.

    «Неразглашение Apple и ItMobile привело к тому, что пользователи стали ничего не подозревающими жертвами утечки их корреспонденции», — заявил Оганян.

    Примечательно, что iOS12 предположительно решала такие проблемы, но Apple так и не проинформировала потребителей о факте обнаружения бреши, которая существовала на протяжении семи лет. И важно, что даже сегодня далеко не все обновили ПО, поэтому указанные нарушения всё ещё могут иметь место.

    Пока борьба не обретёт «бизнес-очертания», выйдя за рамки правозащиты, она будет не результативна, убеждён Оганян. На такие корпорации суммы возмещения ущерба серьёзно не влияют. Более того, юристы компаний затягивают судебные разбирательства, что позволяет организации и дальше зарабатывать деньги.

    Люди должны объединяться для решения таких задачи и привлекать инвестиции в свои кейсы, поскольку путь разбирательств очень длинный, уверен Оганян.

    «Все усилия правозащитного же сообщества должны быть направлены на создание условий быстрого развития кейсов. Тем быстрее будут результаты», — заключил он.

    Юрист «РосКомсвободы» Анна Карнаухова рассказала про то, как составлялся «Рейтинг соблюдения цифровых прав 2020». Об этом можно почитать выше в рамках выступления Михаила Климарёва.

    Рейтинг написан простым языком, чтобы любой желающий мог понять, о чём речь, и, не теряясь в юридических терминах, мог оценить соблюдение компаниями своих прав перед началом использования сервисов, рассказала Карнаухова. Также есть случаи, когда компании обратились за рекомендациями, по которым можно проверить соответствие требованиям.

    «У нас есть основания полагать, что мы положительно влияем на компании, поскольку в новом отчёте лидеры поменялись. Считаем, реакция есть и изменения в лучшую сторону тоже», — заявила Карнаухова.

    К слову, октябре 2020 году «Яндекс» впервые представил отчёт о прозрачности, что, безусловно, повлияет на место компании в рейтинге 2021 года.

    «Мы верим, что «Яндекс» в том числе прислушался к ним, и рады, что нам удается положительно влиять на отрасль», — заявила тогда юрист.

    Подробнее о дискуссии читайте здесь.

    Ждём вас на нашей конференции в следующем году! А пока смотрите Privacy Day 2021 на нашем канале на YouTube тут - подборка по отдельным видео в плейлисте):

    РосКомСвобода
    Защита цифровых прав
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 3

      +2
      это какой-то вэривэрилонгрид, но ивент получился крутой. И я рад, что удалось найти прекрасных столько проектов, направленных на улучшение нашей жизни в столь непростые времена цифровых репрессий и продажи наших оцифрованных жизней.
        +1
        Да, статья лонгридная, но и ивент был весьма продолжнительный. Мы готовим отдельную статью по релизу Amnezia VPN, так что скоро продолжение сюжета.
          0
          Отлично, будем ждать!

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое