Были ваши – стали наши! Как в Украине собирают личные данные граждан и сколько это стоит
"Не хотите установить кондиционер?", "Вам звонит президент и просит вас проголосовать", – такие звонки с неизвестных номеров говорят о том, что часть ваших личных данных уже кто-то кому-то передал. Но проблема гораздо больше, чем просто торговля номерами телефонов. Фокус разбирался, что делать, если ваши личные данные попали не к тем людям
Когда автор книги "Эпоха мыслящих машин", будущий технический директор Google Рэймонд Курцвейл заявил, что главным товаром XXI столетия, безусловно, станет информация, обыватели думали, что речь идет о государственных тайнах, научных разработках и инсайдах крупного бизнеса. Тогда в 1990-х мало кто понимал, что самым ходовым товаром станут вовсе не корпоративные и государственные секреты, а личные данные тех самых обывателей. Сегодня никого уже не удивишь сообщением о том, что за нами постоянно следят: отслеживают историю покупок и чек-инов в ресторанах, публикации в социальных сетях, даже поиски в интернете и любые проявления интереса к сайтам, онлайн-профилям или статьям.
То, что эту информацию анализируют и используют в коммерческих целях – не новость. Неприятным сюрпризом стало то, что так же легко продаются и покупаются данные, собранные о нас госорганами, в том числе правоохранительными, которые в теории должны быть защищены от утечки и предназначены исключительно для обеспечения безопасности. Недавнее признание главного военного прокурора Анатолия Матиоса о том, что доступ к базе МВД и других не менее уважаемых государственных структур может получить любой желающий, и стоит это совсем не дорого (от 250 до 700 грн) шокировало многих.
Любой каприз
Желая проверить правдивость слов прокурора, Фокус провел небольшой эксперимент. Мы нашли в сети объявления нескольких охранных фирм, предоставляющих услуги наружного наблюдения, и попросили собрать для нас самую полную информацию о владельце автомобиля с определенным номером. Как его зовут, как перемещается его автомобиль в течение дня, сколько у него банковских счетов, какие транзакции по ним происходят. Так же попросили узнать его паспортные данные, идентификационный код и банковские реквизиты. По сути, мы запросили информацию, которую собирает мошенник о потенциальной жертве. Узнав все это о вас, злоумышленник легко сможет украсть ваши сбережения и, вдобавок, оформить на ваше имя кредитные обязательства, которые, возможно, придется погашать еще не один год.
Доказать непричастность к транзакциям, которые от вашего имени совершал мошенник, воспользовавшись вашими идентификационными данным, крайне сложно. А вот получить такую информацию, оказывается, довольно просто. Из 15 фирм, которые мы выбрали по рекламным объявлениям в Сети, 8 были готовы собрать полный пакет персональных данных в течение двух дней. Стоимость этой услуги ни у кого не превышала 5 тыс грн. Причем, некоторые предоставляли ее гораздо дешевле. Только в двух случаях представитель фирмы, с которым говорил по телефону сотрудник Фокуса, выдававший себя за заказчика, интересовался, зачем нам понадобилась эта информация. На этот случай была предусмотрена легенда: заказчик якобы стал жертвой ДТП, а интересующий его автомобиль скрылся с места происшествия. Такого объяснения обоим интересующимся оказалось достаточно, дополнительных вопросов никто из них не задавал.
Стандарт безопасности
Строго говоря, каждого кто взялся собирать такие данные, да и нас самих, если бы мы довели эксперимент до конца и совершили покупку информации, можно было бы привлечь к ответственности по статье 182 Уголовного Кодекса Украины за незаконный сбор и хранение конфиденциальных данных. В худшем случае за это полагается до трех лет лишения свободы, в лучшем – штраф от 8,5 тыс. до 17 тыс. грн. Очевидно, наши телефонные собеседники считают второй вариант наказания гораздо более вероятным, потому не слишком осторожничают. Если каждый клиент перечисляет несколько тысяч гривен за информационный пакет, а доступ к базе стоит меньше тысячи, упомянутые штрафы не могут повлиять на рентабельность нелегального бизнеса.
Как отмечает адвокат компании Investment Service Ukraine Татьяна Перевощикова, в Кодексе Украины об административных правонарушениях есть отдельная статья (ст. 188-39) о несоблюдении установленного законом порядка защиты персональных данных, приведшем к незаконному доступу. Для должностных лиц и субъектов предпринимательской деятельности за это предусмотрен штраф от 5,1 тыс. до 17 тыс. грн. Но, учитывая, как дешево продается доступ к государственным базам данных, чиновники явно не боятся быть уличенными. Это тем более странно, что современные системы информационной защиты вполне позволяют минимизировать риски утечки и строго контролировать доступ к "закрытым" данным. "Причиной утечки могут быть умышленные действия или простые оплошности сотрудников, то и другое можно предотвратить, или, по крайней мере, существенно снизить вероятность потерь, - говорит гендиректор компании Betta Security Феликс Роголь. – В мировой практике для этого применяют системы DLP (Data Loss Prevention) в сочетании с технологиями Fraud Prevention, мониторингом защиты баз данных и аналитикой действий пользователя".
Роголь подчеркивает, что в странах Западной Европы правовой механизм противодействия злоупотреблениям, связанным с передачей и хранением личной информации выстроен гораздо четче, чем в Украине. Там существует юридически обязательный "Общий регламент по защите данных" (GDPR), которого должны придерживаться и госучреждения, и частные коммерческие структуры. В нашей стране такого единого стандарта не существует.
Кому пожаловаться
Татьяна Перевощикова говорит, что официально за защиту персональных данных в Украине отвечает уполномоченный Верховной Рады по правам человека. На основании обращений граждан он имеет право проводить проверки в организациях, имеющих доступ к нашей личной информации, и направлять предписания по устранению нарушений порядка ее хранения или передачи. Еще омбудсмен может потребовать удалить личные данные, если выяснит, что их хранят незаконно, а также требовать запрета доступа или напротив предоставления доступа третьим лицам. Он же при необходимости составляет и передает в суд протоколы о привлечении нарушителей к административной ответственности.
Еще один способ защитить свои права в случае незаконного использования личных данных – взыскать возмещение материального и морального ущерба через суд. Перевощикова подчеркивает, что такая судебная практика в Украине уже существует. К примеру Бориславский городской суд удовлетворил иск частного лица к сельсовету за разглашение персональных данных. Речь шла о дате рождения, адресе, семейном положении, сведениях об имущественных и неимущественных отношениях истца с третьими лицами. Ясно, что в суде МВД и налоговая служба будут более серьезными противниками, чем сельский совет. Но раз уж есть положительные прецеденты, стоит пробовать.