Опубликованный 16 марта проект постановления правительства по борьбе с серыми SIM-картами демонстрирует большие аппетиты чиновников по сбору данных о коммуникациях граждан. Роскомнадзор получит доступ к информации о контактах абонентов с детализацией времени, объема, характера, места такого взаимодействия с указанием базовой станции оператора связи.
Перефразируя известное выражение «скажи мне, с кем ты общаешься, и я скажу тебе, кто ты», можно утверждать, что в условиях существующих механизмов аналитики данных таких сведений может быть достаточно для составления детального портрета пользователя, его личной жизни, политических или религиозных убеждений и состояния здоровья.
Учитывая, что поправки направлены на установление контроля над корпоративным сегментом услуг сотовой связи, столь детальные сведения о контактах работников организации позволяют делать достаточно точные выводы о контрагентах компании, интенсивности переговоров с ними, ключевых участниках такого взаимодействия и т.д. Такого рода сведения могут носить весьма чувствительный характер для организаций и нередко составляют коммерческую тайну. И тот факт, что они в аккумулированном виде будут находиться у Роскомнадзора, может достаточно сильно напрягать корпоративных клиентов операторов связи.
Опасность заключается в том, что в России часто происходят утечки из государственных органов. Можно привести множество громких примеров из статистики последнего года. Так, 12 марта 2020 года стало известно, что полная база данных, содержащая информацию по всем экспортно-импортным операциям российских компаний за 2012–2019 годы, была выставлена на продажу в Сети. В июне прошлого года в продаже появилась база данных 115 тыс. россиян, которые застряли за границей с началом пандемии коронавируса и ждали вывозных рейсов. В декабре 2020-го утекли данные 300 тыс. переболевших COVID-19 москвичей.
Однако это далеко не все случаи, и можно лишь догадываться, сколько таких утечек происходит в реальности и не предается огласке. Как отмечает InfoWatch в ежегодном исследовании, из госсектора утекла почти четвертая часть (23,3%) от общего объема сливов конфиденциальной информации.
При этом какого-либо привлечения к ответственности государственных органов или их руководителей за такие утечки мы не видим, да и возможный размер штрафов за нарушения в сфере обработки персональных данных является мизерным даже на фоне недавно произошедшего их увеличения. И даже если они и будут взысканы, то все равно пойдут в бюджет, а не потерпевшим от утечек лицам.
В феврале 2020 года комиссия по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России высказала предложение о введении в законодательство новых механизмов компенсации гражданам за утечки и иные виды нарушений в сфере персональных данных. Возможность взыскания убытков или компенсаций за неправомерное разглашение сведений государственными органами носит исключительно теоретический характер. Отсутствие кейсов реального привлечения руководителей органов, из которых происходили крупные утечки, создает недоверие граждан и организаций к государственным информационным системам. В этой связи появление новой базы данных с высокой степенью концентрации чувствительных сведений о контактах граждан не может не вызывать опасений в том, что скоро она окажется доступной на черном рынке.
Кроме того, нельзя не отметить, что все данные, которые хочет собирать Роскомнадзор для борьбы с серыми SIM-картами, уже давно доступны правоохранительным органам в рамках ранее принятого законодательства, такого как так называемый закон Яровой. Он функционирует уже не один год и принимался под видом борьбы с терроризмом. Это наводит на мысль: нет никаких гарантий, что через некоторое время не появится еще одного закона, который обяжет операторов связи и иных лиц предоставлять детальные данные о гражданах для создания еще одной «информационной системы мониторинга за соблюдением требований законодательства».
Наиболее оптимальным в сложившихся условиях было бы существенное сокращение списка данных, предоставляемых Роскомнадзору. Лучше оставить только ту информацию, которая минимально необходима для проведения проверок, и исключить детальные сведения о контактах абонентов и корпоративных пользователей услуг связи. Чем меньше чувствительных данных о гражданах и организациях будет дублироваться в различных государственных информационных системах, тем меньше риски утечек и тем проще будет находить ответственных за такие сливы, ибо, как известно, у семи нянек дитя без глазу.
Автор — доцент факультета права НИУ ВШЭ, заместитель председателя комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России
Подробнее: https://iz.ru/1139636/aleksandr-savelev/sem-nianek