Сколько стоят персональные данные и чем система распознавания личности по венам лучше отпечатков пальцев?

Во время пандемии усилилось вмешательство государства в частную жизнь казахстанцев. Борьба с распространением коронавируса стала веским аргументом для правительства в пользу активного использования систем массовой слежки за передвижением граждан, а также сбора персональных данных для надзора.

Но каковы должны быть пределы вмешательства государства в частную жизнь? Неоднократные попытки внедрения сертификата безопасности, скандалы с утечкой персональных данных, а также избыточное регулирование интернета, – всё это вызывает опасения в новом витке ограничения прав и свобод граждан в стране.

Эти и другие проблемы подняли во время обсуждения на дискуссионной площадке PaperLab. На вопросы экспертов отвечал глава правления национального инфокоммуникационного холдинга "Зерде" Арман Абдрасилов. Мы послушали дискуссию за вас и предлагаем краткий пересказ.

"Как сохранить баланс между вторжением в частную жизнь и обеспечением безопасности в условиях пандемии?"

Дана Мухамеджанова, старший преподаватель департамента международного права Университета КАЗГЮУ, эксперт ОБСЕ 

"Во всём мире допускаются ограничения, вмешательства в личную жизнь на основании случаев, связанных с национальной безопасностью, общественного порядка, охраной здоровья. Во время пандемии во многих государствах ужесточили слежку, были приняты нововведения, при которых использовались различные технические средства, начиная с GPS-трекеров, заканчивая мобильными приложениями.

Чем усугубилась слежка в период пандемии у нас? Первое – установление видео-камер для контроля над гражданами. Второе – использование дронов (в Казахстане, например, они использовались на блокпостах). Третье – установление слежки в приложениях, связанное с постановлением главного санитарного врача. Это приложение SmartCity, устанавливающее контроль над заболевшими гражданами и лицами, находящимися на карантине.

Я проводила исследование и выяснила, что проводился контроль граждан при помощи сайтов. Например, с помощью сайта covid19life.kz (сейчас недоступен. – Авт.) граждане сами предоставляли информацию о доме, где жили заражённые коронавирусом или контактные.

Читайте также: В Казахстане во время карантина практически узаконили слежку за людьми. Стоит ли этого бояться?

Но никто не мог дать гарантии, что обратившийся человек не находится в зоне риска. Например, в России были случаи, когда избивали врачей, вынуждая делиться информацией, кто болеет в этом доме, в каком подъезде и так далее. Здесь нарушение не только приватности, но и последствия нарушения прав человека – угроза жизни.

Были также публикации с перемещением известных лиц, которые отмечали, что их частная жизнь была нарушена в результате того, что СМИ публиковали о них информацию о прибытии в страну, сдаче ПЦР-теста, подтверждающего положительный результат. Здесь нужно было запретить СМИ публиковать такую информацию либо ограничить, потому как в результате этого происходит вторжение в частную жизнь, человек страдает.

Читайте также: "Люди нас боятся, как будто испачкаешь их". Почему казахстанцы стигматизируют заражённых Covid-19

Возникает вопрос: как сохранить баланс между вторжением в частную жизнь человека и обеспечением населения безопасности в рамках бушующей пандемии. Настаивать на приватности было сложнее, потому как были документы, которые регулировали вопросы вторжения в частную жизнь.

Стоит отметить, что в вопросах приватности затрагиваются и политические аспекты, связанные с избирательными процессами. Так, например, в США были использованы данные пользователей Facebook, чтобы менять политическое мнение пользователей, чтобы они проголосовали за ту или иную партию или кандидата. Есть риски, что данные используются не только для того, чтобы хранить базу с личной информацией, а чтобы в последующем применить её. Например, поднять бунт в государстве, повлиять на тот или иной регион в контексте какой-то экстремистской информации.

Поэтому важно, чтобы крупные компании предоставляли гарантии в заверении приватности. Компании Apple и Facebook уже были замечены в распространении персональных данных в 2013 году, когда была установлена слежка не только за американцами, но и гражданами других государств. А мы все являемся пользователями  иностранных приложений и сайтов. Какие могут быть гарантии, когда массово собираются данные через приложения на основании телефонных разговоров, переписок, сообщений?

В Казахстане принята концепция "Киберщит Казахстана" на основании опыта Австрии, Эстонии и других государств, которые были подвержены кибер-атакам. Они разработали документы, которые будут обязывать провайдеров, операторов соблюдать политику приватности и безопасность при помощи криптографии и шифрования ключей – это основные техники для безопасности данных.

К тому же это поможет обезопасить госсектор от атак и банковский сектор от случаев, связанных к несанкционированным доступом к данным. Практика примечательна тем, что предусмотрена уголовная ответственность в случае, если своевременно не обновили антивирус. Такой опыт зарубежных государств – хорошая практика, на которую можно будет опираться в последующем при разработке документов".

"Государство аккумулировало огромное количество данных граждан, и непонятно, как они будут использоваться и храниться"

Арсен Аубакиров, правозащитник, директор ОФ "Human Rigths Consulting Group"

"Сложно понять, действительно ли использовалось приложение Smart Astana для контроля граждан, потому что в статистике людей, которых привлекали к ответственности за нарушения карантинных мер, таких данных (о привлечении к ответственности лиц, нарушивших условия самоизоляции, о чём стало известно посредством мобильного приложения. – Авт.) нет. Возможно, что приложение использовалось в качестве тестовой возможности. 

Хочу также отметить, что госорганы были абсолютно не готовы к массовому онлайн-переходу. Это было заметно и в отношении работы госуслуг, которые проводились только онлайн, особенно это касалось соцвыплат, потому как создавались фейковые чат-боты в Тelegram-канале.

Судебные заседания, проводимые онлайн на мировых платформах (Zoom, WhatsApp), оставляли желать лучшего, учитывая то, что многие данные, озвученные на судебных заседаниях, вполне могли стать общедоступными. Здесь стоит больше говорить об усилении роли кибербезопасности для подобных сервисов.

Государство предпринимало очень много шагов, каждый день появлялись какие-то новые продукты, идеи, но непонятно, к чему это в итоге привело, потому как результаты не особенно заметны. Но мы точно понимаем, что государство аккумулировало огромное количество данных граждан, и непонятно, как они будут использоваться и храниться".

"Персональные данные из мобильных приложений могут быть переданы только добровольно"

Руслан Даирбеков, руководитель ОФ "Евразийский цифровой фонд"

"Использование цифровых инструментов для борьбы с коронавирусом предполагает, в том числе, использование мобильных приложений. Что можно сказать относительно инициативы маркировки (речь идёт о мобильном приложении Ashyq, с помощью которого при введении QR-кода можно узнать иммунный статус граждан по отношению к коронавирусу. – Авт.). Эта инициатива в начале вызвала у общественности большой вопрос относительно приватности и защиты персональных данных, и самый важный вопрос – вопрос дискриминации.

Читать подробнее о приложении Ashyq

Министерство цифрового развития, инноваций и аэрокосмической промышленности выступило с заявлением, отметив, что согласно европейской международной практике цифровые данные мобильных приложений могут быть переданы только на добровольной основе. И это ключевой момент. 

Понятно, что государственные приложения во всём мире не отвечают высоким стандартам приватности защиты персональных данных, но в любом случае государство предоставляет людям право выбора – использовать приложение или нет. Принцип добровольности заключается в установке этого приложения.

Есть вопросы относительно использования этого приложения коммерческими структурами, где есть определённые риски дискриминации. С другой стороны, никто не запрещает нам подтверждать своё состояние здоровья другими способами: например, справкой ПЦР. Если будут случаи злоупотребления со стороны коммерческих организаций при использовании подобного рода инструментов, где хранятся персональные данные, то этот вопрос должен быть адресован госорганам. Пока никаких подобных случаев не происходило, есть лишь опасения, что это может случиться". 

"Стоимость персональных данных человека оценивается как 10% от его годового дохода"

 Арман Абдрасилов, председатель правления АО "Национальный инфокоммуникационный холдинг "Зерде"

"На днях мы встречались с представителями компаний Mitsubishi и Hitachi Ltd. Они разработали систему распознавания личности по венам пальцев. Многие посчитали это бесперспективной технологией. А я отметил, что это очень хорошая разработка, потому как эти данные можно открыто хранить, в отличие от отпечатков пальцев, которые вы оставляете где угодно, не контролируя этот процесс, и кто угодно может этим воспользоваться.

В Казахстане есть госинициатива по сбору отпечатков пальцев, и она периодически откладывается. Потому как, с одной стороны, люди не доверяют и оттягивают этот процесс, с другой, есть вопросы к хранению данных. А создав банк данных с отпечатком вен, не страшно будет потерять его. Понятно, что сбор данных необходим, но нужно, чтобы они приносили пользу, не нанося урона владельцу. Биометрические данные мы никак не сможем поменять. Если база данных с отпечатками пальцев попадёт в руки к хакерам, то я не смогу использовать свой телефон.

Читайте также: В ЦОНах можно получать справки по отпечатку пальца. Как это работает?

Недавно с коллегами из прокуратуры мы обсуждали эти вопросы. Я отметил, что прокуратура отстала от прогресса, потому что у нас нет кибер-прокурора. Ведь всё больше преступлений совершаются в киберпространстве.

Сейчас сложно говорить, куда эта история нас приведёт, но факт остаётся фактом: данные скапливаются у государства, и государство обязано их хранить, ещё не понимая, как их применять.

Что касается продажи персональных данных или их утечки. Если говорить о стоимости персональных данных, то согласно американской методологии, стоимость данных человека оценивается как 10% от его годового дохода. Соответственно, стоимость персональных данных какой-то страны – это 10% от ВВП.

Говоря о культуре безопасности, можно отметить, что около 20% людей об этом беспокоятся, принимают какие-то меры, остальные об этом никакого понятия не имеют. Здесь важнее цена ошибки: для госкомпании она нулевая и оценивается только в потере доверия граждан, а для коммерческих компаний, к примеру Apple, ошибка оценивается в 2 трлн долларов. Поэтому они больше беспокоятся о потере доверия.

Какие планы есть у государственных органов в плане регулирования сферы персональных данных? На ежегодном форуме Digital Almaty обсуждали вопрос, что сегодня законодательство отстаёт от цифровизации. Вышел недавно закон, что водителям в Казахстане можно не носить с собой права, достаточно удостоверения личности. Имеете вы права или нет – становится проблемой сотрудника МВД, который будет использовать приложение на планшете.

Читайте также: Езда без водительских прав и штрафы за нарушение ПДД в 2021 году: всё, что нужно знать

Появилось понятие "виртуальный оператор", а в законе этого понятия нет, и пока мы будем его вносить, появятся новые понятия, новые технологические достижения. Сейчас прорабатываем вопрос о разработке нового концептуального документа – Цифрового кодекса, в котором мы хотим объединить 15 законов, и планируем делать это в плотном сотрудничестве с неправительственными организациями, международными в том числе. Я думаю, эту историю мы ускорим, и продвижение технологий в нашей стране упростится".