Двуликая цифровизация
Избирательная биометрия
В конце прошлого года президент Владимир Путин подписал закон об использовании Единой биометрической системы для удалённой идентификации при получении различных финансовых и госуслуг. Минцифры подготовило поправки, которые позволят сдавать биометрию через приложение, не приходя ни в МФЦ, ни в банк. Об этом пишет ТАСС со ссылкой на главу министерства Максута Шадаева. Выступая на форуме инновационных финансовых технологий Finopolis Online 2021, Шадаев уточнил, что набор предоставляемых услуг по такой биометрии будет ограничен, но это может стать вторым фактором авторизации на «Госуслугах». И хотя в Минцифры заявляют о стремлении сделать процесс сдачи биометрии более простым и надежно защищенным, в экспертном сообществе считают: излишней спешки здесь проявлять не стоит. О том, насколько велики риски внедрения подобных цифровых технологий с точки зрения защиты персональных данных без точного и своевременного законодательного сопровождения процесса, «Парламентской газете» рассказали в Совете при Президенте РФ по развитию гражданского общества и правам человека (СПЧ).
С искусственного интеллекта снимут всякую ответственность
Игорь Ашманов, президент аналитической компании «Крибрум», член СПЧ, уверен, что не должно быть подмены понятий при внедрении новых технологий. То есть, если биометрические данные сдаются для конкретного дела, то не следует их использовать в иных целях. В качестве примера он привел реальную историю, случившуюся с его знакомым.«Очень инновационно продвинутый мужчина узнал, что можно платить лицом в метро, зарегистрировался в Face Pay, сдал биометрию и стал ездить. Через пару дней ему прилетел штраф за проезд в метро без маски — 3 тысячи рублей. Остальные тоже ездят без маски, но их нельзя идентифицировать по лицу. Его можно, и он не знает, как теперь отозвать свое лицо из этой системы и кому оно еще досталось», — обрисовал суть проблемы ведущий российский эксперт в области искусственного интеллекта.При этом менее продвинутых соседей без маски не наказывают рублем за аналогичные проступки, потому что они не зарегистрированы в сервисе Face Pay.Обработка персональных данных, согласно ФЗ-152, может проводиться лишь с целью, которая заявлена, поэтому нарушения очевидны, считает глава рабочей группы по информационной безопасности нацпроекта «Цифровая экономика» Наталья Касперская.
«В случае со знакомым Игоря сбор данных был проведен с одной целью — платить лицом, а ему прислали штраф. Совершенно явная подмена целей», — уточнила эксперт. В этой связи она предлагает запретить сбор биометрии в единую базу.При этом советник президента, председатель СПЧ Валерий Фадеев напомнил, что не должны нарушаться базовые права — у человека должна сохраняться возможность отзыва своих данных.
Любую систему можно взломать
Сдавать сегодня биометрию опасно, потому что она идентифицирует человека однозначно, уверена Наталья Касперская.«Если логин, пароль, имя, фамилию, паспорт и адрес проживания можно сменить, то сменить лицо, отпечатки пальцев и радужку глаза, форму ушей и голос практически невозможно. Это значит, что мы сводим человека в одну точку. К этой единственной биометрии. Как ее будут использовать — не понятно. То, что утечки данных будут, совершенно очевидно, потому что храниться они будут в единой базе», — отметила эксперт.Касперская работает в сфере информационной безопасности более 20 лет и за это время пришла к убеждению, что «нет невзламываемых систем». Все системы так или иначе можно вскрыть. Вопрос, как говорится, в деньгах.
СПЧ предлагает запретить строить цифровой портрет россиян по их персональным данным
«Как ни странно, это не зависит от того, насколько та или иная система защищена. Для преступников важно, насколько данные в ней ликвидны и насколько система большая. Если там миллионы записей, имеет смысл напрягаться. Потому что если украдешь небольшой кусочек, то его потом долго можешь использовать», — уточнила она.В этом смысле сведение биометрии россиян в единую базу, по ее словам, гигантская ошибка: "Нам говорят, что там будет анонимизация данных. Но при анонимизации все равно используется некий идентификатор, по которому можно восстановить информацию. Вспомним грандиозные утечки последних лет, в том числе медицинских данных, по которым была заявлена анонимизация«.Эту анонимизацию делают те же сисадмины с высокими правами в системе, которые потом воруют данные и продают, добавил Игорь Ашманов. По данным экспертов, большая утечка данных в стране — это воровство внутренних сотрудников.Причем в отсутствие точной привязки к правовым механизмам злоупотребления со стороны «гиперответственных» чиновников на местах, которые станут заставлять соотечественников сдавать биометрию «ради галочки», вопреки воле конкретного человека, вполне возможны. Это уже происходит, подтвердил «Парламентской газете» Игорь Ашманов. В провинции, например, уже заставляют в школах создавать аккаунты для школьников, или случаются недоразумения при использовании QR-кода, когда крайним остается законопослушный и привитый по всем правилам человек.
Нужны четкие правила игры
С другой стороны, без цифровой трансформации не обойтись — это одна из национальных целей развития России до 2030 года. Согласно принятому и утвержденному подходу, процесс должен содействовать прорывному развитию страны, повышению уровня жизни населения, созданию комфортных условий для проживания россиян и раскрытию таланта каждого человека.И надо сказать, все эти заявленные цели в совокупности прекрасны, но полномерной радости мешает одно обстоятельство: до сих пор не созданы точные правила игры, по которым будет развиваться цифровая среда. А это тревожный сигнал, считают в Совете по правам человека. Ведь процесс касается каждого из нас, и здесь правовое государство должно обеспечивать и безопасность, и в то же время полноценное пользование своими правами и свободами.В недавно опубликованном докладе СПЧ говорится о рисках нерегулируемой цифровизации. В том числе делается акцент на слабой защите персональных данных и низкой ответственности специалистов, имеющих доступ к приватной информации. Процесс несёт в себе новые, очень серьёзные угрозы и риски, "как для прав и интересов человека и гражданина, так и для государственного суверенитета«.Основной недостаток такой «лавинной» государственной и частной цифровизации состоит в том, что она ведётся без сценарного моделирования последствий для будущего людей, отмечают авторы доклада.
Новое цифровое сословие
Нерегулируемое развитие цифровой отрасли может привести к «параллельной» власти, которую получат региональные и муниципальные чиновники и программисты на транспорте, в налоговом ведомстве и так далее.Незримо, но вполне ощутимо рычаги управления могут оказаться у менеджмента и специалистов крупных частных ИТ-корпораций, владеющих цифровыми интернет-платформами, производящих смартфоны и операционные системы. К зарождающемуся классу киберэлиты можно отнести и интернет-провайдеров, мобильных операторов, операторов уличных камер, банки и прочих операторов персональных данных.
Кто имеет право собирать наши персональные данные
«Параллельная «цифровая» власть в России и в мире пока фактически никак не регламентирована, — отмечается в докладе. — В нашей стране она не укладывается в рамки и без того плохо работающего на практике и почти неисполняемого Федерального закона № 152-ФЗ «О персональных данных». Эта власть сейчас проявляет себя как ей угодно, существуя в «серой зоне» или правовом вакууме«.Большинство менеджеров и специалистов, получающих эту новую власть «по факту» служебного положения, не несут серьезной ответственности за утечку информации, в среднем зарабатывают невысокие оклады, а потому уязвимы к подкупу. Причем их число и возможности доступа к данным быстро растут в ходе цифровизации.Авторы доклада отмечают крайне низкую ответственность за ненадлежащее или скомпрометированное использование технологий представителями нового цифрового сословия.
Тайная кибер-власть
Имея возможность вносить коррективы в работу сложных цифровых систем, даже рядовой оператор массовой технологии будет в состоянии, например, улучшить свой «цифровой профиль» или положение в цифровом рейтинге, скомпрометировать работу всей системы или вывести себя за рамки воздействия цифровизации.По сути, речь идёт не об одобренной большинством передаче «кому-то достойному» статуса и власти, уместнее назвать это «заговором специалистов», захвате власти «по факту». «Оператор технологии, не говоря уже о ее владельце и разработчике, до некоторой степени получит функции „цифрового бога“, формируя определенные правила „игры“ для одних граждан и видоизменяя или отменяя их вовсе для других», — предупреждают авторы доклада.Это в свою очередь создает основу для развития представлений об исключительности, превосходстве над «обычными» гражданами, неподсудности представителей нового класса правовым и этическим нормам, «придуманных для простых смертных».
Криминальная «цифра»
Новые электронные технологии и сервисы, напоминают в СПЧ, используются бизнесом в первую очередь для получения конкурентных преимуществ и извлечения прибыли, но без должной защиты прав и интересов граждан.Например, уже сейчас поставщики систем распознавания лица для домовых камер предлагают по знакомству и, вероятно, также за деньги сделать жильца «невидимым» для системы распознавания мэрии. То же самое уже происходит с системами распознавания лиц для городских камер в метро и на улицах.«Есть также криминальная услуга по превращению номера автомобиля в „невидимку“ для дорожных камер ГИБДД, в результате чего на этот номер не приходят штрафы за нарушение ПДД. Заметим, что услуга есть, а о случаях пресечения такой деятельности и наказания виновных — ничего не слышно», — сообщают авторы.Они отмечают опасность внедрения подобных «невидимок» в системы распознавания, используемые при проходе на режимные объекты и поиске преступников.
Что делать?
Авторы доклада отмечают, что решительным шагом к созданию российского «Цифрового кодекса» стало поручение Президента РФ разработать проект концепции защиты прав и свобод россиян в цифровом пространстве. На момент публикации доклада поручение главы государства было исполнено.
Зачем прокурорам персональные данные россиян
В СПЧ предлагают идти дальше: вырабатывать и закреплять в законодательстве российскую модель цифровизации, защищающую права граждан и национальный суверенитет, «обеспечивать ее общественную поддержку и институциональную базу».
Необходимо, по мнению экспертов, сформулировать и законодательно закрепить новые принципы использования персональных данных, а также ввести запрет на создание систем социального рейтингования, установив ответственность за их создание и внедрение.Предлагают также авторы документа усилить ответственность за несанкционированный сбор и противоправное использование персональных данных, кражу, организацию их утечек, продажу и покупку.Действенным шагом станет и установление запрета на многократное использование ранее собранных и не обновляемых персональных данных, а также на использование систем идентификации персональных данных по косвенным признакам.Большей защищенности россиян поспособствует и проведение правозащитной и гражданской экспертизы программ цифровизации и цифрового развития.