Экспертное заключение подготовлено по итогам сессии ПМЮФ-2024 «Персональные данные — зона особого внимания».
Текущее состояние дел в области персональных данных в Российской Федерации
На сегодняшний день в Российской Федерации сфера персональных данных находится под строгим контролем государства. С принятием закона «О персональных данных», который устанавливает требования к обработке и защите информации о гражданах, организации, собирающие и обрабатывающие персональные данные, обязаны соблюдать принципы законности, справедливости и обоснованности при их использовании. Регулятором, осуществляющим контроль за соблюдением требований закона «О персональных данных», выступает Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). С каждым годом законодательства в области персональных данных усложняется, наблюдается тенденция избыточности нормативных требований в рассматриваемой сфере, на юридические лица накладывается все больше обязательств. В то же время сами субъекты персональных данных зачастую не осознают, кому, как и в каком объеме они передают персональные данные, отсутствует культура и воспитание в области персональных данных. Все это ведет к пробелам в области правового обеспечения защиты персональных данных, к трудностям в соблюдении действующего законодательства со стороны бизнеса, к правовым неопределенностям. В качестве основных вызовов и угроз в области персональных данных предлагается выделить следующие:
Отсутствие культуры персональных данных
Отсутствие культуры персональных данных среди граждан — это серьезная проблема, которая становится все более актуальной в современном цифровом обществе. В эпоху информационных технологий, где личные данные могут быть легко собраны, переданы и использованы, важно осознавать значение конфиденциальности и безопасности своих персональных данных. Однако, многие люди не обладают достаточным уровнем осведомленности и понимания в этой области. Екатерина Ефимова, Руководитель направления персональных данных, Главный радиочастотный центр, справедливо отмечает, что слово «культура» произошло от латинского «cultura», которое изначально переводилось как «возделывание», а позже приобрело еще несколько значений: воспитание, образование, развитие. Именно с точки зрения воспитания необходимо подходить к понятию культуры персональных данных. На сегодняшний день в Российской Федерации уровень образованности физических лиц в области персональных данных крайне низок. Отсутствие культуры персональных данных среди граждан проявляется в нескольких аспектах. Во-первых, многие люди не осознают риски, связанные с небрежным обращением с личной информацией. Они могут беззаботно делиться своими данными в социальных сетях, интернет-магазинах и других онлайн-платформах, не задумываясь о возможных последствиях. Это может привести к утечкам данных, кражам личности, финансовым мошенничествам и другим негативным сценариям. Во-вторых, отсутствие культуры персональных данных проявляется в недостаточном осведомлении о методах защиты личной информации. Многие люди не знают, как обеспечить безопасность своих данных в цифровом пространстве, не понимают важность использования надежных паролей, двухфакторной аутентификации, шифрования и других методов защиты. Иными словами, у граждан отсутствуют базовые знания и навыки для защиты собственных персональных данных. Третий аспект — это недостаток осознания своих прав в области защиты персональных данных. Многие граждане не знают о законодательстве, регулирующем сбор, хранение и использование их личной информации. Они могут быть недостаточно информированы о том, какие данные могут быть собраны о них, и какие права у них есть в отношении контроля за этими данными. Культуру персональных данных необходимо воспитывать в себе, в детях, в обществе. Именно с воспитания начинается культура. Развитие культуры персональных данных требует комплексного подхода, включающего обучение, разработку политик и процедур, технические меры безопасности и постоянное повышение осведомленности сотрудников и граждан.
Избыточно собираемые персональные данные
Избыточно собираемые данные (англ. excessive data) можно определить как данные, сбор которых не соответствует целям обработки данных или не является необходимым для предоставления доступа к услуге и (или) которые не обусловлены функциональным назначением программного обеспечения. Сам термин «избыточно собираемые данные» предполагает, что запрашиваемая у субъекта персональных данных информация не является необходимой или, как отмечают в зарубежной литературе, является несущественной (англ. non-essential information) [1]. Эта практика вызывает серьезные вопросы о конфиденциальности, безопасности и этике. Елена Михалевич, управляющий партнер, коллегия адвокатов города Москвы «Барщевский и Партнеры», указывает, что бизнес зачастую сталкивается с проблемой сбора избыточных данных, так как сотрудники компаний не осознают, как, зачем и в каком объеме им требуются персональные данные субъекта для того, чтобы оказать ему услугу. Избыточный сбор персональных данных может иметь несколько негативных последствий. Во-первых, это угроза приватности граждан. Когда компании собирают больше данных, чем требуется для выполнения конкретной задачи, это может привести к нежелательному раскрытию личной информации и нарушению конфиденциальности. Например, если интернет-магазин запрашивает доступ к контактам и локации пользователя для покупки товара, но при этом сохраняет эти данные без нужды, это может стать источником утечки информации. Во-вторых, избыточный сбор персональных данных увеличивает риски для безопасности. Чем больше информации хранится о человеке, тем больше возможностей для хакеров и кибермошенников получить доступ к этим данным. Если компании не обеспечивают должный уровень защиты личной информации, это может привести к утечкам данных, финансовым мошенничествам и другим преступлениям. Третье последствие избыточного сбора персональных данных — это нарушение этических принципов. Когда компании используют информацию о пользователях без их согласия или собирают данные для целей, не связанных с предоставлением услуг, это вызывает вопросы о принципах справедливости, доверия и уважения к личности. Например, использование персональных данных для целей манипуляции поведением потребителей или продажи информации третьим лицам может быть воспринято как нарушение доверия и прав человека на защиту своей личной жизни. На сегодняшний день со стороны регулятора отсутствуют какие-либо пояснения о том, в каких случаях перечень собираемых данных может быть определен как избыточный. Существующая судебная практика в отсутствие нормативного урегулирования проблемы избыточности свидетельствует о том, что в ряде случаев юридические лица привлекаются к ответственности за избыточны сбор персональных данных. Тем не менее, данная практика носит фрагментарный характер. В отсутствие четко выработанных критериев избыточности возникают сложности в определении избыточности собираемых данных.
Мошеннические действия с персональными данными
Количество мошеннических операций, связанных с утечкой персональных данных, велико. «Госуслуги» разработали целый алгоритм, в соответствии с которым необходимо действовать в случае взлома аккаунта. И даже ФНС России предупреждает об интернет-мошенниках [2]. Мошенничество при утечке персональных данных — это серьезная проблема, которая становится все более актуальной в современном цифровом мире. Утечка личной информации может привести к различным видам мошенничества, включая финансовые мошенничества, кражу личности, фишинг, социальную инженерию и другие виды атак. Когда персональные данные оказываются в руках злоумышленников из-за утечки или хакерской атаки, это открывает двери для мошенничества. Киберпреступники могут использовать украденные данные для получения доступа к банковским счетам, кражи денег, открытия кредитов на чужое имя, проведения мошеннических операций и других противоправных действий. Именно финансовым махинациям, связанным с утечкой персональных данных, посвятила свой доклад Евгения Сидорчук, начальник отдела развития финансовых рынков департамента финансовой политики, Министерство финансов Российской Федерации. Для борьбы с мошенничеством при утечке персональных данных со стороны государства уже принимаются меры различного характера, в том числе государственные органы активно информируют граждан о существующих рисках и о том, как себя вести, если гражданин столкнулся с мошенником. Мошенничество при утечке персональных данных представляет серьезную угрозу для безопасности и конфиденциальности личной информации. Только совместными усилиями государственных органов, компаний и граждан можно бороться с этой проблемой и защищать персональные данные от злоумышленников.
Автоматизация персональных данных
Виктор Наумов, Управляющий партнер санкт-петербургского офиса, Nextons; главный научный сотрудник сектора информационного права и международной информационной безопасности, Институт государства и права Российской академии наук, представил презентацию на тему обработки персональных данных и автоматизации бизнес-процессов. «С помощью автоматизации можно значительно уменьшить риски нарушения законодательства, улучшить точность и эффективность обработки данных, а также снизить операционные расходы.», — заметил Виктор Наумов. Действительно, в современном мире обработка персональных данных и автоматизация бизнес-процессов стали неотъемлемой частью деятельности компаний и организаций. С развитием технологий и цифровизации общества возросла потребность в эффективном управлении информацией и оптимизации рабочих процессов. Вопрос безопасности данных является одним из ключевых аспектов при обработке персональной информации. Компании должны обеспечить надежную защиту данных от несанкционированного доступа, утечек и кибератак. Использование современных технологий шифрования, механизмов аутентификации и мониторинга помогает снизить риски утечки информации и сохранить конфиденциальность персональных данных. Важно учитывать этические аспекты при обработке персональных данных. Компании должны соблюдать принципы прозрачности, справедливости и уважения к личности при сборе, хранении и использовании информации о пользователях. Неправомерное использование данных для целей манипуляции или продажи третьим лицам может нарушить доверие клиентов и повредить репутацию компании. Автоматизация бизнес-процессов, связанных с обработкой персональных данных, позволяет улучшить эффективность работы, сократить затраты на персонал и повысить качество предоставляемых услуг. Автоматизация бизнес-процессов помогает сделать работу более точной, быстрой и прозрачной, что способствует повышению конкурентоспособности компании.
Выводы
В современном цифровом мире сбор и использование персональных данных стали неотъемлемой частью повседневной жизни. От социальных сетей и интернет-магазинов до медицинских учреждений и государственных органов — практически все сферы деятельности требуют предоставления личной информации для регистрации, покупок, услуг и т.д. Общество и бизнес сталкиваются с новыми вызовами в области защиты и обработки персональных данных. Все это требует государственного регулирования, а именно: формирования комплекса государственных мер по определению критериев избыточности собираемых персональных данных; повышению уровня культуры граждан в области персональных данных; информированию граждан о том, что представляют собой персональные данные, как можно защитить их, как реагировать в случае столкновения с мошенником и утечки персональных данных; выработки эффективной стратегии в области защиты граждан от мошенничества при утечке данных. Компании, в свою очередь, должны стремиться к автоматизации процессов в области персональных данных и балансу между использованием технологий для оптимизации работы и защитой прав граждан на конфиденциальность и безопасность своих данных.
Список источников
1. Едидин Б.А., Крымская К.В. Сбор избыточных данных: вопросы правового регулирования // Право и цифровая экономика. 2022. N 2. С. 27 — 32.
2. Мариновская В. Мошенничество при утечке персональных данных // Трудовое право. 2023. N 7. С. 23 — 30.
Экспертные аналитические заключения по итогам сессий деловой программы Форума и любые рекомендации, предоставленные экспертами и опубликованные на сайте Фонда Росконгресс являются выражением мнения данных специалистов, основанном, среди прочего, на толковании ими действующего законодательства, по поводу которого дается заключение. Указанная точка зрения может не совпадать с точкой зрения руководства и/или специалистов Фонда Росконгресс, представителей налоговых, судебных, иных контролирующих органов, а равно и с мнением третьих лиц, включая иных специалистов. Фонд Росконгресс не несет ответственности за недостоверность публикуемых данных и любые возможные убытки, понесенные лицами в результате применения публикуемых заключений и следования таким рекомендациям.
