Какие персональные данные нельзя разглашать?
Белорусское телеграфное агентство и компания А1 продолжают цикл программ, направленных на повышение нашей с вами цифровой грамотности. Сегодня мы говорим о персональных данных. А поможет нам разобраться в том, какие данные относятся к персональным и как их нужно защищать, юрист, член консультативного совета Национального центра защиты персональных данных Кирилл Лаптев. 
— Как вы определяете для себя главную ценность персональных данных? — Характеристика, которая отличает персональные данные от других, — это возможность идентифицировать конкретного человека и далее делать определенные выводы, операции. Опять же, находить человека, предлагать ему что-то, если смотреть глубже — профилировать в чем-то его поведение. Поэтому мы защищаем такие данные. Еще один момент — персональные данные сами по себе являются ценностью, так как у каждого человека они уникальны, в какой-то степени эта информация как его внутреннее богатство. Когда мы ее оберегаем, то сохраняем эту ценность. Если же мы даем неограниченный доступ, возможность использовать, обрабатывать такие данные, ценность в некоторой мере нивелируется. Такая информация позволяет в отношении меня как обычного гражданина делать определенные действия. Порой даже те, которые я сам не могу осознать. Начиная с банальных предложений купить что-то, учитывающих мои особенности, и заканчивая мошенническими действиями, которые тоже строятся на нахождении определенных данных, характеристик человека, используемых впоследствии против него.
— Мне кажется, что у нас несколько искажено понятие персональных данных. Одно дело — адрес, номер телефона и электронная почта, группа крови или другие медицинские данные — сразу понятно, что это персональные данные. Другое — фотография, самое индивидуальное, что может быть, она тоже к ним относится? Все под одним зонтиком. И от этого может возникнуть недопонимание, какие данные в итоге нужно защищать. — Резонный вопрос, который надо задавать. Иногда одни и те же данные в своей совокупности могут позволять идентифицировать человека, а иногда — нет. Если известна только группа крови, но больше никаких данных нет и их невозможно установить, возникает вопрос степени идентификации: насколько мы можем определить, кому принадлежит группа крови? Она достаточно распространенная. Есть критерии, как можно обезличивать, когда утрачиваются характеристики, которые позволяют идентифицировать человека. Фотография — еще более сложный объект. У нас есть разные категории персональных данных, например специальные (их еще называют чувствительными). — То есть у специалистов есть градации. — Да, это предусмотрено в нашем законе, который позволяет устанавливать еще большую степень защиты именно для таких специальных персональных данных, как биометрия, генетические данные, религиозные предпочтения. Когда мы смотрим на фотографию, то можем понять, кто на ней. Но если мы используем ее для идентификации, сравниваем биометрические параметры, которые есть на лице, — уже распространены различные инструменты, позволяющие распознать лицо на входе или на видеонаблюдении, — возникает необходимость в еще большей степени защиты данных именно как биометрических. Здесь есть тонкости, которыми специалисты занимаются для того, чтобы обеспечить степень защиты, предусмотренную законом. С его появлением были установлены рамки работы с этими данными. А дальше возникает следующий вопрос: кто занимается их охраной, защитой? В этом большая доля ответственности. Определение степени защиты возложено на предприятия, компании, организации, госорганы, которые должны для себя на базе рискориентированного подхода установить, какие и в каком объеме нужно принять меры, чтобы защитить обрабатываемые данные. — Не так давно сдавал анализы в клинике. Результаты были готовы на бумажном носителе, но я попросил сбросить их мне на электронную почту. Мне ответили: «По закону «О защите персональных данных» без вашего письменного на то согласия мы не можем их отправить». И не отправили, пришлось зайти и забрать. Я был даже несколько ошарашен, что они так следят за этим. 
В медцентрах и клиниках одни персональные данные и условия для их защиты, а, например, в клиентских базах парикмахерских — другие. Какая есть градация в стране и как она осуществляется? — Градация предусмотрена, и производится она в первую очередь по категории данных. Мы уже упоминали про специальные персональные данные. Мне сложно представить ситуацию, чтобы в сфере обслуживания, в тех же парикмахерских, потребовались наши специальные персональные данные. В то же время к ним относятся медицинские. В этом случае есть даже совокупность регулирования: с одной стороны, персональные данные, с другой — есть элемент, связанный с врачебной тайной, которую тоже нужно защищать, и другие требования. Градация нужна для определения механизмов и мер, которые надо задействовать в конкретной ситуации, чтобы обеспечить защиту данных. Чем более сенситивные сведения, чем более они важны для человека, тем выше степень защиты. Исторически есть удобный критерий, позволяющий определить, какие данные требуют большей защиты, а какие являются стандартными. Если вы представите, что человека когда-либо дискриминировали или могли дискриминировать по какому-либо признаку, то скорее всего он относится к специальным персональным данным. Самый распространенный, например, — расовая принадлежность. Если когда-то была дискриминация, то такие данные защищают тщательнее. Гендерная принадлежность тоже подпадает под это условие. Другие данные чаще всего относятся к общей категории персональных данных. Стандартный критерий — это данные, которые идентифицируют (или способны идентифицировать) конкретного субъекта данных, человека, гражданина. — Беларусь не была пионером при принятии закона «О защите персональных данных», у нас он появился несколько позже, чем в европейских странах, той же России. Хорошо это или плохо, на ваш взгляд? — Процесс, может быть, незаметный публично, шел достаточно давно — задолго до первого проекта закона. До этого была концепция, обсуждалась вообще необходимость принятия такого закона. То есть прорабатывался международный опыт. Классически мы не используем кальку. — Нет, но все равно же какие-то вещи можно было подсмотреть? — Международный опыт. На самом деле в основе нашего закона во многом лежал, по сути, единственный международный акт, конвенция Совета Европы, которая применялась в национальном законодательстве стран, в том числе России. Когда стала понятна необходимость такого закона и возникло четкое понимание, что персональные данные — сфера, которую нужно защищать, закон был принят и через какое-то время вступил в силу. Полгода было предусмотрено на адаптацию под новую систему. Важно отметить, что в Китае закон был принят на пару месяцев позже, чем в Беларуси. Но вступил в силу раньше, то есть они дали меньше времени, чтобы подготовиться в этой части. У нас до этого в течение более 10 лет существовал закон «Об информации, информатизации и защите информации». 
— То есть частично он выполнял роль закона «О защите персональных данных»? — Да. В развитии более понятна система, как это может работать. У нас существовали правила, вопрос — насколько они были понятны и внедрялись в правоприменение. Закон позволил значительно расширить их роль, понимание и внедрение. Вполне возможно, что наш закон, который с 2021 года работает, в ближайшее время тоже будет требовать модернизации, внесения изменений и уточнений с учетом наработанной практики. — Вы из своей практики уже видите такую необходимость? — Возникают новые вопросы. В то время, когда закон рассматривался и применялся, они у нас с точки зрения общественных отношений были не настолько востребованы. Сейчас один из вопросов касается автоматизации принятия решений в отношении человека. Проще говоря, когда компьютер принимает значимое для нас решение. К примеру, определяет, выдать кредит или нет и по какой ставке. — Это давно у нас, по-моему. — Вопрос — нужен ли нам дополнительный элемент в части обеспечения прав граждан, защиты и правил игры, которые есть у нас в регулировании. Это же касается искусственного интеллекта, обработки данных, которые в него загружаются. Появляются различные элементы, которые могут отразиться в изменениях, дополняющих закон. Некоторые положения появляются на практике, но их не хватает, чтобы четко ответить на уровне законодательного акта. Это, опять же, то, что будет рассматриваться и обсуждаться и на уровне регулятора, и, надеюсь, на уровне профессионального сообщества, чтобы определить, есть ли такие направления и как они могут быть отражены в изменениях. — В ближайшее время нас ждут изменения в законе «О защите персональных данных»? — Инициатива сейчас обсуждается. Если будут обоснованно определены изменения, то, возможно, в следующем году они будут по крайней мере на уровне законопроекта обсуждаться и дальше двигаться по пути принятия. — Про искусственный интеллект мы сейчас слышим из каждого утюга. Технологии открывают возможности для разных сфер, но в то же время насколько они делают более уязвимыми персональные данные? — Конечно. С точки зрения получения персональных данных и их дальнейшей обработки в плане прогнозирования поведения, формирования определенных выводов, идентификации человека. То, что человек не всегда может определить сам, исходя из доступных источников информации, системы ИИ могут сделать быстрее и, возможно, подробнее. Один из вопросов, вызывающих дискуссии: насколько можно обезличить персональные данные, если в теории ИИ, собрав всю информацию, которая в него загружена, может все равно понять, к кому это относится? Тут тоже нужно либо определить позицию, либо урегулировать. 
Если говорить про ИИ в целом, мне понравилось, как недавно в Совете безопасности ООН выступил министр иностранных дел Максим Рыженков. Он привел метафору обоюдоострого меча. — Это любая технология. — Да. Нам надо найти баланс. Нужно понимать, как мы внедряем и используем инновации и кто за них несет ответственность. Три основных критерия, которые выделяют юристы, — это дискриминация, прозрачность и этика. Сейчас у нас обсуждается регулирование технологий, систем искусственного интеллекта. В большей степени акцентируется техническая часть: стандартизация, госстандарты, которые могут применяться, законопроект, который в этой сфере может быть. Но есть составляющая, относящаяся преимущественно к правовой категории, — этическая часть, позволяющая понять, где грань и кто определяет, как это будет работать на практике. Вопрос, который беспокоит граждан и юристов, — как мы можем определить границы дозволенного? Персональные данные — одна из затрагиваемых тематик. По сути, технология ИИ стоит на двух столпах. Первый — вычислительные возможности, то есть то, как он может самообучаться и делать определенные выводы. Второй — массивы данных, огромные и во многом построенные на сведениях, имеющих ценность. Одна из тематик, важных для меня с точки зрения профессионального интереса — большие данные. Сейчас существует позиция, что как таковая эта категория утрачивает значение, потому что все доступные данные уже в таком количестве и с такой возможностью обработки, что уже являются «большими». Размывается граница между большими данными и конкретными базами данных. — Обычному человеку, не склонному вдаваться во все подробности технологических изменений, важно понимать, что, где бы он ни оставил свои данные, они не попадут в руки злоумышленников. А это проблема, так как в новостях каждый день можно наткнуться на то, что кого-то обманули и он сам отдал деньги. Если на людей воздействовали психологически, значит, про них что-то знали, то есть их персональные данные попали не в те руки. Насколько белорусский гражданин может быть спокоен в этом смысле? — На мой взгляд, прогресс последних лет с точки зрения регулирования и внедрения мер значительно повысил защищенность граждан в части их данных. Большие изменения, дополнительная защита появляются в кибербезопасности, это отдельное направление. Персональные данные и правила, по которым они могут обрабатываться, дополняют эту часть, потому что есть элемент, связанный не только с технической защитой, но и с правовыми мерами, иногда — организационными. В основе лежит культура заботы о своих данных и о данных граждан, и она начинает развиваться. В организациях все больше внимания этому уделяют, в отличие от того, что было несколько лет назад. Закон и предполагает, что сами операторы (те, кто обрабатывает данные) во многом определяют меры защиты. Поэтому мне кажется, что степень защиты растет. Еще один важный элемент — внимание самих граждан к своим данным. Есть внутренняя установка: очень сложно защитить какую-то ценность, о защите которой не беспокоится ее владелец. Если человек свои данные публично выкладывает в интернете, оставляет в доступе, распространяет, как это терминологически определено, то защищать их сложно, если не сказать невозможно. Совместная работа выстраивается на уровнях всех, кто в ней задействован. 
— Национальный центр защиты данных активно пропагандирует эти знания. Чтобы каждый понимал, что в первую очередь от него зависит, куда попадут его персональные данные. Если вы из практики отмечаете, что уровень культуры растет, это вселяет надежду. Но если вернуться к закону: на какой аспект вы бы обратили особое внимание? — Прежде всего на возможность для организаций, операторов, предприятий и компаний, которые обрабатывают данные, понимать, какие основания они могут использовать для обработки данных и для каких целей это делать. Интересно сравнивать с тем, как это развивалось в Российской Федерации. Есть принцип согласия — вы упоминали, что у вас попросили согласие, чтобы направить данные в электронном виде. У нас изначально подход строился на том, что с точки зрения практики это последнее основание для обработки данных. По нескольким причинам. Первый момент — согласие само по себе содержит персональные данные и уже требует дополнительной защиты. Второй момент — согласие не является постоянным основанием. Его можно отозвать, и это влияет на процессы в организации, насколько она может эти данные удалить. — Такой нюанс: согласие ты отозвал, а данные остались. — С точки зрения закона, если отзывается согласие, сведения необходимо удалить или по крайней мере заблокировать, чтобы их нельзя было обрабатывать, если нельзя сделать по-другому. Насколько глубоко это реализуется на практике — это как раз движение, не везде получается быстро и так, как того требует закон. Поэтому во многом это основание в силу закона. Например, если мы обрабатываем данные работника, который трудится на организацию, наниматель должен иметь возможность в случаях, когда закон предписывает ему эти данные обрабатывать, получать их без дополнительных формальностей, например в виде получения согласия. Один из моментов, который может быть уточнен, — случаи, когда мы можем обрабатывать в силу закона, когда нам требуется согласие, какие есть рекомендации. Вы упоминали Национальный центр защиты персональных данных, они много работают на превентивную часть в виде рекомендаций, отраслевых и по тематике, в виде подготовки примеров, анонсирования правоприменительной практики, которая у них есть, чтобы это формировало культуру и понимание того, как это работает. Отдельные элементы могут найти отражение в законе, чтобы их сделать более системными и понятными широкому кругу пользователей. — В любом случае это процесс. Здорово то, что у нас есть, кому этим заниматься. 
