Сергей Марин: Совершенно не секретно. Как можно защитить свои персональные данные
Наиболее уязвимы сегодня два типа персональных данных: финансовая и контактная информация. Банковская информация интересна, в первую очередь, мошенникам, контактная — рекламщикам. Согласно ежегодному исследованию Банка России, в 2018 году объем несанкционированных операций с банковскими картами увеличился на 44%, а преступники украли у россиян более 1,38 млрд рублей. Говорить о безопасности финансовых данных можно бесконечно, но население по-прежнему крайне доверчиво.
Контактная информация стала интересна компаниям совсем недавно — сегодня эти данные перепродают рекламным агентствам, колл-центрам и просто конкурентам на рынке. Количество спам-звонков растет ежегодно, при этом уже сейчас есть прогнозы, что в ближайшее время более половины всех звонков рекламного типа будут совершать роботы.
Соблюдение элементарного «цифрового этикета» и выполнение простых правил позволит вам защитить себя и от нежелательных звонков, и от кражи накоплений.
Любая деятельность оставляет информационные следы, именно поэтому стоит усвоить три простых правила. Во-первых, нужно осторожнее открывать входящие письма от незнакомых адресатов и не переходить по сомнительным ссылкам. Во-вторых, не рекомендуется указывать личный мобильный или адрес электронной почты при выполнении каких-то разовых действий, например, продаже автомобиля или сдаче квартиры в аренду. Также специалисты по банковской безопасности рекомендуют завести отдельную карту для оплаты интернет-покупок и отдельный почтовый ящик для регистрации на различных онлайн-сервисах и в мобильных приложениях. И пусть это требует небольших подготовительных действий, даже эти три шага сделают ваши данные на порядок более защищенными.
Белые данные на службе маркетинга
Безусловно, компании стремятся изучать своих потребителей. Но не нужно лишнего пессимизма — пока они только учатся соединять различные действия в сети между собой, составляя единый цифровой портрет. Кроме того, сегодня это регулируется законом о персональных данных (GDPR — в западной трактовке). Однако попытки консолидировать большие данные крупными компаниями, работающими на массовых рынках, в телекоме, финтехе и ретейле, давно ведутся. Бизнес учится использовать накопленные данные, чтобы более точно прогнозировать поведение покупателей и не только. Поговорим о коммерческих целях.
Бизнесу крайне выгодно знать о нас всё: количество детей и их возраст, наличие машины, кота, дачи, тещи. Все это фундамент для построения вашей личной клиентской истории, таргетирования услуг и персональных предложений, на чем стоит современный маркетинг. Поэтому компании собирают данные различными способами: через опросники, анкеты, обзвоны, а также обратную связь по различным каналам. Многие уже умеют мониторить профили клиентов в социальных сетях, для этого есть масса автоматизированных решений. Что касается ваших транзакций онлайн, то все они оседают в базах данных и могут подвергаться анализу.
Дьявол кроется в деталях. Системам машинного обучения не интересны персональные данные в том виде, в котором их трактует закон
Кто следит за оборотом этих данных? По большому счету, никто. Принятый с большой оглаской после жарких обсуждений закон №152-ФЗ призван защитить персональные данные граждан РФ. Однако под ними подразумеваются преимущественно паспортные данные: имя, дата рождения, сведения о прописке. Эти данные защищены достаточно надежно.
Дьявол кроется в деталях. Системам машинного обучения не интересны персональные данные в том виде, в котором их трактует закон. Искусственному интеллекту все равно, кто покупает ежемесячно авиабилетов на сумму 15 000 рублей, Ольга или Михаил, и где этот человек прописан. Умным системам нужны данные по потреблению, тот самый цифровой след, чтобы сделать выводы на основании цепочки действий, найти закономерности.
Более того, для системы наличие ребенка с определенной фамилией, именем, родившегося в определенный день, — персональные данные, а просто наличие ребенка мужского пола 8 лет — уже нет. Компании вправе использовать такие сведения для оказания услуг согласно закону и трактуют это право достаточно свободно. Создание таргетированной рекламы и спецпредложений — самый понятный, но не единственный сценарий их использования. Конечно, серьезный бизнес не будет продавать такие данные на черном рынке, но ему интересно, как еще их можно использовать, в том числе в партнерских целях. Сейчас для предоставления данных сторонней компании требуется согласие, таким часто заручаются сотовые операторы.
Человек и закон
Если говорить об извлечении коммерческой выгоды, то российский закон этому напрямую не препятствует. Однако мало кто знает о тех инструментах защиты своего личного инфопространства, которые в нем уже заложены. Например, тот же №152-ФЗ оговаривает, что ваши персональные данные могут использоваться только с определенной целью. Если при получении карты в магазине вас просят указать в анкете номер дома и квартиры, вы можете смело отказаться. Эта информация не нужна компании для того, чтобы продавать вам товары, и в получении карты отказать не имеют права.
В законе также говорится, что любой вправе запрашивать у оператора персональных данных, каким образом они обрабатываются. Например, если вам докучает коллекторское агентство, не стоит с ним ругаться. Нужно аккуратно записать, из какой организации и кто звонит, а потом отправить заказным письмом запрос в эту организацию. В письме необходимо запросить основание обработки, цели обработки и состав, указанный в пункте 7 статьи 14 ФЗ. Если в течение 30 дней вам не пришел ответ, смело пишите заявление в Роскомнадзор, заодно проверив, числится ли коллектор в реестре операторов персональных данных.
Что касается деперсонализированной информации, защитить ее напрямую невозможно. Есть те, кто выбирает выход из «матрицы»: эти люди принципиально не пользуются платежами онлайн, не устанавливают банковские приложения и не регистрируются в соцсетях.
Механизмы анализа деперсонализированных данных несут огромное значение для науки. Например, в здравоохранении они формируют совершенно новую область исследований
Конечно, это крайность, которую бессмысленно пропагандировать. По мере развития рынка информации, законы в этой области будут совершенствоваться и оберегать граждан более надежно. В этом смысле принятый в Европе GDPR (General Data Protection Regulation) намного совершеннее: он позволяет полностью удалить данные о пользователе по его личному запросу в компанию. Все — значит абсолютно все. При этом по GDPR предусмотрены огромные штрафы, до 20 млн евро или 1% от выручки, если эта сумма будет выше. И уже есть компании, которые дорого заплатили за неаккуратное обращение с данными.
Российские законы в отношении данных будут развиваться. Указ Владимира Путина об утверждении стратегии развития искусственного интеллекта до 2030 года является важным шагом в сфере управления ИИ. Отрасль давно нуждалась в регулировании, в первую очередь это касается области, связанной с обменом данными.
В защиту Big Data и ИИ добавлю, что механизмы анализа деперсонализированных данных несут огромное значение для науки. Например, в здравоохранении они формируют совершенно новую область исследований. На Западе, где распространена система электронных медкарт, давно ведется большая работа над легальным использованием историй болезней пациентов для точной диагностики заболеваний. Полученные законным образом, такие данные в рамках масштабных проектов сегодня помогают совершить революцию в медицине, научиться распознавать болезни, в том числе онкологические, на ранней стадии, когда с ними легко бороться.
Для создания успешных и полезных продуктов на базе искусственного интеллекта зачастую необходимо сочетание данных сразу нескольких источников, и новые законы в будущем позволят делать это легально и безопасно.