Законодательная база для защиты цифровых данных

Если вести расследования утечек только в рамках оперативного законодательства, то невозможно провести оперативно-разыскные мероприятия, которые необходимы для глубинного расследования утечек. Эти мероприятия можно провести только в рамках уголовного дела. Поэтому надо начинать уголовные дела и уже там разбираться, что произошло, как произошло.

Утечка данных в современном мире несет, вообще-то, угрозу жизни. Это совершенно другой риск. И, я считаю, для нас как для страны это вызов. Не случайно Госдума сейчас занимается резким ужесточением законов. Я думаю, что закон будет ужесточен и с точки зрения штрафов, накладываемых на корпорации, допустившие утечки, и с точки зрения личной ответственности лиц, допущенных к данным, которые непосредственно могли быть вовлечены в инцидент. Я считаю, что ответственность должна быть, конечно, в рамках уголовного права. Потому что в противном случае это будет не очень больно. Штрафы в нашей жизни людей не пугают и административная ответственность тоже.

Думаю, у нас должен быть закон про цифровую идентичность граждан, закон о праве на тайну идентичности, закон об обороте пользовательских данных. Они должны действовать на всей территории страны. Должен появиться большой «цифровой кодекс». Эта сложная работа еще впереди.

У нас есть норма о защите частной жизни в Конституции, недавно в п. «м» ст.71 включили тезис о том, что данные должно защищать государство. Но пока законы на эту новую норму не разработаны. Есть закон 152-ФЗ, который регулирует сбор и использование персональных данных. Однако закон защищает только те данные, которые явно помечены как персональные. А данные с камер видеонаблюдения или собираемые платформами под действие этого закона не подпадают.

Поэтому подавляющая часть сбора и использования персональных данных происходит сейчас в серой зоне, не охваченной законом или вниманием правоохранителей. Использования личных данных платформами, площадками, государственными институциями в России никак не регулируется. Это ведет к злоупотреблениям и неправомерному использованию данных, к рискам дискриминации граждан по самым разным признакам. Если не остановить сбор персональных данных кем попало, нас ждут цифровые «Фукусимы».

Сейчас каждый регион обращается с цифровыми данными граждан так, как захочет. Если персональные данные еще как-то пытаются защищать, то мета-данные, например, данные с камер наблюдения или данные разных электронных анкет обрабатываются каждым регионом в меру своего понимания. И это неправильно. Должны быть единые федеральные законы, действующие одинаково на всей территории России, — про цифровую идентичность россиян, право на ее тайну, про примат человека над технологиями, — которые бы регулировали и ограничивали оборот пользовательских данных российских граждан в интернете, не допускали бы дискриминации граждан на основании этих данных, создания социальных рейтингов и т. д. Сейчас у нас этих законов нет. А их должно быть много. Когда в Конституции появилась такая норма, то понятно, что это уже федеральное ведение, а не мнение каждого региона, и ясно, что должен быть единый российский цифровой кодекс.

Нам в стране обязательно надо ужесточать ответственность. Потому что если мы будем сидеть в этой ситуации, и ничего не делать, и никого не наказывать, и при этом мы будем строить бесконечно огромные системы хранения данных, у нас вообще все украдут.

По статистике Центрального банка, за прошлый год количество операций «без согласия клиента», а по-русски это воровство денег со счетов клиента, рост этого количества за год составил 52%. Ну, вы понимаете, это просто катастрофа какая-то, когда клиенты не могут отвечать, что у них завтра деньги не украдут. То есть категорически должна быть усилена уголовная ответственность за утечку данных.