Вы все испытали это — активно ищете что-то в Интернете, и чуть позже это что-то появляется в рекламных блоках разных сайтов. Невольно возникают вопросы: Как оно появилось там? Как это можно убрать? И вообще, кто дал им разрешение следить? К сожалению, мы перестали обращать внимание на эти вещи. А зря.

На этой неделе бельгийское агентство по охране данных обвинило Фэйсбук в том, что Фэйсбук следит за веб активностью всех, кто посещает их сайт, даже если пользователь не зарегистрирован в социальной сети. То есть, незарегистрированный пользователь посещает открытую страницу социальной сети, и сам того не зная, дает разрешение Фэйсбуку отныне следить за всеми сайтами, которую он посещает. Фэйсбук аргументирует это необходимостью сбора информации для рекламы.

Теперь представьте. Вся ваша сетевая активность — истории посещений сайтов, поисковые фразы, интересы — все уходит в базу Фэйсбука. Сначала Гугл, теперь и Фэйсбук. Первый комментарий, который я часто слышу — кому интересна индивидуальная жизнь кого-то?

Один в поле не воин. Но если собрать подобные данные не от одного человека, а от тысячи? Миллионов? Целой страны? Тогда «безобидные» данные превратятся в хорошую информацию, анализ, портрет страны. Одной компании будут известны духовное настроение граждан, тенденции, тренды, интересы, и т. д.

Отступление. Сайты могут следить за деятельностью с помощью специального файла cookie, который загружаются на ваш компьютер при посещении сайта. Это файл может содержать ваши настройки, историю посещений, т. д. Сайт может позже запросить этот файл и прочитать собранную на нем информацию и идентифицировать конкретного посетителя.

Конечно же такая деятельность Фэйсбука сразу вызвало волну недовольств, нареканий, что теперь Европейский союз готовит документ, заставляющий американскую социальную сеть пересмотреть и поменять правила игры.

Вернемся обратно в Казахстан.

У нас есть закон от 21 мая 2013 года № 94-V «О персональных данных и их защите». Как технический специалист скажу, что закон уж слишком обобщенный, без четкой сегментации. Приведу самые интересные для темы части.

«Целью настоящего Закона является обеспечение защиты прав и свобод человека и гражданина при сборе и обработке его персональных данных».

У меня есть право на конфиденциальность. Однако закон никак не охраняет меня от действий зарубежных компаний, действующих через Интернет.

Ст. 6. «Персональные данные ограниченного доступа — персональные данные, доступ к которым ограничен законодательством Республики Казахстан».

Здесь каждое министерство начало утверждать перечень персональных данных, необходимого и достаточного для выполнения осуществляемых задач. Это фамилии, годы рождения, размеры заработных плат, судимости, т. д. К сожалению, не нашел единого перечня, где конкретно указывается, что активность в Интернете является персональными данными.

Ст. 8.1. «Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно или в форме электронного документа…»

Как видно из примера, Фэйсбук не спрашивает явного разрешения на сбор данных. Все проходит незаметно. Но Казахстан теперь не может заставить Фэйсбук не делать этого, потому что активность в Интернете не является персональными данными.

Ст. 9. «Сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях…»

Далее приводится перечень случаев, когда данные о пользователе собирается без его согласия. Нигде я не увидел Фэйсбук, кроме как самого последнего пункта «в иных случаях, установленных законами Республики Казахстан». Может кто-то пролоббирует Фэйсбук?

Ст. 16. «В соответствии с настоящим Законом трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных.»

Самая интересная статья закона ограничивается разрешением передачи персональных данных на территорию иностранных государств, если те смогут обеспечить надежную защиту персональных данных. Математики уже давно придумали алгоритмы, которые очень сложно взломать, и которые применяются практически во всех современных системах. Это к тому, что обеспечение защиты данных уже давно не является сложной задачей.

В итоге могу сказать, что закон очень хорошо защищает министерства и другие органы, когда им нужно собрать персональные данные. Закон не предусмотрен для защиты данных граждан от зарубежных компаний.

Какие есть потенциальные опасности?

Основная опасность — это транспарентность личной деятельности граждан в сети Интернет для зарубежных компаний. Спец. службы многих стран обязывают компании раскрывать секретные данные по требованию. В результате, зарубежным властям на руки падает хорошо проанализированный портрет настоящей жизни некой страны. Это уже национальная безопасность. Это можно использовать. Вспомните случаи в Египте и Турции.

Власти Китая уже давно поняли возможности социальных сетей и технологий, и сразу пресекли замаскированный шпионаж, создав свою социальную сеть и поисковик. Теперь в Китае не доступен Фэйсбук, Гугл, и другие популярные сервисы. Зато все секреты остаются внутри страны.

Россия тоже поняла это, но пока без особых результатов. Подобный казахстанскому, закон в России о персональных данных был принят в 2006 году, но тоже является обобщенным. Зато у них есть Вконтакте, популярный аналог Фэйсбука.

Европа отлично понимает опасности американских социальных сетей и поисковиков, поэтому активно пытается контролировать их деятельность на территории Европы на законодательном уровне.

Что делать?

Считаю, что нам нужно взять опыт Европейского союза: продолжить пользоваться зарубежными социальным сетями и сайтами, но законодательно ограничить их свободную деятельность. Я понимаю, что возможно у нас нет зрелости в сфере защиты прав в сети Интернет, но крайне важно постараться понять всю специфику и внедрить такой контроль.

Новые правила могут покрывать следующие направления:

• Так называемое право на «быть забытым». По запросу человека, личные данные могут быть стерты с любого Интернет ресурса.
• Интернет ресурсы должны внятно и конкретно спрашивать разрешение на сбор данных, а не подразумевать это.
• Компании должны оповещать пользователей сразу же, если их взламывают.
• Правилам должны подчиняться все компании, ведущих бизнес на территории Казахстана.
• Компании должны повысить уровень ответственности по защите данных. Это больше касается казахстанских компаний.

Самое главное, нужно повысить осведомленность граждан о понятии персональных данных и их значимости.

Приведенные здесь наблюдения и мнения не являются паранойей. Сегодня любая необоснованная информация может стать «наживкой» для очень серьезных событий, нарушающих целостность страны. Мы уже проходили через это. Если мы хотим серьезно подходить к формированию информированного и защищенного общества, то должны трепетно относиться к любым нарушениям прав человека, даже в технологической среде. Зарубежные же страны должны уважать Интернет общество на территории Казахстана, так же как и независимость Казахстана. У игры должны быть правила.