Юлия Сунцова
Москвичке Анне Кузнецовой удалось купить в даркнете детальный отчет о собственных передвижениях в течение месяца. Цена вопроса - 16 тысяч рублей.
После этой проверочной закупки она подала административный иск к Департаменту информационных технологий г. Москвы и ГУ МВД России по г. Москве с требованием остановить работу городской системы по распознаванию лиц граждан. Среди прочего, истец просит с ответчиков компенсацию - 100 тыс. рублей за вред, причиненный незаконным распространением персональных данных. Дело по категории «Прочие дела об оспаривании решений, действий (бездействия) органов государственной власти, органов военного управления» четвертый месяц рассматривает Тверской районный суд столицы.
Эксперимент был проведен этой осенью. Волонтер Анна Кузнецова нашла в даркнете торговца данными и анонимно заказала ему услугу по пробиву собственного лица.
Исполнитель попросил прислать ему лишь фото «жертвы», и заказ был исполнен в течение двух суток. Девушка получила подробный отчет о своих передвижениях за весь предыдущий месяц. Почти все адреса совпали с маршрутами девушки.
- За символические деньги сегодня любой желающий получает данные о вашем передвижении. Это серьезное нарушение права на неприкосновенность частной жизни. Власти Москвы, собирая данные о вас при помощи видеонаблюдения, не гарантируют вам защиту. Наш волонтер на собственном примере проверила: «продавцы данных» по паре селфиков спокойно отслеживают перемещения человека по Москве. По данному факту и был подан иск. Департамент информационных технологий Москвы управляет системой видеопотоков и базой данных города, а московское управление полиции пользуется этой системой, в том числе технологией распознавания лиц. Именно поэтому мы привлекаем эти структуры в качестве ответчиков, - прокомментировала «НИ» адвокат Екатерина Абашина.
Важно отметить при этом, что обработка биометрических персональных данных, по действующим законам, допускается только на основании письменного согласия гражданина, либо в случаях, установленных федеральным законодательством (ч. 2 ст. 11 закона о персональных данных). Загвоздка в том, что эти случаи так и не были установлены, а распознавание лиц (т.е. обработка биометрических данных в виде изображения лица и его параметров), тем не менее, проводится, и технология применяется по умолчанию во всём городе. Иными словами, фактически законом не установлены однозначные, ясные и понятные правила использования технологии распознавания лиц, поясняет представитель истца.
Систему видеоаналитики стали развивать в столице с 2017 года. Сегодня в Москве только муниципалитетом на улицах, в дворовых территориях и подъездах установлено более 178 тысяч камер видеонаблюдения. Вся информация с них стекается и аккумулируется в Едином центре хранения данных (ЕЦХД).
В мэрии уверяют, что сведения из централизованной базы могут передаваться только в государственные ведомства по специальным запросам, например, в МВД, а доступ к ней имеют только уполномоченные сотрудники.
Кейс Анны Кузнецовой это опровергает. Чувствительные данные о ней совершенно свободно оказались у нелегалов.
В Тверском суде, согласно картотеке дел, состоялось два судебных заседания. Иск рассматривает судья Денис Иванов. Принято определение о принятии дела к производству.
Ответчик в лице Департамента информационных технологий мэрии Москвы занял позицию отрицания, и утверждает, что записи с камер городской системы видеонаблюдения – это не персональные данные, а «исключительно изображения».
Юристы же «Роскомсвободы» считают, что утечки из ЕЦХД – не просто потеря контроля над персональными данными граждан, но и вполне осознанные, корыстные и преступные действия должностных лиц.
В России не запрещено использовать системы для распознавания лиц на территории общественного пространства. Однако, как только изображения с камер персонализируются с конкретным гражданином, начинается нарушение. Истец смогла опознать себя на видеоизображениях, полученных с городских камер – это подтверждает утечку из государственных систем.
ГУ МВД Москвы в подобных спорах всегда стоит на одном: установка в городе систем видеонаблюдения – это обеспечение права граждан на безопасность. Чем меньше «слепых зон» останется в Москве, тем лучше, тем ниже преступность. Будь воля правоохранителей, они воткнули бы камеры в каждый закоулок, подъезд и под каждую квартирную дверь. Современные системы позволяют распознавать предполагаемых преступников уже не только по лицам, но и по голосу, радужной оболочке глаза, татуировкам и походке.
За два первых года работы в Москве систем распознавания лиц сотрудники правоохранительных органов задержали 90 человек, ежемесячно - от пяти до десяти преступников, сообщал в 2019 году представитель ГУ МВД по Москве.
Новые технологии также тестировались на 17 массовых мероприятиях – с их помощью за два года полиция задержала более 150 участников уличных акций.
За первые 9 месяцев 2020 года удалось выявить 193 человека, находившихся в федеральном розыске. Для МВД важно, что для поимки преступников при помощи систем видеонаблюдения не требуется увеличивать личный состав.
За утечки же, оборачивающиеся вмешательством в частную жизнь и прочими инцидентами с ревнивыми мужьями, незаконными слежками и торговлей досье занимаются другие отделы полиции. Случаи по меркам мегаполиса – единичные и, по сути, не требующие своего лобби для создания правовых прецедентов.
- Так называемая «Проблема инсайдера» – это вызов, который еще долго будет актуальным в нашем информационном веке и в нашем информационном обществе. В утечках виноваты, в первую очередь, недобросовестные сотрудники организаций – с этой угрозой постоянно сталкиваются как государственные, так и частные организации, говорит руководитель отдела анализа цифровых угроз "Инфосекьюрити", бывший спикер Управления «К» МВД России Александр Вураско. Эксперт уверен, что в большинстве случаев к утечкам данных из организаций причастен «человек изнутри».
- Сотрудники имеют доступ к информации – и неважно, кто это – операционист в банке, видящий счета клиентов, или технический специалист в госструктуре, имеющий доступ к базам данным. В самых разных организациях такие инсайдеры постоянно находятся. Бороться с ними реально, было бы желание.
Чтобы выявить инсайдера, сотрудникам службы безопасности достаточно зайти в даркнет и провести проверочную закупку: заказать пробивку в отношении себя или подставного лица. Современные цифровые системы организаций уже много лет фиксируют, кто именно из сотрудников запрашивал в базах в определенный промежуток данные по искомым персоналиям, соответственно, вычислить такого сослуживца вообще не составляет никакого труда.
Проблема в том, что ни государственные, ни частные структуры не торопятся этим заниматься, хоть эта задача и не требует больших расходов. Другая проблема - коррупция. Люди воруют данные не просто так, а из корыстных соображений. 10-20 показательных расследований с наказанием недобросовестных сотрудников железно бы отбили у всех остальных желание торговать корпоративной информацией. Законодательная база для этого есть: 137 УК РФ (Нарушение неприкосновенности частной жизни), ст. 272 УК РФ (Неправомерный доступ к компьютерной информации) – если речь идет о бывшем сотруднике, пользующимся ворованными данными.