Несекретные материалы. Какие данные россиян не скрыть от государства
«Кто владеет информацией, тот владеет миром» — гласит древняя мудрость. Насчёт мира есть сомнения, а вот владеть информацией о своих гражданах и контролировать их государства уже научились мастерски. Очередные изменения в законе о персональных данных, принятые Думой восьмого созыва, всколыхнули вопрос, какие данные россиян контролируют органы власти и насколько секретна и конфиденциальна чувствительная информация о гражданах. «Секрет» попытался разобраться в этом вопросе.
Биометрия
Единая биометрическая система (ЕБС) работает в России с 2018 года, но статус государственной получила только в конце 2021 года.
Предполагается, что россияне, передавшие в систему свои биометрические данные (снимок лица, отпечатки пальцев, образец голоса и т. п.) смогут заключать договоры на услуги связи, сдавать вступительные экзамены в вузы и проводить банковские операции без лишней бумажной волокиты.
В основном сбор таких данных все эти годы вёлся через банки, предлагавшие отказаться от пластиковых карт в пользу возможности «расплачиваться лицом». Быстрым этот процесс не назовёшь: за первые три года существования базы в ней зарегистрировалось всего 216 000 пользователей.
Теперь россияне получили возможность самостоятельно размещать в ЕБС биометрические образцы с помощью подтверждённой учётной записи в Единой системе идентификации и аутентификации (ЕСИА). Но многие даже из тех, кто ранее сдавал биометрию, такой опцией по разным причинам до сих пор не воспользовались.
Когда ЕБС запускалась, зампред правительства РФ Дмитрий Чернышенко заявлял, что передача данных в неё — это право гражданина, а не обязанность. Тем не менее 6 июля 2022 года Госдума приняла законопроект о передаче биометрических данных государству от госучреждений и банков, получивших их в распоряжение. Теперь такие организации обязаны разместить эти данные в единой базе, причём даже без согласия пользователей, хоть и с обязательным уведомлением.
Если же россиянин захочет отказаться от обработки своих данных в ЕБС, ему придётся написать об этом отдельное заявление оператору этой базы — «Ростелекому».
Интересно отметить, что в тот же день в третьем чтении приняли законопроект, согласно которому предоставление биометрических данных не может быть обязательным, за исключением ряда случаев, к которым не относится работа ЕБС. Однако второй законопроект не противоречит первому, поскольку в нём идёт речь не о предоставлении биометрических данных гражданами, а об обработке уже предоставленных данных.
Персональные данные и документы
Все документы, выданные государством, по умолчанию хранятся в государственных базах. Данные паспорта, водительских прав, СНИЛС, ИНН для государства и в частности спецслужб не секретны.
Правда, раньше эти данные были разбросаны по разным базам, а теперь удобно собраны в Единой системе идентификации и аутентификации (ЕСИА), через которую работают «Госуслуги» и ряд других государственных сайтов. В случае компрометации такой системы последствия могут быть самые неприятные.
Данные юзеров и переписки в интернете
Право на тайну переписки, гарантированное конституцией, защищает в том числе разговоры в интернете. Но ряд законов по борьбе с терроризмом и экстремизмом позволяют ФСБ, полиции и другим спецслужбам получать доступ ко всем данным пользователей соцсетей по запросу.
Согласно антитеррористическому пакету, принятому в 2014 году, ФСБ имеет право требовать у интернет-компаний:
- идентификатор пользователя (логин);
- все адреса электронной почты;
- список всех контактов, категории контактов (друзья, подписчики);
- количество и объём полученных и переданных пользователем сообщений;
- все изменения в аккаунте и попытки его удаления;
- дата и время посещения тех или иных страниц;
- названия устройств, с которых выходит в интернет пользователь, и какие программы и DNS-серверы при этом использует;
- доступ к данным о платных услугах, которые пользователи приобретают у интернет-компаний, включая сумму и название платёжной системы (на продажу товаров через интернет эта норма не распространяется).
Этот закон ещё не трогал личные сообщения пользователей, но после принятия «пакета Яровой» компании, включённые в реестр организаторов распространителей информации, стали обязанны по запросу ведомств предоставлять доступ и к таким данным вместе с ключами для дешифровки переписок. Отказ выдать ключи грозит сервису блокировками (эта участь постигла в 2018 году Telegram).
Данные пользователей, в том числе их пересылаемые файлы, операторы обязаны хранить не менее полугода.
Согласно ч. 2 ст. 23 Конституции РФ, каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Но государственные органы, тем более спецслужбы, либо имеют, либо вправе получить доступ к данным россиян в пределах своей компетенции.
Такой уровень доступа государства к данным не означает отсутствия их защиты — как минимум за счёт пока ещё не полной централизации хранения и за счёт технических средств защиты. Однако последние не страхуют от так называемого человеческого фактора.
Разговоры
Как пояснил эксперт «Роскосвободы», Конституционный суд РФ признаёт охраняемой тайной переговоров любые сведения, передаваемые с помощью телефона. Это включает данные о входящих и исходящих звонках (детализация переговоров). К таким данным госорганы тоже могут получить доступ, но только по веским основаниям.
Вот в каких случаях право на тайну связи может быть нарушено:
- если ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений предусмотрено федеральными законами;
- на основании решения суда — при необходимости осмотра и вскрытия почтовых отправлений лицами, не являющимися уполномоченными работниками оператора связи.
Геолокация
Безобидные мобильные приложения зачастую хранят множество данных об излюбленных местах и привычных адресах пользователей. Этим могут воспользоваться злоумышленники — как это произошло весной 2022 года с данными приложения «Яндекс.Еда», которые выложили в виде интерактивной карты. А могут и спецслужбы, если им нужно отследить интересующего их человека и перехватить его, например, в такси.
Согласно статистике «Яндекса», запросы госорганов к сервису «Яндекс.Такси» лидируют по частоте в сравнении с другими сервисами этой интернет-компании. А в июле 2022 года Госдума приняла в первом чтении закон, позволяющий ФСБ проверять всю информацию о заказах, которую получают, хранят и обрабатывают сервисы такси.
При этом, как уточнил Владимир Ожерельев, данные о геолокации хоть и относятся к персональным, но не входят ни в одну из специальных категорий, на которые распространяются повышенные меры защиты, как для биометрии или данных о здоровье.
Какие данные защищены больше других
Российские законы признают право гражданина на конфиденциальность персональных данных. Это значит, что каждый россиянин может потребовать уточнения, блокировки или уничтожения обрабатываемых персональных данных у любой организации или базы.
Кроме того, закон о праве на забвение, вступивший в силу с 1 января 2016 года, гарантирует россиянам право на удаление ссылок на информацию о себе из поисковых систем. Правда, данные останутся на сайтах, веб-страницах и архивах, так что найти их всё равно возможно, пусть и сложнее.
И ещё один нюанс — это касается только недостоверных, устаревших или клеветнических данных. Если же информация верна и публична, как, например, доходы госслужащих, она под этот закон не попадает.
Сведения, относящиеся к медицинской тайне, к информации о несовершеннолетних или судимостях также находятся под особой охраной закона. Но по решению суда и их могут раскрыть компетентным органам.
Формально получение персональной информации ограничено компетенцией запрашиваемого органа и необходимостью обработки данных для выполнения его законных обязанностей. По умолчанию в распоряжении государственных органов находятся те данные, которые граждане предоставляют им добровольно. Но это не отменяет необходимость защищать такие данные.
И к отдельным категориям данных — о состоянии здоровья, о содержании переписки, о судимости и т. п. — предъявляются повышенные меры защиты. Но и их могут раскрыть как по решению суда, так и по запросу компетентного органа.
Эксперт пояснил, что в вопросе доступа госорганов к той или иной информации у российских судов всё ещё хватает разногласий.
Постановление Верховного суда от 2016 года признаёт возможным ограничение тайны связи не только на основании решения суда, но и в предусмотренных законом случаях. Кроме того, суд установил, что тайными можно считать сведения о соединениях абонента, но не сведения об абоненте в целом.
Однако в постановлении Девятого арбитражного апелляционного суда от 13.05.2021 суд признал правомерным отказ оператора связи от предоставления в Роскомнадзор сведений об абоненте (ведомство проводило проверку по жалобе самого абонента).
Точно так же в 2018 году Верховный суд отказал Федеральной службе судебных приставов в предоставлении детализации звонков при проверке по жалобе на действия коллекторов. Суд установил, что ограничение конституционного права на тайну связи допускается только на основании судебного акта и исключительно при осуществлении оперативно-разыскной деятельности (ОРД) или обеспечении безопасности государства.
Но уже в 2021 году Верховный суд признал правомерным подобный запрос от налоговых органов, не связанный с ОРД или безопасностью РФ.
Таким образом, подчеркнул юрист, есть все основания говорить о крайней неоднородности норм закона и судебной практики даже на уровне Верховного суда. При этом нет единого подхода в том, какие конкретно данные об адресатах и отправителях защищает тайна связи. С учётом огромного количества протоколов связи, каждый из которых предполагает хранение разных данных в течение разного времени, определить закрытый перечень защищённых сведений попросту невозможно. А без приведения множества различных норм к какой-то единой схеме решить проблему злоупотребления в сфере персональных данных и отмести человеческий фактор довольно сложно, отметил эксперт.
Иллюзия приватности и конфиденциальности для граждан существует только до тех пор, пока не вступает в конфликт с каким-либо законом. Но парадоксальным образом передача данных в госорганы в некоторых случаях не ухудшает приватность (которой всё равно нет), а позволяет защитить данные от третьих лиц. Конечно, при условии, что человек не публикует чувствительную информацию в открытом доступе направо и налево. А к безопасности своих баз данных государство относится не с меньшей серьёзностью, чем к общественной безопасности.
Коллаж: «Секрет фирмы», freepik.com, Unsplash/shane_young, coinviewapp, Andrew Neel