«Торговать информацией будут сами госструктуры»

Яндекс, VK, Сбербанк, Газпромбанк, Т-Банк (бывший «Тинькофф Банк»), «МегаФон», «Ростелеком», МТС, ВТБ, «Россельхозбанк» и многие другие компании, входящие в Ассоциацию больших данных (АБД), попросили российские власти отказаться от создания единой системы, куда планируют собирать все данные клиентов. Если закон примут, то бизнес обяжут передавать властям всю персональную информацию, которая у них есть.

Первую версию законопроекта Госдума приняла в первом чтении еще в 2021 году. Сейчас, спустя несколько лет, депутаты вспомнили про инициативу и направили документ на второе чтение.

10 июня комитет Госдумы перенес рассмотрение законопроекта на две недели. Откажутся ли депутаты принимать его из-за большого сопротивления со стороны бизнеса, пока неясно. Однако вероятность того, что парламентарии вернутся к вопросу и примут законопроект в ближайший месяц, по-прежнему сохраняется.

«Всегда найдется кто-то, кто захочет данные продать»

Участники рынка не хотят отдавать всю без исключения информацию государству, к тому же еще и бесплатно, объяснил «Новой-Европа» юрист общественной организации «Роскомсвобода» Саркис Дарбинян.

Юрист подчеркивает, что при излишней централизации персональных данных риск уязвимости для хакерских атак, потери данных и утечек повышается в разы.

— Даже при обезличивании данных, порядок которого всё еще не утвержден, существуют потенциальные риски, связанные с их использованием, — говорит Дарбинян.

Юрист подчеркивает, что, даже если компании будут передавать государству данные клиентов в обезличенном виде (например, только списки транзакций), есть риски, что можно будет связать их с конкретными людьми. Подобное может произойти, если полученную информацию сопоставить со сведениями из других слитых баз, где, например, содержатся имена, местоположение и контакты.

Какие данные будут передавать государству, как они будут обезличиваться и как можно будет получить к ним доступ, пока не понятно. Правительство ответит на эти вопросы намного позже — в подзаконных актах. Такая неопределенность вызывает очевидное непонимание и тревогу у участников рынка, подчеркивает эксперт.

Дарбинян считает, что если закон примут, то компаниям придется соответствовать и передавать свои данные государству под страхом наказания, поэтому закон будет работать.

— Бенефициарами этой инициативы, очевидно, будут подконтрольные [государству] компании, которые занимаются развитием ИИ. На основании этих огромных массивов данных они смогут обучать свои [нейросетевые] языковые модели. Однако, учитывая, как российские власти используют ИИ, могу предполагать, что это приведет лишь к еще большему контролю киберпространства со стороны государства и ограничению цифровых прав россиян, — подытожил эксперт.

заявил в разговоре с «Новой-Европа» IT-эксперт Михаил Климарев.

— Чем больше источников данных в одной информационной системе, тем больше людей имеют к ней доступ. Соответственно, тем больше инсайдеров, которые могут данные увидеть, а затем и слить их, — говорит эксперт.

Утечки, когда в сеть попадают данные об имени, адресе, телефоне и паттерне поведения человека, используют не только расследователи, но и преступники. Персональная информация о том, куда обычно уходит человек, когда возвращается домой и каким транспортом пользуется, может использоваться, к примеру, для нападения, ограбления и при скрытой съемке.

Если все данные хранятся в одной большой государственной системе, хакеры смогут проникнуть в эту базу и узнать «всё обо всех», предупреждает Климарев.

— В любом случае найдется кто-то, кто захочет продать данные. Конечно, в компаниях существуют отделы безопасности, которые исполняют свои служебные обязанности. Но совсем утечек избежать нельзя. Всегда найдется слабое звено. И в первую очередь торговать этими данными будут сами госструктуры, где будет всё собираться в единую базу, — считает эксперт.

Помимо этого, бизнес недоволен и тем, что данные могут увидеть их конкуренты, подчеркивает Климарев.

— Например, у Яндекс.Такси есть конкурентное преимущество. Они оптимизировали сервис, разработали формулу ценообразования, они видят и знают, куда ездят машины. Если все эти данные будут передаваться в одну систему, то доступ к этой информации могут получить конкуренты. В этом случае весь огромный миллиардный бизнес превратится в тыкву, потому что конкуренты начнут делать то же самое, и сервис Яндекса потеряет конкурентное преимущество, — добавил Климарев.

По его мнению, большой бизнес будет саботировать исполнение закона, до последнего оправдываясь необходимостью провести все бюрократические процедуры. Однако в итоге российские власти всё равно продавят инициативу и она вступит в силу, уверен эксперт.

Объемы утечек информации побили рекорд даже без нового закона

В 2023 году в России объем утекших персональных данных составил 1,12 миллиарда записей, подсчитали аналитики из группы компаний InfoWatch. Это почти на 60% выше, чем в 2022-м. Всего в прошлом году утекло 95 крупных баз данных. Как заявил гендиректор F.A.C.C.T. (бывшая Group-IB в России и СНГ) Валерий Баулин, оказавшиеся в сети данные принадлежали в основном крупнейшим финансовым и страховым компаниям, госструктурам, а также предприятиям в сфере информационной безопасности. То есть как раз крупному бизнесу, который входит в АБД, и государству, которое, согласно законопроекту, будет контролировать единую систему баз данных.

Одна из причин роста количество сливов — прекращение доступа к обновлениям для части зарубежного ПО, заявил заместитель генерального директора холдинга Т1 по технологическому развитию Антон Якимов. При этом в Роскомнадзоре считают, что взломы баз данных — это часть «гибридной войны, которая ведется против России».

Что еще не так с законопроектом

Законопроект, по мнению бизнеса, «концептуально противоречит поручениям» Владимира Путина. В письме представители ассоциации отмечают, что ожидали от российских властей создания условий для передачи данных от государства разработчикам. Предположительно они ориентировались на слова Владимира Путина, призвавшего в конце 2023 года «в короткие сроки подготовить поправки в закон о защите персональных данных».

Представители компаний, помимо прочего, исходят из того, что инициатива может стать одной из самых дорогих в истории России: бизнес оценил стоимость создания такой системы примерно в 20 млрд рублей.

АБД уже не раз пыталась «отбиться» от такого регулирования и подвергала его критике из-за того, что законопроект предусматривает фактическое изъятие персональных данных клиентов в неограниченном объеме, отмечал Forbes.

Кроме того, Ассоциация больших данных предложила свою версию законопроекта: в соответствии с ней, отечественные разработчики на основе ИИ смогут бесплатно получить доступ к данным из государственных баз, а российские власти — возможность бесплатно запрашивать у компаний обезличенные данные, но только для обеспечения безопасности, защиты от эпидемий и в чрезвычайных ситуациях. Прислушается ли государство к бизнесу на этот раз, пока непонятно.