Мы живем в мире, где почти каждое действие оставляет цифровой след. Защита персональных данных — вопрос не только приватности, и также безопасности. Информация — это источник для крупных компаний, государств и преступников, которая влияет на экономику, политику и нашу повседневную жизнь. Мы часто думаем, что, отключив интернет или положив телефон в сторону, окажемся в безопасности, но на самом деле мы продолжаем оставаться уязвимыми даже тогда, когда экран погашен или переведен в режим офлайн.
Данные — это ресурс, которым питается современный мир
В эпоху цифрового мира информация стала главным активом. Экономика, технологии, повседневная жизнь и даже политика зависят от данных пользователей, клиентов, пациентов, потребителей и т.д. Данные собираю и анализируют все — от IT-гигантов и банков до страховых компаний, больниц, микро-бизнесов и крупных торговых сетей, рекламных агентств и киберпреступников. Без доступа к данным не может функционировать ни один бизнес, а крупнейшими «добытчиками» этой информации являются такие компании, как Google, Meta, Amazon, Microsoft и производители смартфонов. Масштаб их возможностей просто поражает.
Как происходит защита цифровой приватности?
Чтобы обеспечить защиту персональных данных людей, многие страны начали вводить собственные законы.
- В США единого федерального закона нет, но вот уже несколько штатов приняли свои правила. Например, CCPA (California Consumer Privacy Act — Закон Калифорнии о защите прав потребителей) контролирует, какие данные могут собирать, хранить и как их использовать внутри компаний.
- В Европе существует GDPR (General Data Protection Regulation — Общий регламент по защите данных) строгий закон, который дает каждому человеку право контролировать, кто, где и с какой целью использует его личную информацию. Также добавились новые законы, такие как Digital Services Act (Закон о цифровых услугах) и AI Act (Закон об искусственном интеллекте), которые контролируют работу онлайн-платформ и использование технологий искусственного интеллекта.
- В Канаде есть PIPEDA (Personal Information Protection and Electronic Documents Act — Закон о защите личной информации и электронных документов), который определяет, как собираются, хранятся и применяются персональные данные.
В чьих руках наши данные и кто ими управляет?
Человек фактически утрачивает контроль над персональной информацией, как только она оказывается в интернете. Основываясь на ней корпорации, государственные структуры, рекламные агентства и аналитические платформы могут составить целые цифровые профили пользователей. Информация о наших покупках, местоположении, интересах и увлечениях становится товаром. Ее анализируют, продают и используют для таргетированной рекламы, оценки кредитоспособности или даже политических кампаний. Но сам человек, создавший эти данные, почти не знает, где они хранятся, кто к ним имеет доступ и в каких целях их используют. Самый главный вопрос звучит так: «Есть ли возможность вернуть контроль над своими данными и добиться того, чтобы наша цифровая идентичность принадлежала нам, а не системе или процессу?».
«Серая» экономика данных
В одном из выступлений еще в 2006 году британский предприниматель и математик Клайв Хамби (Clive Humby), озвучил тезис, звучащий как «Данные — это новая нефть», отмечая, что информация стала главным источником современной цифровой эпохи. Часть персональных данных человек передает осознанно: заполняя анкеты на сайтах или загружая какие-либо документы. Но большая часть информации собирается в основном скрытно: через cookies браузера, историю поисков, транзакции, различные мобильные приложения, GPS и активность в социальных сетях. При этом, Пользовательское соглашение, которое большинство пользователей одобряет даже не читая, фактически становится разрешением на слежку. Я могу отметить, что чем больше данных получают компании, тем точнее становится их реклама и, соответственно, становится больше прибыль. Многие алгоритмы анализируют все: от покупок и поиска в интернете до просмотров видео и разговоров с друзьями вблизи от микрофона смартфона.
Невидимая угроза
Многие не осознают, что массовый сбор информации несет большие риски. Например, эксперт по кибербезопасности и создатель проекта Have I Been Pwned Трой Хант (Troy Hunt) отмечает: «Утечки данных раскрывают не только пароли, но и целые цифровые личности — и злоумышленники повторно используют их повсюду». Кстати, эксперты советуют использовать браузерные версии сервисов вместо мобильных приложений, чтобы ограничить их доступ к геолокации и контактам. Хорошим примером в данном случае является скандал с Facebook Research, когда компания Meta выплачивала пользователям 20 долларов в месяц за установку приложения, которое получало полный доступ к данным их смартфонов. И в данном случае общественность стала свидетелем того, насколько легко и быстро приватность можно обменять на комфорт.
ИИ и персональные данные
С развитием искусственного интеллекта люди все чаще стали доверять и передавать свои персональные данные цифровым системам и онлайн-платформам. Миллионы пользователей вводят личную и корпоративную информацию в сервисы вроде ChatGPT, Gemini, Grok и т.д., не задумываясь, что эти данные могут использоваться для обучения моделей или храниться на внешних серверах. Я могу смело утверждать, что абсолютной защиты не существует, даже если компании обещают анонимизацию, Любая загруженная информация может быть восстановлена, сопоставлена и использована для анализа поведения пользователей и не только. Рекомендуется избегать вставки конфиденциальных сведений, корпоративных документов и личных данных в открытые ИИ-чаты. Искусственный интеллект обучается на всем, что вы ему показываете, и даже если вы это забудете, он все равно будет помнить.
Конфликт интересов
Сегодня цифровой мир управляется тремя силами: пользователями, бизнесом и государством.
- Пользователи хотят, чтобы их персональные данные были под защитой, однако пользуются бесплатными сервисами Google, Facebook, TikTok и т.д., «расплачиваясь» за их использование именно своими данными.
- Бизнесы заинтересованы в сборе как можно большего объема информации, чтобы продавать рекламу, прогнозировать поведение клиентов и зарабатывать больше.
- Государства хотят контролировать информационные потоки под предлогом безопасности, внедряя все больше методик, чтобы получить информацию о пользователях.
По мнению профессора Корнеллского технологического института и автора книги «Privacy in Context: Technology, Policy, and the Integrity of Social Life» (Stanford University Press, 2009) Хелен Ниссенбаум (Helen Nissenbaum), решить конфликт между государством, бизнесом и пользователями можно только тогда, когда контроль над персональными данными будет возвращен самим гражданам.
Европейский пример
Сбалансированная модель уже существует — Европейский регламент о защите данных, действующий в Европейском союзе. Регламен требует не просто согласия пользователя, а законного основания для обработки его данных. За нарушением следуют крупные штрафы и запрет на деятельность в Европе. GDPR защищает персональную информацию, под которой понимаются любые сведения, по которым можно прямо или косвенно идентифицировать физическое лицо. К ним относятся, например, имя, адрес, номер телефона, электронная почта.
Утечка персональных данных — это инцидент безопасности, при котором происходит случайное или преднамеренное уничтожение, утрата, изменение, несанкционированное раскрытие или получение доступа к личной информации. Простыми словами, это ситуация, когда ваши данные оказываются в чужих руках, будь то хакеры, недобросовестные сотрудники или третьи лица, использующие уязвимости систем. Такие инциденты могут происходить в разных формах, включая, но не ограничиваясь, следующие:
- Взлом или атаки с использованием вымогательского ПО (ransomware), когда злоумышленники шифруют данные и требуют выкуп за их восстановление.
- Фишинг и социальная инженерия, когда человека обманом заставляют раскрыть личные сведения, пароли или коды подтверждения.
- Несанкционированный доступ к базам данных, в результате чего информация о клиентах, транзакциях или документах становится общедоступной.
- Кража физических носителей, таких как жесткие диски, флеш-накопители и ноутбуки, где хранилась конфиденциальная информация.
Последствия утечки могут быть серьезными: финансовые потери, кража личности, репутационные риски для компаний и прямые угрозы безопасности граждан. По статистике, восстановление доверия после крупной утечки занимает месяцы, а иногда и годы, ведь цифровая информация, однажды попавшая в сеть, остается там навсегда. Эти принципы и определения лежат в основе Европейской политики защиты информации и фактически задали мировой стандарт ответственности за обращение с персональными данными. В США аналогичные инициативы, такие как Закон о защите данных и конфиденциальности (American Data Privacy and Protection Act, ADPPA), находятся на стадии обсуждения и еще не вступили в силу.
Как это происходит в Азербайджане
Давайте рассмотрим, как обстоят дела с защитой персональной информации в Азербайджане, какие нормы действуют в нашей стране и насколько они соответствуют мировым стандартам.
В Азербайджане действует закон «О персональных данных» (№998-IIIQ), принятый 11 мая 2010 года. Он определяет, как можно собирать, хранить и передавать личную информацию. Закон устанавливает следующие принципы:
- обработка данных допускается только с согласия гражданина;
- создаются специальные информационные системы персональных данных, за которыми ведется государственный контроль;
- запрещается сбор или распространение данных без законных оснований;
- ответственность за нарушения предусмотрена административным и уголовным законодательством.
Надзор за исполнением закона осуществляет Государственная служба по вопросам безопасности информации при Министерстве цифрового развития и транспорта — Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidməti (XRİTDX).
На практике, уровень прозрачности и технических механизмов защиты персональных данных в Азербайджане все еще уступает международным стандартам, в частности Европейскому Регламенту о защите данных. Отсутствует четко прописанная процедура реагирования на инциденты, связанные с утечкой персональных данных. Нет единого органа, куда гражданин мог бы обратиться в случае нарушения своих прав, а механизмы уведомления пользователей о взломах или неправомерной обработке данных фактически не работают. Кроме того, компании не обязаны публично сообщать об утечках, что создает почву для сокрытия инцидентов и дальнейших злоупотреблений. В результате граждане часто даже не знают, что их данные уже находятся в чужих руках.
В отличие от Азербайджана, в странах Европейского Союза действуют четкие и жесткие механизмы реагирования на утечки данных. Согласно статье 33 GDPR, каждая организация обязана в течение 72 часов уведомить надзорный орган и пострадавших пользователей о нарушении безопасности персональной информации. Кроме того, в ЕС работают отдельные и независимые органы по защите данных Data Protection Authorities (DPA), которые принимают жалобы граждан, проводят расследования и могут накладывать значительные штрафы в размере до 4% годового мирового оборота компании. Таким образом, система создает реальную ответственность и прозрачность: граждане знают, куда обращаться, компании обязаны сообщать об инцидентах, а нарушение правил влечет ощутимые финансовые последствия. Яркие примеры наказания за утечку данных клиентов: штраф 183 млн. фунтов стерлингов для British Airways, а также 290 млн. евро за незаконную передачу данных водителей из ЕС в США для Uber.
В Польше граждане и резиденты могут подать жалобу на нарушение своих прав в сфере персональных данных в Urząd Ochrony Danych Osobowych (UODO) — Управление по защите персональных данных. Данный орган рассматривает обращения граждан, расследует случаи неправомерной обработки данных и имеет право выносить предписания и накладывать штрафы на компании, нарушающие требования GDPR. Гражданин может подать жалобу онлайн, по почте или лично, если считает, что его данные были использованы неправомерно, переданы третьим лицам без согласия, или компания не выполнила обязанности, предусмотренные GDPR, например, не предоставила доступ к данным или не удалила их по запросу. Благодаря этим нормам европейская модель считается одной из самых эффективных в мире, обеспечивая баланс между правами граждан, ответственностью бизнеса и прозрачностью государства.
Как ваши данные превращаются в товар
Обмен и продажа баз данных между частными компаниями стала негласной, но привычной частью локального рынка. Например, при оформлении КАСКО или обязательного страхования граждане указывают свои персональные сведения: имя и фамилию, номер телефона, адрес электронной почты, место проживания, данные автомобиля и т.д. Формально эти данные должны храниться и использоваться только страховой компанией для конкретной цели расчета, регистрации и оформления полиса. Однако, на практике, информация нередко попадает к сторонним организациям, которые начинают рассылать рекламу, звонить с «новыми предложениями» или предлагать сомнительные финансовые и сервисные услуги.
Из личного опыта и наблюдений могу утверждать, что некоторые компании, у которых есть клиентские базы данных, продают их третьим лицам за деньги. Суммы зависят от объема и актуальности базы, а сделки часто проходят неофициально, без документов по сути. Это и есть торговля персональными данными. Данные практики нарушают закон, а также создают серьезные риски от финансовых мошенничеств и фишинговых атак до утечки паспортных данных и адресов. Люди зачастую даже не подозревают, что после оформления одной страховки их личная информация может быть перепродана десяткам компаний.
До тех пор, пока в Азербайджане не появятся реальные механизмы надзора, не будут введены жесткие санкции и будет производиться общественный контроль, рынок продажи баз данных будет продолжать существовать, подпитывая недоверие граждан к цифровым системам и усиливая риски злоупотреблений. Но угрозы персональным данным не ограничиваются законами или маркетингом. С развитием искусственного интеллекта появилась новая опасность — цифровые двойники и подделка личности.
Берегите данные как самые ценные вещи из физического мира
В цифровом мире ваши личные данные столь же ценны и уязвимы, как паспорт в кошельке или ключи от дома. Храните и передавайте их с той же осторожностью: не раскрывайте лишнего, не доверяйте сомнительным запросам и относитесь к онлайн-безопасности так же серьезно, как и к физической. Всегда перепроверяйте источник, даже если сообщение пришло от знакомого. Если кто-то просит денег или запрашивает личные данные через мессенджер, то позвоните этому человеку напрямую по привычному номеру и убедитесь, что это действительно он, задав пару вопросов, ответы на которые известны только вам двоим. И помните, что защита персональных данных это не разовое действие, а привычка! Каждый раз, когда вы делитесь данными, задавайте себе вопрос: «Действительно ли это необходимо?».
Турал Рагимли, специалист по IТ-инфраструктуре и кибербезопасности для малого и среднего бизнеса
