Хотя в Инспекции по защите данных утверждают, что в сфере ответственности ведомства все в порядке, в действительности существует множество несложных способов узнать личные данные людей.

Далее...



К такому выводу пришли журналисты аналитической программы "Инсайт".

Наверное, каждому из нас не раз звонили всевозможные телефонные продавцы. Чего только они не предлагают: волшебные пылесосы, витамины, курсы Forex. Часто возникает вопрос: а откуда у них мой номер телефона? Как выяснила программа "Инсайт", существует масса способов незаконно раздобыть чужие личные данные.

Чтобы разобраться, является ли сбор личных данных законным, сперва нужно понять значение этого термина. По словам директора по юридическим вопросам Инспекции по защите данных Рааво Палу, в понятие "личные данные" входят имя человека, его личный код, домашний адрес, номер телефона, адрес электронной почты. "Также, в некоторых случаях - место регистрации автомобиля", - пояснил он.

Согласно действующему в Эстонии Закону о защите данных, каждый человек должен быть осведомлен о том, кто владеет информацией о нем. Однако на деле этого не происходит. "Объемы данных и то, что частные организации делают с данными - это, можно сказать, вышло из-под контроля", - считает IT-специалист Артур Ассор.

Ассор - один из разработчиков программы DeepScan, сканирующей базы данных компаний.

Истории болезни в открытом доступе

"Инсайт" неслучайно обратился за комментарием именно к Ассору. Проект DeepScan одержал победу на европейском конкурсе eGovernance Solutions. Программа, разработанная командой Ассора, просканировала публичные регистры документов эстонского государства. Результаты оказались неожиданными.

"Мы нашли имена, мы нашли личные коды, домашние адреса, информацию о болезнях, были экстремальные примеры фотокопий документов, которые находились в открытом доступе", - рассказал Ассор.

Надзором за сохранностью личных данных в Эстонии занимается Инспекция по защите данных. Нужно отметить, что после того, как с ними связалась команда Ассора - недочеты были устранены. Однако что мешало не допустить их ранее?

"Мы делаем то, что отвечает нашим возможностям. Если мы можем обратить внимание на какие-то вещи - мы ими занимаемся", - посетовал представитель инспекции Рааво Палу.

По словам Ассора, государственные службы не заметили недочеты в защите регистров, так как данные были представлены как отсканированные бумажные документы. "Для государства было достаточно сложно найти эти данные, потому что это отсканированные бумажные документы и, соответственно, какое-то автоматическое решение отсутствовало", - сказал он.

Однако несмотря на то, что найденные его программой недочеты были устранены, Ассор считает, что на сегодняшний день ситуация с защитой личных данных плохо поддается контролю. "Фактически существующий закон не очень хорошо регулирует потребление и защиту данных на сегодняшний день", - сказал он.

Инспекция придерживается совсем другого мнения. "Я думаю, что ситуация хорошая. Да, всегда есть место для улучшений. Это нормально. Но я думаю, что в целом - все хорошо", - сказал Палу.

Купить данные - не проблема

В проекте Ассора для поиска личных данных используется программное обеспечение. Но сможет ли обычный человек, а не команда опытных программистов, раздобыть чьи-то личные данные? Например, сотню-другую имен и фамилий, телефонных номеров, адресов электронной почты, имен и фамилий?

Как выяснили журналисты, сделать это проще простого. Объявления о продаже данных можно найти в интернете. "Инсайту" удалось пообщаться с одним из продавцов.

"По Эстонии нужно искать что-то свежее, в основном это базы интернет-магазинов или сервисов, объемы 2000-10000 контактов. Тест за 2016 год я выслал в этом письме", - сообщил он.

В образце, который журналисты получили от продавца данных, оказалась ровно сотня контактов: имена, фамилии, номера телефонов, адреса электронной почты. Вряд ли кто-то из этого списка давал свое согласие на то, чтобы его контакты попали в руки совершенно незнакомых людей.

Департамент защиты данных прокомментировал находку сдержанно. "Велика вероятность, что это незаконно. Но мы не можем точно сказать, так это или нет. Если к нам придет подобная жалоба - тогда мы сможем посмотреть и углубиться в детали", - сказал Палу.

Хотя продавец данных упомянул, что они взяты из интернет-сервисов, Инспекция по защите данных считает, что их источник совсем в ином месте. "Точно назвать источник я не могу. Можно предположить, что все собрано из социальных сетей или откуда-то оттуда", - сказал представитель ведомства.

Однако есть куда более простые возможности, чем поиск телефонов по социальным сетям. По словам Ассора, данные можно собрать с помощью хакерской атаки. "Мы для себя определяем это таким образом: есть outside-in, т. е. "снаружи вовнутрь" - тут мы говорим о хакерах", - рассказал он.

Кроме того, по его словам, данные могут "сливать" и сами работники сервисов. "И есть, конечно, примеры, которые мы называем inside-out. Это инсайдеры - свои работники, которые имеют доступ к данным и действия которых не контролируются", - пояснил специалист. "Может быть, это работники, которые скучают, может, работники, которые не совсем понимают важность предмета, может быть, работники с криминальными целями", - считает Ассор.

Продажа данных как международный бизнес

Найденный журналистами в интернете продавец - частное лицо. Но могут ли незаконно собранными личными данными торговать фирмы? Инспекция прямо на этот вопрос не ответила. "Отдельно я о таких фирмах не слышал. Но я не могу исключать их существование", - прокомментировал Палу.

Однако, по словам Ассора, найти такие очень компании просто. "Я думаю, что если быстро воспользоваться гуглом и поискать "data brokers", то мы найдем такие компании. Как конкретно они работают, откуда они получают данные и какие у них бизнес-модели - на эти вопросы я ответить не могу. Но с помощью элементарного поиска в гугле мы такие компании найдем", - уверен он.

Чтобы изъять свои данные из оборота, инспекция советует обращаться напрямую в организацию, которая использует данные. "Лучше всего это оформить в письменном виде", - посоветовал Палу. Только в том случае, если требование удалить данные не было выполнено, можно обращаться уже в саму инспекцию.

Однако все выглядит просто только в теории. По словам Ассора, достучаться до такой фирмы может быть сложно. "Нужно знать, в какой стране эта конкретная организация находится, откуда они звонят, как они называются, или кто их представитель", - сказал он.

Есть и другая проблема. Как рассказал "Инсайту" генеральный директор компании Klienditugi.ee Сийм Сальме, если данные уже попали в некую базу, то их невозможно будет удалить изо всех мест, куда они были проданы. "Можно, конечно, сказать продавцу чтобы он их удалил. Но в остальной сотне мест они останутся", - считает Сальме.

Надежда на директиву

Решением всех этих проблем может стать новая директива ЕС о защите личных данных, которая вступит в силу 25 мая 2018 года. "Она позволит намного лучше контролировать эту сферу, так как она предполагает суровые санкции", - сказал Сальме.

Разделяет оптимизм по поводу закона и Ассор. "Я смотрю на этот закон с воодушевлением, потому что мои права будут намного лучше защищены, чем сейчас", - сказал он.

Однако до вступления директивы в силу еще как минимум полгода, и как она будет работать на практике - пока тоже открытый вопрос. А пока что раздобыть чей угодно телефонный номер - совсем не проблема.