Прямо сейчас разворачивается интересная история — Facebook допустил утечку личной информации 50 млн пользователей, которую третьи лица использовали в личных целях, в том числе для манипуляции во время предвыборной президентской кампании в США.
Основатель сервиса Марк Цукерберг, долго никак не комментировавший ситуацию, в четверг признал вину соцсети:
«Доверие между Facebook и людьми, которые поделились с нами своими данными и ожидали, что мы их защитим, подорвано», — написал Цукерберг.
Новость об утечке запустила цепь событий — сначала упали акции Facebook, затем личное состояние Цукерберга, потом США и Евросоюз заявили о расследовании инцидента, а пользователи запустили кампанию с призывами удалять свои учетные записи в сервисе.
Параллельно с этим разворачивается другая история — Telegram может быть заблокирован в России уже в ближайшие две недели, если не предоставит ФСБ ключи для дешифровки переписок пользователей. Основатель сервиса Павел Дуров ответил, что никому ничего предоставлять не собирается и «угрозы блокировки тщетны».
На фоне этих событий надо отметить, что сейчас в правовом поле Узбекистана отсутствует понятие «персональные данные», что оставляет для злоумышленников массу лазеек.
Да, есть закон «О принципах и гарантиях свободы информации», где даны определения основных понятий «информация», «информационная сфера», «конфиденциальная информация», «информационная безопасность», «защита информации» и другие.
Законодательно закреплено, что «Защите подлежит любая информация, противоправное обращение с которой может причинить ущерб ее собственнику, владельцу, пользователю и иному лицу» (статья 11), предусмотрена ответственность за нарушение, только вот не уточняется масса других вопросов.
Так, к примеру, отсутствует понятие «оператор персональных данных» и не прописана его зона ответственности. Является ли человек, хранящий номера телефонов своих друзей в телефоне, оператором персональных данных или нет? Какую информацию владельцы сайтов могут хранить у себя, а какую нет? Что можно обрабатывать и в каких целях? Всё это оставляет широкое поле для трактования имеющихся правил.
Пример. Есть интернет-магазин 123.uz, который, допустим, продает бытовую технику. Как правило, сервисы в Узбекистане все еще любят заставлять пользователей при регистрации заполнять целые анкеты — от пола и даты рождения до места жительства и знака зодиака.
Теоретически компания имеет право хранить всю эту информацию в открытом виде, где к ней могут получить доступ как сами сотрудники, так и третьи лица.
«А как же персональные данные?», — может возникнуть вопрос. «А никак», — будет ответ. В нормативной базе не прописано, что сюда входит, как и нет самого термина.
К примеру, номер телефона входит в группу персональных данных, которые защищены нормативным актом в 99% странах, но не в Узбекистане.
«Зачем вообще нужно защищать эти данные? Подумаешь, мой номер телефона знает сотни людей, и ничего никогда не случалось», — еще один вопрос.
Действительно, в Узбекистане еще не развита практика продажи базы контактов для дальнейшей рассылки спама или прозвона, тогда как в других странах это распространенное явление, и телефон может запросто утонуть под наплывом рекламных SMS и звонков с предложением попробовать тот или иной продукт.
Очевидно, что с развитием рынка и конкуренции между компаниями такая практика появится и в Узбекистане, потому что, несмотря на сомнительность, спам всё еще является одним из основных инструментов маркетинга — «дешевого и сердитого».
И это лишь один из самых более-менее безобидных примеров того, что может быть при утечке персональных данных — более серьезные включают в себя возможность оформить микрокредит на чужое имя, шантаж, вымогательство, воровство средств с карты и так далее.
Помимо этого, номер телефона — лишь одна из составляющих персональных данных. Как было выше сказано, при регистрации сервисы требуют целый пакет данных, включая создание логина и пароля для дальнейшей аутентификации.
Несмотря на предупреждения, немало пользователей всё еще используют один и тот же пароль в разных сервисах, причем самым популярным остается 123456. Получая доступ к номеру телефона, паролю на сайте, дате рождения и другой персональной информации, вполне возможно подобрать пароль к почтовому ящику или профилю в социальных сетях. Это не говоря уже о таких явлениях, как фишинг, вишинг, фарминг, кликфрод и других способах выудить личную информацию — тысячи их.
К тому же, отсутствие закона приводит к тому, что, в отличие от Казахстана или Кыргызстана, в Узбекистане нет оснований для блокировки приложений, собирающих персональную информацию, как это было с GetContact — если у соседей приложение заблокировали, то у нас просто нет даже органа, который занимался бы этим.
Теперь вернемся к ответственности того самого 123.uz. Допустим, у сайта была уязвимость SQL Injection и данные утекли. Какова ответственность самого сайта? А владельца? А программиста? Как сделать так, чтобы другие сайты не допускали утечки? Как простому пользователю, который далек от всего этого, убедиться, что введенные им данные не будут использованы завтра для того, чтобы получить доступ к личной переписке в Facebook или на почте со всеми вытекающими последствиями? Пока все эти вопросы остаются открытыми, а большая часть площадок, собирающих персональную информации — проходным двором.
В последние месяцы проблемой персональных данных в Узбекистана все-таки начали заниматься.
Так, к примеру, разработку законопроекта о защите персональной информации внесли в Госпрограмму 2018 года, а сам нормативный акт будет подготовлен до 1 декабря.
Тем не менее, на фоне историй с Facebook и Telegram, очевидно, что этот закон нужен не в перспективе, а уже здесь и сейчас.