Все ли можно отнести к персональным данным?
В июле 2019 нам выпала честь выступить на «Международном Финансовом Конгрессе» в секции, посвященной потребительскому мошенничеству и методам его противодействия. Уровень мероприятия и состав участников показали: обсуждаемая тема является не только актуальной и важной для рынка, но и существующие на рынке механизмы потребительского мошенничества в сегменте розничного кредитования и микрокредитования являются серьезной проблемой как для самих организаций, так и для пользователей финансовых услуг.
При разборе типовых схем мошенничества, с которыми банки и микрофинансовые институты сталкиваются в процессе своей деятельности, мы отмечали следующее: наиболее опасные и, как следствие, наиболее тяжелые по последствиям для участников рынка схемы связаны с компрометацией персональных данных граждан. Эффект усиливается, когда персональные данные становятся доступными злоумышленникам в комбинации с так называемыми «чувствительными» или иными категориями данных. Это может приводить к усилению негативного эффекта или мультипликации потерь, которые несут финансовые институты. Суммы убытков могут исчисляться, в отдельных случаях, десятками и даже сотнями миллионов рублей, и все это только в сегменте микрокредитования, где средняя сумма выдачи составляет 10 000 рублей.
«Милый ребенок, — тебе пишет Дедушка Мороз… В этом году я не смогу прислать тебе купленные подарки, потому что ты не подписал согласие на обработку персональных данных!»
В современном мире, в том числе и в мире финансовых услуг, в каждой операции генерируется и обрабатывается невообразимое количество самых различных данных. Например, бесплатные для пользователей сервисы могут продавать данные о них в других отраслях. Данные о клиентах становятся активом и, как следствие, доступ к большому объему персональных данных приводит к повышению экономической стоимости таких платформ.
Под персональными данными мы понимаем данные, которые можно использовать для идентификации человека, имеющих прямое с ним сопоставление. К персональным принято относить, в первую очередь: ФИО, дату рождения и паспортные данные. В мире онлайн для получения услуг, в том числе финансовых, вместо классических данных можно использовать и другие, которые ранее не воспринимались как персональные.
На наш взгляд, все контактные данные, такие как: номер телефона, адрес электронной почты, даже отдельно от полного имени и/или паспорта, необходимо квалифицировать как «персональные» и соответственно регулировать их обработку и доступ к ним.
По какой причине? – Этих данных уже достаточно, чтобы совершить финансовую операцию, например, взять кредит. Они могут использоваться для проведения двухфакторной верификации, например, для регистрации доступа к порталу «Госуслуг». Наконец, такие данные могут быть использованы злоумышленниками для доступа к более широкому кругу персональных и чувствительных данных.
Все ли знают и помнят в деталях: о содержимом своих электронных почтовых ящиков или сколько раз туда приходили договоры, счета на оплату, копии финансовых документов, пароли и другая информация, утечка которой в открытый доступ или в Deepnetможет быть крайне неприятной?
Еще одним неприятным последствием нерегулируемой обработки персональных данных является их попадание к непрофессиональным операторам данных. Ведь каждый из нас хотя бы раз заполнял заявление на карту скидок или лояльности, регистрировался на бесчисленном количестве сайтов. Важно задуматься: всегда ли компания, ставшая оператором данных, имеет намерение и возможность защитить наши данные от попадания к злоумышленникам?
На спамера напали неизвестные.
Список подозреваемых составил несколько миллионов электронных адресов.
Чувствительные данные могут не всегда иметь однозначное соответствие с человеком, но при этом их запрос и обработка (не в пользу субъекта обработки) могут быть болезненными. Одной из распространенных категорий является располагаемый уровень дохода. Мы уже детально обсуждали эту тему ранее. Эти данные целесообразно включать в классификацию, поскольку они часто запрашиваются и используются финансовыми институтами для различных целей.
Еще одной важной категорией данных, ставших актуальными за последние 5-10 лет в связи с широким предоставлением финансовых услуг онлайн, – данные, которые появляются в процессе формирования Интернет – соединения и их передачи в сеть. Они могут обладать большой ценностью, с точки зрения оценки заемщика или получателя финансовых услуг.
К этой же категории данных относят данные, собранные о характеристиках устройства, так называемый «отпечаток устройства» или devicefingerprint. При этом их нельзя назвать «персональными», поскольку они не определяют непосредственно физическое лицо, поэтому и регулировать такие данные, если потребуется, необходимо по другим стандартам. Основное отличие таких данных от персональных — одних их недостаточно для аутентификации физического лица и выполнения от его имени финансово значимых операций в случае утечки.
Уже сегодня требуется сформировать более широкий взгляд на данные, к которым на данный момент относят не только персональные данные, но и другие категории данных, такие как: чувствительные данные и не персональные данные, формирующиеся в мире онлайн, не имеющие однозначной привязки к физическому лицу. При интенсивно растущем объеме данных и развитии цифровых технологий от обобщений необходимо переходить к практике: категоризации, классификации, кластеризации и регулированию этих данных с точки зрения здравого смысла.
Слишком мягкое и недостаточное регулирование персональных данных приводит к проблемам и ущербу как организаций, так и их клиентов и подрывает доверие к цифровой среде. С другой стороны, чрезмерное регулирование всех данных, даже не относящихся к персональным, может, по факту, привести к уходу в Deepnet, а также к существенному снижению скорости развития технологий и оказания услуг в Интернете. Например, после вступления Правил Обработки Персональных Данных (GDPR), существенно изменились условия по сбору и обработке персональных данных для компаний – операторов данных в Европе и российских компаний, в силу своей деятельности, оперирующих с данными граждан Европейского Союза, а строгие штрафные меры не сказываются наилучшим образом на экономическом росте компаний и цифровой экономике.
Финализируя вышесказанное, мы считаем, что необходимо соблюдать баланс между безопасным, авторизированным доступом к данным и наличием нормативно – методологической основы для возможности эффективной работы потребителей данных. В регулировании операций по обработке данных должен применяться дифференцированный подход, соотносимый с уровнем риска по отдельным категориям данных и потенциальной тяжести ущерба, который может возникнуть из-за попадания к недобросовестным пользователям. При этом новые модели бизнеса, при обработке данных и анализе цифровых портретов клиентов, оставаясь клиентоориентированными, должны опираться не только правовые, но и на этические нормы.