Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Все больше информации выносится в публичное пространство посредством социальных сетей и облачных технологий, которые, несмотря на все заверения, не гарантируют защищенность данных клиентов: отсюда попытки создать гибридные облака (hybrid cloud), сочетающие в себе преимущества публичных (снижение расходов на ИТ-инфраструктуру и стоимости хранения данных) и частных (защита критической информации от несанкционированного доступа) облаков. Размывается само понятие privacy[264] как неприкосновенности частной жизни (честному человеку не стоит бояться Большого брата[265]). Можно даже говорить о фактической ликвидации частной жизни в силу экспоненциального роста регистрирующих устройств. Скоринг все более основывается не на сопоставлении данных клиента с параметрической моделью, а на оценке всех данных о клиенте, до которых можно «дотянуться», и построении вероятностной модели его действий, хотя при этом зачастую игнорируется старое римское правило: post hoc, поп est propter hoc[266].

Реализация на практике вышеупомянутой PSD2 может вступить в противоречие с Генеральным регламентом о защите персональных данных (GDPR)[267]. Под персональными данными GDPR понимает любую информацию о пользователе, которая позволяет так или иначе идентифицировать его, включая cookies и IP-адрес. В отдельную категорию «особых персональных данных» выносятся расовая, конфессиональная, политическая/партийная принадлежность, биометрические и генетические данные, медицинская информация, сексуальная ориентация и т. д.

GDPR в принципе схож с российским Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» [52]. Оба документа предусматривают:

– прозрачность процедуры сбора персональных данных: данные можно собирать только на законных основаниях, с согласия их владельцев, объясняя при этом, как планируется их использовать;

– ограничения по использованию персональных данных: их нельзя собирать и хранить в иных целях, нежели те, на которые было получено согласие их владельца. При этом объем собираемых данных, сроки их хранения и методы обработки должны строго соответствовать заявленным целям;

– право гражданина на управление своими персональными данными (гражданин вправе запросить у оператора, какими именно сведениями о нем тот располагает) и возможность отзыва согласия на их использование (вплоть до требования все удалить);

– безопасность использования персональных данных: раскрывать их третьим лицам без согласия владельцев запрещено, оператор обязан обеспечить надежное хранение данных и несет ответственность за их утечки.

Но GDPR идет дальше: вводится понятие организации-контролера, которая проверяет корректность исполнения всего процесса сбора, обработки и хранения персональных данных. GDPR также определяет право на перенос данных (т. е. их передачу между операторами персональных данных по запросу пользователя) и требует уведомлять регулирующие органы об утечках в течение 72 часов после обнаружения – с отчетом о рисках для физических лиц и списком предпринятых мер по их снижению. За этим будет особо следить European Data Protection Board[268]. При этом, в отличие от России, штраф за хотя бы одно нарушение составляет минимум 2 % от оборота компании либо 10 млн евро.

Помимо обработки персональных данных, в GDPR используется понятие мониторинга поведения субъектов данных, которое распространяет действие GDPR на организации, созданные за пределами ЕС, если они (в качестве контролеров или операторов) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС). Мониторинг может включать: отслеживание резидента ЕС в интернете; использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).