Данные — удалить, слежку — остановить
В 2020 году стремительно реализуется угроза развития системы государственной слежки за гражданами. Многие уже почувствовали на себе, как сильно она снижает качество жизни. Что будет с персональными данными, собранными в ходе борьбы с пандемией? Что будет с инструментами слежки, которые появились в распоряжении государств за это время?

Мы попросили прокомментировать эту ситуацию Ивана Бегтина (АНО «Инфокультура») и юриста Центра подготовки руководителей цифровой трансформации Ольгу Шаповалову.

Возможность слежки существовала и до пандемии

В конце 2019 года, когда готовился к выпуску доклад «Этика и "цифра": этические проблемы цифровых технологий», мы обнаружили множество тревожных признаков, свидетельствующих о рисках и последствиях тотальной слежки за гражданами (см. разделы «Приватность человека и защита его персональных данных», «Государственная слежка — Большой брат», «Умный город: этические проблемы»).

Государства и дата-корпорации и раньше могли следить за гражданами с помощью сотовых операторов, мобильных приложений, сетей wi-fi, геолокации, городских систем видеонаблюдения с распознаванием лиц и др. В 2020 году все страны мира стали использовать эти механизмы для отслеживания перемещения людей и их контактов в рамках борьбы с коронавирусной инфекцией (COVID-19).

Неизвестно заранее, какая информация точно пригодится для борьбы с коронавирусной инфекцией, а какая — нет. Государства «на всякий случай» собирают огромное количество данных, включая персональные данные граждан и большие данные, часто не обезличенные. Например, не являются обезличенными данные, привязанные к номеру телефона, фотографии человека.
Главная опасность нынешней практики отслеживания больных заключается в том, что создаваемые инструменты останутся и после пандемии.

Сейчас не ясно, как и когда они будут отключаться, и гражданам не хватает информации о принципах контроля таких систем со стороны государства и ограничениях на применение систем отслеживания. По приблизительной оценке, сейчас в России данные о заболеваемости COVID-19 собирает 50–80 информационных систем, федеральных и региональных. Полной и точной информации, что и как собирается, в открытом доступе нет.


Ивана Бегтин
АНО «Инфокультура»
Удалить «лишние» данные и отменить слежку возможно

В научных целях имеет смысл сохранять медицинские данные, собранные во время пандемии. У правозащитников и граждан много вопросов вызывает сохранение персональных данных для продолжения слежки. Чрезвычайные условия пандемии (того самого «черного лебедя») используют, чтобы собирать данные в таких объемах, которые прежде, в «мирное время», однозначно трактовались бы как грубое нарушение приватности.

Опасения, что временные ограничения прав и свобод граждан станут постоянными и по окончании пандемии, вполне обоснованы. В аэропортах до сих пор действуют меры безопасности и ограничения, введенные после терактов 2001 года, и никто не думает их отменять.

Аналогичным образом органы власти во всем мире могут сохранить уже разработанные инструменты слежки, чтобы в будущем применять их для борьбы с очередной волной эпидемии, поддержания правопорядка во время социальных волнений и внутригосударственных конфликтов, отслеживания отдельных групп населения (например, лиц, сидящих под домашним арестом, злостных нарушителей правил дорожного движения и виновников ДТП со смертельным исходом), к ограничениям прав и свобод которых граждане относятся более лояльно, и др.
С начала мая сотрудники ГИБДД Москвы используют приложение «Карантин» для выявления автомобилей без цифровых пропусков . Подключаясь к городской системе видеонаблюдения, они могут найти в потоке любую машину, остановить ее и предупредить водителя о штрафе за отсутствие цифрового пропуска (штраф будет выписан автоматически). Впоследствии приложение будет использоваться с другими целями, в частности для поиска машин без регистрации в ГИБДД, водителей, не имеющих полисов ОСАГО, злостных неплательщиков штрафов.
Системы слежки за гражданами могут использоваться для такой же слежки за самими законодателями.

Понимая, что однажды собранные данные будут доступны не только спецслужбам, но гораздо большему количеству сторон, законодатели во многих стран стремятся ограничивать внедрение таких систем. Поэтому сложившаяся ситуация во многом зависит от действий политиков.

Еще на этапе разработки и внедрения систем отслеживания необходимо четко ограничивать порядок их создания, условия вывода из эксплуатации, правила последующего удаления данных. Важно не просто заявлять, но и закреплять эти требования в конкретных нормативных документах. Например, так сделали в Австралии и Израиле.


Ивана Бегтин
АНО «Инфокультура»
Департамент здравоохранения Австралии выпустил акт о биобезопасности, защищающий права граждан на приватность в период пандемии и после нее. Ведется работа над законом о защите персональных данных, собранных через специальные мобильные приложения на Android и Apple, разработанные для отслеживания заболевших и их контактов. Приняты нормативные документы об удалении всех данных по окончании пандемии, кроме того, в правилах использования приложений явно указано, что все данные будут удалены после окончания пандемии.

Правительство Израиля разрешило спецслужбам использовать данные сотовых операторов для отслеживания контактов заболевших COVID-19, но на определенное время. Впоследствии надзорная группа в Кнессете заблокировала инициативу правительства об использовании этих данных в дальнейшем, поскольку риски перевешивают возможные выгоды.

Законодательство Евросоюза о защите персональных данных, в частности GDPR, допускает сбор данных и отслеживание граждан в интересах общественного здравоохранения. Если механизмы слежки допускают нарушения прав граждан, правозащитные организации немедленно поднимают тревогу и соответствующим образом настраивают общественное мнение.

В апреле 2020 года Совет Европы направил правительствам стран Евросоюза руководство по соблюдению прав и свобод граждан в связи с пандемией. Хотя документ не содержит прямых указаний о необходимости удаления собранных данных, общая политика Евросоюза в отношении персональных данных по-прежнему заключается в сборе минимально необходимого количества данных, насколько это возможно.
По окончании пандемии медицинские данные нужно оставить в обезличенном виде, но остальные сведения, конечно, нужно уничтожать. Обязанность оператора уничтожить (или обезличить) данные после достижения цели уже есть в ФЗ-152 «О персональных данных», в части 7 статьи 5:

«Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом».

Например, в постановлении о самоизоляции, которое получает москвич с признаками ОРВИ, указано, что он дает согласие на обработку персональных данных в целях контроля за его перемещением в период самоизоляции.

Значит, как только отпала необходимость в контроле, данные человека должны быть уничтожены либо обезличены.

Данные могут собирать в целях обеспечения режима повышенной готовности. Тогда по окончании его действия цель будет считаться достигнутой, данные должны быть удалены. На сегодняшний день решение об отмене режима повышенной готовности принимают главы субъектов РФ.

Необходимости в специальной политике или дополнительной норме нет. Более того, есть риск, что принятие дополнительного закона для каждого такого случая может обесценить общее правило. Если же требования ФЗ-152 не соблюдаются, то можно ожидать, что и новые принятые нормы также не будут соблюдаться.

Ольга Шаповалова
Юрист Центра подготовки руководителей цифровой трансформации
Республика Татарстан — один из первых регионов, где были введены ограничения в связи с пандемией COVID-19. В апреле там ввели цифровые пропуска. Тогда власти пообещали удалить все данные по окончании ограничительных мер. 12 мая были отменены цифровые пропуска, созданный для их выдачи сайт закрыли. А 15 мая в присутствии специальной комиссии были удалены персональные данные, собранные для выдачи цифровых пропусков. По-видимому, пока что, кроме Татарстана, нет других примеров этичного отношения к персональным данным граждан, собранным для слежки во время пандемии.
В России до сих пор нет общегосударственной политики по уничтожению персональных данных, собранных в ходе борьбы с пандемией.

Есть минимум два механизма удаления этих данных.

  1. Данные о гражданах собираются, пока действует режим чрезвычайной ситуации, и в целях, предусмотренных данным режимом. После того как режим чрезвычайной ситуации будет отменен, данные полностью обезличиваются, еще лучше — безвозвратно удаляются.
  2. Принимается отдельный нормативный акт (например, указ президента, закон), в котором указан период, по окончании которого данные удаляются по умолчанию, если в документ не будут внесены изменения. Аналогичным образом можно обязать деактивировать все мобильные приложения для слежки.

Ивана Бегтин
АНО «Инфокультура»
Большой брат уже в Москве

Особая ситуация сложилась в Москве, где недостатки государственной слежки за гражданами проявились особенно остро. Как самый продвинутый в сфере ИТ регион России Москва неофициально задает направление развития цифровой слежки.

В апреле и мае 2020 года буквально каждый день появлялись все новые недостатки существующих инструментов слежки:

  • использование незащищенного соединения при передаче персональных данных;
  • перегрузка серверов из-за количества обращений граждан;
  • неточность и неполнота инструкций о получении цифровых пропусков, использовании приложений;
  • избыточный сбор данных мобильными приложениями;
  • трансграничная передача данных, собранных в мобильном приложении;
  • отсутствие в приложениях условий использования, хранения и удаления персональных;
  • технические ошибки, которые автоматически засчитываются как нарушение человеком установленных правил (презумпция виновности);
  • автоматическое наложение штрафов с помощью систем видеофиксации, противоречащее федеральному законодательству;
  • публикация в открытом доступе персональных данных граждан, получивших штрафы;
  • передача прав по проверке цифровых пропусков третьим лицам, например таксистам, и др.
Порядок привлечения к административной ответственности в России устанавливается только федеральным законами. Что сейчас происходит в Москве?

В апреле 2020 года в КоАП Москвы появились поправки об ответственности за нарушение режима самоизоляции и за нарушение режима повышенной готовности (статья 3.18.1). Теперь правонарушения могут фиксироваться автоматически с помощью системы городского видеонаблюдения и систем геолокации (пункт 1.1 статьи 16.6). Очевидно, это те самые штрафы, выписанные по данным видеокамер и приложения «Социальный мониторинг».

На федеральном уровне автоматическая фиксация нарушений с помощью видеокамер возможна только для автомобилистов (например, за превышение скорости). Получается, что пункт 1.1 статьи 16.6 КоАП Москвы противоречит КоАП РФ и требования московских властей незаконны.

Конституция Российской Федерации устанавливает разделение полномочий между федеральным центром и субъектами Федерации, власти субъекта Федерации не имеют права устанавливать общеобязательные нормы за пределами своих полномочий. На основании этого положения пункт 1.1 статьи 16.6 КоАП Москвы можно оспаривать в суде.

Много вопросов вызывает привлечение к ответственности на основании данных системы городского видеонаблюдения Москвы. Насколько я помню, в судебном решении по известному иску Алены Поповой к департаменту информационных технологий (ДИТ) Москвы указывалось, что точность распознавания лиц в этой системе составляет около 65%. Можно ли выписывать человеку штраф на основании данных такой точности?

Ольга Шаповалова
Юрист Центра подготовки руководителей цифровой трансформации
ДИТ Москвы — один из самых закрытых из департаментов информатизации, если сравнивать с аналогичными структурами в субъектах Федерации. При этом столичный бюджет на информационные технологии по размеру такой же, как у остальных субъектов Федерации, вместе взятых.

По сравнению с другими регионами в Москве злоупотребляют нарушением приватности жизни граждан. Есть риск, что после пандемии инструменты слежки и контроля будут развиваться и дальше, а информации о них будет так же мало.

В Москве создано много крупных информационных систем, идет работа над новыми системами, но подробная информация о них не публикуется. О принципах работы конкретных устройств или даже существовании некоторых из них можно узнать только случайно. Так, например, из недавнего пресс-релиза компании Wheely стали известны особенности устройства Единой региональной навигационно-информационной системы Москвы (ЕРНИС).


Ивана Бегтин
АНО «Инфокультура»
8 мая 2020 года компания Wheely опубликовала пресс-релиз, в котором заявила о своем несогласии с требованиями департамента транспорта Москвы. Одним из условий возвращения к работе компаний, занимающихся перевозкой пассажиров (их деятельность была приостановлена в апреле в связи с пандемией), является передача в ЕРНИС информации о передвижении автомобилей в реальном времени.

По мнению компании, условия передачи и защиты передаваемых данных до сих пор не конкретизированы, а их законодательное обоснование отсутствует: «…сейчас ни один закон Российской Федерации не устанавливает обязанность передавать геолокацию машин, занятых перевозкой пассажиров, тем более в реальном времени». Как сказано в пресс-релизе, «требование передачи данных не связано с пандемией и введенными сейчас ограничениями — оно появилось еще в 2017 году».

Из этого можно сделать вывод, что остальные компании на рынке уже передают информацию о передвижении машин в реальном времени, причем, возможно, еще с 2017 года.
14 мая стало известно, что в Москве планируется массовое тестирование жителей на COVID-19. Неизвестно, данные каких информационных систем будут использоваться для получения достоверной информации о возрасте и месте проживания граждан. Неясно, как будет реализована защита граждан от возможной дискриминации, к которой может привести, например, выдача сертификатов о COVID-статусе.

К 20 мая в СМИ вышло уже достаточно много материалов о том, как москвичам, установившим мобильное приложение «Социальный мониторинг», выписывают штрафы за нарушения режима самоизоляции, а также о позиции ДИТ Москвы в отношении правомерности выписанных штрафов. При этом механизм опротестования штрафов в нынешней ситуации объективно затруднен, хотя уже появилась возможность обжаловать эти штрафы на портале mos.ru.
В интервью говорится, что ни один из штрафов не был выписан из-за ошибки приложения. Действительно, формально приложение может работать корректно, даже если оно фиксирует нарушение самоизоляции человеком, которого увезла в больницу скорая помощь.

Информация о госпитализации как уважительной причине покинуть дом появится в информационной системе, на основании которой работает приложение, гораздо позже, может, через день-два. Сейчас госпитализируют очень много людей, и задержки с обновлением информации объяснимы. Приложение работает гораздо быстрее: отмечает, что человек покинул дом, отправляет информацию, человек получает штраф.

Очевидно, разработчики приложения не учли эти особенности информационных систем, не предусмотрели такие сценарии в работе приложения.

Люди страдают из-за того, что важная информация попадает в нужные информационные системы несвоевременно, а элементы системы слежки работают недостаточно слаженно.

В отзывах пользователей описывается другой сценарий: пользователь не выходит из дома, но приложение отмечает изменение его геолокации, и на основании этого выписывается штраф. Это ошибка приложения.

Очень интересен третий сценарий: штраф выписывается, поскольку приложение продолжает фиксировать нарушение режима самоизоляции, когда он уже закончился, и у гражданина нет обязанности не выходить из дома.

Часть 6 статьи 5 ФЗ-152 устанавливает принципы обработки персональных данных:
«При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях — и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных».

Операторами информационной системы, на основе которой действует приложение «Социальный мониторинг», являются ДИТ Москвы и Московское городское агентство по телекоммуникациям. (По крайней мере, именно этим операторам человек дает «обязательное» согласие на обработку персональных данных. Система непрозрачна, и точно неизвестно, с какими информационными системами взаимодействует приложение.) Если человеку приходит штраф за нарушение режима самоизоляции, который уже закончился, это правонарушение со стороны оператора, который не выполнил свои обязанности по поддержанию точности, достаточности и актуальности персональных данных граждан.


Ольга Шаповалова
Юрист Центра подготовки руководителей цифровой трансформации
До 2020 года развитие систем слежки со сбором данных замедляли и ограничивали законы, а также сопротивление общества.

В 2020 году скорость разработки и внедрения инструментов слежки многократно возросла, а внимание сместилось от защиты прав к обеспечению безопасности.
Ситуация со слежкой во всем мире — важная развилка в возможности технологических и этических нарушений приватности

Отчасти недостатки системы слежки — это следствие того, что на этапе разработки и внедрения цифровых решений не учитывались этические и репутационные риски; не были в полной мере учтены техническая сложность и условия применения систем отслеживания, а неточная информация и ошибки приложений трактовались в пользу виновности людей; не было уделено достаточно внимания защите персональных данных.
В процессе подготовки и верстки материала появилось еще два важных новости.

Стало известно, что соглашаясь на обработку персональных данных при оформлении цифрового пропуска на https://i.moscow/covid москвичи передают следующие свои персональные данные:

«фамилия, имя, отчество; дата рождения; адрес; профессия; место работы, адрес организации, иная информация о трудовой деятельности; должность в организации; данные документа, удостоверяющего личность, гражданство, образование; номера телефонов; адрес электронной почты; технические данные, которые автоматически передаются устройством, с помощью которого используются информационные системы и (или) сайт оператора (в том числе технические характеристики устройства (идентификатор устройства), IP-адрес, файлы «cookies», информация о браузере и др.)»

сроком на 10 лет с правом на обработку третьими лицами:

«в целях проверки достоверности данных цифрового пропуска для передвижения по городу Москве, коммуникации со мной оператора и (или) третьих лиц, в том числе при моем обращении к оператору; в том числе смс и e-mail рассылок посредством указанных мною в настоящем согласии номеров телефона и (или) адреса электронной почты, направления мне новостных материалов оператора и (или) третьих лиц; получения от оператора и (или) третьих лиц по сетям электросвязи информации (материалов информационного и (или) рекламного характера)».

26 мая 2020 года Максут Шадаев сообщил, что после отмены ограничений персональные данные, собранные для оформления цифровых пропусков, будут удалены.
По этому поводу 26 мая состоялась интересная дискуссия в чате при канале Ивана Бегтина в Telegram. Приводим ее краткое содержание:

  • Данные для оформления цифровых пропусков в течение последних двух месяцев собирались через региональные сервисы, приложение Госуслуг, отдельный московский сервис. Тема цифровых пропусков в целом недорегламентирована.
  • Недостаточно рекомендовать регионам удалить собранные данные. Это вопрос не только удаления в системе, но и обязательного уничтожения всех резервных копий.
  • У Минкомсвязи на практике не так много механизмов воздействия на региональные власти. Чтобы удаление было гарантировано, нужен нормативный правовой документ — федеральный закон, постановление Правительства.
  • Система цифровых пропусков на инфраструктуре электронного правительства работает в соответствии с нормативными правовыми документами по персональным данным.
  • Минкомсвязи планирует рекомендовать всем регионам, в которых работали сервисы выдачи цифровых пропусков, удалить собранные данные и указать на необходимость соблюдать требования в области защиты персональных данных.
Вопрос создания нормативного правового акта, обязывающего регионы удалить эти данные, пока остается открытым.
Светлана Коршунова, Екатерина Потапова. При написании статьи использовались материалы и комментарии Ивана Бегтина (АНО «Инфокультура»), Ольги Шаповаловой (Центр подготовки CDTO)