Сергей Ивлиев: Наши персональные данные — это новая нефть
Руководитель лаборатории криптоэкономики и блокчейн-систем экономического факультета ПГНИУ — о продаже и утечке персональной информации в интернете и о праве каждого человека на частную жизнь
— Сергей, почти у каждого сейчас есть аккаунты в соцсетях, мы все пользуемся интернетом. При этом постоянно возникают скандалы, связанные с утечкой наших персональных данных. Насколько остро сейчас стоит вопрос о защите личной информации?
— На прошлой неделе на Netflix вышел документальный фильм The Great Hack, посвящённый прошлогоднему скандалу с утечкой данных 87 млн пользователей Facebook и тому, как компания Cambridge Analytica использовала их для влияния на мнение избирателей в Великобритании и США. Эта история показывает, что наши персональные данные практически общедоступны. И такие компании, как Facebook и Google, отлично на них зарабатывают. Наши данные — это их триллионный бизнес, стоимость которого превысила капитализацию нефтяных компаний и банков.
— Вы хотите сказать, что продажа наших данных — это основной источник их доходов на сегодняшний момент?
— Да, их основные доходы — продажа данных для формирования таргетированной рекламы. В настоящее время в интернете мы проводим уже больше времени, чем перед телевизором. Соответственно, реклама там очень востребована. Это новый канал, с помощью которого можно что-то заложить в мозг людям. И есть такой негласный договор: нам предоставляют бесплатные сервисы — почту, поиск, мессенджеры и так далее, а взамен собирают о нас информацию. Всё, что мы делаем в интернете, фиксируется, профилируется и затем продаётся рекламодателям, которые показывают нам рекламу, соответствующую этому профилю.
— Но ведь это не совсем честная сделка? Мы же не даём разрешения на использование наших персональных данных?
— Большинство из нас просто не читает пользовательские соглашения при регистрации на интернет-сервисах. Но там обычно прописано, что вся информация, которую вы размещаете, принадлежит им, а не вам.
— Получается, что мы даём согласие и на использование наших личных переписок?
— Я думаю, что такого понятия, как личная переписка, уже нет. Эта информация также используется соцсетями для таргетинга. Более того, эта информация о нас даже более ценна, чем та, которой мы делимся публично. Ведь зачастую наш публичный образ, то, кем мы хотим быть в глазах общества, и то, кем мы являемся на самом деле, очень расходятся. А в частной переписке мы говорим то, что думаем на самом деле, раскрываем свои истинные интересы.
Проводились даже специальные эксперименты: люди создавали себе новые аккаунты, гуляли в определённом районе города и вели частную переписку. А потом видели таргетированную рекламу, которая была привязана именно к той локации и тем темам, которые обсуждались в этой переписке. Думаю, такое замечал каждый из нас.
Наша жизнь в интернете стала совершенно публичной. И хотя мы думаем об этом как о частной жизни, на самом деле наши письма в почте, наши сообщения, вообще всё, что мы делаем в Сети, в какой-то момент времени может быть использовано против нас. В лучшем случае для того, чтобы предложить нам рекламу, в худшем — для каких-то противоправных действий.
Есть ещё один интересный кейс. В России существует сервис, который по публичным профайлам в соцсетях формирует на вас досье и предоставляет эту информацию банкам. На основании этой информации банк решает, надёжный вы человек или нет, можно ли вам выдать, например, кредит. Я считаю, что такое использование персональных данных некорректно и неэтично, потому что никто из нас не давал согласия на использование своих данных для подобных целей.
— А что насчёт приватности в мессенджерах? Telegram же как раз на этом строит свой имидж.
— Я бы не стал очень им доверять. Павел Дуров много говорит о приватности, но при этом программный код мессенджера не является открытым, его невозможно проверить и убедиться в отсутствии «чёрных ходов». Есть другие, более защищённые мессенджеры со сквозным шифрованием, которые прошли аудит специалистов по безопасности, — тот же Signal, например, который рекомендует Сноуден. Но и он не обеспечивает полной приватности, сохраняя на серверах метаданные сообщений: информацию об отправителе, получателе, времени отправки сообщения и пр.
— Логичный вопрос: как тогда защитить свои персональные данные?
— Нужно однажды просто проснуться и сказать себе: у меня есть право на частную жизнь. А дальше уже думать о том, как защитить свою приватность. Как минимум начать с того, чтобы выработать для себя определённые правила поведения в Сети, не разбрасываться своими личными данными, фотографиями — обыкновенная информационная гигиена.
Практически во всех браузерах есть приватный режим, который отключает cookies, собирающие информацию о пользователе, и не сохраняет историю о посещённых страницах в кэше. Сейчас стали появляться новые браузеры. Помимо широко распространённых Google Chrome и Internet Explorer есть, например, Opera, Brave или тот же Tor, которые защищают пользователя от рекламных баннеров, блокируют таргетинг и пр.
Есть смысл поменять свои любимые пароли на более сложные, использовать двухфакторную аутентификацию для важных сервисов, вводя помимо пароля ещё и код через SMS, настроить обязательный ввод ПИН-кода сим-карты при включении телефона, использовать сквозное шифрование при отправке сообщений.
Криптография на самом деле является мощным и при этом вполне доступным инструментом приватности, с которым можно ознакомиться, найдя информацию и обучающие курсы в сети Интернет или, например, приняв участие в нашей ежегодной летней школе по блокчейну и криптоэкономике, которая стартует 16 августа. Мы поговорим о том, как устроены современные криптографические подписи, как работают алгоритмы консенсуса в блокчейне и что такое децентрализованные финансы.
— Исходя из того, что вы сказали, я думаю, что в будущем приватность будет привилегией узкого круга лиц. Например, уже сейчас есть руководители, которые не пользуются телефоном и интернетом. До них отфильтрованную информацию доносят ассистенты. Может быть, это будет новая форма элитарности?
— На самом деле нет. Интернет был задуман как открытая сеть, в которой каждый может свободно обмениваться информацией. Каждый должен иметь право высказаться, право на частное общение. Сейчас этого нет. Вместо этого весь интернет сконцентрирован вокруг мегакорпораций, таких как Google, Facebook, Microsoft, Amazon и т. д. Да, они создают бесплатные и удобные сервисы, но при этом влезают в нашу частную жизнь. С другой стороны стоит государство, которое тоже собирает наши данные ради своих целей. Всё это делает интернет не очень комфортным местом для обычных людей. И нам приходится принимать тот факт, что приватности больше нет. Но мы можем её вернуть с помощью технологий.
Нужно дать людям инструменты, которые позволили бы восстановить их права. Криптография из привилегии спецслужб превратилась в повседневный инструмент. Потом появился биткоин. Это был шаг в развитии криптографии и распределённых реестров, который позволил людям вернуть контроль над своими деньгами. Должны появиться новые сервисы, которые будут децентрализованными, но такими же удобными, как предлагают сейчас корпорации. Я могу пользоваться и Google-почтой, почему бы и нет? Но у меня должен быть выбор. Я должен иметь возможность выбрать что-то другое, более приватное.
— Сейчас, когда таких альтернатив нет, как современной компании вести свой бизнес? Ведь все привыкли размещать бизнес-планы, бюджеты и прочие конфиденциальные документы в облаке, к которому при желании могут получить доступ конкуренты или государство.
— Надо осознавать, что нет гарантии того, что кто-то не доберётся до этих данных. На прошлой неделе была история: банк Capital One хранил большую часть данных в облаке Amazon, и в итоге в паблик вышли данные более 100 млн человек. Когда есть такие большие базы данных, рано или поздно их взламывают. Поэтому и надо менять правила игры в интернете. Надо, чтобы персональные данные были лучше защищены, чтобы к приватной жизни было больше уважения и, главное, чтобы у людей был выбор, какими сервисами пользоваться.
Например, Тим Бернерс-Ли, который создал World Wide Web, разработав протокол HTTP, на котором построен весь интернет, уже несколько лет работает над платформой Solid. Она позволяет прописать правила работы с персональными данными, отделить их от сервисов и привязать к человеку. Человек должен сам решать, где ему эти данные хранить — в общем облаке либо на своём персональном компьютере. Человек должен сам решать, кому он доверяет, кому даёт права на чтение данных, а у кого он эти права забирает. Если к этому добавить шифрование, то персональные данные будет намного сложнее монетизировать или использовать в недобросовестных целях без согласия их владельца. Я считаю, что это очень правильное направление.
— Как вы считаете, многие ли осознают, что надо защищать свои персональные данные, и есть ли вообще такая тенденция? Или только Тим Бернерс-Ли работает над этим?
— Такая тенденция есть. Сейчас уже достаточно много людей и компаний, которые интересуются этим вопросом и начинают строить свои приложения в совершенно другой, децентрализованной архитектуре. То есть не в архитектуре браузер — сервер, в которой сервер всё про тебя знает и ты от него зависишь полностью.
Нужно дать возможность людям пользоваться децентрализованными приложениями, которые, по сути, сами являются серверами. Если у вас есть сеть узлов, которые связаны между собой, то вам не нужен центральный сервер. Как, например, в биткоине, где каждый узел напрямую соединяется с другими узлами, и так возникает сеть, или в торрентах, где тоже нет центрального сервера, с которого можно скачать контент, а контент распределён. Новые соцсети, новые мессенджеры в децентрализованном интернете не должны иметь единого сервера, который кто-то контролирует. При этом, конечно, они могут быть менее привлекательными, но рано или поздно станут вполне удобными, и тогда всё больше людей будут решаться на них перейти.
— Всё равно люди хотят быть там, где уже есть их друзья. Думаете, они предпочтут приватность сформированному сообществу, например, в Facebook?
— Да, есть так называемый сетевой эффект. Мы общаемся там, где есть все наши друзья и коллеги. Раньше, допустим, все были во ВКонтакте. Потом все перешли в Facebook. Потом часть перешла в Instagram. Я думаю, что новые децентрализованные соцсети тоже смогут привлечь пользователей и постепенно сетевой эффект сделает своё дело.
— Сейчас активно развивается тема интернета вещей. То есть чайник, холодильник, лампа тоже будут собирать о нас информацию? Это ведь уже вторжение в офлайн-жизнь.
— Если они соединены с интернетом, у них есть провайдер, который их обслуживает, есть какая-то прошивка, которая подключена к интернету, то да — они будут собирать о нас данные. Всё, что вы говорите, например, находясь поблизости от домашнего электронного помощника Alexa, анализируется нейронными сетями и сотрудниками компании Amazon. Смарт-телевизор может записывать ваши разговоры в доме и знать о вас гораздо больше, чем вы бы хотели.
— При этом в офлайне обратная тенденция. Почти во всех государственных структурах тебе подсовывают листочек, где просят дать согласие на использование персональных данных. Какой тогда в этом смысл, если информация обо всех уже собрана?
— Это попытка как-то отрегулировать сбор и обработку персональных данных. При этом у нас закон о персональных данных не предполагает серьёзной ответственности организации, если, допустим, случается потеря данных, — для юридических лиц максимальный штраф составляет 75 тыс. руб. Для сравнения: в Европе действует GDPR (Общий регламент по защите данных), в котором прописана серьёзная материальная ответственность компаний: максимальный штраф составляет до 20 млн евро, или до 4% годовой выручки. Также там прописано, как они должны хранить эти данные. Есть право на забвение, когда ты как клиент сервиса можешь попросить удалить свои данные. И они обязаны будут их удалить, иначе придётся платить штраф. Такое регулирование, конечно, нужно и в России. Ведь если ты обрабатываешь чьи-то частные данные как сервис, то должен нести за это серьёзную материальную ответственность.
— В интернете появилась ещё одна проблема — фейковые аккаунты. Можно ли себя как-то от этого защитить?
— Очень непростой вопрос. Допустим, у каждого может быть некий уникальный идентификатор в интернете, например электронный паспорт, который подтверждает, что вы — это вы. Но тогда всё, что вы делаете, будет привязано к этому паспорту. Появится возможность тотального отслеживания действий с полной потерей анонимности. Поэтому здесь простых решений нет.
— Тема профилирования напомнила мне о том, что Дмитрий Медведев предложил бороться с бедностью, составляя социальный портрет каждого человека с использованием современных технологий.
— Это довольно скользкий путь. Китай, например, уже практически пришёл к тому, что знает всё про своих граждан. Они строят систему глобального социального рейтинга, где оцениваются все твои поступки. Видеокамеры фиксируют, внимательно ли ты слушаешь учителя на уроках, как ты себя ведёшь, с кем общаешься, переходишь ли ты улицу на красный свет и так далее. В зависимости от твоего поведения система выставляет тебе баллы. И если твой балл будет низким, то тебя будут лишать определённых прав. Не хотелось бы, чтобы мы пошли по такому пути.
Подпишитесь на наш Telegram-канал и будьте в курсе главных новостей.