Личное досье на продажу: куда утекают ваши персональные данные и какова их цена на рынке?

Личность как товар

– Продажа персональных данных развита по всему миру. Даже 1500 хороших записей (фамилии и имена, даты рождения, СНИЛСы или номера паспортов) можно довольно выгодно продать: от 4$ до 15$ за запись, – рассказывает it-инженер Максим Москалик. – Полное досье на человека стоит, понятное дело, намного больших денег.

Вы можете быть глубоко уверены в полной конфиденциальности ваших действий – и даже не подозревать при этом, что все ваши шаги отслеживаются и документируются. Вам кажется, что никто не может знать о вас лишнего – но исчерпывающая информация о вашей личности, от номера паспорта до всех нюансов банковских счетов, может быть доступна любому. И пока вы сидите за плотными шторами на диване, кто-то может оформлять на вас кредиты, создавать подставные профили в соцсетях с вашим лицом или даже перемещаться с поддельным паспортом в кармане – с вашими реальными данными.

Существует много мошеннических схем, направленных на получение доступа к вашим персональным данным. Возможно, и вы попадались на удочку «работодателей» или «продавцов», которые просят отправить им фото вашего паспорта – как «гарантию надёжности» или вместо аванса за товар. После этого у вас могли неожиданно появиться кредиты и долги, которых вы не брали и не делали. К сожалению, на подобные удочки попадаются многие тысячи.

Но даже если вы никогда не поддавались «разводам» мошенников, поверьте – достать исчерпывающее досье на вас несложно. Если вы пользуетесь смартфоном и заходите иногда в сеть, если у вас есть имущество и вы, в принципе, живой человек, вы априори являетесь источником ценного товара – ваших персональных данных.

Известно станет всё

В прошедший понедельник, 28 января во всём мире отмечался День защиты персональных данных. Повод вспомнить об этом празднике есть у каждого, даже если вы пока не оставляли Сбербанку свои биометрические данные, с вас не снимали «пальчики» в полиции и никто не предлагал вам пройти 3D-сканирование.

Международный день защиты персональных данных был учреждён в 2007 году Советом Европы с образовательными целями – рассказать людям о том, что же такое их ПД и почему их необходимо защищать. А ещё – почему не стоит разбрасываться личной информацией направо и налево (и особенно, конечно, в соцсетях) и чем это может быть чревато.

– Персональные данные – это данные, которые позволяют опознать субъект как физическое лицо, – пояснил в интервью 78.ru инженер по администрированию информационных систем компании «Нетрика» Максим Москалик. – Такие данные могут иметь абсолютно разные связки. Допустим, ФИО не будут являться персональными данными, а ФИО и телефон – будут. Где-то это может быть ФИО и ip-адрес или всё вместе.

Практически каждое ваше действие, причём не только онлайн, идёт в «подшивку» вашего досье. И если даже на данный конкретный момент это «досье» никто не собрал – сделать это не проблема.

– Происходит постоянный сбор данных – проще, наверное, перечислить то, что не фиксируется в том или ином виде, – отметил в беседе IT-специалист. – Например, по уникальному IMEI-идентификатору (IMEI – номер для идентификации мобильных и радиотелефонов, есть у каждого прибора – прим. ред.) можно точно установить, где находился конкретный телефонный аппарат. Затем можно посмотреть историю ваших перемещений в Google Maps и подтвердить вас по фото или видеозаписи, и это уже станет ПД.

В интернете, рассказал Максим Москалик, собирается «целая маска признаков по разным источникам». Ваши данные могут извлечь из:

1) аккаунтов в соцсетях, блогов

2) базы данных налоговой, судебных приставов, судов и т.п.

3) статей в СМИ, списков работников на сайте учреждения, в котором вы трудитесь, и так далее.

По отдельности каждый фрагмент информации о вас не имеет особой ценности и не является персональными данными, пока невозможно точно связать пользователя и физическое лицо – то есть привязать следы в сети в конкретному живому человеку.

– Если не брать в расчёт такие огромные компании, как Google, Apple или Microsoft, – делает ремарку наш эксперт. – Вся эта информация приобретает значение, только будучи собранной воедино и проанализированной. Анализ и хранение подобной информации очень сложны, а без вашего разрешения – противозаконны.

Но последнее, конечно, мало кого останавливает:

– Как только будет собрано максимальное количество информации и получится привязать два-три источника друг к другу, можно будет с уверенностью говорить, что человек с таким ФИО работает там-то, такого-то года рождения, получил премию там-то. Всё остальное – дело техники: обзвон номеров и сбор остатка данных.

Вы можете и сами не знать о себе того, что узнает покупатель вашего досье.

Источники утечки наших данных

Где же мы «следим»?

– Практически везде, – разводит руками it-инженер. – Например, Google сохраняет данные обо всех ваших передвижениях, поисковых запросах, индексирует каждый документ. Сохраняются даже данные по браузеру (куда вы кликаете на сайтах, как часто пользуетесь, просматриваете ранее посещенные сайты, и т. д., и т. п).

Собирают информацию о вас и оффлайн. Взять, к примеру, те же скидочные карты в сетевых магазинах – очень часто мы оформляем их, ни на секунду не задумываясь о последствиях. Да, они тоже могут стать источником информации о вас, которая может быть продана и использована не самым лучшим образом.

– Всё зависит от того, кто раздает скидочные карты. Они могу лежать на локальном хранилище и будут использованы только для улучшения сервиса магазина или услуги, а могут быть проданы сторонним компаниям для обзвона потенциальных клиентов, – отметил Максим Москалик. – Крайне не рекомендую оставлять ФИО и телефон компании, не имеющей весомого авторитета. В противном случае ваши данные могут очень быстро оказаться у разного рода колл-центров и прочих сомнительных компаний.

А что же может случиться потом с вашими персональными данными?

– Их могут просто продавать, оформлять на них кредиты, использовать в мошеннических целях, использовать как прикрытие своей настоящей личности, – перечислил варианты наш собеседник. И это – только самое очевидное.

Есть ли возможность уменьшить количество своих «следов» в сети? Есть, разумеется. Но полностью уничтожить свой цифровой след крайне сложно, особенно если вы активно ведёте странички в соцсетях, регистрируетесь на всевозможных форумах и в интернет-магазинах, не брезгуя указанием личной информации – и так далее…

– Нужно запомнить простое правило: всё, что будет написано и опубликовано в интернете, станет общедоступным, – подчёркивает it-инженер. – К персональным данным в наше время стоит относиться так же, как к кошельку или паспорту.

Ничто так не играет на руку мошенникам, мелким и крупным, как открытый общедоступный профиль в популярной соцсети, наполненный до краёв личной информацией. Очень часто именно соцсети помогают из отрывочных данных создать цельное досье, которое можно продать и использовать по своему усмотрению.

Ненаучная фантастика от Фонда развития интернет-инициатив

На самом деле, проблема утечки наших ПД гораздо обширней, чем кажется. Часто к вашим данным вполне законно получают доступ люди, которые не прочь «нагреть руки» на их продаже. Делали скан паспорта в каком-нибудь «компьютерном уголке студента»? Заполняли анкету для соцопроса? Никто не обещает, что ваши данные потом не утекут «налево».

В сети (и отнюдь не в даркнете) можно найти обширные форумы, где практически в открытую торгуют чужими данными. Информацию сливают и сотрудники мобильных операторов, и работники госструктур, и многие, многие другие люди. Как отмечают пользователи в интернете, за определённую сумму можно «пробить» данные человека по номеру телефона, увидеть детализацию звонков и смс.

Предлагают и паспортные данные, и сведения о судимости, и даже детальную информацию обо всех передвижениях человека – да, базы железнодорожных и авиабилетов тоже можно найти. Были бы желание и средства.

На фоне этого беспредела исключительно цинично смотрится последняя инициатива отечественного Фонда развития интернет-инициатив (ФРИИ). Как сообщил накануне «Коммерсант», фонд выступил с предложением внести в закон изменения, касающиеся персональных данных.

ФРИИ предлагает разрешить свободную продажу «деперсонализированных» данных пользователей. При этом, представители фонда считают, что такие поправки дадут возможность подзаработать самим гражданам. По утверждению авторов проекта, за продажу собственных данных пользователь сможет получить от 15 до 60 тысяч в год – то есть до 5 тысяч в месяц.

Инициативу эту уже раскритиковали и реальные эксперты, и «диванные». «Коммерсант», к примеру, приводит мнение главы департамента по развитию фонда «Сколково» Сергея Израйлита, который отметил: эта концепция выглядит красиво, но требует законопослушности всех участников сделок.

Согласно концепции фонда, каждый сможет продавать свои данные по собственному желанию разным участникам рынка: банкам или торговым сетям. А если бесконечный поток рекламы и звонков от менеджеров по продажам ему надоест, он сможет потребовать изъятия своих данных из оборота.

Конечно, всё не так просто: чтобы получить свои «до 5 тысяч в месяц», пользователю придётся регистрировать ИП. И уже в это контексте история выглядит весьма сомнительно.

– Ох уж эти фантазёры, ох уж эти сказочники, – отметил в комментариях к новости один из читателей сайта Habr. – Думаю, что 17 копеек – это тоже до 5 тысяч рублей. Так что так и сделаем: 17 копеек достаточно за ваши персональные данные. Мало? Ну, поищите, кто даст больше.

Другие же отмечают, что персональные данные россиян сейчас, к сожалению, и так исключительно легко купить – конечно, не законно. А уж суммы, которые озвучивает ФРИИ, и вовсе из сферы фантастики (и отнюдь не научной).

К чему приведёт свободная продажа личной информации?

Но «деперсонализированные» данные – это всё же не персональные. Разберёмся, что стоит за термином, который предлагает ввести ФРИИ.

– Это означает, что данные отвязаны от определённого физического лица, – объясняет Максим Москалик. – Представители бизнеса не имеют права обрабатывать такие данные без вашего согласия. Однако, в случае принятия этих поправок в закон, если вы где-то дали согласие на обработку своих данных, их смогут свободно продавать, отчисляя вам процент от сделки.

Дойдёт ли до вас этот «процент», и в каком объёме – вопрос отдельный. К чему ещё это может привести?

– С технической точки зрения это ставит под прямую угрозу право человека на неприкосновенность частной жизни, – отмечает наш собеседник. – После принятия подобных поправок станет намного проще и дешевле скупать и хранить данные о пользователях. А это очень упростит анализ и привязку этих данных к конкретному физическому лицу. Даже сейчас люди отправляют в Роспотребнадзор, Роскомнадзор, прокуратуру и Следственный комитет запросы об изъятии из оборота их персональных данных (при домогательствах коллекторов или банков), и этот процесс занимает по 6-8 месяцев.

То есть «деперсонализированные» данные привести к персональным не так уж сложно. Как отметил наш собеседник, не нужно будет кого-то взламывать:

– Достаточно будет просто приобрести несколько пакетов данных и собрать из этого «паззла» настоящие ПД.

А что будет дальше?

– Станет очень сложно отслеживать утечки данных. Это практически снимет ответственность с предприятий в случае таких утечек («Это не мы, нас не ломали, он сам всё продал»), – считает it-инженер. – Утечки данных происходят повсеместно, однако крупные компании очень ответственно относятся к хранению и защите ПД. Постоянно проводятся проверки, осуществляется сертификация для обработки и хранения данных. В случае обнаружения незаконно хранящихся персональных данных возбуждаются уголовные дела.

В случае одобрения инициативы ФРИИ в такой щепетильности, очевидно, уже не будет смысла. И любой гражданин останется абсолютно незащищённым посреди рынка, торгующего его личной информацией направо и налево.