В ближайшие пару лет в России появится «Цифровой кодекс прав человека», который будет регулировать их соблюдение в условиях развития информационных технологий. RTVI поговорил с IT-специалистом, членом Совета по правам человека (СПЧ) при президенте России Игорем Ашмановым о том, какие риски несет дальнейшая цифровизация, как бороться с утечками персональных данных на законодательном уровне и кого за этом привлекать к ответственности.
Ашманов является главным идеологом инициативы «Цифрового кодекса». Он возглавляет группу по разработке концепции этого документа. Исследование НИУ ВШЭ показало, что 57% россиян опасаются нарушения своих прав в цифровом пространстве. В СПЧ также отмечают резкий рост количества киберпреступлений, большинство из которых остается нераскрытыми. Речь идет и о мошенничестве, и об утечке персональных данных, и об кибербуллинге, а также множестве других преступлений. В СПЧ намерены внести поправки в законы, которые позволят привлечь виновных к ответственности.
На каком этапе сейчас находится разработка цифрового кодекса?
Год назад на встрече президента с СПЧ мы представили доклад о защите прав граждан в цифровой среде. В январе 2021 года Владимир Путин поручил нам разработать проект Концепции по обеспечению прав человека в цифровом пространстве и дорожную карту к ней. Мы создали рабочую группу, в которую вошли члены Совета по правам человека, представители разных ведомств, РКН, правительства, родительских ассоциаций, юристы, работающие с западными платформами. Текст проекта уже в августе отправили на согласование с другими ведомствами — в правительство, АП, ФСБ и Совет Безопасности. Сейчас у нас на руках есть положительные отзывы почти отовсюду, замечания были только косметические. Мы попытаемся создать единый цифровой кодекс, но, по моим, возможно, несколько наивным оценкам, это займет еще около полутора лет.
За последние пять лет киберпреступность в стране выросла в 25 раз. Как новое цифровое законодательство будет бороться с ней?
Цифровизация несет риски не только в виде криминала и мошенничества. Надо понимать, что основная проблема в цифровой коррупции, которая порождает мошенничество. Чтобы позвонить гражданину на мобильный телефон, назвать его по ФИО, предложить ему что-то сделать с банковским счетом, нужно откуда-то получить эти персональные данные. Мошенники не занимаются взломом баз данных, они просто идут в даркнет. Там на форумах размещаются заявки на поиск записей по конкретным параметрам. Например, на всех клиентов такого-то банка, такого-то города, у которых не меньше 100-200 тысяч рублей на счету. И рано или поздно такой сотрудник банка находится, и они образуют преступную группу. Один крадет данные на работе, пользуясь правами доступа, а другой веером рассылает письма, звонит.
Мошенникам приходится обращаться к десяткам тысяч людей, что усложняет работу. Но кто-то обязательно окажется достаточно наивным, чтобы эта социотехника или, проще говоря, «разводка» сработала. Только в 2021 году в России телефонные мошенники украли 45 млрд рублей. Представьте себе, злоумышленники позвонили практически каждому, кто имеет телефон, а иногда и по несколько раз. Миллиард звонков! Но права россиян нарушаются не только кибермошенниками. Мы не говорим о каких-то «особенных» правах, это обычные гражданские права, которые в цифровой среде нарушаются с особым цинизмом и задором.
В России сейчас активно внедряются умные системы видеонаблюдения с функцией распознавания лица и силуэта. Искусственный интеллект может установить личность человека даже в защитной маске на пол-лица, но погрешность все-таки существует. Стоит ли так рьяно доверять технологиям в вопросах, которые касаются прав граждан?
Режиссера Федора Ермошина недавно оперативники схватили, наваляли ему, сунули в «бобик», отвезли в участок, потому что система распознавания лиц распознала его с точностью в 70% как мошенника, вора игровых приставок. То, что у него был с собой паспорт, никак не повлияло на ситуацию. Оперативники так верили в искусственный интеллект, что даже не озаботились проверкой документов.
За несколько дней до этого в Петербурге полицейские при схожих обстоятельствах задержали солиста Мариинского театра Виктора Коротича. Конечно, так не должно быть, но с такой проблемой сейчас сталкиваются все цифровизированные страны. Это все риски, не связанные с мошенничеством, но о которых тоже нужно говорить.
Дискриминация, исходящая от частных компаний, это еще одна проблема. Знаю на примере из жизни: человек заполнял два часа анкету на сайте, чтобы получить кредит в одном из крупных банков, нажал кнопку «отправить», через 45 секунд пришел отказ. Понятно, что принял решение искусственный интеллект, человек бы не успел так быстро ознакомиться с информацией. Заново получить он кредит в этой организации не может, появилась запись об отказе в БКИ (Бюро кредитных историй — прим. RTVI), а значит, системы других банков теперь смогут использовать это при вынесении своего решения — часто также отрицательного. Эта цепочка начинает загонять человека на дно.
В концепции мы прописываем социальную ответственность бизнеса, который должен добровольно брать ее на себя. В октябре был подписан первый кодекс этики в сфере искусственного интеллекта. Этот документ — хороший пример отраслевого соглашения не по закону, а по совести. В жизни есть довольно много вещей, которых делать нельзя, но закон этого не запрещает. Можно быть подлецом, это не запрещено. Когда отрасль вводит такой меморандум, они говорят таким образом, что подлецом быть нельзя.
Сейчас многие люди видят угрозу в обязательном введении QR-кодов на территории страны. Они считают, что власти используют коронавирус как предлог, чтобы быстрее ввести в работу системы по контролю и надзору за гражданами. Штрихкод в их представлении — первый шаг на пути к цифровому ГУЛАГу и китайской системе социального рейтинга. Может ли вообще такое произойти в России? Или у нас траектория политических решений иная?
Если мы будем и дальше бездумно цифровизироваться, это произойдет и у нас. Когда мы опубликовали наш документ, с нами стали публично дискутировать какие-то люди. У них, как правило, одинаковые аргументы — мол, нельзя останавливать широкую поступь цифровизации, а наша концепция прав граждан противоречит сложившейся практике. На мой взгляд, это означает следующее: «Мы уже грубо нарушаем права граждан, и это нормально».
Второй довод — если сейчас цифровизацию ограничить, то мы отстанем, технологии не будут развиваться. Идея, что нам надо торопиться, «хватай мешки, вокзал отходит» — это стандартный, но лукавый и довольно фальшивый аргумент всех цифровизаторов. Как разработчик искусственного интеллекта, могу с уверенностью сказать, что тотальная слежка и цифровые рейтинги граждан не имеют ничего общего с развитием технологий. Мы видим, что в этот цифровой концлагерь идут китайцы, у которых всем заправляет государство. Как ни странно, туда же идут США, но вместо государства там эту роль будут играть крупные IT-корпорации. Мы точно не можем туда опоздать, нам туда просто не надо.
Конечно, при нынешней Конституции социальный рейтинг в России невозможен. Представим, что за положительный рейтинг будут давать какие-то социальные преимущества, как в Китае, а за низкий наоборот — наказывать. Это неправовая ситуация, потому что по Конституции все равны. Угадайте, какой будет социальный рейтинг у его разработчика? Возникнет многослойная цифровая коррупция. Все эти технологии создают прекрасную платформу для этого.
Если вспомнить, как развивалось автомобильное движение, то первые двадцать лет все гоняли как хотели, давили кур и людей, пугали лошадей, а потом все страны мира сообразили, что нужны правила. Это не замедлило развитие технологий, а дало толчок.
Какие риски возрастают при высоком уровне цифровизации?
Происходит так называемая «уберизация» экономики — замена посредников цифровой площадкой. У нас в стране около миллиона таксистов, но они не наемные служащие, они не обеспечены социальными гарантиями. Не вышел на смену — не получил зарплату. При этом, условно, «Яндекс» не хочет становиться их официальным работодателем и брать за них ответственность.
На горизонте уже маячат беспилотники, разработкой которых «Яндекс» также занимается. Компания обещает, что будет переучивать таксистов на программистов. Но это же ерунда! Кого-то научить можно, но основная часть все равно останется без работы. Любые глобальные проекты должны продумывать минимизацию таких социальных рисков, и это должно стать стандартной практикой.
Еще одна важная проблема — утечка персональных данных. В даркнете выставляли на продажу даже сведения о перелетах сотрудников ФСБ. Кто отвечает за хранение и безопасность этих данных?
Недавно стало известно, что к концу 2022 года в России три региона введут электронные паспорта: Москва, Московская область и Татарстан. Население не спросили, правозащитников не спросили. Перед этим государство допустило на предыдущем витке цифровизации кражу всех персональных данных граждан, которая впоследствии и привела к этому «цунами» кибермошенничества.
Нам говорят, что цифровой паспорт будет защищен. Я, как разработчик могу сказать, что это вранье. Недавно упал фейсбук. Если посмотреть статистику, мы увидим, что он падал почти ежемесячно, то на несколько минут, то на несколько часов. Если Facebook (теперь компания называется Meta – прим. RTVI), самая крупная IT-компания мира, с тремя миллиардами пользователей и десятками тысяч лучших программистов не может обеспечить бесперебойную работу, то с чего мы должны верить, что ее обеспечит российская госструктура, которая вводит электронный паспорт?
Сбои будут множиться. Существует закон возрастания сложности в любой области человеческой деятельности: в цифровой среде задействованы миллионы людей, поэтому она постоянно усложняется. По российскому законодательству данные можно собирать только под конкретную задачу, но мой знакомый, который опробовал технологию оплаты проезда в метро через Face Pay, рассказал, что на следующий день после того, как он сдал биометрию, ему пришел штраф за отсутствие защитной маски в общественном транспорте. Камеры в подземке его распознали и идентифицировали как нарушителя. Получилось, что собирали данные для одной цели, а использовали для другой.
Для того чтобы граждане доверяли этой системе, нужно чтобы процедура была полностью прозрачной. Сейчас доступ к данным имеют какие-то цифровые клерки, которые подписывали в лучшем случае соглашение о неразглашении со своим работодателем. У РКН нет инструментального контроля над потоком данных, органа внешней экспертизы по таким делам в России тоже нет. Как только он появится, это будет сигналом для отрасли.
Средства защиты приватности везде в мире одинаковые, а вот средства защиты от продажи персональных данных зависят от правовой культуры той или иной страны. Уязвимость у нас не техническая, а человеческая. Как с ней бороться?
Нужны показательные процессы против тех, кто продает базы данных. Чтобы человек взвешивал риски и понимал, что может понести серьезное наказание. Сейчас информацию воруют повсеместно, никто ничего не боится: и в МТС, и в мэрии, и в Сбере. За утечки не наказывают, не привлекают к ответственности менеджмент компании. Я о таких случаях не слышал.
Прошлой осенью в даркнет утекли персональные данные 300 тысяч жителей Москвы, переболевших коронавирусной инфекцией. В мэрии говорили, что сведения не хранят, но слив показал, что они не были удалены. Так как я сам работал с Big Data, я знаю, что ни один разработчик никогда никакие данные не удалит. Очень наивно думать иначе.
Никто за это по закону не ответил. Как только это станет преступлением, за которое могут привлечь к уголовной ответственности, ситуация изменится. Как минимум, подорожают базы. Сейчас, к примеру, информацию с камер, подключенных к системе «Безопасный город», можно купить всего за 10-15 тысяч рублей. Это не стоимость эксклюзивной услуги, сопряженной с риском.
Моя жена, Наталья Касперская, владеет компанией InfoWatch, которая производит ПО, защищающее корпорации от сливов конфиденциальной информации. По ее оценкам, 80-90% утечек в России происходит из-за инсайдеров. Поскольку в США находится половина юристов мира, и все очень любят судиться друг с другом, там очень удобно ответственность за сливы перекладывать на внешние силы, рассказывать, что злые хакеры, взломали сеть и выкачали всю нужную информацию.
Если признать, что утечка произошла по вине инсайдеров, то компания может просто утонуть в исках от граждан. Я уверен, что там ситуация и статистика плюс-минус такие же. Более того, крупный бизнес инсайдеров всегда покрывает, из-за чего те чувствуют себя более защищенными. Никто не хочет ставить под удар руководство компании, которое могут уволить из-за слива базы.
Недавно в России впервые назначили Meta и Google оборотный штраф за неудаление запрещенного контента. На какие шаги готовы пойти власти, если штрафами не удастся урегулировать проблему? Может ли дойти до полной блокировки?
Я думаю, что даже такой сценарий вполне возможен. Замедление твиттера все-таки возымело определенный эффект. До этого российские власти не могли достучаться до представителей соцсети, а после этого диалог начался. У нас начала работать система фильтрации трафика, которая может замедлять его или блокировать. Это сложный процесс, конечно, не все можно с одинаковым успехом заблокировать, но и этих мер хватает.
По моему мнению, финансовые потоки от продаж в России у западных платформ до сих пор находятся в серой зоне. У многих из них нет представительства в России, а те у кого есть, всегда пытаются снять с себя ответственность, перекинув ее на головной офис. Закон о приземлении, обязывающий зарубежные компании открывать свои официальные представительства в России, тоже скоро заработает. Есть еще инициатива, которая устанавливает для компании уполномоченный банк, через который она должна будет проводить все транзакции. Это позволит просто списывать деньги со счета в оплату штрафа.
Как вы думаете, могут ли Россию действительно отключить от мировой сети или это просто «пугалка»? Кому и зачем это нужно?
Отключить Россию от Сети действительно могут. Интернет у нас в стране, впрочем как и везде, находится все еще в руках США. Это касается корневых серверов, маршрутизации интернет-трафика, сертификации шифрования, на которой базируется доступ к любым сервисам, у которых есть логин и пароль. В России эту инфраструктуру только строят. В девяностые произошла «цифровая колонизация» нашей страны, весь рынок был захвачен иностранными продуктами и товарами, с которыми сложно конкурировать до сих пор. В США все это начало развиваться раньше, поэтому у них есть фора в несколько десятков лет. Думаю, что мы сможем наверстать, но понадобится долгое время.
Беседовала Дарья Баева