Не только банки: какие данные белорусов будут собирать и зачем?
Что изменится в законе Беларуси «О защите персональных данных», стоит ли бояться ИИ и мошенников, которые могут украсть сведения о нас, как соблюсти несовпадающие интересы субъектов экономики, собирающих персональные данные, обсуждали на конференции в Минске.
Первая встреча, в которой приняли участие юристы компаний различных форм собственности, представители госогранов, консалтинговых компаний, специалистов по защите персональных данных и экспертов в сфере цифрового регулирования была организована Отделением специалистов по защите персональных данных общественного объединения «Белорусский республиканский союз юристов» при поддержке юридической фирмы Anischenko Laptev и компании «Дженерал лизинг».
Конференция «Персональные данные – 2026: вектор правоприменительной практики и контуры изменений регулирования» прошла за несколько месяцев до принятия новой редакции закона «О защите персональных данных». Напомним, что действует он уже более 5 лет, и был принят 7 мая 2021 года.
Регулирования требует не только ИИ
Об изменениях в нем и дальнейших планах регулирования, в том числе касающихся применения ИИ, рассказала начальник управления методологии защиты персональных данных Национального центра защиты персональных данных (НЦЗПД) Ирина Пырко.
По ее словам, внося изменения в документ, центр не нашел решения, удовлетворившего всех.
«Если взглянуть на планы государства, программные документы до 2030 года, то во всех сквозной темой проходит цифровизация, и в частности развитие искусственного интеллекта. Основная задача, которую мы видим при изменении закона «О защите персональных данных» – не навредить», – отметила Пырко.
По ее словам, пройден первый круг согласований, в августе проект будет внесен в Совмин, а в ноябре принят. При этом НЦЗПД отталкивался от сложившейся практики, стараясь уменьшить администрирование.
«Актуальные вопросы, которые встали перед нами – это видеонаблюдение, аудиозапись, аудиомониторинг и применение новых технологий, автоматизированная обработка персональных данных. Это самая актуальная, наверное, сегодня проблема», – заявила эксперт.
Резонные опасения граждан
По словам Пырко, граждане, безусловно, не хотят, чтобы внедрение в приватную жизнь (видео и аудиозапись на работе, в банках, раздевалках, туалетах и других общественных местах) было столь серьезным, и чтобы оно было открыто, предсказуемо и прозрачно. Даже когда есть на то правовые основания.
«Тематика защиты персональных данных это один из самых сложных вопросов в контексте законов. Мы так и не нашли какого-то идеального варианта решения, чтобы отхватить интересы всех. И поняли, что сколько мы не пытались решить эти вопросы, погасив пожар в таких наиболее значимых местах (колцентрах, отделениях приема, где происходят непосредственные прямые контакты с клиентами), крайне сложно сегодня найти какую-то общую формулу», – рассказала представитель НЦЗПД.
Для регуляторики только вопросов, связанных с аудиозаписью, в центре по защите персональных данных насчитали десятки оснований.
Они требуют огромной подробной инструкции, описывающей каждый из них. При этом общие вопросы, по словам Ирины Пырко, будут сняты.
С россиянами нам не по пути
Из списка персональных данных исключили сведения о членстве в профсоюзах, которых в стране более 4 млн. А вот подходы к согласию на использование персональных данных не претерпели серьезных изменений, глобального упрощения нет.
«Мы не хотели идти на глобальное изменение подходов, и делать как в РФ, наступать на те же грабли, где согласие стало формальной бумажкой. И где руководство Роскомнадзора на протяжении трех последних лет совершенно открыто говорит о том, что с согласием нужно что-то делать, потому что закон о персональных данных превратился исключительно в получение бумажки на согласие», – пояснила Пырко.
Новости не останутся без иллюстраций
Коснулась она и темы предоставления персональных данных без согласия, отметив, что различные госорганы активно пытаются расширить перечень.
«Держим оборону, тяжело, признаюсь откровенно, с каждым госорганом спорить, и доказывать, что не надо расширять шестую статью», – рассказала она.
Эксперт отметила, что по-прежнему разрешено распространение фото в интернете с изображением граждан госорганизациями в рамках новостных сюжетов, коснулась тем трансграничной передачи данных, взаимодействия операторов и уполномоченных лиц, иностранных компаний, сооператорства, пока не регулируемого законом, прав субъектов персональных данных (тут центр стал на сторону организаций). И перешла к главному, что, по ее словам, волнует в том числе и бизнес – обязательным мерам по обеспечению защиты персональных данных.
Кто и как будет защищать данные у МСБ, концернов и холдингов
«Сегодня у нас одна норма – просто назначить лицо, ответственное за внутренний контроль, или структурное подразделение. Хотим предложить три варианта для того, чтобы сбалансировать интересы крупного бизнеса, мелких организаций частного бизнеса. И при этом все-таки не нарушить активного движения вперед и не утратить того доверия, которое граждане за последние пять лет оказали. Поверив в то, что их данные можно защищать», – заявила представитель Национального центра защиты персональных данных.
Первый вариант (для малого бизнеса) – это аутсорсинг, второй (для крупных компаний, крупные организации, которые обрабатывают значительное количество персональных данных, более 100 тысяч) – штатный специалист/подразделение по защите данных, третий (для холдингов) – передача полномочий DPO управляющей компании.
В заключение Ирина Пырко отметила, что удовлетворить пожелания всех заинтересованных сторон и привести все статьи нового закона к одному знаменателю не получилось, так как у тех же банков и ритейла слишком разнятся подходы и интересы.
«Поэтому предлагаем идти по отраслевому принципу. Что касается защиты прав граждан, то МАРТ подтвердил, что эти подходы будут отражены в новом законе «О защите прав потребителей». Думаю, удовлетворяющие всех решения будут найдены, это касается и других сфер – здравоохранения и образования», – заявила Пырко.
ИИ должен стать контролируемой реальностью
Участники круглого стола на второй панели обсудили искусственный интеллект и автоматизированное принятие решений, новые возможности и правовые ограничения, связанные с ИИ и персональными данными.
По словам Ирины Пырко, статья в новом законе, касающаяся ИИ, по сравнению с первоначальным вариантом значительно уменьшилась в размерах.
«Первое, что хотим закрепить, это принцип прозрачности: чтобы граждане знали, что используются соответствующие технологии. Второе – либо согласие, либо законодательство, третьего не дано. Хотелось бы, чтобы граждане смогли влиять на процесс автоматизированной обработки персональных данных. Потому что зачастую им, во-первых, не говорят об этом, во-вторых, они не понимают, и, в-третьих, зачастую сами операторы не понимают, как эти решения принимаются», – обрисовала ситуацию эксперт.
Регулировать эти процессы непросто, так как пока нет даже самого определения технологии искусственного интеллекта, да и подходы государства к этому не определены. Возможно терминология и правовые аспекты будут регламентированы модельным законом в странах СНГ, который «оттолкнется» от принятого в Казахстане.
Myfin.by поинтересовался у двух участниц конференции, DPO ООО «Дженерал лизинг» Анны Стрельчик и менеджера по защите персональных данных ООО «А-Лизинг» Галины Кучинской, экспертным видением дальнейшего развития регулирования в сфере защиты персональных данных и искусственного интеллекта.
Как пояснила Галина Кучинская, сегодня накопилось такое количество определений и технических процессов, связанных с обработкой персональных данных и ИИ, что за этим не успевает законодательство. И не только белорусское.
«Но в любом случае все это будет внедряться и в бизнес, и в нашу повседневную жизнь. К этому нужно быть готовым, это нужно научиться регулировать, это должна быть какая–то контролируемая реальность», – пояснила она.
Эксперт добавила, что это позволит быть уверенными, что наши данные не утекут, не будут где-то бесконтрольно анализироваться абсолютно сторонними сервисами, куда мы их не собирались отдавать.
Собирать данные будут все
Анна Стрельчик подчеркнула, что отсутствие излишней императивности даже в обновленной редакции закона не следует воспринимать как недостаток. Закон задает общие правила игры и направление развития, оставляя пространство для отраслевой конкретики и правоприменительной практики.
«Закон не обязан регулировать каждую деталь – он задает направление. И это не недостаток, а осознанный выбор. Естественно, пытаться учесть интересы всех субъектов хозяйствования и всех отраслей в одном законе – задача амбициозная. Хорошо, если в двухтомник поместимся. А по факту есть отраслевое законодательство: для банков, для лизинга, для ритейла, для жилищной сферы. И именно там, на уровне отраслевых актов, можно и нужно закреплять нюансы», – считает представитель «Дженерал лизинг».
Если бизнесу в конкретной сфере необходимо использовать системы с автоматизированным принятием решений, то урегулировать этот вопрос должен именно отраслевой регулятор – через принятие соответствующих подзаконных актов. Задача участников рынка – осознавать свои риски и инициировать необходимость такого регулирования.
«Перечень персональных данных в законе не закрепляется. И это оправданно: ни вчера, ни сегодня, ни завтра невозможно точно предсказать, какая информация будет относиться к персональным данным. Появляются новые идентификаторы, развиваются технологии – и то, что ещё вчера не считалось персональными данными, завтра может ими стать», – резюмировала Анна Стрельчик.
Она также отметила важность сохранности персональных данных, собираемых банками, ритейлом и другими организациями в большом объеме. Потому как мошенникам куда проще получать уже структурированные массивы информации.
«Мошенники могут найти все это в интернете, но придется искать данные каждого отдельного человека, чтобы собрать такую базу. А у ритейла, с его базой участников программы лояльности, либо у банка, по зарплатным проектам, расчетными счетами, данные собраны в большой пул, они систематизированы, обработаны, в понятном и доступном виде. И такие базы интересны злоумышленникам», – пояснила представитель «Дженерал лизинг».
Банки будут знать о нас больше. Для безопасности
Главная причина того, что граждане с большой подозрительностью относятся к сохранности своих персональных данных – угрозы, исходящие от мошенников.
В отличие от РФ в Беларуси эта проблема не стала такой острой, потому как банки и другие организации, собирающие большие массивы персональных денных, соблюдают большинство правил безопасности, обеспечивая высокую степени защиты персональных данных.
«Что касается «цифрового следа», то стандарты рождалась долго, тяжело, со страданиями. Наверно, уже года три, как они ходили в качестве рекомендательных писем от Национального банка, потому что число мошенничеств, связанных с персональными данными, растет во всем мире», – пояснила Галина Кучинская.
По ее словам, использование фишинговых ссылок, подбор паролей стали распространенной практикой. Поэтому Национальный банк, следственные органы аккумулировали информацию и постепенно вырабатывали стандарты банковской деятельности, в том числе для мобильного банка.
«Банки, пусть не глобальным способом, но внедряли такого рода контроль, и сейчас, с 1 июля, это становится обязательным требованием. Цифровой след в себе будет содержать не только геолокацию. Это будет и модель телефона, и программное обеспечение на нем, те ресурсы, с помощью которых вы входите. То есть это может быть компьютер, мобильный телефон, планшет. И все данные по этим устройствам будут постепенно в банке тоже накапливаться. Даже способ нажатия на клавиши», – отметила эксперт.