«В девяти из десяти случаев система срабатывает верно»
Для мониторинга интернет-ресурсов на предмет соблюдения требований законодательства о защите персональных данных (ПД) Роскомнадзор использует автоматизированную систему. Благодаря ей проверки проходят без взаимодействия с операторами данных, при этом количество проанализированных сайтов выросло многократно. О том, как работает этот инструмент и почему необходим переход от согласий на обработку ПД к стандартизации работы с данными, «Известиям» рассказал заместитель руководителя Роскомнадзора Милош Вагнер.
Проверять и охранять
– Необходимость усилить контроль за оборотом персональных данных в 2020 году обсуждали президент России Владимир Путин и руководитель Роскомнадзора Андрей Липов. В мае 2021 года было заявлено о начале создания системы мониторинга нарушений в этой сфере. В чем ее основной смысл и как она функционирует?
– Автоматизированная система мониторинга прав субъектов персональных данных в сети Интернет (АС МПДн) предназначена для наблюдения за правомерностью сбора данных на интернет-ресурсах. Реформа контрольно-надзорной деятельности затронула и Роскомнадзор. В 2020 году был введен мораторий на проведение контрольных мероприятий, а затем поставлены задачи перейти к рискориентированному подходу в своей деятельности, снизить степень вмешательства в работу компаний при проведении проверок.
Поэтому основная идея системы — это переход на дистанционный мониторинг интернет-ресурсов. Федеральный закон о государственном контроле и надзоре допускает такой формат проверок без взаимодействия с поднадзорными субъектами.
С помощью АС МПДн мы можем видеть объективную картину соблюдения законодательства в сфере персональных данных, а добропорядочный бизнес работает спокойно, без отвлекающих проверок. Ранее проверки происходили в ручном режиме: сотрудник Роскомнадзора лично анализировал сайт, выявлял признаки нарушений, делал скриншоты, сводил их в специальный файл, распечатывал, подписывал, оформлял результаты и принимал меры реагирования. В год наши сотрудники анализировали вручную около 6 тыс. сайтов по всей России.
Мы решили сократить объем ручного труда во время проверок интернет-ресурсов, увеличить их точность и скорость и, естественно, охват. И нам это удалось. Благодаря применению системы мы сократили трудозатраты на 75–80%, а охват проверяемых ежегодно ресурсов вырос кратно с 6 тыс. в ручном режиме до более чем 50 тыс. в автоматическом.
В 2024 году система выявила признаки нарушения требований законодательства на 77% ресурсов, то есть более чем три четверти интернет-ресурсов работали некорректно. За полгода 2025-го провели уже почти 27 тыс. проверок, признаки нарушения требований законодательства обнаружены в 84% случаев.
Система настроена таким образом, что в проверку попадают в первую очередь ресурсы из тех сфер деятельности, на которые больше всего жалуются граждане нам, в Роскомнадзор, — организации финансового сектора, интернет-магазины, учреждения сферы образования и жилищно-коммунальной отрасли. В случае, когда нарушение требований законодательства несет значительный риск для граждан, мы принимаем меры реагирования. Так, в 2024 году в организации направили около 6,5 тыс. требований о приведении деятельности сайта в соответствие с законодательством, в нынешнем году — уже 8 тыс. требований.
– Насколько алгоритмы способны находить нарушения?
– Точность выявления нарушений в автоматическом режиме в среднем составляет 89%, то есть практически в девяти из десяти случаев система срабатывает верно. В целом для подобных сервисов это достаточно высокий показатель, учитывая, что выявляются семантические данные, а не просто цифры.
Важный момент: АС МПДн способна обнаруживать сервисы, которые продают информацию о гражданах, так называемые сервисы пробива. Благодаря этому инструменту с начала 2025 года Роскомнадзор заблокировал 195 сайтов-зеркал, распространяющих персональные данные россиян, из Telegram удалили 1388 ботов по продаже личных сведений.
– Применяются ли технологии искусственного интеллекта в автоматизированной системе мониторинга?
– Мы тестировали технологии нейросетей, использовали собственные технологические заделы, которые созданы в Главном радиочастотном центре. В тестовом режиме посмотрели на работу нейросетей, оценили их результативность в 60%, что оказалось существенно ниже текущего значения системы в 89%.
Для того чтобы ожидаемая точность анализа повысилась хотя бы для сравнения с действующими в АС МПД алгоритмами, нужно было составить обучающие датасеты по объемам, превосходящим мониторинг всех сайтов, который Роскомнадзор проводил за несколько лет. Такие трудозатраты в условиях необходимости экономии средств мы сочли на этом этапе преждевременными. В целом сейчас мы имеем точность выявления нарушений, которая сегодня нас устраивает. Другими словами, по соотношению «цена/качество» алгоритмы оказались привлекательнее нейросетей.
От согласий к стандартам
– Наблюдая за тем, что происходит на интернет-ресурсах, обрабатывающих персональные данные, к каким выводам приходят в Роскомнадзоре? Есть ли необходимость модернизации института правовых оснований для обработки?
– Основной правовой механизм, который используют операторы данных для получения сведений и для обработки личных данных, — согласие на обработку персональных данных. Изначально этот инструмент задумывался для того, чтобы человек имел возможность управлять своими персональными данными, предоставлять их и таким образом влиять на безопасность личной жизни. Главный наш вывод — сегодня этот механизм безнадежно устарел и нуждается в реформе.
Организации включают в согласия условия, которые с трудом можно назвать обработкой данных в интересах человека. Берут согласие на то, что сведения о нем будут использоваться для таргетинга, повышения качества работы сервисов, передачи другим организациям в целях продвижения товаров и услуг и так далее. Не предоставив такое «согласие», нельзя пользоваться сервисом, хотя сама оказываемая услуга не требует указанных в согласии данных и не зависит от навязываемых согласием сервисов — полное искажение правового смысла и назначения этого инструмента.
Например, в мобильном приложении одного оператора связи предлагают согласиться с условиями сервиса, который должен выступить финансовым помощником. В текст условий «вшито» обязательное согласие на обработку данных сторонним сервисом, которое занимает аж 200 страниц мелким шрифтом. Одним нажатием человек одобряет этот документ, и в этот же момент сведения о нем отправляются кроме самого оператора еще в 50–60 компаний.
Институт правовых оснований должен защищать человека, а не ставить его в зависимое положение. Этот инструмент доцифровой эпохи сегодня превратился в свою абсолютную противоположность — способ помимо воли человека склонить к предоставлению сведений о нем, причем заранее зная, что человек находится в зависимом положении и не может не дать это «согласие», поэтому, полагаем, этот институт необходимо реформировать.
– Вы неоднократно подчеркивали необходимость исключить обработку персональных данных только в силу согласия. Если это произойдет, то нужно ли расширить другие правовые основания, например договор с субъектами ПД? Какой подход, на ваш взгляд, был бы более справедливым?
– Согласие в законе о персональных данных стоит первым в списке из 13 равновеликих оснований и, по всей видимости, ошибочно воспринимается как главное. Однако для компаний неоспоримое преимущество согласия в том, что взять его у человека довольно легко, использование согласия не несет правовых и административных рисков для организации, а в случае отзыва согласия на обработку данных организация без труда приискивает себе иное основание для обработки.
Мы считаем, что согласие на обработку данных можно получать у человека, только если закон прямо предписывает оператору брать такое согласие. В таком случае при разработке и «прохождении» нормативного акта будет гарантирована добровольность предоставления согласия и человек не будет находиться в зависимом положении при предоставлении такого согласия.
Насчет расширения других правовых оснований. Мы только приветствуем введение в деловой оборот практики их применения. Ничего на законодательном уровне делать не требуется. Мы открыты к диалогу и готовы вместе (но не вместо) с компаниями провести анализ их процессов, чтобы перейти от сбора согласий к более зрелому и ответственному поведению по отношению к человеку. С некоторыми организациями мы уже проводим такие консультации и видим ощутимый прогресс на этом пути.
– Компании собирают огромные объемы разнообразной информации, не всегда задумываясь о целях этого сбора. Как, по вашему мнению, нужно выстраивать механизм сбора данных?
– Многие организации собирают данные о человеке, пытаясь одновременно решить множество разнородных задач. Однако далеко не каждая организация имеет в своем штате квалифицированного эксперта по законодательству о персональных данных, может себе позволить провести честный анализ процессов и имплементировать предусмотренные законом принципы работы с такой чувствительной информацией. И уж совсем единицы действительно способны развивать собственные информационные технологии и реализовывать стратегии удержания клиента без прямых контактов с ним. В итоге мы получаем назойливые звонки, бестактные предложения, а иногда и вовсе ощущение, что за нами следят.
Более того, мы стали наблюдать, что режим наибольшего благоприятствования, снижения надзорной активности и числа случаев привлечения к административной ответственности воспринимается некоторыми как зеленый свет в соревновании по самым изощренным способам «надуть» человека, включая самые бессовестные условия сбора данных. Это и 200-страничные согласия, и акцепт договора путем ввода ПИН-кода на банкомате, и резиновые списки контрагентов, которым человек якобы поручает обработку данных, и заранее проставленные «неубираемые» галочки в чекбоксах о согласии, и так далее. В такой ситуации видим необходимость усиления роли государства в определении правил поведения, в установлении границ дозволенного по отношению к простому человеку и его данным.
Необходимо сформулировать четкие инструкции соблюдения принципов обработки персональных данных. Строгие отраслевые стандарты должны определить перечень данных и сроки их обработки, необходимые именно этому бизнесу именно в этой сфере отношений, что позволит исключить при этом необходимость получения согласия человека на их обработку.
Подобные отраслевые стандарты должны разрабатываться профильными ведомствами по направлению деятельности: здравоохранение, образование, финансы, жилищно-коммунальное хозяйство и прочие при согласовании с Роскомнадзором.
Спецоператоры как альтернатива чрезвычайному регулированию
– Сейчас все операторы персональных данных, будь то экосистема с десятками миллионов пользователей или цветочный киоск, формально равны, несмотря на разные возможности в защите информации. Какими вы видите перспективы новой модели организации обработки данных, в том числе с помощью крупных операторов?
– Как правило, компании стремятся собрать как можно больше информации о своих клиентах, но в случае компрометации сведений все их усилия направляются не на помощь человеку, а на то, чтобы увернуться от административной ответственности. Это усугубляет ситуацию, в которой у данных фактически нет хозяина, способного взять на себя ответственность за их обработку и сохранность.
Взломы баз данных и их демонстративное опубликование — часть гибридной войны, которая ведется против России. Нередко это спланированные хакерские атаки, инициированные из-за рубежа. У государства должны быть крупные доверенные партнеры в информационном пространстве, которые способны обеспечить защиту персональных данных людей.
Доверить хранение и обработку значительных объемов персональных данных (от 100 тыс. записей персональных данных) можно только компаниям, действительно подтвердившим способность организовать безопасную обработку персональных данных. К таким компаниям необходимо предъявлять повышенные требования по обеспечению безопасности. Такой оператор должен быть российским юридическим лицом, иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора. У него должно быть финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн рублей. Он должен использовать для обработки персональных данных базы данных только на территории РФ и подтверждать (а не декларировать), что обработка персональных данных граждан осуществляется с учетом требований по обеспечению информационной безопасности.
Менее крупные операторы данных будут получать у таких крупных операторов сервис «под ключ» по работе с данными и их защите, комплаенс с законодательством о персональных данных и практически нулевую вероятность административной ответственности за утечки персональных данных.
Мы считаем, что крупному бизнесу нужно занимать вместе с государством патерналистскую позицию, в том числе и в сфере защиты ПД. Однако это предложение потребует от крупных компаний перестать делать вид, что происходящее с персональными данными в стране — не их забота. Малые и средние организации в таких условиях сосредоточатся исключительно на повышении своей собственной эффективности, не отвлекаясь на ресурсозатратные мероприятия по защите информации.
– Возможно ли технически функционирование таких специализированных операторов?
– Мы задавали этот вопрос специалистам по информационной безопасности, и они подтвердили техническую возможность такого решения. Более того, реализация подобного подхода снижает почти до нуля ценность информации у небольших обработчиков, у которых остаются лишь транзакционные данные, без идентификаторов сведений о человеке.
Концепцию этого подхода мы обсуждали и с уполномоченными органами в сфере безопасности. У них на сегодня есть ряд вопросов, как эту систему выстроить нормативно и организационно. Мы должны признать: количество персональных данных в гражданском обороте не привело к повышению качества большинства сервисов, однако повысило уязвимость наших граждан перед мошенниками. Теперь оборот персональных данных — это вопрос национальной безопасности, вопрос суверенитета государства и общества. Именно поэтому государство будет идти по пути ограничения и дальнейшего контроля того, кому, зачем, как долго, как и какие именно персональный данные его граждан можно обрабатывать. И если в обозримом будущем не появятся крупные спецоператоры персональных данных, то государство вынуждено будет взять эту роль на себя, но уже совсем на других условиях, чем предлагаются сегодня.
– В обстоятельствах, когда от человека практически ежедневно требуют предоставления личной информации, как к этому относиться и как поступать, если не хочешь делиться личными данными?
– Предоставление личной информации — это та цена, которую люди во всем мире вынуждены платить за возможность получения цифровых услуг, за то, чтобы получать их быстро, в «одно касание». Эта «новая нормальность» является прямым результатом интенсивной цифровизации всех отраслей, причем, подчеркиваю, во всем мире.
Именно поэтому недоверие к технологиям, страх и дискомфорт, который человек испытывает от того, что сведения о нем собирают повсюду, — один из самых серьезных вызовов для тех, кто создает цифровые технологии и услуги, призванные улучшить нашу жизнь и развивать наше общество.
Простых рекомендаций для человека тут не может быть. Если вы не готовы делиться сведениями для получения услуги, то придется отказаться от такой услуги. Но если ценность сервиса для вас значительная, то надо для себя определить, что важнее — конфиденциальность или сервис в «один клик». В любом случае лучше воздержаться от принятия решений под давлением, в сжатые сроки, если находитесь в нехарактерном для вас эмоциональном состоянии. Однако, если в какой-то конкретной жизненной ситуации у вас возникло ощущение, что кто-то нарушает конфиденциальность ваших данных или незаконно требует предоставления личных сведений, можете обратиться к нам, в Роскомнадзор.
В случае же, если жизненная ситуация складывается таким образом, что вы стали жертвой мошенников, если организация злоупотребляет правом сильного в рамках гражданско-правовых отношений или необходимо в суде отстаивать свое право на неприкосновенность частной жизни, можно обратиться в Центр правовой помощи гражданам в цифровой среде, который создан по инициативе Роскомнадзора. Помощь досудебная и в судебном порядке абсолютно бесплатна.
С момента создания центра в сентябре 2021 года такую помощь получили уже более 17 тыс. человек. У этой структуры есть филиалы в Москве, а также в Северо-Западном, Приволжском и Сибирском федеральных округах, однако помощь получить могут жители любого региона — от Калининграда до Камчатки.
