Захистити цифрову нафту. Чому держави намагаються будувати кордони довкола даних
Про цінність персональних даних та не тільки написані сотні статей. Урешті на них звернули увагу й держави. Вони намагаються регулювати їхню обробку, використання та передачу, особливо на територію країн, що можуть загрожувати національній безпеці. Журналістка Надія Баловсяк розповідає, чому держави намагаються будувати кордони довкола даних. А ще пояснює, як з цим справи в України.
Як країни боялися «Яндекса» та ФСБ, але передумали
Сервіс таксі «Яндекс Go» (зазвичай, користується назвами Yango і Yandex Go) працює в понад 20 країнах світу. На початку серпня Фінляндія, Норвегія та Молдова анонсували заборону передавати в росію персональні дані клієнтів «Яндекс Go». Молдова взагалі запропонувала заборонити агрегаторам таксі поширювати дані про поїздки за межі ЄС.
Причина такої реакції — новина, що з вересня 2023 року російська фсб отримає доступ до даних клієнтів «Яндекс.Такси» у всіх країнах, у яких працює сервіс. Це стало результатом недавно ухваленою в росії постанови, яка долучила агрегаторів таксі до реєстру компаній, що займаються поширенням інформації.
Тож тепер вони повинні забезпечити цілодобовий доступ до своїх баз даних російській спецслужбі. Наприклад, з іменами користувачів, їхніми телефонними номерами, банківською інформацією, коментарями та адресами поїздок.
У норвезькому регуляторі прямо заявили про серйозний ризик для конфіденційності. російська влада потенційно могла б відстежувати переміщення громадян через сервіс таксі.
Однак усе ж таки «Яндекс Go» не почали масово блокувати.
Фінляндія скасувала заборону на передачу даних своїх громадян сервісу. Регулятор пояснив, що за новою інформацією, російське законодавство не стосуватиметься «Яндекс». Адже його міжнародний бізнес начебто знаходиться поза юрисдикцією росії. Сама ж компанія нібито обробляє дані в суворій відповідності до Загального регламенту про захист даних (GDPR) і законодавства ЄС.
Норвегія ж узагалі не видала офіційного наказу про заборону й вирішила утриматися від цього кроку.
Історія з потенційним доступом російських спецслужб до даних, які збирає «Яндекс», зачепила й Казахстан.
На початку серпня 2023 року в країні було призупинено роботу місцевого доменного імені «Яндекса» — yandex.kz. Причина — інтернет-ресурс розмістився на апаратно-програмних комплексах поза територією Казахстану
Міністерство цифровізації, інновацій та аерокосмічної промисловості Казахстану звернулося до компанії із вимогою пояснити, де саме фізично розміщені центри обробки даних, які працюють із казахстанським доменом «Яндексу». Їх також цікавило, яким чином захищені дані громадян країни. А ще — спосіб взаємодії з правоохоронними та спецcлужбами.
«Яндекс» знову запевнив, що законодавство росії не поширюється на сервіс у Казахстані та на його користувачів. Також компанія погодилася на перенесення серверів до Казахстану.
Імовірно, підвищений інтерес до «Яндекса» та його дочірніх структур пов’язаний із витоком вихідного коду продуктів компанії. Він показав, що вони збирають величезну кількість даних про користувачів. Оскільки російські спецслужби мають явний інтерес до такої інформації, це змушує держави непокоїтись щодо безпеки громадян.
Водночас незрозуміло, чому країни повірили запевненням «Яндекса». Видання Meduza з посиланням на переписку всередині російської компанії повідомляло, що дані Yandex Go і Yango зберігаються в росії. Керівництво навіть просило співробітників у розмовах із клієнтами уникати згадок про нинішнє місцеперебування дата-центрів.
Не лише «Яндекс»
Історія з «Яндексом» — гарний приклад, але не єдиний. Зокрема, пригадаймо претензії уряду США до відеосервісу TikTok. Погрози блокуванням, численні новини про потенційний продаж активів в США, які закінчилися нічим. 2022-го TikTok взялися забороняти на урядових пристроях.
Високопосадовці США переймаються тим, що застосунок від китайської ByteDance має доступ до чутливої інформації про громадян та здатен використати її в інтересах Китаю.
Ці підозри підтвердилися у жовтні 2022 року. Розслідування показали, що співробітники китайської компанії могли стежити за деякими американцями.
Наразі не тільки США, але й окремі держави продовжують блокувати TikTok на урядових пристроях. Таким чином вони встановлюють цифрові кордони для цього застосунку та обмежують дані, які йому передають користувачі. Водночас у США заходи можуть стати ще жорсткішими й призвести до повного блокування застосунку. Наприклад, у травні 2023-го TikTok заборонили на всій території штату Монтана.
Індія також веде тривалу дата-війну проти Китаю. Лише 2020-го вона заблокувала понад 200 китайських застосунків, включно з TikTok. Основною причиною вказували загрозу національній безпеці. Серед аргументів такого рішення, зокрема, називали збір чутливих даних користувачів та розміщення їх на серверах, що фізично розташовані у ворожій для Індії країні.
Визначити кордони
Спроби захистити дані своїх громадян від безконтрольного доступу до них онлайн-сервісів та іноземних спецслужб тривають давно. Історія з TikTok чи «Яндексом» — лише частина тривалого тренду.
Одним із проявів усвідомлення цінності даних стала поява спеціальних законів про локалізацію даних, що регламентують розміщення та доступ до них. Вони містять вимоги щодо того, хто може отримати доступ до такої інформації та компаній, що працюють з нею.
Такі закони можуть передбачати й правила щодо фізичного розміщення даних чи інфраструктури компаній, які працюють з ними. Наприклад, вимагати розміщення серверів виключно на території країни.
Подібне вибудовування цифрових кордонів вимагає змін в роботі компаній (наприклад, фізичне розміщення дата-центрів на території країни). Також воно може обмежити доступ на ринок окремих бізнесів, які не відповідають цим вимогам. Наприклад, щодо локації їхніх дата-центрів.
Цікаво, що закони щодо локалізації даних діють у росії. Мова про акти, відомі як «Закони Ярової». Серед їхніх вимог — збереження інтернет-трафіку протягом шести місяців та надання спецслужбам за їхнім запитом даних про користувачів.
Окремо варто згадати законодавчі акти Євросоюзу — Загальний регламент по захисту даних (GDPR) та угоду Data Privacy Framework (DPF). Перший документ визначає порядок роботи з персональними даними громадян ЄС. Другий регулює обмін ними між ЄС та США.
Як справи в Україні
В Україні наразі немає законодавчих обмежень (окрім закону про захист персональних даних), які стосуються доступу до даних українських користувачів, їхньої обробки та використання. В умовах війни ця ситуація є особливо небезпечною. Проблему поглиблює ще й байдуже ставлення громадян до цього питання.
Зокрема, українці користуються російськими застосунками, які мають доступ до чутливої інформації.
Або Telegram-ботом для знайомств «Дайвінчик», який є російським проєктом. Варто зазначити, що й до самого Telegram також є багато питань. У нещодавньому матеріалі Vector пояснювалося, що в сервіс має тісні зв’язки з рф, включно з інвесторами, підрядниками, походженням команди та контактами топменеджменту з підсанкційними високопосадовцями.
Також наразі ми не знаємо, де зберігаються та обробляються дані українських користувачів Telegram. Наприклад, чи має месенджер сервери в росії (згідно з заявами Дурова — ні).
У медіапросторі час від часу виникають розмови про регулювання Telegram. Проте без загальних правил щодо використання даних українців подібні дискусії чи починання — доволі сумнівна справа. Тож нам залишається чекати відповідних кроків від уряду та законодавців. Ігнорування проблеми в цьому випадку означає все більше зростання ризиків для життя громадян та безпеки країни.