Начало 2000-х годов принесло на постсоветское пространство бум так называемых реалити-шоу. Когда в октябре 2001-го три российских канала начали транслировать проект «За стеклом», большинство стран СНГ буквально стояло на ушах. В головах людей не укладывалось: как можно так откровенно и бесстыдно вынести на обозрение многомиллионной аудитории свой быт и интимную жизнь, выбрав добровольное затворничество перед телекамерами?

И хотя с тех пор ажиотаж, раздутый вокруг подобных проектов, улегся, по иронии судьбы почти каждый из нас уже давно живет в своем небольшом мире «за стеклом». Этот выбор мы делаем сами, регистрируя свои данные в Сети, заполняя различные формы в магазинах, наконец, открывая счета в банках, оформляя кредиты. Мы, пользуясь бытовыми благами и услугами, открываем доступ к огромному массиву информации и персональных данных, давая кому попало право ими распоряжаться.

И хорошо, если такая опрометчивость обернется надоедливой рекламой, приходящей в виде спама по sms и на электронную почту, а не оформленной на ничего не подозревающего человека фиктивной фирмой-однодневкой или, чего хуже, переписанным в один момент на неизвестных лиц имуществом.

Сам себе компромат

— Почему вы при заполнении заявки не указали данные об уже погашенных займах? Это вообще-то одно из условий успешного оформления нового кредита, — сверкнув глазами, спросила консультант банка в безупречной белой блузке, которая придавала ей грозность школьной учительницы.

— Пытался вспомнить все свои прошлые «грехи», но, увы, у меня это не получилось, — пытался отшутиться редактор «Эксперта», уже начиная жалеть о том, что поддался распродажной истерии и решил побаловать себя новым ноутбуком, взяв его в кредит.

«Ладно, подождите, сейчас попробуем проверить по базе», — снисходительно вздохнула собеседница, сосредоточенно уткнувшись в монитор компьютера. В итоге спустя десять минут девушка выдала целый поток информации. «За последние пять лет вы брали кредит трижды. Первый был оформлен в 2006 году, который вы погасили в середине 2007-го. В начале 2008 года вы взяли еще один заем на покупку мобильного телефона, погасив его с двумя просрочками. И третий кредит, оформленный летом 2012-го на планшет, вы закрыли досрочно зимой прошлого года. Кстати, сейчас у вас минусовый баланс по кредитной карте нашего банка. Пожалуйста, не забудьте оплатить задолженность до конца месяца, иначе на нее начнет капать пеня».

И увидев нескрываемое удивление на моем лице, сотрудница банка поспешила добавить: «Не переживайте, никакой секретной информации здесь нет. Все эти данные находятся в базе нашего бюро кредитных историй. Можете сами удостовериться».

Система бюро кредитных историй функционирует в Украине уже десять лет, абсорбируя в себя данные о заемщиках. Но если на первых этапах туда попадала очень незначительная часть кредитов (в основном это были кэш-займы), то в последние годы банки, столкнувшись со шквалом невозвратов, занялись тщательным сбором информации о клиентах, стараясь защититься от неблагонадежных заемщиков.

Сейчас в Украине работают семь кредитных бюро, среди которых крупнейшими являются Украинское бюро кредитных историй (УБКИ), Международное бюро кредитных историй (МБКИ) и Первое всеукраинское бюро кредитных историй (ПВБКИ).

Но в базах бюро содержится информация не только о кредитах. Там можно найти значительно больше: начиная от того, кто кому и сколько должен, когда и с кем судился, какая компания находится в состоянии банкротства, и заканчивая проверкой документов на предмет их утери или подлинности, а также доступом к различным госреестрам (например, отягощений на движимое имущество).

Причем кредитные бюро могут передавать собранные данные другим заинтересованным лицам. Проще говоря, например, сегодня гражданин Петров стал клиентом банка X, который отправил данные о нем в кредитное бюро Y. Только Петров не знает, что к этому бюро подключены еще несколько десятков банков, страховых компаний, кредитных союзов, которые также имеют доступ ко всей подноготной нового клиента. А это значит, что по большому счету доступ к данным, которые балансируют на грани банковской тайны, может получить каждый желающий.

И тебя вычислят, и меня вычислят

Первые попытки достучаться в бюро оказались неудачными. «Согласно нашим правилам, кроме банков пользователями услуг нашего бюро являются только финансовые организации», — объяснила глава ПВБКИ Антонина Паламарчук. Аналогичный ответ был получен и от МБКИ.

Зато УБКИ, которое владеет 30 млн кредитных историй, собранных на 18 млн человек, приняло наш запрос с распростертыми объятиями. На отправленное электронное письмо с изъявленным в нём желанием подключиться к базе бюро спустя час мобильный телефон завибрировал от звонка неизвестного абонента, номер которого определился как «+». Собеседником оказался непосредственно руководитель бюро Александр Журавлев, который после небольшой лекции о роли кредитной истории в глобальной судьбе человечества задал вопрос в лоб: «Для чего именно вам необходима база бюро? Мы тщательно отбираем партнеров».

Легенда была заготовлена заранее. Согласно ей, журналист «Эксперта» открывал бизнес, связанный с обучением, проведением семинаров, тренингов, который будет охватывать достаточно большую аудиторию. А так как обучение предполагало рассрочку оплаты своих услуг, очень важно понимать, с какими людьми придется иметь дело.

Собеседник на другом конце провода моментально оживился: «Ну, в таком случае мы предоставим тестовый аккаунт, чтобы вы посмотрели, как выглядит и работает база. Если всё устроит — прочитаете условия договора на нашем сайте, оплатите услуги и получите полный доступ».

Через 15 минут на электронную почту пришла инструкция по регистрации. Естественно, в первую очередь хотелось посмотреть информацию о себе. Картина была полной: начиная от года рождения, адреса прописки и фактического проживания и заканчивая паспортными данными, а также местом работы. Кроме того, база УБКИ содержала информацию обо всех выданных ранее кредитах (все они были оформлены в разных банках), с графиками и суммами их погашения. Несколько щелчков мышью — и аналогичные досье система выдала на друзей и коллег.

Причем такие же манипуляции можно проделать в отношении любой компании или предприятия. В базе тут же отыскались такие бренды, как «Фуршет», «Пузата Хата» и даже юная структура ВЕТЭК. В запрошенных отчетах содержалась информация как о местонахождении компаний, так и об их руководстве, сфере деятельности, учредителях, открытых судебных делах.

Легальная странность

Парадокс, но давая возможность копаться в «грязном белье», кредитные бюро законодательство не нарушают. Главное, чтобы выполнялось условие статьи 6 Закона Украины «Об организации формирования и оборота кредитных историй», согласно которой пользователями данных бюро могут быть любые компании и предприниматели, предоставляющие услуги с отсрочкой платежа либо имущество в кредит. «Предоставление кредитных отчетов при таких условиях не считается нарушением банковской или коммерческой тайны», — уверяет юрист юридической фирмы «Гвоздий и Оберкович» Тарас Литовченко. Эту же информацию подтвердила и пресс-служба Национального банка, отвечая на запрос «Эксперта» в отношении праведности действий бюро.

Действительно, с точки зрения бизнеса кредитная история должна работать не только на благо банка, который отсеивает неблагонадежных заемщиков, но и любой компании, желающей снять с себя риски неоплаты за проданные товары или предоставленные услуги и понять, кто ее контрагент. Исключение составляет лишь информация о национальности, расовом происхождении, политических и религиозных убеждениях, состоянии здоровья. Ее бюро не имеют права не то чтобы разглашать, но даже собирать. «В противном случае санкции, которые могут применяться к бюро, включают в себя штрафы от 500 до 5000 не облагаемых налогом минимумов граждан, а это 8500–85 000 гривен. Возможен даже отзыв лицензии и ликвидация бюро», — пояснил директор департамента контроля рисков КБ «Південкомбанк» Николай Пистунов.

Но при этом практика свидетельствует, что свободный доступ к информации позволяет любому человеку разыскать многих других людей, узнать уровень их благосостояния (ведь по кредитной истории очень хорошо видно, есть ли у заемщика деньги на обслуживание долгов или нет), ну и заодно адрес, где денежки лежат.

Формально бюро не имеет права создавать историю о клиенте без его согласия. Но какой процент людей, подписывая договор с банком, читает то, что в нём написано крошечным шрифтом где-то на десятой странице? К тому же закон четко говорит, что при отказе сообщать о себе данные, банк вправе пересмотреть условия обслуживания, вплоть до отказа в предоставлении услуг.

Впрочем, загвоздка не в этом, а в ответственности — бюро не отвечает за то, как будут использовать третьи лица полученную от него информацию: для бизнеса или в корыстных целях. «На самом деле банковский сектор давно борется за то, чтобы обеспечить более жесткий контроль над кредитными историями. Например, мы неоднократно настаивали на законодательных изменениях, которые позволят создать централизованную базу кредитных историй. Но пока качество хранения информации и контроля ее утечек находится на нулевом уровне», — разводит руками член совета НБУ Василий Горбаль.

Купи-продай

Ситуация с кредитными историями — частность, но она четко отражает то, насколько слаба защита персональных данных в Украине в принципе. Акции в магазинах, дисконтные карты в ресторанах, оформление путевок в турфирмах — всё это сопряжено с заполнением различных анкет и опросников, куда почти каждый, соблазнившись обещаемой скидкой или подарком, бездумно вписывает достаточно информации, чтобы стать жертвой не только ушлых маркетологов, но и мошенников.

Безусловно, если хранение и обработка информации совершается в рамках законодательства, то риски попасть в неудобную ситуацию невелики. Во-первых, ни один магазин или сервисная компания не могут использовать данные о человеке без его согласия (заполняя что-либо, нужно искать обязательные строки «Лицо, заполнившее и подписавшее анкету/договор/соглашение, разрешает использовать свои персональные данные на протяжении 50 лет»). Во-вторых, полученные данные (неважно, в бумажном или электронном виде) должны храниться за семью печатями.

Однако это всё в теории. «Необходимой защиты баз данных нет у 90 процентов компаний, работающих в Украине. Вот и получается, что любой человек, работающий с базой данных, может своровать оттуда информацию и сделать с ней что угодно: продать, забрать на новое место работы и даже уничтожить», — говорит Сергей Маковец, директор по технологиям компании ISSP, специализирующейся на безопасности информационных систем.

Хотя Закон «О защите персональных данных» гарантирует право человеку, предоставившему свои личные данные, доступ к информации, где и как они хранятся, а также кто их получал. Надзор за выполнением этой нормы должна обеспечить Государственная служба по защите персональных данных. «Но служба пока так и не смогла собрать и систематизировать базы данных. Хотя бы потому, что у нее нет для этого ресурсов», — отметил Маковец. Так, еще в начале нынешнего года председатель службы Алексей Мервинский сообщил, что из двух миллионов заявок на регистрацию баз персональных данных завизировано лишь 30 тыс. К тому же  24 июля президент Виктор Янукович подписал закон, который и вовсе отменил государственную регистрацию баз персональных данных.

В крайнем случае владелец персональных данных вправе запретить обработку и потребовать их уничтожения. Но лишь тогда, если есть мотивированные подозрения в незаконности их использования. И как доказать, что личная информация «сливается на сторону», не знают даже специалисты. «По идее нужно обращаться в Госслужбу по вопросам защиты персональных данных с соответствующим заявлением. Но пока такой практики в Украине нет, поймать за руку невозможно», — говорит юрист юридической компании Jurimex Юлия Ивахненко.

Причем Госслужбе для ответа на запрос «Эксперта» потребовался месяц. И комментарий был лишен конструктива, изобилуя законодательными нормами. А при попытке лично попасть на прием к руководству дали от ворот поворот, затребовав письменное заявление, мол, если представители службы сочтут нужным, то сами пригласят в свою вотчину. Не пригласили.

Догоняя WikiLeaks

Доступ к персональным данным давно стал глобальной проблемой. Только в США ежегодно количество преступлений, связанных с кражей персональных данных, превышает 12 млн. В Европе ситуация не лучше: уже с этой осени интернет-провайдеры и операторы связи в ЕС должны будут в обязательном порядке уведомлять о любой утечке, утере или краже информации о пользователях. В среднем же, по подсчетам экспертов, убыток от одного случая утечки информации колеблется от 150 тыс. до 2,7 млн долларов.

Но мировое интернет-сообщество продолжает ратовать за максимальную либерализацию использования персональных данных. Интерес таких гигантов, как Google, Microsoft, Yahoo, Cisco, Oracle, вполне понятен: чем больше информации о том, чем живет и дышит пользователь, тем больше возможностей создать продукты и сервисы «под него».

Правда, есть и оборотная сторона медали, которую вскрыл поступок бывшего сотрудника американских спецслужб Эдварда Сноудена (см. «Одинокий рейнджер против Сноудена»). Именно он предал огласке информацию о засекреченной системе под названием PRISM, с помощью которой власти США не без помощи Google, Yahoo, Facebook, YouTube, Skype несколько лет собирали данные интернет-пользователей по всему миру.

«Использование персональных данных в коммерческих целях — не самая большая опасность. Гораздо серьезнее, когда слежение идет на уровне государства, особенно в Украине, и госорганы получают возможность следить практически за каждым гражданином, иметь доступ к его личной информации, тратам, доходам, перемещениям как внутри страны, так и за ее пределами», — отмечает генеральный директор «Медиа-Трейд Украина» Сергей Блажевич.

Безусловно, можно избежать вынужденной публичности, максимально дистанцируясь от благ цивилизации: не оформляя страховок, не беря кредитов, и даже отказываясь от идентификационного номера (в Украине решение жить без ИНН ежегодно принимают до десяти тысяч человек). Но массовое наступление высоких технологий всё больше сужает рамки личностного пространства для любого человека, живущего на земле. Даже по номеру прав или пластиковой карты теперь можно вычислить кого угодно. А учитывая то, с какой легкостью персональные данные в Украине переходят из рук в руки, каждый раз, заполняя очередную анкету, лучше задуматься о возможных последствиях и вместо номера телефона или домашнего адреса поставить прочерк.

Иллюзия защиты

Российская компания Searchinform уже несколько лет проводит исследования, в которых пытается оценить степень защиты данных в украинских и российских компаниях. Результаты не радуют. Согласно последнему опросу за 2011-й и 2012 год, почти в 20% случаях респонденты затрудняются ответить, отвечает ли кто-то за информационную безопасность в их компаниях. Хотя по сравнению с 2010-м, когда лишь в девяти процентах организаций существовал спецотдел по информационной безопасности, сейчас подобная структура создана почти у 40% опрошенных респондентов.

Кроме того, в 26% анкетированных компаний среди их сотрудников не проводится инструктаж по информационной безопасности. И хотя 88% организаций уже требуют подписывать соглашения о неразглашении конфиденциальной информации, в трех из четырех случаев кражу таких данных осуществляют как раз те лица, которые знают о запретах, существующих в их организациях.