В январе 1986 года Россия подписала Конвенцию Совета Европы о защите личности в связи с автоматической обработкой персональных данных, принятую в Страсбурге за 25 лет до этого. В 1997 году началось обсуждение Федерального закона Российской Федерации «О персональных данных», он был принят 27 июля 2006 года (№ 152-ФЗ «О персональных данных») и вступает в силу 1 января 2010 года. Под персональными данными в законе понимается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»1.

Чем ближе 2010 год, тем заметнее внимание к закону со стороны заинтересованных организаций, в сообществе которых сегодня развернулись многочисленные дискуссии. Несмотря на усиленные заверения потенциальных исполнителей этого закона и чиновников, у стороннего наблюдателя закрадывается сомнение в том, что с 1 января персональные данные граждан России действительно будут надежно защищены и всем нам можно будет не беспокоиться.

Действие закона распространяется на так называемых «операторов персональных данных», это что-то вроде проверки на соответствие требованиям ISO 9000 или чему-то подобному. На самого носителя персональных данных он не распространяется, персонаж не является объектом защиты. Вместе с тем опыт подсказывает, что теперь к перечню инспектирующих органов добавится еще один, со всеми причитающимся ему привилегиями. Беда в том, что требования СЭС или пожарных так или иначе всегда можно удовлетворить, хотя бы теоретически, что же касается требований со стороны надзирающих за персональными данными, то здесь все обстоит намного сложнее. К тому же со вступлением закона в силу появится то, что можно охранять, следовательно, развивая тезис Михаила Жванецкого, можно сказать: «Что охраняем, то имеем. Ничего не охраняем – ничего не имеем».

Многого ожидать от закона в стране с глубоким тоталитарным прошлым невозможно. В отечественной исторической традиции, в том числе на протяжении почти всего XX века, право личности отсутствовало и навязывался принцип добровольного подчинения системе ценностей – «раньше думай о Родине, а потом о себе». Впрочем, и в Западной Европе с практикой защиты личных данных дело обстоит немногим лучше, хотя в ее истории первые законы о защите прав личности были созданы еще в Римской империи, а законодательная поддержка развивалась параллельно с развитием протестантизма и капитализма.

Первые выступления, связанные с протестом против использования технических средств контроля за личной жизнью, датируются серединой 20-х годов XX века, однако особой остротой они не отличались, препятствием для массового применения технологий прослушивания было их техническое несовершенство. Даже в ГДР, стране с небывалой в истории системой политической слежки, где на 17 млн населения приходилась 91 тыс. штатных сотрудников штази, число занятых прослушкой не превосходило 10 тыс. Появление современных компьютерных и коммуникационных технологий принципиально изменило картину, возможности для вторжения в личные данные увеличились многократно.

В нынешних условиях сохранности тайны наших личных данных препятствуют два непреодолимых обстоятельства – технический прогресс и желание любого государства, разумеется в благих намерениях, знать как можно больше о своих гражданах, которое оно чаще всего оправдывает борьбой с преступностью и терроризмом. В итоге мы оказываемся окруженными бесконечными системами слежения; одна из наиболее мощных из известных общественности – Echelon. Из отечественных аналогов можно назвать систему технических средств для обеспечения оперативно-розыскных мероприятий в версиях СОРМ-1 (телефония) и СОРМ-2 (Internet). К тому же спецслужбы, как могут, препятствуют распространению криптографии и индивидуальных средств защиты – трудно позволить то, что затрудняет собственную деятельность. Как тут не вспомнить Голландию, где на окнах нет занавесок; эта традиция пошла со времен испанского владычества – шторы испанцы запретили, дабы было удобнее заглядывать в дома местных жителей.

Сложившаяся ситуация весьма неутешительна, и волей-неволей приходится согласиться с тем, что ровно десять лет назад сказал Скотт Макнили: «Личная тайна сведена до нуля, забудьте о ней». Крылатую фразу одного из основателей Sun Microsystems часто повторяют многие пишущие на тему охраны личных данных. Например, авторы книги «Личная тайна в XX веке» (Privacy in the 21st Century) согласились с Макнили: «Это шокирующее утверждение, но в нем есть доля истины». Ультралибералы считают, что личную тайну вообще следует отменить: порядочному человеку, мол, скрывать нечего. Но, согласитесь, даже самому наипорядочнейшему человеку не возбраняется сохранять в секрете свои личные, финансовые или медицинские сведения. Однако в эпоху Сети с каждым годом делать это становится все сложнее, и надежду на то, что простой законодательной мерой можно исправить положение, могут питать только наивные люди. Эрозию тайны персональных данных не приостановить усилием воли: это системное явление. Мы живем в опасной среде, вынуждены разглашать свои персональные данные повсеместно, начиная от оформления заказа в химчистке и заказа такси. Если вы пользуетесь услугами одной избранной службой такси, то сделать определенные выводы о вашем образе жизни несложно. На сайт вуза, где учится ваш ребенок, выкладываются все данные о его академических успехах и условиях обучения. Перечень утечек безграничен, поэтому против них нет лекарства – ни № 152-ФЗ, ни каким-то другим нормативным актом изменить существующее положение нельзя.

Можно назвать несколько основных факторов, делающих окружающую человека среду более адаптированной к слежке. Прежде всего, это большие возможности для подслушивания, которое началось с момента, когда человек произнес первое слово. В Средневековье замковые помещения снабжались специальными ходами для подслушивания, акустическими трубами, а с появлением электроники ее немедленно стали использовать именно для этой цели. Сегодня лазерным лучом можно снять звуковые колебания с любого предмета, любую обмотку, хоть из настенных часов, можно использовать как датчик электромагнитных колебаний, а о различного рода жучках и говорить не приходится. Развитие любых технологий, облегчающих жизнь человека, невольно расширяет возможности для проникновения в его личную жизнь; к примеру, такое замечательное изобретение, как почта, мгновенно породило перлюстрацию. В почтовой реформе 1628 года кардинал Ришелье запретил пересылку писем иначе как по почте, а на парижском почтамте появилась специальная комната для тайного просмотра корреспонденции. Телефон открыл новейшую эпоху прослушки – в сетях с коммутацией ее осуществлять несложно. Независимо от технологии, будь то стационарная или мобильная связь, коммутация реализуется центральными узлами, где размещается соответствующее оборудование. В силу понятных ограничений здесь сохраняется возможность для так называемого «государственного прослушивания». Признано, что будущее телефонии в передаче голоса по IP, то есть по сетям с коммутацией пакетов; эта технология изменит и отношение к прослушке. Установить пару взаимодействующих абонентов (скажем, через Skype) можно в момент, когда они обмениваются IP-адресами, после этого проследить трафик пакетов сложно, они пойдут помимо компании, устанавливающей связь. Центральной системе прослушки выполнять свои функции станет сложнее, зато послушать абонента, перехватывая адресованные ему пакеты, будет намного проще.

По мере развития технологий развиваются способы обнаружения самых разнообразных следов пребывания человека в том или ином месте, начало этого вида слежения было положено снятием отпечатков пальцев, а сейчас мир насыщен камерами наблюдения, есть аппараты для анализа оставленных запахов, записанного голоса, генетического анализа любых биологических образцов и т.п. Если еще совсем недавно, перемещаясь, человек оставлял только следы своих ступней, то сегодня следов гораздо больше: транзакция при оплате кредитной картой, фиксация при переходе от одного сота мобильной связи к другому, использование электронных билетов и т.п. Технологии радиочастотной идентификации (RFID) обеспечат качественно новые возможности для сбора информации об индивиде.

Параллельно, по мере развития цивилизации, стремительно увеличивается количество данных, которые сопровождают человека на всех его жизненных этапах, что, разумеется, увеличивает вероятность их утечки. Например, оборотная сторона развития системы здравоохранения состоит в росте объема сведений об особенностях организма пациента, что соответственно повышает возможности разглашения медицинской тайны при обследовании пациента врачами разных специальностей. Постоянно растет сложность документов аутентификации личности, и мы можем даже не знать, что именно записано в электронных чипах наших паспортов. О роли Internet и социальных сетей говорить излишне. Недавно сложившееся понятие Internet privacy акцентирует внимание на самоконтроле за выпускаемой пользователем в Сеть информацией о самом себе. Многие эксперты уверены, что сохранить личные данные в Internet невозможно, и неудивительно, что получила широкое распространение видеозапись выступления Стива Рамбама, основателя частного сыскного агентства, названная им вслед за Макнили Privacy is dead – get over it.

Однако все перечисленное, взятое по отдельности, есть малое зло. Истинное зло зовется data fusion – «сплав данных», собранных из разных источников, объединение их в одно целое с кумулятивным эффектом, получение нового информационного ресурса, более мощного и более точного, чем каждый первоисточник по отдельности. Как тут не вспомнить Шерлока Холмса. Аргументы выступающих за сплав данных сводятся к тому, что они всего лишь используют то, что и без того известно, а противники доказывают, что использование данных в непредусмотренных целях является нарушением гражданских прав. Пока системы, реализующие сплав данных, не стали повседневной нормой, можно и поспорить, но когда они войдут в жизнь, то оруэлловский Большой брат покажется братишкой. Появляются сообщения о системе СОРМ-3, предназначаемой для анализа множества источников информации, куда СОРМ-1 и СОРМ-2 войдут в качестве источников данных, плюс к ним голосовые банки данных, базы данных МВД, финансовых учреждений и др.

Получение имеющих конфиденциальный характер сведений по открытым источникам было и остается мощнейшим инструментом легальной разведки. Несколько лет назад историка Игоря Сутягина осудили за шпионаж, хотя он собирал данные из открытых печатных изданий. Можно по-разному относиться к приговору, но возможность получения нужной информации из разрозненных данных очевидна. Теми же методами можно собирать и анализировать персональные данные и потом использовать не против государства, а против конкретного человека. Термин data fusion был предложен в 1984 году в исследовательском центре корпорации Lockheed Martin для анализа различных источников данных, находящихся на поле боя. О государственном значении этого подхода к данным можно судить хотя бы по тому, что Министерство внутренней безопасности США, созданное после 11 сентября 2001 года, инвестирует ежегодно около четверти миллиарда долларов в полсотни аналитических центров по всей стране. Аналогичные центры создают торговые компании для персонализации предложений покупателям. Казино Лас-Вегаса замечены в спонсировании проекта, цель которого – анализ неочевидных отношений (NOnobvious Relationship Analysis, NORA), направленный на оценку всех мыслимых связей между базами данных кредитных организаций, записями в актах о гражданском состоянии и сведениями о постояльцах отелей. К примеру, NORA может вычислить ситуацию, если выигрыш на большую сумму достался игроку, который когда-то проживал в номере, соседнем с номером жены крупье. Все перечисленное свидетельствует о слабости и, возможно, бесперспективности юридических подходов и средств обеспечения того, что в США называют «правом на неприкосновенность личности» (right to privacy), а в Европе – «информационным самоопределением» (informational self-determination). Для обычного человека остается всего два пути: сделать себя менее заметным или сделать данные о себе менее доступными для посторонних. Соответственно есть две группы технологий – технологии, усиливающие личную защищенность (Privacy Enhancing Technologies, PET) и технологии криптографии. Реальную альтернативу словесным решениям могут составить технологические решения индивидуального пользования. Прежде всего, криптографическая система с открытым ключом, которая может использоваться для шифрования или для создания электронной цифровой подписи (ЭЦП). До ее изобретения в 1976 году криптографами Уитфилдом Диффи и Мартином Хеллманом, сделанного под влиянием диссертационной работы Ральфа Меркле, применение криптографии было уделом спецслужб и крупных корпораций. Позже был предложен метод асимметричного шифрования RSA, который решил проблему передачи данных по незащищенному каналу, не требуя наличия копии одного и того же секретного ключа у двух сторон. Так родилась инфраструктура открытых ключей (Public Key Infrastructure, PKI). В 1991 году Филипп Циммерман предложил свободно распространяемую программу Pretty Good Privacy. У PGP есть множество реализаций, среди них и коммерческие. Можно только удивляться тому, что криптография в эпоху Internet еще не стала обыденным элементом культуры, который везде, где это возможно, следовало бы внедрять по умолчанию. Основы криптографии было бы не лишним включить в школьные программы информатики.

Совсем недавно Циммерман предложил оригинальное решение, способное избавить IP-телефонию от подслушивания. Решение состоит из двух частей: протокола ZRTP (extension of the Real-time Transport Protocol), обеспечивающего передачу защищенных разговоров по технологии VoIP, и программы Zfone, устанавливаемой в телефонах конечных пользователей и поддерживающей шифрование и передачу по протоколу ZTRP. Совместно ZRTP и Zfone реализуют такие криптографические алгоритмы, которые не предполагают обмена ключами между абонентами и исключают любое вмешательство со стороны телефонной компании. Ключи создаются автоматически в момент начала разговора и разрушаются по его окончании. Криптографическую основу составляют алгоритмы Диффи-Хеллмана, что делает практически невозможным вычисление ключа заинтересованными в этом организациями. Использование предложенных Циммерманом технологий практически полностью исключает возможность перехвата, что, естественно, не может не вызвать недовольства со стороны спецслужб. Однако автор убежден, что его решение не может стать реальным препятствием в борьбе с преступностью и терроризмом. По мнению Циммермана, анализ трафика, оценка статистики разговоров дают следователям много больше, чем прослушивание отдельных частных разговоров. Пока юридические перспективы использования ZRTP/Zfone неочевидны: все существующие нормативные документы, созданные в расчете на централизованную коммутацию, требуют, чтобы операторы связи оставляли лазейку для прослушивания, а в случае ZRTP кодирование вынесено на сторону абонентов, а на них требования такого рода вряд ли может быть распространено.

Технологии второй группы служат непосредственно для защиты информации, идентифицирующей личность (Personally Identifiable Information, PII). Понятие PII определено в официальных документах администрации США и Евросоюза. Американское определение конкретнее и включает имя, место рождения, номер социального страхования, биометрические данные и др., а европейское считает PII любые данные, которые можно связать с личностью. Стратегия использования PII насчитывает несколько пунктов:

  • контроль всех форм распространения данных, определяющих личность; так, в Германии право на ограничение данных о себе является конституционным правом;
  • минимизация раскрываемых данных, предоставляемых поставщику услуг или продавцу;
  • соблюдение максимально достижимой степени анонимности, невозможности проследить связи (Unlinkability), скрытности (Unobservability) и использование псевдонимов (Pseudonymity);
  • требование от поставщика услуг подтверждения о получении персональных данных и соглашение об их неразглашении;
  • стремление к контролю за использованием персональных данных третьей стороной.

Не стоит надеяться на то, что кто-то сверху обеспечит нам безопасность в информационном пространстве – придется думать о ней точно так же, как мы это делаем сейчас, находясь в пространстве физическом.


Echelon, великий и ужасный

Подобно термоядерной бомбе и атомным подводным лодкам, система Echelon создавалась для получения стратегического преимущества над потенциальным противником, позволяя отслеживать разные виды телекоммуникаций ряда европейских стран. 


1Понимание под данными информации или наоборот ставит под вопрос, что является предметом защиты – данные, то есть биты и байты, или сведения, которые могут быть получены тем или иным способом из данных. Примерно той же слабостью страдает и Конвенция Совета Европы. – Прим. автора.