Что такое данные как таковые
Благодаря развитию интернета человек получил фактически неограниченный доступ к информации. Мы потребляем её ежедневно в огромных количествах — стоит только взять в руки смартфон или включить компьютер.
Любую информацию, которую люди способны считывать и интерпретировать, можно назвать данными. Прогноз погоды, площадь вашего города, роман Льва Толстого и статью, которую вы читаете прямо сейчас, — всё это данные.
А что есть персональные данные?
Персональные данные — это информация, которая позволяет идентифицировать конкретного человека. Имя и фамилия, номер телефона, адрес электронной почты, номера документов и даже именные результаты анализов относятся к персональным данным.
Представьте, что друг рассказал вам о симпатичной девушке по имени Мария Миллер, которая работает в банке около вашего дома. Теперь вы, приложив небольшие усилия, можете установить её личность, найти страницу в социальной сети, получить оттуда дополнительную информацию — и связаться с ней. Все сведения вы получили из базового набора персональных данных, которые передал вам друг.
Косвенные данные. Субъективная информация
Некоторые персональные данные не позволяют определить личность напрямую, но могут участвовать в косвенной идентификации — например, в случае с вышеупомянутой Марией это место работы. Зная о девушке лишь это, мы не сможем её идентифицировать. Однако в совокупности с другими данными (именем и фамилией) мы без особого труда поймем, о ком идёт речь — особенно если в этом банке работает только одна Мария Миллер.
К таким данным относятся национальность, возраст, место жительства — они являются персональными только в привязке к конкретному человеку. Например, у конкретных отпечатков пальцев может быть только один обладатель, а людей, принадлежащих к мужскому полу, — миллионы.
А есть данные, которые могут характеризовать человека, но при этом персональными не являться, к примеру: любимое блюдо, личные качества. Это субъективные параметры, а персональными данными может быть только объективная информация, не зависящая от мнения окружающих и самого субъекта.
Например, ваш друг очень упрям и любит мороженое. Это субъективная характеристика — не исключено, что он просто сказал, что его любит, а на самом деле нет. Помимо того, вам он кажется упрямым, а другим — наоборот, договороспособным. Поэтому эта информация не считается персональными данными.
Два типа персональных данных
Существует множество способов классифицировать персональные данные. Но если говорить об отношении к ним пользователей, то условно можно поделить их на две категории.
К первой категории относятся данные, которыми мы постоянно делимся по самым разным причинам, в том числе и с незнакомыми людьми. То есть злоумышленник может легко получить к ним доступ.
Например:
-
имя и фамилия;
-
возраст;
-
дата рождения;
-
номер телефона
и так далее.
Ко второй категории относятся данные, которые мы передаём только обладателям соответствующих полномочий (например, госучреждениям, работодателю, своему лечащему врачу и т.д.).
Например:
-
номер паспорта;
-
налоговый и страховой номера;
-
медицинская карта;
-
водительское удостоверение
и так далее. Именно к этим данным следует относиться с особой внимательностью и тщательно проверять запросы на их получение.
Мошенников при этом чаще всего интересуют:
-
данные банковской карты, которые позволяют напрямую украсть средства с вашего счета;
-
данные для входа в учётные записи: адрес электронной почты, номер телефона, ФИО, ответы на контрольные вопросы — всё это позволяет злоумышленникам взламывать аккаунты и открывает простор для махинаций.
Это лишь самые желанные для злоумышленника сведения. Он может украсть любые данные без исключений.
Чувствительные персональные данные
Среди персональных данных можно выделить такую группу, как «чувствительные» данные (от англ. — sensitive data), в некоторых законах они именуются как «специальные категории данных». Компании и госучреждения должны относиться к ним с особой осторожностью, поскольку обрабатывать их следует по специальным методикам. В эту категорию входят:
-
данные о расовом и этническом происхождении;
-
информация о политических, религиозных или философских убеждениях;
-
генетические и биометрические данные;
-
медицинские записи;
-
данные о профсоюзной принадлежности;
-
информация о половой жизни и сексуальной ориентации.
Такие данные злоумышленники могут использовать в том числе в целях шантажа.
Для получения некоторых данных нужны определенные полномочия. Например, ознакомиться с вашими водительскими правами имеет право лишь сотрудник органов правопорядка или, скажем, ваш работодатель, к которому вы устраиваетесь водителем. А данные кредитной карты вообще не имеет права запрашивать никто, кроме вас — исключением может быть судебный запрос в ходе расследования преступления.
А вот ваше имя, фамилия и дата рождения могут потребоваться в десятках различных мест, их может запросить даже вахтёр в здании, куда вы заходите, для выдачи пропуска. Специальных полномочий для этого не нужно.
История с продажей данных
В октябре 2019 года стало известно, что коллектор, работающий с Уральским отделением ПАО «Сбербанк» (Россия), продавал данные о кредитных картах клиентов преступной группировке в Даркнете. Он успел продать злоумышленникам персональные данные пяти тысяч пользователей.
Также в сети обнаружили базу данных 11500 клиентов, взявших кредит в банке. В базе были указаны ФИО, дата рождения, паспортные данные, место работы, домашний адрес, мобильный и рабочий телефоны, сумма кредита и просрочки по нему. С таким «комплектом» злоумышленник может при желании создать полноценную фальшивую личность!
«Сбербанк» провёл внутреннее расследование и нашёл виновного. Это оказался сотрудник «Национальной службы взыскания» — компании-подрядчика банка. За разглашение банковской тайны виновник был подвергнут уголовному преследованию.
В этом цикле статей вы узнаете:
-
чем грозит утечка персональных данных и как её избежать;
-
где хранить и как пересылать персональные данные;
-
можно ли хранить персональные данные на физических носителях;
-
как обезопасить персональные данные в «облаках» и в социальных сетях.