Исходя из нашего опыта работы более чем в 17 странах, эксперты JuicyScore отмечают, что наиболее опасные и, как следствие, наиболее тяжелые с точки зрения последствий для участников рынка схемы связаны с компрометацией персональных данных граждан. Эффект усиливается, когда персональные данные становятся доступны злоумышленникам в комбинации с так называемыми «чувствительными» или иными категориями данных. Это может приводить к усилению негативного эффекта или мультипликации потерь, которые несут финансовые институты. Суммы убытков могут исчисляться, в отдельных случаях, десятками и даже сотнями миллионов рублей, и все это только в сегменте микрокредитования, где средняя сумма выдачи составляет 10 000 рублей.
В современном мире, в том числе и в мире финансовых услуг, в каждой операции генерируется и обрабатывается невообразимое количество самых различных данных. Например, бесплатные для пользователей сервисы могут продавать данные о них в других отраслях. Данные о клиентах становятся активом и, как следствие, доступ к большому объему персональных данных приводит к повышению экономической стоимости таких платформ.
Под персональными данными мы понимаем данные, которые можно использовать для идентификации человека, имеющих прямое с ним сопоставление. К персональным принято относить в первую очередь: ФИО, дату рождения и паспортные данные. В мире онлайн для получения услуг, в том числе финансовых, вместо классических данных можно использовать и другие, которые ранее не воспринимались как персональные.
На наш взгляд, все контактные данные, такие как: номер телефона, адрес электронной почты, даже отдельно от полного имени и/или паспорта, необходимо квалифицировать как «персональные» и соответственно регулировать их обработку и доступ к ним.
По какой причине? – Этих данных уже достаточно, чтобы совершить финансовую операцию, например, взять кредит. Они могут использоваться для проведения двухфакторной верификации, например, для регистрации доступа к порталу «Госуслуг». Наконец, такие данные могут быть использованы злоумышленниками для доступа к более широкому кругу персональных и чувствительных данных.
Все ли знают и помнят в деталях: о содержимом своих электронных почтовых ящиков или сколько раз туда приходили договоры, счета на оплату, копии финансовых документов, пароли и другая информация, утечка которой в открытый доступ или в Deepnet может быть крайне неприятной?
Негативные последствия нерегулируемой обработки персональных данных также связаны с работой непрофессиональных операторов данных. Ведь каждый из нас хотя бы раз заполнял заявление на карту скидок или лояльности, регистрировался на бесчисленном количестве сайтов. Важно задуматься: всегда ли компания, ставшая оператором данных, имеет намерение и возможность защитить наши данные от рук злоумышленников?
Чувствительные данные могут не всегда иметь однозначное соответствие с человеком, но при этом их запрос и обработка (не в пользу субъекта обработки) могут быть болезненными. Одной из распространенных категорий является располагаемый уровень дохода. Эти данные целесообразно включать в классификацию, поскольку они часто запрашиваются и используются финансовыми институтами для различных целей.
Еще одной важной категорией данных, ставших актуальными за последние 5-10 лет в связи с широким предоставлением финансовых услуг онлайн, – данные, которые появляются в процессе формирования интернет-соединения и их передачи в сеть. Они могут обладать большой ценностью, с точки зрения оценки заемщика или получателя финансовых услуг.
К этой же категории данных относят данные, собранные о характеристиках устройства, так называемый «отпечаток устройства» или devicefingerprint. При этом их нельзя назвать «персональными», поскольку они не определяют непосредственно физическое лицо, поэтому и регулировать такие данные, если потребуется, необходимо по другим стандартам. Основное отличие таких данных от персональных — одних их недостаточно для аутентификации физического лица и выполнения от его имени финансово значимых операций в случае утечки.
Уже сегодня требуется сформировать более широкий взгляд на данные, к которым в настоящий момент относят не только персональные данные, но и другие категории данных, такие как: чувствительные данные и не персональные данные, формирующиеся в мире онлайн, не имеющие однозначной привязки к физическому лицу. При интенсивно растущем объеме данных и развитии цифровых технологий от обобщений необходимо переходить к практике: категоризации, классификации, кластеризации и регулированию этих данных с точки зрения здравого смысла.
Слишком мягкое и недостаточное регулирование персональных данных приводит к проблемам и ущербу как для организаций, так и для их клиентов и подрывает доверие к цифровой среде. С другой стороны, чрезмерное регулирование всех данных, даже не относящихся к персональным, может, по факту, привести к уходу в Deepnet, а также к существенному снижению скорости развития технологий и оказания услуг в Интернете. Например, после вступления Правил Обработки Персональных Данных (GDPR), существенно изменились условия по сбору и обработке персональных данных для компаний – операторов данных в Европе и российских компаний, в силу своей деятельности, оперирующих с данными граждан Европейского Союза, а строгие штрафные меры не сказываются наилучшим образом на экономическом росте компаний и цифровой экономике.
Финализируя вышесказанное, мы считаем, что необходимо соблюдать баланс между безопасным, авторизированным доступом к данным и наличием нормативно-методологической основы для возможности эффективной работы потребителей данных. В регулировании операций по обработке данных должен применяться дифференцированный подход, соотносимый с уровнем риска по отдельным категориям данных и потенциальной тяжести ущерба, который может возникнуть из-за попадания к недобросовестным пользователям. При этом новые модели бизнеса, при обработке данных и анализе цифровых портретов клиентов, оставаясь клиентоориентированными, должны опираться не только правовые, но и на этические нормы.