Разбор аргументов департамента транспорта о безопасности данных
Это сопроводительное письмо к колонке, посвященной нашему противостоянию с Департаментом транспорта города Москвы по вопросу передачи конфиденциальных данных пассажиров. Мы хотели бы подробнее ответить на три вероятных возражения по поводу нашей позиции, а также рассмотреть другие подобные прецеденты.
Возражение #1: у государства есть законные основания запрашивать данные о местоположении.
Возражение #1: у государства есть законные основания запрашивать данные о местоположении.
В Департаменте транспорта города Москвы (ДТ) утверждают, что данные геолокации помогут облегчить работу в трех направлениях: обеспечение здоровья и безопасности, анализ трафика и планирование инфраструктуры.
Рассмотрим их по порядку:
Безопасность. ДТ начал сбор данных геолокации от таксомоторных компаний в конце 2017 года. После этого количество аварий с участием такси выросло на 50% с 2017 по 2018 год и на 80% с 2018 по 2019 год. Для сравнения, общий прирост числа поездок на такси с 2017 по 2019 год составил всего 25%. Мы не получили никакой информации о том, как собранные данные помогли улучшить ситуацию с безопасностью дорожного движения.
Анализ трафика. Мы не получили ни одного обоснования от ДТ, каким образом наши данные могут значимо дополнить информацию, передаваемую в режиме реального времени с дорожных камер и спутников. С учетом антиконкурентной политики Департамента транспорта (например, закрытия нас в апреле этого года или ограничений по месту посадки пассажиров во время ЧМ-2018), подобная инициатива вызывает вопросы.
Планирование инфраструктуры. Мы понимаем, как знание ежедневных маршрутов москвичей может помочь в планировании улучшения работы общественного транспорта. Тем не менее, по нашему убеждению, для этого не нужны точные данные в режиме реального времени и вся информация, которую Wheely может предоставить, является несущественной на фоне имеющихся у Департамента источников данных.
Таким образом, мы считаем, что не существует ни единой законной причины для передачи в режиме реального времени данных, которые позволят идентифицировать и отследить передвижение каждого пассажира.
Возражение #2: в других странах мира агрегаторы предоставляют данные геолокации.
Возражение #2: в других странах мира агрегаторы предоставляют данные геолокации.
Это не так.
Когда Департамент транспорта города Лос-Анжелеса (LADOT) запросил у Uber аналогичную информацию о велосипедах и электросамокатах, глава отдела безопасности и конфиденциальности Uber сказал:
«Только два госоргана когда-либо запрашивали у нас подобную информацию, одна из них — LADOT, а другой — разведывательная служба Египта».
Египет принял закон в гораздо более усеченном виде, во многом благодаря беспокойству членов парламента о сохранении конфиденциальности пассажиров. Органы национальной безопасности могут запрашивать лишь данные о конкретных поездках за последние полгода. (Попытки добиться большего с тех пор сталкивались с постоянным сопротивлением).
Нечто подобное произошло и во Франции, где парламент отклонил законопроект по передаче определенных геолокационных данных. Сенатор Жан-Франсуа Рапен заявил, что «ни одна из указанных целей не оправдывает периодическую передачу данных о совершенных поездках единственному административному органу, пусть даже в обезличенном виде». Он также добавил, что передача данных «должна иметь более серьезные правовые гарантии».
При этом обычной практикой является предоставление агрегаторами данных о конкретных поездках в случае юридически обоснованных запросов со стороны государственных органов (например, повестки в суд или ордера).
Что касается Лос-Анджелеса, вопрос о передаче данных от велосипедов и электросамокатов все еще находится на стадии судебного разбирательства — до сих пор ни один город не смог добиться получения подобных данных от частного транспорта. (Нам кажется, что они ждут результатов подобной программы и судебных прецедентов, подобных нашему. Любая победа сделает их настойчивее.)
Возражение #3: по данным геолокации нельзя никого идентифицировать, их сбор совершенно безопасен.
Возражение #3: по данным геолокации нельзя никого идентифицировать, их сбор совершенно безопасен.
И это тоже не так.
В прошлом году руководитель Департамента транспорта и развития дорожно-транспортной инфраструктуры города Москвы Максим Ликсутов заявил, что ДТ не может идентифицировать пассажиров по данным, предоставленным службами такси и метрополитеном, так как они являются анонимными. Но этот аргумент аналогичен фразе «мы не можем идентифицировать вас только по дате рождения». Проблема в том, как легко на самом деле сопоставить различные массивы данных, чтобы идентифицировать человека.
Этому мы видели доказательства уже не раз и не два, а много раз.
The New York Times в своем исследовании о приватности данных утверждает:
«Называть данные о местоположении анонимными — это „совершенно беспочвенное утверждение“, которое было опровергнуто множеством исследований, сообщил нам Пол Ом, профессон права и исследователь вопросов приватности при юридическом центре Джорджтаунского университета.
«Пожалуй, — добавил он, — только ДНК сложнее обезличить, чем информацию о точном местоположении.»
Данные о местоположении — это конфиденциальные данные. Даже в США, которые считаются самым полицейским государством в мире, Верховный Суд запретил государственным органам запрашивать данные о местоположении с мобильных телефонов при отсутствии ордера, потому что федеральным агентствам не составит труда сопоставить массивы данных.
В России, согласно закону «Об оперативно-розыскной деятельности», правоохранительные органы имеют право запросить геолокационные данные с мобильных телефонов при пропаже несовершеннолетних только на определенных условиях: необходимо уведомить суд в течение 24 часов, получить письменное согласие родителей пропавшего ребенка, а также постановление одного из глав органа, который проводит оперативно-розыскную деятельность. И это — для поиска несовершеннолетних. Разве стандарты не должны быть выше, когда речь идет о взрослых людях в обычных обстоятельствах?
Также следует отметить, что система ЕРНИС не использует шифрование данных о местоположении — это означает, что данные каждой поездки на такси доступны любому наблюдателю. Неизвестно кто может узнать, где вы работаете, где отдыхаете, к кому в гости ходите и у каких врачей наблюдаетесь.
Это не тот мир, за который выступает Wheely. Наша задача — безопасно доставить вас в нужное место. Все остальное — ваше личное дело.