Top.Mail.Ru
https://yandex.ru/ads/adfox/247617/getCode?p1=cwcyg&p2=frfe&pfc=gyluv&pfb=bcjjrp&pr=RANDOM&ptrc=b
Интервью
Бренды

Как быстро и легально удостоверить персональные данные, если нет доступа к госреестрам

Интервью
Ирина Печёрская
Ирина Печёрская

Редактор RB.RU

Ирина Печёрская

В цифровом мире бизнес одновременно может дотянуться до огромного количества потенциальных клиентов. Обратная сторона медали — компании не знают, с кем взаимодействуют по ту сторону экрана. И в ряде случаев это сопряжено с рисками — от нарушения законодательных требований до ущерба от действий мошенников.

Чтобы избежать этого, бизнес из разных сфер вынужден собирать данные и убеждаться в их подлинности. Кто сталкивался с этим, знает, что в настоящий момент это непростой процесс. Плюс ужесточается ответственность за утечки. Поговорили со Светланой Беловой, CEO ООО «Системы управления идентификацией» (торговая марка IDX) — платформы идентификации и удостоверения личности, верификации документов — о том, какие сложности сегодня есть у компаний в работе с персональными данными и как их преодолеть.

Как быстро и легально удостоверить персональные данные, если нет доступа к госреестрам
  1. Интервью

Светлана Белова, CEO ООО «Системы управления идентификацией» (IDX)


— В январе этого года Госдума в первом чтении приняла законопроекты об оборотных штрафах и уголовной ответственности за утечку персональных данных. Ожидается, что закон вступит в силу, несмотря на критику со стороны бизнеса. На ваш взгляд, справедлива ли предусмотренная ответственность и поможет ли это защитить граждан?

— Оборотные штрафы могут быть одной из мер противодействия. На территории Евросоюза действует GDPR (General Data Protection Regulation) — закон, который предписывает всем компаниям мира, обрабатывающим данные жителей ЕС, обеспечить их конфиденциальность и безопасность. То есть он применяется в отношении компаний, которые находятся даже за пределами объединения. В зависимости от типа нарушения придется заплатить штраф, размер которого может достигать €20 млн. Такие суммы и правда мотивируют бизнес быть более щепетильным в обращении с персональными данными.

Так что введение оборотных штрафов в нашей стране считаю правильной мерой, хоть и жесткой. Компаниям придется тратить большие деньги на внедрение разных средств защиты. Фаерволы, антивирусы, шифрование каналов доступа — все это дорогое удовольствие, и для небольшого бизнеса окажется тяжким бременем. Причем даже если компания не собирает данные клиентов, но у нее есть сотрудники, она тоже попадает под действие закона и в случае утечек будет нести ответственность.  

При этом надо иметь в виду, что множество утечек происходит не потому, что системные администраторы не предприняли надлежащих мер для защиты данных (влезть в хорошо защищенную систему в общем-то довольно сложно), а потому, что в компаниях всегда находятся недобросовестные сотрудники, которые эти самые данные сливают.

А в сети всегда найдутся покупатели таких данных, готовые использовать их в мошеннических схемах. В эпоху бурного развития искусственного интеллекта на данные высокий спрос — его ведь надо чем-то «кормить». Легальная продажа данных могла бы в том числе помочь в борьбе с утечками.

— Объясните идею.

— В нынешней системе коммерческого оборота персональных данных субъекты таких данных просто отсутствуют. Есть бизнес, есть государство. Бизнес данные собирает и в дальнейшем извлекает из них выгоду: анализирует, что и кому прорекламировать и продать. Государство, в свою очередь, регулирует оборот данных в соответствии с законом, использует данные для реализации своих функций и рассчитывает применять для обучения ИИ (государственное озеро данных). 

Было бы честно, если бы, во-первых, граждане могли осознанно контролировать, с каким бизнесом и какими данными делиться (государственный реестр согласий не решает задачи информирования и контроля, поскольку реализует эту функцию для ограниченного набора информационных ресурсов), чтобы получать релевантные рекламные сообщения и скидки, одобрение кредитов, во-вторых, имели за это вознаграждение.

В цифровом мире данные — ценнейший ресурс, и безвозмездно «забирать» его у владельцев как будто не очень правильно. 

— Вернемся к штрафам. Вы сказали, что это одна из мер по борьбе с утечками. Какие предложения в этой области есть еще? 

— Роскомнадзор предложил крупному бизнесу, мобильным операторам в том числе, создать безопасную и защищенную инфраструктуру хранения и обработки данных, которой мог бы пользоваться малый и средний бизнес. Однако у этой инициативы создания так называемых «уполномоченных операторов ПД» есть недостатки: для крупного бизнеса это дополнительная ответственность, и он не очень этому рад, поскольку такая деятельность не окажется высокомаржинальной; также непонятно, что будет с данными вот этих маленьких бизнесов, когда они окажутся в распоряжении других больших компаний. В общем, пока задумка очень сырая, и не факт, что бизнес смирится с принятием закона. 

Ведутся также специальные разработки. Например, Национальный технологический центр цифровой криптографии (НТЦ ЦК) реализовал экспериментальный образец платформы цифрового доверия для подтверждения персональных данных (ПЦД ПД). Ее главный принцип — в том, что персональные данные не передаются в интернет-сервисы, которые их запрашивают, и не собираются в централизованном хранилище, а лишь подтверждаются в доверенных эталонных источниках. Проект мог бы действительно способствовать снижению риска утечек, но сейчас никак не развивается.

И, честно говоря, других новых решений, которые предотвращали бы утечки, на рынке пока нет. 

— Регуляторы предписывают бизнесу не только тщательно охранять  персональные данные, но и уделять особое внимание проверке отдельных лиц для борьбы с мошенничеством. Например, микрофинансовые организации должны усилить проверку заемщиков при выдаче онлайн-займов. Какие еще подобные требования бизнес должен знать? 

— Центробанк постоянно совершенствует требования к идентификации заемщиков и качеству технических средств для предупреждения мошенничества подмены личности. Согласно последней редакции Базового стандарта совершения микрофинансовой организацией операций на финансовом рынке (БС СОФР), при выдаче онлайн-займа микрофинансовая организация должна провести не менее пяти мероприятий, направленных на достоверную идентификацию потенциального заемщика: проверить действительность документа, удостоверяющего личность получателя финансовой услуги; проверить предоставленные им сведения; проверить принадлежность банковского счета получателю услуги — всего в документе 10 разных проверок, все они перечислены в пункте 5.8.

Если говорить о бизнесе из других сфер, например, электронной коммерции, то при доставке товаров из-за рубежа компании должны предоставить таможенному органу паспортные данные и ИНН покупателя. По ИНН легко проверить, что, когда и на какую сумму заказал конкретный человек. ИНН необходим для начисления таможенных пошлин, если вес или стоимость товара превышают определенную норму. Данные должны быть достоверными — в противном случае посылка не пройдет таможню.

Еще один пример из этой же сферы — сайты компаний, торгующих табачными изделиями или электронными сигаретами. Сейчас в России запрещена дистанционная продажа подобных товаров, но тем не менее продавцы обязаны проверять возраст посетителей своих сайтов. 

В целом у бизнеса два основных мотива для проверок ПД: выполнение требований регулятора и реализация корпоративных процедур риск-менеджмента. И вторая мотивация сейчас доминирует на фоне разгула мошенничества. Именно за такими проверками приходят в IDX.

Значительная часть наших заказчиков удостоверяет данные для того, чтобы снизить риски своего бизнеса: проверить контрагента, чтобы избежать краж, мошеннических действий; сделать скоринг благонадежности соискателя при приеме на работу и так далее.

— Для идентификации нужен доступ к актуальным и достоверным данным. Есть ли у бизнеса сложности с этим?  

— У государства ограниченный набор инструментов, который позволяет бизнесу проверять данные. Казалось бы, существует единая система идентификации и аутентификации (ЕСИА) — то, чем мы пользуемся на портале «Госуслуги». Но получить информацию оттуда без согласия пользователя невозможно. И бизнес охотно бы подключался к ЕСИА и запрашивал согласие, чтобы решить свою задачу риск-менеджмента, но доступ в систему ограничен регламентом ЕСИА.

И разные компании из-за этого попадают в нелепые ситуации. Приведу пример. Какое-то время назад, когда только внедрялась телемедицина, вышел закон, в котором была предусмотрена необходимость идентификации обеих сторон: врача и пациента. Но как эту идентификацию провести, с использованием каких источников данных, представителям медицины никто не объяснил и доступ в ЕСИА не дал, поэтому они были вынуждены прибегать ко всяким ухищрениям. 

Кстати, попробовать взаимодействовать с ЕСИА в режиме эксперимента можно в «цифровых песочницах». Но позволить себе это могут только большие компании, у которых есть достаточно ресурсов для того, чтобы такие проекты реализовывать. 

Некоторое время назад появился цифровой профиль гражданина (ЦПГ), в котором тоже собираются данные о человеке, причем в большем объеме и даже лучше, чем в ЕСИА, за счет принудительного обновления данных по мере их изменения. Но, опять же, к ЦПГ могут подключиться не все, например, банки и мобильные операторы.

В общем, большому количеству компаний в России доступ в государственные системы заказан. 

— Почему у нас такой ограниченный круг компаний, которые имеют доступ к госсистемам? 

— Возможно, это связано с инфраструктурными ограничениями ГИС. Еще вопрос доверия: неизвестно, кто будет подключаться к ЕСИА и в каких целях использовать данные граждан. С банками все понятно — на них есть управа в лице Центробанка, который регулирует их деятельность. Операторы связи тоже живут в жестких ограничениях закона «О связи», закона «О персональных данных», регламентов Роскомнадзора, правоохранительных органов и так далее. 

А вот взять торговлю в рассрочку. Кто будет следить, какие данные продавцы памперсов или украшений выгружают и что потом с ними делают? И если инфраструктурные ограничения в нынешнее время можно легко преодолеть, то вопрос доверия остается открытым.

— И как тогда быть?

— Например, приходить к нам со своей задачей. У IDX несколько десятков различных источников данных, плюс собственные разработки, которые постоянно совершенствуются. Все это позволяет нам с высокой точностью определять, действительно ли человек, который обратился к нашему бизнес-заказчику, является тем, за кого себя выдает.

И все это мы умеем проверять в режиме реального времени, что позволяет компаниям встраивать наши проверки в свои бизнес-процессы, не ухудшая конверсию. Сейчас время отклика в нашей системе составляет не более пяти секунд, тогда как в государственных системах SLA допускает задержку до пяти дней. Это дает возможность нашим клиентам обрабатывать большие объемы информации в потоковом режиме. То есть не за каждым отдельным запросом ходить, проверять через веб, а через защищенный программный интерфейс можно запустить целый поток обращений.

— Если говорить о высокой точности, о каких показателях идет речь? 

— Ретро-тесты показывают, что IDX позволяет снизить количество случаев мошенничества подмены личности на 98% при минимальном уровне ложных срабатываний, то есть мы не даем бизнесу в ходе проверки терять «хороших» клиентов. 

Благодаря тому, что у нас много источников актуальных данных, мы можем оптимизировать процедуру регистрации на сайте — это заметно ускоряет загрузку данных клиента в информационную систему бизнеса и в среднем повышает конверсию на 30%, ведь чем проще человеку зарегистрироваться на сайте, тем вероятнее он сделает покупку или закажет услугу. Причем для автозаполнения мы предоставляем уже проверенные данные.

— Если компания пока не пользуется услугами подобных сервисов, как обычно происходит проверка данных клиентов, контрагентов, сотрудников? 

— Как правило, в таких компаниях есть специально обученный человек, который осуществляет проверку «ручками». Источником данных для него могут выступать телеграм-боты вроде «Глаза Бога», системы поиска по соцсетям. Такой специалист-«профайлер» изучает доступные источники и делает заключение — оценку. 

Мне кажется, таких специалистов по безопасности в основном нанимают компании, где нет большого потока данных для проверки.

Ведь ручной поиск и анализ информации занимает много времени, плюс в таком случае оценка получается субъективной. На потенциального клиента или сотрудника могут несправедливо поставить клеймо неблагонадежного. Поэтому волей-неволей компании приходят к нам.

На сегодняшний день мы осуществляем широкий спектр проверок, особенно много у нас клиентов среди микрофинансовых организаций, которым мы помогаем соответствовать требованиям БС СОФР.

— У потенциальных пользователей может возникнуть вопрос, насколько IDX безопасен и легален. Что скажете?

— IDX входит в реестр операторов персональных данных. Мы обеспечиваем третий уровень защищенности, у нас есть лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации и лицензия ФСБ на работу с системами криптографической защиты информации. 

Мы работаем только с легальными источниками. Наши партнеры — операторы сотовой связи, бюро кредитных историй, финансовые организации. Мы обращаемся к госреестрам, не используем «серые» схемы проверок и слитую информацию. Мы на рынке уже шесть лет, и многие заказчики с нами почти с самого начала. 

Хотите уберечь свой бизнес от мошенников и недобросовестных клиентов, не оказаться объектом внимания регулятора, узнать все о своем клиенте из достоверных источников, не нарушив границы приватности, — вам в IDX.

Фото на обложке: Freepik 

Реклама
ООО «СУИ»
erid: F7NfYUJCUneLuWeswajU

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Создание фото для маркетплейсов
  2. 2 Как омниканальные сервисы повышают продуктивность бизнеса
  3. 3 Возможность поговорить с оператором — новая премиум-услуга
  4. 4 Как заработать на подписках: 6 советов от стартапов
  5. 5 Цифровые продукты: что это такое, создание и управление
RB Young Awards
Ты молодой предприниматель? Расскажи про свой бизнес и получи признание!
Подать заявку