Хранение данных в облачном хранилище: что делать при утечке конфиденциальной информации?

Тема облачных технологий в современном мире приобретает все больше оборотов. Облачные системы позволяют хранить, обрабатывать и использовать данные на дистанционно расположенных компьютерах с доступом через Интернет. Это относительно недорогой и удобный способ хранения информации с минимальными затратами для компаний и бизнеса.

Как защитить конфиденциальные данные, что делать при утечке данных с конфиденциальной информацией и как регулируется работа с персональными данными законодательством — проанализировал Максим Войнов, юрист Центра стратегических дел Украинского Хельсинкского союза по правам человека.

Облачные хранилища

Первое коммерческое хранилище появилось в 1994 году (PersonaLink Services network от AT&T), с тех пор при использовании облачного хранилища информация хранится у внешнего поставщика услуг, например корпорации Майкрософт. Такой поставщик устанавливает и обслуживает все аппаратное и программное обеспечение, а потребитель получает доступ к этим службам и управляет своей учетной записью в Интернете.

Компании малого, среднего и крупного бизнеса переводят свою деятельность в облачное хранилище, которое является лучшим современным решением и позволяет наиболее эффективно использовать технический и экономический потенциал государства, предприятий и частных лиц с минимальными затратами на облачные технологии.

Однако пользователи облачных хранилищ не всегда правильно настраивают облака и базы данных, что приводит к похищению персональных данных мошенниками. Это может нанести значительный ущерб как рядовым гражданам, так и крупным компаниям. Более миллиона приложений для мобильных устройств, некоторые из которых используют общедоступные облачные сервисы, огласили конфиденциальную информацию о своих пользователях из-за неправильной настройки облачных хранилищ.

Угон и утечка данных

Наиболее распространенной угрозой для облачных технологий является утечка данных. Киберпреступники получают несанкционированный доступ к облачной сети и могут использовать информацию для копирования и передачи персональных данных заинтересованным лицам. Потеря информации из облачных хранилищ приводит к большим штрафам для бизнеса, к репутационному ущербу и потере доверия клиентов.

В Европе действуют строгие нормы GDPR — General Data Protection Regulation, которые были разработаны с целью побуждения организаций повысить безопасность данных в облачных хранилищах. Этот регламент вводит новые принципы обработки персональных данных и установлены новые гарантии их защиты. Требования предполагают не только наложение многомиллионных штрафов, но и уведомление о любом нарушении в течение 72 часов с момента обнаружения.

В случае утечки информации, защитить владельца базы данных и гарантировать справедливое возмещение могут закреплены должным образом юридические гарантии хранения данных. Они предоставляют пользователю облачного хранилища возможность пользоваться всеми преимуществами сервиса, понимая наличие ответственности со стороны владельца (оператора) хранилища данных. Ответственность оператора сервиса должна быть связана с действенным механизмом возмещения причиненного ущерба и оперативного восстановления поврежденной информации и состояния ее защищенности, чтобы гарантировать интересы пользователя.

Несмотря на это, количество инцидентов по похищению персональных данных из облачных хранилищ продолжает расти. В частности, в период с мая 2018 года по январь 2021 года в странах ЕС произошло более 280 тыс. инцидентов, связанных с утечкой личных данных пользователей.

Один из наиболее серьезных случаев по утечке данных клиентов произошел в 2018 году в одной из крупнейших гостиничных сетей в мире Marriott International, что было связано с базой данных бронирования Starwood, и под угрозой оказалось до 383 миллионов клиентов.

Среди похищенной информации были персональные данные клиентов сети: их имена, почтовые адреса, номера телефонов, адреса электронной почты, паспортные данные, информация об аккаунте SPG, даты рождения, номера платежных карт и данные по их сроку действия. Эти сведения могли быть использованы для фишинговых атак, мошенничества с кредитными картами и идентификационными данными.

Компания понесла ущерб в размере около 72 миллионов долларов США, однако 71 миллион был возмещен страхованием. Тем не менее, Marriott все еще может получить немалый штраф в размере 99 миллионов фунтов стерлингов (123 миллионов долларов США) от британского органа по защите данных.

Какая юрисдикция судов по нарушениям

Интернет не имеет предела и является трансграничным элементом. Это означает, что информация из Интернета пересекает множество границ. Поэтому возникает вопрос, какой суд может осуществлять юрисдикцию в отношении Ответчика по делу, находящемуся или проживающему в другой стране, не там, где была подана жалоба о преступлении или гражданско-правовом нарушении, совершенные через Интернет.

Облачные технологии ставят ряд вызовов и перед уголовным правосудием, в частности, по применимому законодательству и полномочиям по правоприменению. К таким проблемам относятся независимость от места нахождения, являющаяся ключевой характеристикой облачных технологий. Поэтому для органов уголовного правосудия часто не очевидно, в какой юрисдикции хранятся данные или какой правовой режим применяется к ним. Поставщик облачных услуг может иметь головной офис в одном государстве и применять к облачным данным правовой режим другого, в то время как сами данные хранятся в третьем.

По всей вероятности, поставщик облачных услуг систематически перемещает данные, чтобы предотвратить доступ к ним органов уголовного правосудия. Можно утверждать, что юрисдикцию может определять местонахождение штаб-квартиры поставщика услуг, местонахождение данных и сервера, законодательство государства, в котором подозреваемый подписался на услугу, местонахождение или гражданство подозреваемого.

Для целей защиты данных в государствах-членах ЕС юрисдикция определяется местонахождением контроллера данных, а не местонахождением международной штаб-квартиры компании, предоставляющей облачные услуги, местонахождением серверов, местонахождением клиентов или другими критериями.

Спорные вопросы по нарушениям в области облачных технологий в первую очередь должны решаться национальными судами, применяющими соответствующие принципы международного частного права по вопросу юрисдикции, и такие вопросы обычно не касаются Европейского Суда по правам человека. Этот принцип был определен по делу Преминины против России (жалоба № 44973/04, 10 февраля 2011 г.), когда гражданское дело рассматривалось российскими судами, и компетенция национальных судов не была обжалована в ЕСПЧ. Также никто не поставил под сомнение компетентность судов Турции в принятии решения запретить доступ к сайтам Google и всем другим сайтам этой системы по делу (Ахмет Йылдырим против Турции, № 3111/10, § 67, ЕСПЧ 2012).

Законодательство об облачных хранилищах нужно государству, чтобы гарантировать своим потребителям сотрудничество только с надежными поставщиками услуг, так как государства имеют и положительные обязательства, которые являются неотъемлемой частью эффективного обеспечения неприкосновенности личной и семейной жизни личности. Государство может нести ответственность за поведение третьих сторон, осуществляющих хранение информации в облачных хранилищах.

Согласно Соглашению об ассоциации с ЕС, Украина обязалась привести свое национальное законодательство в соответствие с требованиями GDPR. Часть европейских требований так или иначе уже фигурирует в украинских законах, однако они не четко определены и нуждаются в уточнениях.

Законодательство в Украине

Основным законом в сфере защиты персональных данных лиц является Закон Украины «О защите персональных данных», устанавливающий исчерпывающий перечень оснований для обработки персональных данных, и именно наличие согласия субъекта персональных данных является обязательным условием для сбора персональных данных в интернете.

17.02.2022 года в Украине был принят Закон Украины «Об облачных услугах», устанавливающий особенности использования облачных услуг органами государственной власти. Согласно этому закону, защита прав пользователей облачных услуг, а также механизм реализации защиты этих прав регулируются Законами Украины «О защите прав потребителей» и «Об электронных услугах».

Предоставители облачных услуг или услуг центра обработки данных должны принять соответствующие пропорциональные технические и организационные меры для управления рисками, которые возникают для безопасности электронной коммуникационной сети, электронной коммуникационной услуги и информационных систем, используемых для предоставления облачных услуг.

С 12.03.2022 Кабмин разрешил украинским государственным учреждениям в военное время пользоваться облачными технологиями с размещением данных в зарубежных дата-центрах. Это решение позволило многочисленным государственным организациям не только обеспечивать критически важные данные во время войны, но и открыло путь к глобальной цифровой трансформации и использованию современных технологий.

Правление Национального банка Украины 08.03.2022 года выдало Постановление «Об использовании банками облачных услуг в условиях военного положения в Украине», согласно которому банки Украины имеют право осуществлять обработку и хранение персональных данных клиентов, а также информации, содержащую банковскую тайну, с использованием облачных сервисов, предоставляемых с использованием оборудования, расположенного в государствах – участниках Европейского Союза, Европейского сообщества, Великобритании, Соединенных Штатах Америки или Канаде.

Не всегда понятно, рассматриваются и регулируются ли различные виды облачных сервисов как «электронные коммуникационные услуги» или «информационные услуги», влияющие на тип и условия применения процессуальных полномочий, которые могут быть применены к ним.

Что касается перехвата информации из облачных хранилищ государством, то здесь возникают специфические проблемы. Например, судебный приказ, предоставленный национальному провайдеру услуг о перехвате электронного общения между двумя подозреваемыми на его территории или его гражданами, часто не может быть исполнен в режиме реального времени, поскольку сервер, на котором должен состояться перехват, находится в иностранной юрисдикции или коммуникация происходит через иностранную юрисдикцию. Иностранные органы вряд ли ответят на запрос о предоставлении взаимной правовой помощи в режиме реального времени, учитывая продолжительность процедур и требования к перехвату данных в определенной стране.

Украинское законодательство в настоящее время несовершенно и существует настоятельная потребность в уточнении положений национального законодательства относительно предоставления согласия на обработку персональных данных лица и усиления ответственности поставщиков облачных технологий за соответствующие нарушения.

Нарушение права на уважение частной жизни в смысле статьи 8 Конвенции

Конвенция о защите прав человека и основных свобод и Протоколы к ней является частью национального законодательства Украины, как действующий международный договор, согласие на обязательность которого предоставлено Верховной Радой Украины.

В статье 8 Конвенции указывается следующее:

1. Каждый имеет право на уважение своей частной и семейной жизни, к своему жилью и корреспонденции.
2. Органы государственной власти не могут вмешиваться в осуществление этого права, за исключением случаев, когда вмешательство осуществляется по закону и необходимо в демократическом обществе в интересах национальной и общественной безопасности или экономического благосостояния страны, для предотвращения беспорядков или преступлений, для защиты здоровья или морали или защиты прав и свобод других лиц.

Очевидно, что защита и хранение в облачных сетях личного характера попадает в сферу действия статьи 8 Конвенции и защищается нормами международного права.

Европейский Суд по правам человека осуществляет свою юрисдикцию по поводу подобных нарушений только в том случае, если будет возможность установить, что предполагаемое нарушение каким-либо образом касается Высоких Договаривающихся Сторон Конвенции или предполагаемое нарушение происходило в пределах юрисдикции одного из этих Государств.

Статья 8 Конвенции защищает личную информацию, которая по законным основаниям может быть опубликована без личного согласия лица, например, домашний адрес. Публикация информации о личности, с упоминанием полного имени человека, также составляет вмешательство в право на уважение личной жизни. Использование имени лица без его согласия может в некоторых случаях считаться вмешательством в личную жизнь человека, когда имя, например, упоминается в контексте, позволяющем легко идентифицировать личность (Болен против Германии, №53495/09, § 45 19 февраля 2015 года) .

Личная жизнь включает в себя тайну передачи информации, охватывающую безопасность и секретность почтовой, телефонной, электронной и других форм передачи информации; и информационную тайну, включающую тайну доступа в Интернет.

Концепция частной жизни, кроме того, включает элементы, касающиеся права человека на свое изображение, то есть фотографии или видеоклипы, содержащие изображение личности. Фактически право на защиту личных изображений включает в себя право лица контролировать использование своего изображения, в том числе право отказаться от публикации. Это имеет значение при сохранении фотографий на общественных или социальных сайтах в Интернете.