Создание и внедрение разного рода онлайн-сервисов и мобильных приложений – один из трендов современного банковского мира. Его скромно именуют FinTech. Если у банка нет стратегии FinTech, то он уже завтра станет неудобным для большого количества клиентов, ведь даже портрет современного пенсионера уже не тот, что был в дофейсбуковскую эру, не говоря уже об экономически наиболее активной части населения.
То есть FinTech – это не только и не столько способ привлечения новых клиентов, сколько требование оставаться "удобным" банком с современным и комфортным сервисом. Сюда же относятся и система мобильных платежей и другие онлайн-сервисы.
Какие свеедения собирают банки и МФО о своих клиентах
С целью поиска путей удовлетворения потребностей частных клиентов провайдеры банковских услуг собирают все больше и больше сведений, в частности, о (i) своих пользователях (ФИО; номера кредитных карт; баланс по счету; дата рождения; идентификационный номер налогоплательщика; фотографии; образцы подписей; паспортные данные), (ii) устройствах пользователей (версия операционной системы; IMEI и другие уникальные идентификаторы), (ііі) действия пользователей с устройствами и другая информация, которую собирают мобильные приложения (время и длительность пользования определенными сервисами; действия, которые потребитель осуществлял в ходе пользования; информация, которая может быть сохранена в файлах cookies; геолокация) (iv) записи разговоров, (v) сведения о доходах и других данных при идентификации клиента и т. п.
Сегодня очевидно, что чем больше данных собирается, тем более уязвимым становится каждый конкретный пользователь. Следовательно, удобство имеет свою цену, которая измеряется в степенях риска.
Учитывая то, что технологии становятся более дешевыми и более доступными, хакерство становится типом организованной преступности, направленной не только на завладение информацией из электронной почты или информацией о кредитных картах, но и на компрометацию личной информации. К тому же возрастающее взаимодействие устройств и переход на облачные технологии требуют более высокого уровня защиты big data и безопасности. Замечу, что загружая мобильное приложение и не читая политику приватности (privacy policy), часто мы даем автоматические разрешения на все, не осознавая, что теперь мобильное приложение и собирает сведения о нашей геолокации, и получает доступ к контактам, фото и видео и т. п.
Учитывая изложенное, очевидно то, что в современных условиях "индустриализации хакерства" вопрос обеспечения защиты персональных данных, в частности, в банковском секторе актуален как никогда.
О банковской тайне и защите персональных данных
В соответствии со ст. 60 Закона Украины "О банках и банковской деятельности" (дальше – Закон о банках и банковской деятельности) информация относительно деятельности и финансового состояния клиента, которая стала известна банку в процессе обслуживания клиента и взаимоотношений с ним или третьими лицами при предоставлении услуг банка, является банковской тайной. Закон о банках и банковской деятельности также определяет перечень информации, являющейся банковской тайной, в частности (i) сведения о банковских счетах клиентов; (іі) операции, которые были проведены в пользу или по поручению клиента, осуществленные им сделки; (ііі) финансово-экономическое состояние клиентов; (іv) системы охраны банка и клиентов; (v) информация о физическом лице, имеющем намерение заключить договор о потребительском кредите, полученная в ходе оценки ее кредитоспособности, и т. п. В свою очередь, упомянутым Законом четко установлено, что банки обязаны обеспечить сохранность банковской тайны, в частности, путем применения технических средств для предотвращения несанкционированного доступа к таким данным и другим носителям информации.
5 октября 2017 года был принят Закон "Об электронных доверительных услугах" (далее – Закон об электронных доверительных услугах), который вводит такие базовые термины, как электронная идентификация (BankID, MobilID), электронная аутентификация, электронная подпись, электронная печать и т. п.
По сути, в Законе заложены юридические принципы шифрования информации о лице, что, безусловно, является положительным аспектом.
В соответствии с ч. 2 ст. 12 указанного Закона пользователи электронных доверительных услуг обязаны безотлагательно уведомлять предоставителя электронных доверительных услуг о подозрении или факте компрометации личного ключа. Положительным также является положение, в соответствии с которым квалифицированный сертификат открытого ключа блокируется также в случае уведомления контролирующим органом о подозрении в компрометации личного ключа пользователя электронных доверительных услуг.
Блокировка ключа позволит минимизировать случаи краж материального состояния в онлайновой среде.
Кое-что о data breach notification
Но в упомянутом выше аспекте важно отметить, что проблема big data как раз в обратном. Она состоит в рисках компрометации не единичных ключей, а большого количества личных ключей или другого незаконного доступа ко всей базе персональных данных.
Ведь в системе банковских и/или мобильных платежей собираются важные данные, похитив которые можно завладеть деньгами тысяч наших граждан. К тому же неизвестно, через какое время утекшая информация может послужить причиной репутационного вреда пользователю с самыми непредсказуемыми последствиями.
К сожалению, вновь принятый Закон так и не решил проблему data breach notification – обязанности владельца персональных данных уведомить пользователя о незаконном доступе, изменении или уничтожении персональных данных.
Следует указать, что data breach notification является важным инструментом, который может помочь улучшить доверие в онлайновой среде. Введение такого правила будет побуждать банки как собственников и распорядителей персональных данных принимать меры во избежание нарушений безопасности, одновременно укрепляя право на приватность.
В законодательстве ЕС data breach notification есть. Поэтому может оказаться так, что украинский сегмент бизнеса выйдет из данной коллизии, добровольно взяв на себя обязательство по data breach notification. В противном случае иностранные субъекты хозяйствования, которые будут предоставлять электронные доверительные услуги в Украине, смогут предложить более надежный и юридически ответственный сервис, а украинский потребитель проголосует кошельком или, вернее, электронным кошельком.