В мае китайское правительство приняло новый комплексный закон о защите персональных данных. В нем ужесточаются ограничения на использование личной информации, которой владеют финансовые институты и коммерческие организации. По новым правилам компании обязаны нанимать сотрудников по соблюдению правил хранения персональных данных. И непременно должны получать у клиентов явное согласие на использование и обработку частной информации.
Однако в стране по-прежнему процветает торговля персональными данными. Как сообщили Reuters инсайдеры из страховой компании, зачастую они приобретают номера телефонов потенциальных клиентов у нелегальных продавцов в интернете. Те, в свою очередь, незаконно скупают их у других организаций.
«Личные данные в Китае продают департаменты транспортных средств, органы лицензирования автомобилей, автодилеры и даже сотрудники полицейских участков», — рассказала партнер компании Boston Consulting Group Мишель Ху, которая работала страховым консультантом.
Чтобы оценить масштабы торговли частной информацией, журналисты Reuters решили провести собственное расследование. По запросам «персональные данные» и «база мобильных номеров» они нашли более 30 групп, в которых продают и покупают личную информацию, собранную в мессенджере QQ (он принадлежит Tencent) и на форуме сайта Tieba (владелец — Baidu).
Baidu отказалась от комментариев, а Tencent ответила стандартной фразой: «Мы предпринимаем максимум усилий для защиты персональных данных пользователей и обеспечения информационной безопасности».
Продавцы личных данных оказались куда более общительны. Они открыто рекламировали свои услуги в группах и общались с журналистами в мессенджерах QQ и WeChat. Пятеро предложили продать информацию из финансовых институтов о «людях, которым нужны кредиты», «людях, которым нужна страховка» и «шанхайских мужчинах в возрасте от 30 до 50».
Стоимость таких данных варьируется от $43,64 до $408,52 за 100 000 человек. Стандартный список содержит ФИО, номер телефона, дату рождения, а также сведения о наличии машины, квартиры или ипотеки.
Reuters не удалось подтвердить достоверность частной информации, купленной у нелегальных продавцов.
Некоторые интернет-компании также продают личную информацию пользователей за совсем скромное вознаграждение. Например, поисковая платформа Duoku Technology всего за $0,73 предоставляет фотографии любого китайского гражданина, если известны его имя и номер ID. А за $0,44 платформа выдает сведения об использовании мобильного.
Журналисты Reuters убедились, что оба сервиса прекрасно работают. Человек, который предоставил свое имя и номер ID для этого эксперимента, понятия не имел, как его фото и, тем более, счета за телефон, попали в систему.
Представитель Duoku объяснила, что все данные компания покупает у онлайн-продавцов, а продает, преимущественно, банкам и страховщикам: «Они используют наш сервис для управления рисками», — заверила мисс Ли. После публикации Duoku связалась с Reuters и пообещала, что отныне их платформа не будет сотрудничать с частными лицами. Сервис, позволяющий любому желающему приобрести чьи-то персональные данные, был удален с официального сайта компании.
Китайское законодательство предусматривает до семи лет тюрьмы и серьезный штраф для продавцов личной информации. Покупателям грозит штраф и тюремное заключение сроком до трех лет. Причем корпорации также несут ответственность за подобные преступления. Но, несмотря на суровые законы, в стране процветает купля-продажа персональных данных.
Нередко этому способствуют размытые формулировки в пользовательских соглашениях, которые позволяют компаниям продавать частную информацию клиентов чуть ли не с их согласия.
Несовершенные способы защиты на сайтах, колоссальная коммерческая выгода и легкость, с которой недобросовестные сотрудники банков могут получить доступ к базам данных пользователей, также подталкивают людей торговать личными данными.
Глава стартапа Hu-manity Ричи Этвару уверен, что персональные данные — это собственность человека, и мы должны получить над ними полную юридическую власть. Особенно это верно в случае с медицинской информацией. По мнению Этвару, решением может стать технология распределенного реестра.