如今，几乎所有公司都以某种方式与客户信息进行互动。为了什么是数字责任以及如推广广告活动、创建个性化优惠、寻找与当前消费者相似的受众——一切都需要个人数据。与他们合作需要企业对在数字空间中使用这些数据的安全性和道德性负责。数字机构 Red Digital 的总经理玛丽亚·维索茨卡娅 (Maria Vysotskaya) 解释了如何保护客户的个人数据、泄露这些数据的危险以及为什么问题不仅仅在于罚款。

个人数据面临风险

技术越是积极地渗透到生活的各个领域，信息安全的风险就越高，包括个人数据安全。仅在2021年至2023年，俄罗斯个人数据泄露数量 就增加了近40倍。据俄罗斯联邦通信监管局报道，2021年此类事件仅发生4起，而2022年则增至140起。2023年1月至7月发生了150多起泄漏事件。

InfoWatch Group提供了其他统计数据。 2023 年，泄露的个人数据量与 2022 年相比增加了 60%——从 7.02 亿条记录增加到 11.2 亿条。盗窃事件本身的数量有所减少，但盗窃的数量却有所增加。同时，据InfoWatch新闻社报道，2023年超过35%的事件中，泄露的数据量未知。这意味着问题的规模可能更大。

即使是大公司也无法免受网络威胁和用户个人数据泄露的影响。 2022年初，一家知名的外卖服务因一名员工的失误而发生数据泄漏。法院对该公司处以6万卢布的罚款。此后，该服务加强了信息存储方法：减少了有权访问客户个人数据的员工数量，并且不再进行手动数据处理。

2024 年 1 月，一家大型服装和鞋类连锁店承认在遭受网络攻击后发生数据泄露。这是第一次发生此类威胁，因此该网站的保护系统没有保存公司或客户的个人信息。 

对于此类事件，企业通常会根据《行政违法行为法典》承担责任。俄罗斯规范个人数据保护问题的主要法律是联邦法律第152号。随着数据量的增加和相关风险的增大，该领域的立法也变得更加严格。

2020年，国家杜马通过了一项关于补充数据保护的法律：要求获得用户同意才能传播数据。沉默或不作为并不代表同意。此外，个人数据运营商必须在第一次请求时删除用户的个人数据。后来，在2022年，又增加了新的安全措施：运营商必须立即向授权机构报告网络攻击和泄密事件。此外，还对未成年用户的生物特征数据处理进行了限制。

目前，国家杜马正在考虑进一步修改该法案，加大对泄什么是数字责任以及如密行为的处罚力度。目前，根据《行政违法行为法》，法人实体将被处以最高10万卢布的罚款，如果再次泄密，则将被处以最高30万卢布的罚款。在一读通过的新法案中，特殊类别个人数据泄露的行政责任变得“更加昂贵”。

对于法人实体来说，损失金额为 1000 万至 1500 万卢布，而一次又一次的泄密可能会给公司造成高达年收入 3% 的损失，但不会低于 1500 万卢布。该罚款的上限为5亿卢布。使用非法获取的数据还可能被追究刑事责任。最低处罚是罚款30万卢布，最高处罚是10年监禁。

所有这些都迫使企业对保护其收集、存储和使用的个人数据问题采取更加负责任的态度：在信息安全方面投入更多资金，更加重视员工培训。

企业的数字化责任

对企业来说，个人数据保护不足的危险性不仅仅在于罚款造成的经济损失。它还会造成声誉风险的威胁，可能造成比任何罚款更大的损失。

首先，如果发生泄密并且有关信息被媒体曝光，这会损害客户（包括潜在客户）和合作伙伴对公司的信任。即使是少量的数据泄露也能产生这种影响，而不会对客户造成巨大的损害：他们不会遭受有条件的垃圾电话或以他们的名义借出的贷款。

其次，即使一家公司还没有遇到真正的问题，如果它不向 电报号码数据库 客户传达它关心他们的数字安全，就会降低对该公司的信任度。现代互联网用户非常清楚分享个人数据（从电话号码到护照详细信息）时所承担的风险。他希望知道，向其提供这些信息的公司在处理数据时是否负责任、谨慎且诚实。

因此，企业需要对数字问题负责：遵守企业对数字问什么是数字责任以及如题（包括数据保护问题）做出决策的标准。这既关系到它们的安全性，也关系到它们的使用道德。

安全问题的解决始于制定处理个人数据的内部政策：这是法律规定（第 14 条）所要求的。 18.1 联邦法律第 152 号。处理个人数据还需要获得客户的同意，该同意由客户签署。它也正在根据联邦法律第152号进行开发；协议的要求在第 14 条中有详细说明。 9。

具体来说，协议中包括对将收集和使用哪些个人数据的解释——例如，全名、电话号码、电子邮件地址等等。本协议还必然指定数据处理的目的、处理中包含的所有操作范围——收集、系统化、存储、更新等。此外，还需注明协议期限以及撤销同意的方式。

根据我们的经验，第一步应该是审查与用户签订的合同，因为这是危险的人为因素经常发挥作用的地方。一旦我们签订了合同，我们就不会更改它，即使收集个人数据的目的发生了变化。 

此外，该公司必须注册为个人数据运营商：有必要联系Roskomnadzor。在开始收集客户的个人数据之前必须完成此操作。

并且从处理公司数据的道德角度来看，有必要在内部政策中纳入几项基本原则。首先，这是一个诚实的数据收集过程——不购买市场上竞争对手的数据，也不扭曲竞争对手受众的信息。其次，尊重客户的权益——不滥用客户的信任，谨慎使用数据，不使用机器人发起无休止的通话。 

现在有些公司转售网站访问者数据或地理位置数据，包括转 如果没有折扣或优惠 售给竞争对手。例如，某人访问开发商的网站，查看公寓并留下请求。 10 分钟后，一位完全不同的开发商给他打来电话，他的住宅区就位于他正在看的住宅区的对面，并提供他的公寓。发生了什么？通话请求中包含的数据被竞争对手的开发商窃取并购买。这是不道德和非法的，但抓住罪犯却很困难。

人工智能时代如何保护个人数据

我坚信，信息安全的发展是一个复杂的过程，需要企业首先制定本地法规：特别是专门针对个人数据的法规。这是上述数据处理政策，以及有关其销毁和个人数据处理内部审计的规定。

此外，组织措施也发挥着重要作用：培训员工处理个人数据，任命负责人。大公司甚至可能设有单独的DPO（数据保护官）职位。

有必要定期对个人数据和信息系统处理进行盘点——对设备、基础设施和软件进行系统的核算和分析。这将使您能够了解数据的去向，并在可能对您的企业声誉造成危险的事件发生之前识别潜在的泄漏风险。

理想情况下，公司应该首先由独立专家进行审计，该审计将评估当前的整个数据保护系统，并指出现在存在哪些问题、问题有多严重、存在哪些风险以及风险在哪里。并根据审计结果，选择合适的解决方案和工具，制定或调整信息安全和数字责任策略。

人工智能和神经网络的发展及其在包括营销在内的 回波數據 各种任务中的积极应用，要求在处理个人数据时更加谨慎。如果公司使用与客户数据交互的人工智能系统，则应基于两个基本原则来降低风险。

首先是体积最小化。如果某些数据无需人工智能即可处理，那么就不应该这么做。在不影响任务质量的前提下，AI接收的信息越少越好。