Бизнес указал на риск прослушки звонков в инициативе о кибермошенниках

Сюжет
Эксклюзивы РБК

Законопроект о борьбе с кибермошенничеством нарушает права человека из-за возможности прослушки и записи звонков, заявили в профильной IT-ассоциации. Там предложили исключить из проекта положение о распознавании голоса

Текущая редакция законопроекта о борьбе с кибермошенничеством нарушает права человека, так как предусматривает прослушку и запись звонков россиян, говорится в письме Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» в Госдуму, Минцифры и Общественную палату (копия есть у РБК, ее подлинность подтвердил представитель ассоциации).

Речь идет о проекте «О создании государственных информационных систем для противодействия правонарушениям, совершаемым с использованием информационно-телекоммуникационных технологий», который в Госдуму внесло правительство и принятый 18 марта в первом чтении. Он предусматривает поправки в несколько десятков законов и нормативно-правовых актов, в том числе: обязательную маркировку звонков от организаций, вызовов с международных номеров и звонков, инициируемых с виртуальных АТС; абоненты сотовых операторов получат право отказаться от рекламных и спам-рассылок и звонков; вводится обязательная биометрическая идентификация для оформления выписок из бюро кредитных историй и дистанционного оформления микрозаймов; банки, операторы связи, маркетплейсы, агрегаторы, соцсети должны будут обеспечить пользователям возможность установить авторизацию через биометрическую систему; сотрудникам перечисленных организаций, а также чиновникам будет запрещено использовать зарубежные мессенджеры для служебной коммуникации; пользователи маркетплейсов и агрегаторов, желающие разместить объявления, должны будут подтвердить свою личность через Единую систему идентификации и аутентификации (ЕСИА).

Среди прочего законопроект предлагает сбор и хранение на единой антифрод-платформе векторов голосов мошенников (вектор— это данные в числовой форме). Операторы связи должны будут использовать эту базу для блокировки мошеннических звонков.

АРПП в своем письме отмечает, что прослушка и запись звонков в формате, который предлагается в законопроекте, нарушает Конституцию и закон «О персональных данных», то есть «прямо незаконны, даже если один из звонящих мошенник». Организация также указала, что в текущих формулировках проекта маркировка гражданина мошенником будет делаться на основе решения технической системы или произвольного выбора оператора системы, тогда как в норме это должны делать правоохранители или суд. В АРПП отмечают, что если прослушка и анализ речи проводятся уполномоченными спецслужбами, это законно, но если такие действия выполняют гражданские операторы или Минцифры, это является нарушением закона и права на приватность.

В ассоциации опасаются, что в базу будут попадать ненастоящие голоса. «В эпоху бурного развития дипфейков даже при установлении точного факта мошеннического звонка в базу будут массово попадать подделанные голоса, то есть голоса не мошенников, а родственников, друзей жертв или знаменитостей, которые затем будут массово распознаваться как мошеннические»,— говорится в письме. При этом законопроект не предусматривает механизма оспаривания ложного навешивания ярлыка мошенника и изъятия образцов голоса из базы. «Это означает, что при случайном попадании в базу гражданин будет серьезно дискриминирован на неопределенное время, не сможет звонить, будет считаться мошенником»,— указано в письме. В нем также отмечается, что при обсуждении поправок в Совфеде представители Минцифры заявляли, что голоса будут попадать в базу только по признанию МВД, но в законопроекте это не отражено. «Если следовать букве законопроекта, то попасть в базу мошенников может любой человек и без совершения преступления, например: случайно, в результате технического сбоя искусственного интеллекта; из-за использования записи или синтеза чужого голоса мошенниками, укравшими образцы из предыдущих телефонных звонков гражданам; из-за злонамеренной жалобы на гражданина от его недоброжелателя и т.п.»,— опасаются в ассоциации. При этом в АРПП отмечают, что из текущих формулировок проекта следует, что в базу будут попадать не только голоса мошенников, но и их жертв.

В письме ассоциация ссылается на заявление Минцифры, что база данных будет распознавать мошеннические звонки по «ключевым словам», но в самом законопроекте таких положений нет. Кроме того, само по себе распознавание ключевых слов в АРПП считают неэффективным. «Судя по всему, представление авторов законопроекта о могуществе искусственного интеллекта сильно преувеличено. Тренировка распознавателей на точное распознание речи мошенников и ключевых слов в ней в реальном временина лету крайне сложна, требует дорогой техники и не может быть сделана с высоким качеством на всем массиве звонков. Это практически гарантирует большое количество ложных срабатываний, за которыми, очевидно, последует ложное внесение голосов звонящих в «базу векторов голосов мошенников», продвигаемую в законопроекте»,— уверены в АРПП. Кроме того, мошенники постоянно меняют схемы и используемые в них слова.

На этом фоне АРПП предлагает убрать из законопроекта положение о распознавании и хранении векторов голосов россиян или определить максимально четкие механизмы отнесения гражданина к правонарушителям и эффективные способы «обеления» тех граждан, которые назначены нарушителями по ошибке.

Какие еще риски АРПП видит в проекте

• Законопроект не предусматривает санкций за неисполнение требований. «Это относится ко всем требованиям законопроекта: в нем указано, что должны делать участники сетевого взаимодействия, но не указаны санкции за неисполнение и не сказано, кто и как должен определить и наложить эти санкции»,— говорится в обращении.
• Риски повышения частоты использования биометрической идентификации. В АРПП называют такой способ идентификации опасным, в том числе из-за активного распространения дипфейков. «На данный момент нет надежных способов распознавания таких подделок голоса и изображения. Существуют примеры, когда самые современные системы биометрической идентификации были обмануты с помощью синтезированных образов, и уровень ошибок в таких системах может достигать значительных значений»,— пояснили в АРПП. Кроме того, это повысит риски утечек данных из Единой биометрической системы, и если такие данные утекут, их будет сложно заменить, «так как биологические характеристики человека меняются очень медленно». Наконец, «собирать биометрическую информацию сейчас можно фактически на улице, в любых общественных местах, имея хорошую камеру и микрофон».
• Для маркировки звонков от организаций потребуется создать, внедрить и постоянно вести реестр «официальных» номеров, что затратно и сложно. «Сотни организаций, от имени которых могут звонить мошенники, могут иметь сотни номеров каждая»,— указали в АРПП.

В своем письме ассоциация предложила исключить из законопроекта возможность использования биометрической идентификации граждан для борьбы с мошенниками и установить строгие требования к системам защиты для финансовых организаций и центров обработки данных. Также она предлагает кардинально снизить количество официальных номеров, с которых компании могут звонить клиентам, назначив фиксированный набор единых номеров для всех крупных организаций, с категорическим запретом их подмены и ненадлежащего использования. Кроме того, ассоциация предлагает дополнить законопроект мерами по борьбе с каналами вывода денежных средств мошенниками, а именно— через криптовалюты и так называемых дропов (люди, которые помогают мошенникам выводить и обналичивать деньги, полученные преступным путем).

Представитель аппарата вице-премьера Дмитрия Григоренко настаивает, что законопроект не предусматривает прослушивание или запись звонков россиян. «Инициатива предполагает создание платформы речевой аналитики, которая с помощью машинного обучения и с разрешения пользователя будет анализировать голосовые данные, выявлять подозрительные звонки и сопоставлять их с известными шаблонами мошеннических схем, обеспечивая защиту граждан»,— пояснил представитель аппарата. По его словам, подобные технологии уже активно используются бизнесом для контроля качества обслуживания и борьбы с мошенничеством.

Он подчеркнул, что искусственный интеллект не прослушивает звонки, не анализирует содержание разговоров и не сохраняет аудиозаписи. «Вместо этого нейросеть сопоставляет цифровые голосовые паттерны— векторы, которые отражают характеристики голоса, такие как интонация, темп речи и частота. Эти данные не позволяют восстановить содержание разговора»,— рассказал представитель аппарата. По его словам, подключение к платформе будет добровольным и пользователь сможет в любой момент отключить сервис.

Представитель Минцифры подтвердил получение письма от АРПП. По его словам, документ разработан со строгим соблюдением действующего законодательства, в том числе закона о персональных данных и Конституции. «Мы опровергаем информацию об автоматической прослушке граждан в рамках законопроекта. Сведения на платформе будут использоваться только для борьбы с мошенниками, при этом никакие персональные данные граждан без согласия передаваться не будут. Звонки будут анализироваться только с согласия пострадавшего гражданина после возбуждения уголовного дела о мошенничестве. После установления факта мошенничества будет собрана база с векторами голосов злоумышленников, которые уже совершили доказанное правонарушение»,— пояснил собеседник РБК.

Глава комитета Госдумы по информационной политике, информационным технологиям и связи Сергей Боярский сказал РБК, что пока не получил письмо от АРПП. РБК направил запрос в Общественную палату.

Читайте РБК в Telegram

Источник