Рейтинг@Mail.ru
home

01.11.2018

Неуправляемые данные

Обрабатывать так называемые «большие данные» (big data) разрешат только с согласия или, как минимум, предупреждения самих пользователей. Такой порядок предусмотрен внесенным в Госдуму законопроектом. Но основные проблемы использования пользовательской информации владельцами сайтов, операторами связи и иными участниками рынка не урегулируются.

01.11.18. АПИ — Действующее российское законодательство и акты Евросоюза детально регламентируют порядок обработки персональных данных – идентифицирующих личность сведений. В свою очередь под «большими данными» понимается массив информации, связанной с пользователями, но не позволяющей определить конкретное лицо. Формально под такие критерии попадают даже номера телефонов и адреса электронной почты. Собирать, накапливать, продавать и использовать такую информацию в настоящее время можно практически без ограничений.

Жизнь в вакууме

Чаще всего «большие данные» собираются через Интернет или при получении услуг связи. Например, почти на всех серверах фиксируются так называемые «куки» (cookie), позволяющие отслеживать действия пользователя – узнать, какие сайты он смотрит, какие делает поисковые запросы и так далее. Используя эти сведения, специальные сервисы (в том числе AdWords, принадлежащий корпорации Google) настраивают выдачу соответствующей рекламы.

По общему мнению экспертов и представителей государственных органов, вопрос обработки «больших данных» законодательно в настоящее время не урегулирован ни в России, ни в большинстве других стран. Это приводит к конфликтам и нарушениям прав граждан. «Значительное количество компаний предоставляют сервисы бесплатно, но забирают наши «большие данные». Сегодня в российском национальном законодательстве и международных актах нет кодификации понятия «большие данные», об этом идут дискуссии. Нужно говорить не только о преимуществах «больших данных», но и об их регулировании. Создавать такие нормы нужно совместно государству с бизнес-сообществом. Только партнерство и диалог дадут приемлемый результат», – убежден руководитель Роскомнадзора Александр Жаров. «Задача государства – за стремлением к техническому прогрессу, экономическому росту не забывать о том, что у нас в Конституции России охраняется тайна частной жизни. Мы должны понимать, как работают алгоритмы и аналитика «больших данных» отражается на жизни граждан», – еще полтора года назад заявил помощник Президента России Игорь Щеголев.

Единого мнения о пути регулирования big data у экспертов нет. Старший научный сотрудник НИУ «Высшая школа экономики» (ВШЭ) Александр Савельев полагает, что имеющие связь с физическим лицом «большие данные» будут подпадать под понятие персональных данных. «Следовательно, создавать какой-то параллельный правовой режим крайне нецелесообразно – это породит коллизии и избирательное правоприменение. Отталкиваться в данном случае нужно от внесения изменений в законодательство о персональных данных. На обезличивание нельзя возлагать много надежд – в условиях big data их можно потенциально слинковать. Технологии обезличивания, прописанные в приказе Роскомнадзора, устарели. Но все же обезличенные данные несут меньший риск, и в их отношении можно создать более льготные условия обработки без согласия субъектов. Также стоит сделать больший акцент на саморегулировании – отрасли должны в тандеме с государством устанавливать правила обработки данных с учетом своей специфики деятельности», – заявил Александр Савельев на Петербургском международном юридическом форуме.

Разделяй и продавай

По мнению депутата Госдумы Михаила Романова, «правовой вакуум» в сфере регулирования больших пользовательских данных в России лишает физических лиц (пользователей) должной правовой защиты и поддержки: «Ежедневно в результате использования различных социальных сетей, сервисов, устройств и других информационных технологий пользователи оставляют о себе в сети Интернет огромный массив обезличенной информации, которую принято называть «большими пользовательскими данными». Данная информация в результате автоматизированной обработки позволяет определять отдельные пользовательские характеристики, которые в дальнейшем используются операторами для собственных целей либо передаются ими другим заинтересованным лицам. При этом такие данные не являются персональными», – полагает парламентарий.

Подготовленный им законопроект признает «большими пользовательскими данными» совокупность информации о гражданах и их поведении, собираемой из различных источников и включающей не менее тысячи сетевых адресов. При этом такой массив не должен содержать персональных данных – возможности идентификации конкретных личностей без получения дополнительных сведений. 

Предполагается, что обрабатывать информацию о действиях пользователя для собственных нужд (например – те же «куки») можно будет без ограничений. Единственное обязательное условие – разместить на сайте соответствующее предупреждение. В свою очередь сбор «больших данных» в интересах третьих лиц разрешается, только получив информированное согласие самих пользователей в электронном виде. Кроме того, компании (операторы), обрабатывающие включающие более 100 тысяч сетевых адресов массивы, обязаны зарегистрироваться (направить уведомление) в Роскомнадзоре.

Цифровая свобода

Эксперты неоднозначно относятся к предложенному механизму. С одной стороны, он уточняет границу между персональными и «большими данными». В частности, упрощается обработка тех же «куков», если они только не связываются с конкретными гражданами (при регистрации в «Личном кабинете», авторизации через социальные сети и так далее). Снимаются ограничения и на сбор информации для собственных нужд компаний. Например, многие гипермаркеты для анализа проведения покупателей используют системы идентификации лиц посетителей, отслеживают их интересы (по каким отделам и как проходят) и покупки. Поскольку такие сведения опять же не включают персональные данные (фамилию покупателя), для их легитимной обработки достаточно будет разместить краткое уведомление на сайте.

Не решает законопроект и проблемы так называемых «веерных» рассылок и даже телефонной обзвонки. Действующее законодательство запрещает использование персональных данных для прямых контактов в целях продвижения товаров, работ, услуг на рынке и политической агитации, а также несанкционированную получателем электронную рассылку рекламы. Однако нередко даже коммерческие компании организуют прозвонку по случайным номерам с целью проведения опросов и в иных целях, которые формально не являются рекламой. Равно как свои новости рассылают учреждения культуры, образования и иные формально некоммерческие организации. Согласно разъяснениям Роскомнадзора, просто адрес электронной почты или номер телефона не относятся к персональным данным, а потому в рамках предложенного механизма подобные рассылки и обзвоны можно будет проводить без согласия получателей информации. 

В то же время для передачи «куков» или иных данных о поведении посетителя сайта (открываемых страницах, поисковых запросах и иных) третьим лицам, в том числе рекламным службам, необходимо будет получить от пользователя разрешение. По мнению генерального директора компании WebMaster.Spb Андрея Рябых, это можно будет сделать, например, выводя окно с кнопкой «согласиться» при первом заходе на сайт.

Отметим, что еще в марте в Госдуму уже был внесен законопроект, регламентирующий вопрос использования как криптовалют, так и big data (АПИ писало об этом – Цифровые активы, деньги и «большие данные» могут легализовать). Но на сегодняшний день он принят только в первом чтении.

Большая экономика

Не урегулирует законопроект Михаила Романова и проблему принадлежности big data. «Большие данные – это мертвые данные. Они из себя ничего не представляют, пока мы не начали их обрабатывать», – полагает директор по связям с государственными органами ПАО «МегаФон» Дмитрий Петров.

На практике массивы собранных в интернет сведений присваивает себе сам сборщик. Согласно действующему Гражданскому кодексу РФ, обрабатывающий такую информацию оператор получает исключительные права изготовителя базы данных. Единственное условие – включение в массив не менее 10 тысяч записей. Копирование такой базы данных или извлечение из нее существенной части без согласия правообладателя запрещается. Причем такие права охраняются в течение пятнадцати лет с момента последнего обновления. Учитывая, что чаще всего база данных актуализируется ежедневно, срок защиты становится практически бесконечным. К тому же в большинстве случаев даже через несколько лет собранные сведения теряют актуальность, и, соответственно, коммерческую ценность.

Крупнейшие действующие операторы «больших данных» и глава Роскомнадзора Александр Жаров ориентируются на ставший неписаным для сети Интернет стандарт «бесплатный сервис в обмен на данные»: «Если даете согласие – вы получаете одну цену на услуги, если не даете – другую. Если гражданин отзывает согласие на обработку его данных бесплатной почтой, он должен за нее платить», – убежден управляющий директор по IT-проектам консалтинговой компании USM Advisors LLC Михаил Дубин. Такие правила зафиксированы в пользовательских соглашениях большинства социальных сетей и иных сервисов (АПИ писало об этом – Кому принадлежат большие данные).

Приватное пространство

Нерешенной остается и проблема идентификации big data. Согласно законопроекту, владельцы массивов вправе устанавливать личность, только получив запрос от органов, осуществляющих оперативно-розыскную деятельность. В свою очередь, условия и порядок исполнения таких требований не определены, что позволяет экспертам сомневаться в соблюдении гарантированной Конституцией России тайны связи.

Кроме того, при создании «больших пользовательских данных» операторы нередко так или иначе вторгаются в тайну переписки. Например, также система таргетирования рекламы AdWords анализирует содержание переписки через Gmail. По логике оператора, опосредованное согласие на такую обработку и получение рекламы (баннеров и контекста) является своего рода вознаграждением со стороны пользователя за бесплатный сервис. С этим не согласился юрист правозащитной организации «Сутяжники» Антон Бурков – рассмотрев его иск, Московской городской суд пришел к выводу, что размещая рекламу, Google руководствовался результатами мониторинга электронной корреспонденции, тем самым нарушив тайну переписки пользователя. «Доказательств об обратном со стороны ответчика не представлено», – заключил суд.

Справка

По прогнозам The Boston Consulting Group, к 2025 году в России оборот отрасли «больших данных» достигнет 100 млрд долларов, еще 15 трлн долларов добавленной стоимости big data будет создано в других отраслях. 

Мнения

 

Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры»

На данном этапе предложенное регулирование представляется преждевременным и бессмысленным. Оно необходимо только в том случае, если будут очевидны цель установления тех или иных норм, механизмы контроля за их исполнением и последствия их невыполнения.

В частности, установление формы информированного согласия анонимного пользователя на передачу его данных вообще представляется абсурдом. Если же согласие будет содержать идентифицирующие данные, то это будет противоречить Федеральному закону «О персональных данных». Равно как законопроект умалчивает, кто и как будет считать количество пользователей, как можно доказать согласие анонимного пользователя на передачу его данных, что произойдет, если оператор не будет делать ничего, предусмотренного законом, и так далее.

Законопроект, безусловно, затрагивает и деятельность иностранных компаний. В случае их направленности на российских граждан они должны будут действовать по тем же правилам. Как показали истории LinkedIn и Telegram, достаточно использования на сайте русского языка. 

Рузанна Ахобекова, юрист компании Dentons

Сама инициатива правового регулирования больших данных заслуживает только поддержки. С одной стороны, для компаний чрезвычайно важно понимать правовой режим и пределы использования такой информации. С другой – необходимо обеспечить интересы пользователей и не допустить злоупотреблений операторов. 

Однако в случае принятия законопроекта в данной редакции имплементация благой инициативы будет явно не на высоте. По сути возникающие на практике вопросы не решаются, а прописанные меры весьма слабо будут защищать интересы пользователей. Сам правовой режим больших пользовательских данных почти так же не определен, как и прежде: являются ли они объектами гражданских прав, кому принадлежат, на каких условиях могут передаваться или продаваться и так далее? Представляется, что вопрос регулирования больших данных должен решаться комплексно, возможно, посредством принятия нескольких взаимосвязанных проектов.

Также не совсем понятно, почему инициаторы проекта выделяют только данные интернет-пользователей и абонентов связи. Значит, ли это, что, например, банки и медицинские компании не могут быть операторами больших данных?

Вместе с тем законодательство большинства зарубежных стран, в том числе США и стран Европы, также не содержит специального правового регулирования больших данных. А вот в Японии оно детально определено: big data признаются обезличенные определенным образом персональные данные.

Константин Суворов, партнер юридической фирмы «Косенков и Суворов»

В представленном законопроекте много чисто ритуальных действий (уведомление, реестр, информирование), но сам по себе он, с одной стороны, не решает проблему легализации фактически существующего оборота больших данных, а, с другой, не дает пользователям никакой дополнительной защиты и прав к тем, которыми они уже располагают в рамках закона «О персональных данных». 

Кроме того, «большие данные» могут относиться к разным отраслям (например, характеризовать геофизические процессы). В законопроекте речь идет только о «больших пользовательских данных», относящихся, очевидно, к людям. Но при этом вопрос отделения их от персональных не решается. Например, пользователь почему-то должен давать свое согласие на обработку «больших данных», которые к нему не относятся. 

С целью обеспечения прав пользователей и единообразного применения норм права к российским и иностранным IT-компаниям закон должен распространяться и на деятельность иностранных платформ, работающих на российском рынке.