Бизнес и государство активно используют технологии больших данных (BigData)
— их развитие предусмотрено уже десятками национальных стратегий и
государственных программ. Но юридический статус такой информации и ее
принадлежность остается неопределенным, а добросовестная обработка может
обернуться многомиллионными штрафами.
Согласно базовому сценарию
Стратегии развития рынка больших данных в этом году он вырастет почти до 320
млрд рублей, а потенциальный эффект для экономики оценивается в 1,6 трлн. В
Ассоциации больших данных убеждены, что для достижения целей требуется
«сбалансированная система ответственности за нарушения». Тогда как ужесточение
санкций может обернуться снижением эффективности на 60%.
Фото: PixabayЧто в
имени тебе моем
Основным источником BigData чаще всего являются обезличиваемые персональные
данные. Например, для таргетирования интернет-рекламы крупнейшие сайты,
владельцы почтовых сервисов и социальные сети автоматически обрабатывают
поисковые запросы и даже переписку пользователей. Удаляя имена, ники, адреса и
другие идентифицирующие личность сведения, такие массивы могут передаваться или
даже продаваться третьим лицам.
По закону обезличивание персональных данных должно исключать возможность
идентификации включенных в массив граждан. Но юристы отмечают отсутствие
правового понятия «большие данные»: «Равно как и требований к обезличиванию
персональных данных частными операторами. Поэтому бизнес вынужден применять
действующие нормы виртуозно, чтобы оставаться в правовом поле», – констатирует
руководитель практики «Медиаправо» юридической фирмы Intellect Михаил Хохолков.
«На сегодняшний день регулирование оборота BigData рудиментарно. Непонятно
даже: большие данные — это частный случай информации, или информация – это
частный случай BigData. Равно как ни один из методов обезличивание персональных
данных не гарантирует невозможность обратного восстановления и, следовательно,
привлечения оператора к ответственности. Кроме того, полностью обезличенные
сведения не обладают никакой коммерческой ценностью и пользователю BigData не
нужны», – убеждена вице-президент Федеральной палаты адвокатов Елена Авакян.
Действующая «методичка»
Роскомнадзора регулирует обезличивание только государственными и муниципальными
органами. Со стороны бизнеса (в том числе Ассоциации больших данных)
неоднократно высказывались предложения создать национальный стандарт
конфиденциальности такой информации, но пока единого документа не существует.
При этом в отсутствие требований к анонимизации частными операторами
законодатели последовательно ужесточают ответственность за любые нарушения
требований по обработке персональных данных. В Госдуме уже рассматривается
проект введения за такие проступки оборотных штрафов. Они, как и предполагали
авторы Стратегии развития рынка больших данных, могут, по сути, сделать использование
BigData нерентабельным. Причем ошибка в деперсонификации каждой записи
рассматривается как самостоятельное правонарушение, то есть несоблюдение
несуществующих требований при формировании массива на основе скажем миллиона
субъектов обернется для оператора многомиллиардным штрафом.
«Если несколько граждан пожалуются в Роскомнадзор на неправильное
обезличивание их данных, то на оператора может быть наложено соответствующее
количество административных штрафов (каждый от 60 до 100 тысяч рублей)», –
поясняет Михаил Хохолков.
Соберем,
все засеем и вспашем
Спорной остается и легитимность обработки находящихся в открытом доступе
персональных данных, например – размещенных сами пользователями в социальных
сетях. Так, еще примерно в 2016 году частная компания «Дабл» пропарсерила все
аккаунты «ВКонтакте», «Одноклассников», «МойМир», «Twitter», Avito, «Авто.ру» и
другие популярные площадки, собрав сведения о пользователях, их предпочтениях,
социальных связях и так далее. Агрегированный массив продали Национальному бюро
кредитных историй, которое использовало его для анализа кредитоспособности
потенциальных заемщиков.
Роскомнадзор уличил компанию в незаконном сборе персональных данных, а
владелец «ВКонтакте» – нарушении прав на базу данных. Судебное разбирательство
длилось пять с половиной лет, ООО «Дабл» согласилось подписать мировое
соглашение и отказаться от несанкционированной обработки аккаунтов. А
законодатели ввели требование о допустимости обработки представленных в
открытый доступ персональных данных только с отдельного добровольного
письменного согласия самого пользователей.
Вместе с тем эксперты сомневаются в эффективности этой меры.
«Роскомнадзор не проводит инструментального контроля – не проверяет фактическую
обработку персональных данных. По сути, он формально исследует представляемые
самим оператором документы. Реальные нарушения могут быть выявлены только если
спорная информация будет раскрыта, в том числе в результате утечки», – полагает
частнопрактикующий юрист Светлана Жукова.
Генеральный директор компании «Крибрум» Игорь
Ашманов видит риски злоупотребления использования даже обезличенных
сведений: «Допустим, девушка идет на «Яндекс» и ищет товары для беременных.
Потом эти данные связываются с резюме на HeadHunter и работодателю становится известно о
беременности потенциальной сотрудницы. Все вместе это образует уголовно
наказуемое деяние – отказ в трудоустройстве по причине беременности. Также
можно вычислить, скажем, раковых или психиатрических больных, и так далее. И
потом «втюхивать» им определенные лекарства. Идентификаторами пользователя
могут быть, например, набор названий Wi-Fi сетей или Bluetooth-окружение, хотя
персональными данными эти сведения не являются», – предупреждает Игорь Ашманов.
Смотрю в
озера тихие
Регламентировать оборот BigData признан федеральный
закон,
принятый 8 августа и вступающий в силу 1 сентября 2025 года. Ряд компаний
обяжут передавать в государственную информационную систему (именуемую
«Госозеро») обезличенные персональные данные своих клиентов. Критерии отбора
такой информации и порядок их деперсонификации должно определить правительство
России.
Кроме государственных органов собранный массив сможет приобрести бизнес.
Но только российский и законопослушный – в целях обеспечения информационной
безопасности доступ к «Госозеру» будет закрыт для компаний с запятнанной
репутацией, а также имеющих даже косвенные связи с заграницей (включая
«дружественные» страны).
По словам Елены Авакян, проект «Госозеро» направлен на обмен BigData с
целью обучения нейросетей. «Сейчас основным объемом больших данных обладают
крупнейшие компании, тогда как небольшие IT-стартапы этой возможности лишены.
Предполагается, что операторы BigData будут передавать массивы в «Госозеро»,
условия использования которого пока не определены», – поясняет эксперт.
Доходы от использования таких BigData, предположительно, будет получать оператор
«Госозера». Тогда как расходы и риски возможного раскрытия персональных данных
– компании, которым предписали бесплатно анонимизировать и отдавать в
государственную систему клиентскую информацию.
Равно как никто не спрашивает согласия на раскрытия этих сведений у
самих граждан (субъектов персональных данных), лишаются они реальной
возможности и как-либо возражать против распространения информации об их жизни.
Подзаконные акты, призванные установить условия работы «Госозера», пока
не разработаны.