Что в профиле тебе моем?
Бизнес и чиновники разрабатывают принципы регулирования «общедоступных персональных данных»
Министерство экономического развития России до конца года собирается внести в правительство законопроект, предусматривающий регулирование общедоступных данных (ОД). Перед авторами документа стоит непростая задача: обеспечить условия для развития бизнеса и одновременно защитить граждан от вмешательства в их частную жизнь. Правоприменительная практика при регулировании ОД только начинает формироваться.
Что на практике?
Проект закона об ОД, который определит порядок их обработки, должен быть разработан Министерством экономического развития (МЭР) и внесен в правительство РФ в четвертом квартале 2018 года.
Подготовка документа предусмотрена планом мероприятий по нормативному регулированию в рамках нацпроекта «Цифровая экономика РФ».
В МЭР сообщили RSpectr, что
в настоящее время работа над текстом законопроекта продолжается, это обусловлено как сложностью предмета регулирования, так и социальной значимостью вопроса
По мнению ведомства, вопросы ОД необходимо регулировать комплексно, поскольку они важны и как часть персональных данных (ПД) граждан, и как потенциальный объект охраны права интеллектуальной собственности. «Исходя из этого, предлагаемый режим регулирования, даже если он будет заключаться в либерализации работы с таким типом данных, должен учитывать международные обязательства России, а также сохранять баланс между интересами свободы экономической деятельности, основанной на использовании данных, и правами лиц, чьи данные используются», – отметили в пресс-службе министерства.
Действующее российское законодательство не содержит четкого определения «общедоступных персональных данных» в интернете, поэтому до принятия соответствующих поправок ответ на этот вопрос лежит в области правоприменительной практики.
К проблеме обработки ОД существует два основных подхода.
1. Информация, размещенная в интернете, в том числе в социальных сетях, является общедоступной, и ее можно обрабатывать с любой целью без согласия субъекта.
2. Такие данные могут обрабатываться либо с той целью, с которой они размещены в соцсети, либо на основании отдельного согласия субъекта.
Выступая на международной конференции «Защита персональных данных», директор по правовым вопросам Mail.Ru Group (среди ее активов крупнейшие российские социальные сети «ВКонтакте» и «Одноклассники», а также ряд других пользовательских сервисов) Антон Мальгинов сообщил: в мировой практике прослеживается подход, основанный на том, что
данные в интернете не являются автоматически общедоступными; ответственность за информацию пользователей должны нести площадки
«Вряд ли концепция абсолютно свободной обработки данных реализуема в долгосрочной перспективе», – полагает А. Мальгинов.
Врио заместителя руководителя Роскомнадзора Юрий Контемиров рассказал, что при рассмотрении случаев с возможным нарушением прав субъектов персональных данных ведомство руководствуется тремя основными критериями: цель обработки ПД, правовые основания, наличие полномочий оператора ПД.
«По нашему мнению, использование ПД из общедоступных источников возможно только с теми целями, для которых они были там размещены. Кроме того, должно быть согласие гражданина, а также разрешение интернет-площадки, с которой человек заключил пользовательское соглашение. Наконец, нужно понимать, что не каждая компания вправе обрабатывать ПД, для этого она должна обладать специальными полномочиями», – заявил Ю. Контемиров.
В чем опасность?
Особое беспокойство людей вызывают данные, которые они сами же делают общедоступными, выкладывая фотографии, размещая личную информацию на разных ресурсах.
По данным доклада Edelman Trust Barometer,
за 2017 год 40% пользователей по всему миру удалили как минимум один аккаунт по единственной причине – они не были уверены, что площадки правильно обращаются с их личной информацией
Подобные исследования есть и у нас. Согласно опросу, проведенному Всероссийским центром изучения общественного мнения (ВЦИОМ) [1], отношение к использованию данных в соцсетях как операторами коммуникационных площадок, так и третьими лицами в основном негативное (60 и 56%). При этом каждый второй респондент (52%) считает, что это не несет никаких рисков.
Угроза пользователю возникает тогда, когда личная информация, которой он делится в целях коммуникации, обрабатывается оператором в иных, коммерческих целях, отмечает доктор юридических наук, ведущий научный сотрудник Института права и развития ВШЭ-Сколково Елена Войниканис.
Самой распространенной целью является директ-маркетинг, но это может быть также кредитная история, оценка страховых рисков, лояльности к работодателю и т. д. «Важно, что обработка пользовательских данных предполагает сбор информации об активности человека, включая поисковые запросы, время пребывания на сайте, обмен сообщениями, данные геолокации и т. п., то есть фактически означает отслеживание поведения в сети Интернет и за ее пределами», – указывает Е. Войниканис.
Отслеживание, по ее словам, необходимо рассматривать в контексте соблюдения конституционного права на неприкосновенность частной жизни. «При таком подходе становится понятной позиция Роскомнадзора, который отстаивает важность принципа целевого использования ПД. Пользователи размещают информацию в определенных целях, поэтому сбор и обработка ПД в целях, которые несовместимы с первоначальными, несомненно, нарушает их права», – уверена Е. Войниканис.
Достижим ли баланс?
Сбор и обработка информации о пользователях нужна компаниям как для развития бизнеса, так и для разработки новых технологий. При этом крупные интернет-площадки хотят монетизировать накопленный объем данных, другие игроки – получить к ним доступ.
«Сегодня общедоступные персональные данные представляют колоссальную ценность для бизнеса. Они используются в интернет-коммерции, с их помощью ритейлеры формируют индивидуальные предложения для потенциальных покупателей, интернет-маркетологи настраивают таргетированную рекламу. Публикуемые пользователями данные – золотая жила для социальных сетей, зарабатывающих на интернет-рекламе», – констатирует заместитель директора Центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин.
По словам эксперта, в настоящее время закон «О персональных данных» (152-ФЗ) описывает порядок признания данных общедоступными таким образом, что, строго говоря, он не выполняется практически никакими интернет-сервисами. Этот правовой вакуум должен быть устранен, уверен А. Янкин. Он полагает, что речь должна идти не об отдельном законе, а о внесении изменений в 152-ФЗ и в закон «Об информации, информационных технологиях и о защите информации» (149-ФЗ).
Директор по маркетингу дата-центра Xelent Илья Рогов отмечает:
преимущество сегодняшней позиции заключается в том, что в мире уже сложились две основные модели регулирования ОД
В США в вопросе обработки общедоступных данных в приоритете интересы развития рынка, поэтому сведения собираются и хранятся практически свободно, за некоторыми небольшими исключениями. Это дает широкие возможности для компаний, которые собирают, обрабатывают и используют Big Data. С помощью полученной информации они развивают и оптимизируют бизнес.
В Евросоюзе в этом вопросе действует приоритет прав и свобод гражданина. По закону данные не могут быть коммерциализированы. И почти для всех случаев требуется дополнительное согласие на их обработку, с указанием цели использования этой информации.
«Нам остается проанализировать наиболее успешный опыт, взять лучшее и модифицировать это под российские реалии. При этом очень не хотелось бы, чтобы восторжествовал подход, который создаст дополнительные препятствия на пути развития компаний и проектов, связанных с Big Data», – говорит И. Рогов.
Нельзя лишать людей контроля над личной информацией только потому, что ничем не ограниченное использование данных может содействовать развитию бизнеса, возражает Е. Войниканис. С другой стороны, по ее словам, технологии обработки больших данных способны принести пользу как экономике, так и обществу в целом.
«Достижение баланса между инновациями и правом на неприкосновенность личной жизни является трудной, но выполнимой задачей. Значимые шаги в этом направлении делаются уже давно. Принцип прозрачности процедуры обработки данных, удобства в использовании настроек приватности, а также по сути технический принцип, согласно которому требования по обеспечению конфиденциальности должны учитываться уже при разработке технологий (privacy by design), доказали свою работоспособность», – рассказала эксперт.
Следует иметь в виду, добавляет Е. Войниканис, что защита ПД важна не только для самих пользователей, но и для бизнеса, поскольку не только обладание большими данными, но и доверие людей является значимым конкурентным преимуществом.
* * *
И чиновники, и отраслевые эксперты сходятся во мнении, что правовой баланс между консервативным и либеральным подходами к регулированию общедоступных данных не только позволит развивать цифровую экономику, но и обеспечит защиту прав граждан на неприкосновенность личной жизни.
Изображение: RSpectr, freepik.com
________
[1] Опрос ВЦИОМ проводился 24–25 сентября 2018 года совместно с проектным офисом по реализации национальной программы «Цифровая экономика» Аналитического центра при правительстве РФ. В опросе приняли участие 3,2 тыс. респондентов от 18 лет.
