Регулирование / Статьи
информбезопасность персональные данные технологии цифровизация
3.2.2022

Бизнес по персональному согласию

Пользователи и компании смогут передавать посредникам право решения вопроса об управлении собственными данными

Уполномоченными могут стать как ориентированные на прибыль организации, так и некоммерческие структуры (НКО) – это зависит от целей обработки информации. К анализу многостраничных договоров сервисов могут привлечь системы искусственного интеллекта (ИИ). Российский регулятор уже работает над цифровыми платформами управления согласием. Параллельно идут дискуссии об условиях введения в нормативную базу и коммерческий оборот обезличенных данных (ОД). Грамотное законодательство в этой сфере станет драйвером для экономики и ликвидирует серый рынок продажи информации.


ЦИФРОВЫЕ АГЕНТЫ-ПОМОЩНИКИ

15 февраля Всемирный экономический форум (ВЭФ) запускает исследовательский проект по дата-посредникам (ДП) при работе с данными. Эта идея входит в ряд рекомендаций ВЭФ, изложенных в ежегодном докладе неправительственной организации.

ДП будут управлять массивами информации от имени людей, компаний, правительств, сообщила на круглом столе руководитель проектов Центра изучения проблем четвертой промышленной революции ВЭФ Энн Флэнаган. В числе функций ДП – принципиально новый подход к хранению персональных данных (ПД), уведомлению и согласию на обработку личной информации.

Сейчас такие агенты захвачены лидирующими мировыми интернет-корпорациями, констатировала президент Ассоциации больших данных (АБД) Анна Серебряникова. Она отметила, что крупные платформы не контролируются государствами и не внедряют саморегулирование. Эксперт призвала правительства к разработке принципов по управлению ПД для глобальных игроков.

Глава АБД сообщила, что в России аккредитацией цифровых посредников и формированием госзаказа на наборы данных (дата-сеты) займется Минцифры.

Анна Серебряникова, АБД:

– Рынок уже видит эту работу в рамках создания Национальной системы управления данными (НСУД). Но нам нужны дата-сеты не только из госисточников, но и из коммерческих структур, баз умного города и т.д. Разработчики в дальнейшем смогут выбирать, какой ДП им подходит, и обучать модели ИИ.

Глава АБД уточнила, что сертифицированными цифровыми агентами могут стать как коммерческие организации, так и НКО, их полномочия будут зависеть от целей обработки ПД.

А.Серебряникова отметила, что

при введении института дата-посредников рынок вырастет и может получить дополнительную прибыль – порядка 185 млрд рублей


АДАПТАЦИЯ УВЕДОМЛЕНИЙ

Сегодня в законе о ПД 13 правовых оснований для обработки данных, согласие пользователя (СП) – одно из них, констатировал заместитель руководителя Роскомнадзора Милош Вагнер. Операторы не стремятся обрабатывать данные лишь в пределах объемов, установленных законом, стараясь получить данные и согласие на их обработку от человека «на всякий случай».

СП сегодня стало главным инструментом для работы с ПД – компании боятся использовать другие методы из-за сложного регулирования, отметила А.Серебряникова.

Граждане также не понимают свою степень защищенности, когда дают согласие на обработку данных. Не все знают, существует ли возможность отозвать его. Будет ли действительным такое разрешение без шансов на аннулирование.

М.Вагнер отметил, что сегодня сервисы часто вводят людей в заблуждение, манипулируя правовыми основаниями для обработки данных.

По его словам, зачастую согласие человека используется неправильно, в ситуациях, где оно не может быть надлежащим правовым основанием. Например, там, где существуют другие основания для обработки, такие как заключение и исполнение договора или требование закона.

Главная опасность для прав субъектов ПД связана с принуждением к предоставлению согласий. В ряде случаев операторы ПД стараются обеспечить «формальное» соответствие закону, заставляя субъекта подписать согласие. При этом игнорируется сама суть согласия как свободного волеизъявления субъекта в собственном интересе, отметил замглавы Роскомнадзора.

Он объяснил, что согласие может быть надлежащей правовой основой только в том случае, если субъекту данных предлагается контроль над принимаемым решением и подлинный выбор. Если СП оформляется как неоспоримая часть условий использования сервиса, очевидно, что оно не было дано свободно.

Милош Вагнер, Роскомнадзор:

– Мы получаем ситуации, которые европейцы называют dark patterns. Это проявляется, когда согласие включено в договор с клиентом. Человек думает, что может его отозвать, а это не так. Придется разорвать соглашение с оператором. С точки зрения сегодняшнего законодательства о ПД это допустимые условия обработки данных. Нормы нужно менять

Замглавы ведомства добавил, что бизнес должен стремиться исключать практики включения в «обязательный пакет услуг» лишних, ненужных клиенту, сервисов и сбора данных для таких услуг. Например, услуга по бронированию чего-либо никак не связана с опцией по предоставлению рекламы, которую часто навязывают. Такие практики вредны для развития новых технологий, поскольку снижают к ним доверие, в котором они так остро сегодня нуждаются.

Анна Серебряникова, АБД:

– Пользователи устали от всплывающих окон, не читают уведомления мелким шрифтом и не знают, как в реальности обрабатываются их данные.

Глава АБД констатировала, что

традиционная модель уведомления об обработке ПД и сбора согласий исчерпана. Она была разработана для аналогового мира и не учитывает современный уровень развития технологий и человеческое поведение

СП не очень читабельны, написаны сложным юридическим языком, и у простого человека нет времени, чтобы изучать столь длинные правила, согласился заместитель генерального директора, директор по направлению «Нормативное регулирование» АНО «Цифровая экономика» Дмитрий Тер-Степанов.

Крупные платформы сегодня стараются сделать такие документы более понятным широкой общественности, рассказала директор Центра интернета и общества Стэнфордского университета Джин Кинг. По ее словам, с появлением цифровых посредников времени придется тратить меньше. Но готовы ли мы будем доверять таким агентам – вопрос риторический.

Персональный ИИ будет полезен для управления уведомлениями об обработке данных, считает Э.Флэнаган. Робот оценит многостраничный документ и посоветует, принимать ли условия того или иного сервиса.

Замминистра цифрового развития, связи и массовых коммуникаций Александр Шойтов сообщил, что российский регулятор уже работает над умными платформами управления согласием.

Александр Шойтов, Минцифры:

– Соответствующая модель суверенной идентичности разработана в 2020 году в НПК «Криптонит». Суть протокола в том, что ПД передаются только в зашифрованном виде и хранятся у самих пользователей.

По словам А.Серебряниковой, система уведомлений и согласий должна быть адаптирована под текущие цифровые реалии и нужды людей. Необходимо создать модель на базе человекоцентричного дизайна, естественных взаимодействий субъекта с сервисами, данными и устройствами.

Вице-президент ПАО «МТС» Руслан Ибрагимов считает, что должно быть несколько способов подтверждения СП. Не только путем явки и использования электронной подписи, но и за счет применения коммерческих идентификаторов, или, водительских прав.

Эксперт добавил, что в создаваемых сегодня экосистемах процедура оформления согласия могла бы быть чуть проще. Сервис, берущий такое разрешение на входе, должен запускать его в родственные компании, в каждой из которых будут одни и те же условия и оптимальная защита ПД.

Эти и другие вопросы решают сегодня подписанты Кодекса этики использования данных. Документ был утвержден в октябре 2021 года, а теперь к соглашению присоединились сорок компаний. Участники уже разработали семь этических принципов работы с искусственным интеллектом.


ДАННЫЕ В ИНТЕРЕСАХ ИИ

Для опыта обучения ИИ правительство РФ поручило Минцифры к февралю создать план по предоставлению бизнесу доступа к государственным ОД. На первом этапе рынок получит информацию из Россельхознадзора, ФНС, Росстата, Минвостокразвития и Росреестра.

На основе качественных данных формируются наилучшие решения и строятся максимально точные и эффективные модели ИИ, отметил старший управляющий, директор-начальник управления Национального развития AI ПАО «Сбер» Владимир Авербах.

Эксперт уточнил, что согласно Национальной стратегии развития ИИ до 2030 года:

  • дата-сеты, которые хранятся на доступных платформах, необходимо предоставить разработчикам ИИ к 2024 году;
  • к 2030 году объем опубликованных на этих ресурсах наборов данных должен быть достаточным для решения всех актуальных задач в области ИИ.

Расширить условия доступа разработчиков ИИ к массивам информации, хранящейся в госсистемах, необходимо согласно поручению президента РФ, напомнил эксперт Сбера.

Аналитики должны понимать, какие алгоритмы применяет ИИ для работы с данными, считает Э.Флэнаган. По словам представителя ВЭФ, необходимо создать и новую правовую основу для тех граждан, которые хотят отказаться от сбора любых сведений о них.

По мнению А.Шойтова,

нужно искать такие технологические решения, которые способны сохранить качество данных, чтобы их можно было использовать для систем ИИ. В то же время ПД должны быть гарантированно обезличены, чтобы злоумышленники не могли их восстановить


БАРЬЕР ДЛЯ ОБОРОТА

Сегодня закон относит ОД к ПД. Считается, что обезличенные данные с помощью дополнительных ресурсов можно восстановить, определив конкретного человека. Эта норма затрудняет коммерческое использование и оборот ОД, отметил Р.Ибрагимов.

Более свободный правовой режим для их обработки в теории предусматривает Концепция развития ИИ. Однако, по словам эксперта МТС, еще нет ни одной «песочницы» на основе данных, и при таком положении вещей успех подобных пилотных проектов вряд ли возможен.

Руслан Ибрагимов, ПАО «МТС»:

– Дискредитируется юридический институт обезличивания, а бизнес, основанный на данных, рискует уйти в серую зону, если ничего не менять.

Три года Минцифры и бизнес ищут решение, связанное с подходом к обработке ПД, констатировал Д.Тер-Степанов.

Президент АБД отметила, что в России сложилась парадоксальная ситуация – общее регулирование в отношении защиты данных остановилось, и рынок находится в стадии дискуссии, а специализированное – двигается вперед.

Анна Серебряникова, АБД:

– Например, в области медицины приняты нормативные акты, которые позволяют работать с анонимизированными медицинскими ПД. В промышленности сейчас ведется разработка законопроекта, который разрешит собирать данные и выработать стандарты для обмена ими.

Базовые нормы не закреплены, а инициатив вокруг ОД появляются. Так в январе 2022 года Госдума приняла закон о предоставлении Росстату обезличенных данных ПФР.

Законопроект о том, что бизнес сможет свободно обрабатывать ОД, в октябре прошлого года принят только во первом чтении.

Милош Вагнер, Роскомнадзор:

– Нужно попробовать применить существующее в ЕС понятие «анонимизация» к нашим реалиям. Определив в какой момент данные перестают быть персональными, в том числе обезличенными, и становятся анонимными, то есть ни при каких условиях не относимыми к определенному или определяемому лицу.

М.Вагнер предупредил, что сложится ситуация, когда в случае незаконной обработки ОД пользователям будет невозможно восстановить свои права, обращаясь в РКН или суд. Поскольку никаких прямых идентификаторов, которые может привести человек в качестве доказательств (ФИО, телефон, адрес и т.д.) принадлежности ему данных, обезличенные данные не содержат.

А.Серебряникова сообщила, что в части развития стандартов для ОД ассоциация в конце 2021 года подписала соглашение с Академией криптографии.

В.Авербах конкретизировал, что

нужно установить правовой режим для анонимизированных – полученных в результате необратимого обезличивания – данных и разработать методику анонимизации

Р.Ибрагимов добавил, что необходимо предусмотреть запрет на восстановление ОД, а также ответственность за нарушение закона в случае деобезличивания.

Э.Флэнаган посоветовала саморегулируемым организациям и законодателям создавать такие документы, которые будут понятны пользователям. В том числе с помощью технологий визуализации. Консультативный комитет ВЭФ занимается такой деятельностью в рамках политик управления данными. Эксперт ВЭФ в том числе рекомендовала российским коллегам придерживаться тренда на позитивное регулирование. Например, использовать меры стимулирования как инструмент поощрения этичного поведения бизнеса при сборе данных.

Фото: AdobeStock

ЕЩЕ ПО ТЕМЕ:

Обезличить до неузнаваемости
Законодатели и рынок пытаются понять – нужна ли данным анонимность

Еще по теме

Что нужно знать родителям о влиянии искусственного интеллекта на детей

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании