Регулирование / Статьи
персональные данные
6.9.2019

Большие, общедоступные и все-все-все

Участники рынка данных анонсировали появление этического Кодекса


Персональную информацию граждан РФ защищает отраслевой закон, принятый 13 лет назад. С развитием технологий появились новые понятия – «большие пользовательские данные» (БПД) и «общедоступные данные» (ОД). Чиновники и эксперты говорят о необходимости их регулирования и ищут правовой баланс между консервативным и либеральным подходами. А участники рынка разрабатывают Кодекс этики использования данных.

ОТРАСЛЕВОЕ СОГЛАШЕНИЕ

Институт развития интернета (ИРИ) сообщил о разработке Кодекса этики использования данных. Документ станет актом самоорганизации участников рынка, которые готовы возложить на себя ответственность по защите пользователей и этичному отношению друг к другу.

Разработчики Кодекса – ИРИ и Ассоциация участников рынка больших данных (АБД), в которую входят «Яндекс», Mail.ru Group, «Сбербанк», «Газпромбанк», «Тинькофф Банк», «МегаФон», «Ростелеком», Qiwi и другие. В его создании участвовали также отраслевые экспертные организации, такие как Медиа-Коммуникационный Союз (МКС), Российская ассоциация электронных коммуникаций (РАЭК), Региональная общественная организация «Центр Интернет-технологий» (РОЦИТ).

Отмечается, что

Кодекс будет распространяется на все отношения со всеми видами данных

Он закрепит основные принципы взаимодействия государства, граждан и бизнеса в сфере данных и обозначит границы допустимого поведения для участников рынка.

Работа над Кодексом на финальной стадии, документ будет представлен осенью. Сейчас идет верификация положений экспертным сообществом.
Для компаний, присоединившихся к Кодексу, будет создан реестр, доступный на специальном интернет-сайте. Санкциями за неисполнение положений отраслевого соглашения станет исключение из списка.

Сергей Петров, генеральный директор ИРИ:

– Рынок данных проходит стадию становления. И сегодня очень важно выработать подходы и правила, которые позволят развиваться бизнесу и при этом защитить пользователей. Длительность законодательного процесса создает условия отставания регуляторной базы. При этом независимо от того, как будет определено законодательство, всегда остаются аспекты, не поддающиеся однозначной интерпретации. И здесь выходом может стать отраслевое соглашение, разработанное и поддержанное игроками. Оно может стать базой для будущих законодательных инициатив.

По словам С. Петрова, документ будет пополняться нормами по мере развития рынка.

В Фонде развития интернет-инициатив (ФРИИ) подчеркивают, что

Кодекс – это совокупность этических положений, которые участники АБД договорились соблюдать

«Кодекс, несмотря на такое название, не может содержать нормативных положений, менять что-то в законодательстве или быть обязательным для граждан или третьих лиц. С этой точки зрения мы относимся к нему положительно, как к любому документу, в котором представители бизнеса пытаются закрепить положения, относящиеся к их внутренним взаимоотношениям», – отмечает директор по правовым инициативам ФРИИ Александра Орехович.

В свою очередь председатель комитета Государственной думы по информационной политике, информационным технологиям и связи Леонид Левин в своем комментарии RSpectr сообщил, что Кодекс может стать основой будущих законов.

Леонид Левин, председатель комитета Государственной думы по информационной политике, информационным технологиям и связи:

– История развития интернета демонстрирует, что наиболее эффективные и работающие правила были созданы самими участниками цифровой индустрии на основе многосторонних договоренностей. В этом контексте разработка Национального кодекса этики является правильным шагом, поскольку он, хотя и не имеет силы закона, но должен исполняться по доброй воле сторон. Отдельно стоит подчеркнуть, что работа над этим документом уже стимулирует разноплановые обсуждения с участием представителей цифровой индустрии, общественных организаций и органов госуправления, что поможет выявить актуальные потребности и ожидания, наметить первоочередные задачи и ограничения.

Принятие Кодекса этики для участников рынка данных не только позволит подойти к решению ряда комплексных вопросов в сфере использования данных, но и может быть первым шагом к выработке будущих законодательных решений.


КАК ЭТО БУДЕТ РАБОТАТЬ

Решение о включении той или иной компании в реестр будет принимать специальный орган – независимый Центр управления, регистрации и контроля за исполнением Кодекса.

Он же будет рассматривать обращения и жалобы как от пользователей, так и от компаний, если тот или иной участник реестра нарушает правила работы с данными.

Подробно о документе рассказал руководитель правового департамента АБД Никита Данилов в рамках круглого стола в Общественной палате РФ.

По его словам, в Кодексе прописано, что сбор, хранение и использование данных без наличия законных оснований недопустимы. Недобросовестная практика – это применение различных способов и средств для преодоления средств защиты, а также незаконный сбор со стороны третьих лиц.

Никита Данилов, руководитель правового департамента АБД:

– Также в нашем Кодексе мы предлагаем установить, что третье лицо должно удостовериться в том, что пользователь разрешил собирать и обрабатывать его данные в тех или иных целях. Если компания присоединилась к Кодексу, это является гарантией для пользователей, что организация добросовестна, этична и обрабатывает такую информацию в соответствии с законодательством. Если же кто-то не присоединится, это не значит, что компания будет помещена в черный список.

Кодекс этики в том числе направлен на повышение осведомленности граждан о технологиях обработки данных и форматах отраслевого взаимодействия между участниками рынка, отметил в комментарии для RSpectr исполнительный директор АБД Алексей Нейман.

«Это будет открытый и “живой” документ, в который могут вноситься корректировки и дополнения с учетом рыночных изменений», – сказал он.


НОВЫЕ ПОНЯТИЯ

Сегодня на рынке наиболее часто используются два понятия: «большие пользовательские данные» и «общедоступные данные».

Разницу между ними для RSpectr объяснил руководитель Отдела специальных разработок АО «Технопарк Санкт-Петербурга», основатель компании «Интернет-Розыск» Игорь Бедеров.

  • Общедоступные, или опубликованные данные. Это персональные и иные данные, размещенные для неограниченного круга лиц самим субъектом ПД с его согласия или в рамках исполнения государством своих функций. К их числу можно отнести формирование и обновление различных государственных автоматизированных систем и сервисов. Согласно закону «О персональных данных», обработка ОД не требует получения согласия.
  • Большие пользовательские данные. Это структурированные и неструктурированные данные огромных объемов и разнообразия.

Руководитель аналитического направления Адвокатского бюро «Прайм Эдвайс Санкт-Петербург» Татьяна Терещенко уточнила, что к БПД относят любые собираемые данные о частных лицах с помощью поисковиков в интернете, мобильных устройств и содержащихся в них приложений, камер видеонаблюдения и т. п.

Такая информация может содержаться и собираться где угодно: геолокационные метки и содержание постов в соцсетях, фотографии и комментарии, финансовые транзакции, покупки в онлайн-магазинах… Она не представляет интереса сама по себе. Ценность имеют результаты ее обработки и анализа, выводы, которые можно сделать на основе сопоставления большого количества обезличенных сведений с целью составления того или иного типового портрета, прогноза.

Например, их можно использовать для маркетинга и продвижения конкретных товаров для определенных групп лиц, для оценки кредитной способности заемщика и многого другого.

«Большие данные неразрывно связаны с результатами деятельности по их аналитике. Сбор информации без изучения соответствующих закономерностей и разработки тех или иных решений, имеющих экономический эффект, теряет смысл», – подчеркивает Т. Терещенко.


ПОПЫТКИ РЕГУЛИРОВАНИЯ

Законов в сфере БПД и ОД пока нет.

Идея принятия отдельного закона о БПД обсуждается уже не один год. В 2016 году руководитель Роскомнадзора (РКН) Александр Жаров говорил о необходимости регулирования данной сферы и создания национального оператора БПД.

Проникновение в повседневную жизнь IT-технологий становится всеобъемлющим, и приватность личной жизни уже маловозможна, отмечал глава ведомства. Соцсети и другие сервисы, которыми люди пользуются ежедневно, транслируют личную информацию в цифровое пространство.

Александр Жаров, руководитель РКН:

– Персональные данные собираются и передаются часто без согласия пользователей или при неосознанном согласии, когда пользователи не могут оценить риски и угрозы. В цифровой среде персонифицированные данные «вырастают»: аккумулируются с иного рода сведениями, анализируются и преобразовываются. Возникает понятие «цифровой личности», которую без проблем можно безошибочно соотнести с конкретным человеком. И кража личных данных скоро превратится в «кражу личности».

По словам главы ведомства, беспокойство граждан, связанное с хранением и передачей личных данных глобальными интернет-корпорациями, в последние годы растет.

Законы, по мнению руководителя РКН, не должны стоять на пути развития технологий, но они обязаны обеспечивать приемлемый уровень безопасности граждан и создавать условия для эффективной защиты прав человека в цифровом мире.

Концепция регулирования БПД требует самого внимательного изучения и вдумчивых подходов, подчеркивал А. Жаров.

Позже, в октябре 2018 года, была предпринята неудачная попытка внесения в Госдуму законопроекта о регулировании оборота БПД за авторством депутата ГД, члена фракции «Единая Россия» Михаила Романова (позже круг авторов расширился). RSpectr писал об этой инициативе. Однако документ был раскритикован экспертами. Его вернули на доработку, так как, согласно заключению правового управления Госдумы, он не соответствовал требованиям Конституции РФ.

По словам А. Неймана,

российский рынок больших данных только начал развиваться и сейчас составляет 10-30 млрд рублей в год, а к 2024 году достигнет 300 млрд рублей

«Мы видим серьезный потенциал этой сферы, но помешать ее развитию может жесткое регулирование», – отметил эксперт.

Во-первых, говорит А. Нейман, большие данные – это инструментарий для различного рода конечных продуктов, поэтому регулировать середину процесса – неправильно с точки зрения единства и последовательности законодательства.

Во-вторых, в мировой практике нет четкого определения понятия БПД. В-третьих, российский рынок только формируется, и избыточное регулирование будет сдерживать его развитие.

Тем не менее

чиновники считают, что саморегулирования в сфере больших данных недостаточно

В частности, на государственном участии в этой сфере настаивала администрация президента РФ.


НАЙТИ РАЗУМНЫЙ БАЛАНС

Что касается ОД, то разработкой законопроекта в этой сфере занимается Министерство экономического развития (МЭР). Подготовка документа предусмотрена планом мероприятий по нормативному регулированию в рамках нацпроекта «Цифровая экономика РФ».

Законопроект должны были внести в правительство РФ в четвертом квартале 2018 года. Однако из-за сложности данной темы и широкого круга участников правоотношений, связанных с оборотом ОД, было принято решение перенести срок разработки документа на 2020–2021 годы, сообщили RSpectr в пресс-службе МЭР.

«Общие векторы работы с данными будут определены в двух комплексных документах, которые разрабатываются МЭР в рамках федерального проекта “Нормативное регулирование цифровой среды”: концепции управления данными и концепции комплексного правового регулирования отношений, возникающих в связи с развитием цифровой экономики. Эти документы планируется подготовить до конца 2019 года», – рассказали в министерстве.

По мнению ведущего эксперта по управлению документацией компании «Электронные Офисные Системы» Натальи Храмцовской, нельзя защитить данные и при этом не создать барьеры на пути развития новых технологий.

«Но можно постараться найти разумный баланс между безопасностью и инновациями, с тем чтобы получаемая от новых технологий отдача многократно превышала неизбежный ущерб. Так делалось всегда при внедрении, например, банковских карт, где никогда не удавалось полностью истребить мошенничество», – полагает эксперт.

Н. Храмцовская уверена, что саморегулирования в сфере обработки данных недостаточно: основные принципы взаимодействия государства, граждан и бизнеса устанавливаются законодательством, а не этическими кодексами.

«Если законное, но не слишком этичное поведение позволяет получать прибыль, подавляющее большинство наших компаний не станет оглядываться на Кодекс», – утверждает она.

Наталья Храмцовская («Электронные Офисные Системы»):

– Я убеждена, что в нашей стране в первую очередь пора пересматривать ключевой принцип регулирования, и карать не столько за формальные нарушения (формальные требования всегда можно так или иначе обойти), сколько за реально причиненный ущерб, как это делают в англосаксонских странах.
Регулирование главным образом должно совершенствоваться на государственном уровне. Саморегулирование способно сыграть в этом свою роль, но на данный момент позитивного российского опыта такого рода немного.

Изображение: Lori.ru

ЕЩЕ ПО ТЕМЕ:

Что в профиле тебе моем?

Бизнес и чиновники разрабатывают принципы регулирования «общедоступных персональных данных»



Еще по теме

Что нужно знать родителям о влиянии искусственного интеллекта на детей

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании