IT
Новости и аналитика Аналитические статьи Коммерциализация персональных данных и понятие "биг дата" – злободневные вопросы IT-сферы

Коммерциализация персональных данных и понятие "биг дата" – злободневные вопросы IT-сферы

Коммерциализация персональных данных и понятие "биг дата" – злободневные вопросы IT-сферы
nadiabormotova / Depositphotos.com

Вопросы защиты персональных данных в современных условиях не теряют своей актуальности, а только обостряются. Информация о физлицах все активнее используется в коммерческих целях. Это происходит прежде всего из-за интенсификации использования информационных технологий: в цифровом пространстве не очень трудно получить данные о человеке. Даже в тех правопорядках, где главенствует подход о приоритете защиты прав индивида, в частности его права на частную жизнь, существуют практики использования бизнесом персональных данных или, по крайней мере, так называемых больших пользовательских данных в целях увеличения прибыли. Однако такие практики часто оказываются вне рамок нормативного регулирования. Так происходит и в России. В связи с этим в профессиональных кругах, включая парламентские, ведутся дискуссии о необходимости соответствующего реформирования законодательства. В рамках таких обсуждений одними из ключевых являются вопросы коммерциализации персональных данных и определения понятий больших данных и (или) больших пользовательских данных.

 

Персональные данные как товар: за и против

Идеология законодательства о защите персональных данных сформировалась еще в XX веке, но сейчас она начинает расходиться с экономическим и техническим значением таких данных, приобретенным ими в XXI веке, и соответствующей практикой. На это указал юрист IBM, старший научный сотрудник научно-учебной лаборатории по информационному праву, преподаватель кафедры теории и истории права факультета права НИУ ВШЭ, к. ю. н. Александр Савельев на тематическом круглом столе, организованном аналитическим центром при Правительстве РФ. "Персональные данные – это не только валюта для оплаты якобы бесплатных интернет-сервисов, но также и некое топливо для использования технологий вроде искусственного интеллекта, например, для его обучения, технологий интернет-вещей, когда мы говорим об устройствах, связанных с конкретным пользователем", – считает эксперт.

Капитализация многих компаний, на что обратил внимание Александр Савельев, напрямую зависит от объема обрабатываемых ими персональных данных, что свидетельствует о ценности последних как актива. В результате коммерческого использования таких данных, пояснил он, появился новый рынок с соответствующими участниками – биржи данных, информационные брокеры, которые на профессиональной основе собирают данные о физлицах и предоставляют их заинтересованным компаниям. Таким образом развивается практика преимущественно на американском, а также азиатском рынках.

В то же время с точки зрения законодательства о персональных данных, устанавливающего специальный публично-правовой режим их защиты, такие данные имеют необоротоспособный характер, то есть не могут отчуждаться. В основе соответствующего законодательства, указал Александр Савельев – фундаментальные (конституционные) права на неприкосновенность частной жизни и человеческое достоинство. Такой подход нашел свое воплощение, например, в ст. 8 Хартии Европейского союза об основных правах (далее – Хартия). В ней закреплено, что каждый имеет право на защиту относящихся к нему персональных данных. Обработка подобных данных должна производиться добросовестно в четко определенных целях с согласия заинтересованного лица либо при наличии других оснований, предусмотренных законом. При этом любой человек имеет права на получение доступа к собранным о нем данным и внесение в них исправлений (п. 1-2 ст. 8 Хартии).

Эксперт обозначил, что в пользу коммерциализации (то есть внедрения персональных данных в гражданский оборот) чаще всего приводятся следующие аргументы:

  • существующая практика выйдет из "серой зоны", а иными словами, согласуется с "буквой закона";
  • устранятся серьезные барьеры в построении цифровой экономики;
  • у физлиц будет формироваться более ответственное отношение к распоряжению своими персональными данными.

"Против", по словам Александра Савельева, звучат аргументы о невозможности коммерциализации такого нематериального блага, как человеческое достоинство, рисках легитимации недобросовестных практик обработки данных и дискриминации физлиц на основе данных о них. Эксперт подчеркнул, что дискриминация является ключевым риском профайлинга (как сбора данных о человеке в Интернете). Между тем анализ аккаунтов лица в соцсетях стал привычной практикой в сфере трудоустройства, он иногда используется для оценки надежности заемщиков и т. д. Однако, во-первых, собираемые и обрабатываемые данные из общедоступных источников могут оказаться "фейковыми", устаревшими или неполными, заметил Александр Савельев, и во-вторых, использование непрозрачных алгоритмов обработки данных, особенно при задействовании искусственного интеллекта, может привести к необоснованным выводам в отношении физлица, его возможного поведения и т. д.

По мнению эксперта, в настоящее время в рамках российского правопорядка прежде всего ст. 128 и ст. 150 Гражданского кодекса не позволяют рассматривать персональные данные в качестве товара. Действующая редакция ст. 128 ГК РФ не относит информацию, а следовательно, и персональные данные, к объектам гражданских прав и обязанностей. Однако до 1 января 2008 года, то есть до вступления в силу п. 8 ст. 17 Федерального закона от 18 декабря 2006 г. № 231-ФЗ "О введении в действие части четвертой Гражданского кодекса Российской Федерации", информация значилась в этом перечне объектов. Кроме того, нематериальные блага, включая имя гражданина, неприкосновенность частной жизни, личную и семейную тайну, достоинство личности, неотчуждаемы и непередаваемы иным способом (п. 1 ст. 150 ГК РФ). Александр Савельев считает, что России сейчас ближе европейский, нежели американский подход к регулированию персональных данных. Добавим, что 10 октября текущего года МИД России от имени Российской Федерации по Распоряжению Президента РФ от 10 октября 2018 г. № 294-рп подписал Протокол о внесении изменений в Конвенцию о защите физических лиц при автоматизированной обработке персональных данных (далее – Конвенция)1. Данным Протоколом среди прочего в преамбулу Конвенции добавляется ремарка о необходимости учета принципа автономии личности, который позволяет индивидам контролировать сбор и обработку их персональных данных, вводятся понятия "получателя данных" и "оператора" (обработчика данных), детализируется правило применения принципа пропорциональности использования персональных данных – обработка данных должна осуществляться только в той мере, в какой этого достаточно для достижения ее целей при соблюдении баланса частных и публичных интересов на всех стадиях обработки.

Нематериальные блага, однако, не являются полностью исключенными из гражданского оборота. Так, можно дать согласие на использование своего имени другими лицами в их творческой, предпринимательской или иной экономической деятельности (п. 4 ст. 19 ГК РФ), заметила заместитель начальника отдела обобщения судебной практики и статистики СИП Мария Кольздорф. Можно также дать согласие на использование своего изображения. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии – с согласия родителей (п. 1 ст. 152.1 ГК РФ). Однако в этих случаях, как и в отношении в целом персональных данных, речь идет именно о возможностях использования принадлежащих кому-либо нематериальных благ, но не об их отчуждении. Александр Савельев считает, что в рамках действующего нормативного регулирования в России персональные данные не могут полностью "отрываться" от индивида, так как этому препятствуют положения о неотчуждаемости нематериальных благ. "Личностью не торгуем", – именно такой подход, по словам эксперта, пока преобладает. Руководитель департамента правового регулирования цифровой экономики Национального центра цифровой экономики МГУ имени М. В. Ломоносова, к. ю. н. Николай Дмитрик отметил, что без связи с личностью персональные данные теряют свою ценность в качестве актива, а потому и торговля ими в буквальном смысле слова, неизбежно предполагающая разрыв такой связи, является бессмысленной.

Законодательство о персональных данных, в том числе российский Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее – Закон о персональных данных), направлено, по мнению Николая Дмитрика, на защиту индивидов, а не бизнеса или государства. Вред, который может быть причинен физлицу в результате обработки его персональных данных, подразделяется, как пояснил эксперт, на субъективный и объективный. Под субъективным понимаются, например, оскорбление чести и достоинства личности, посягательства на частную, включая семейную жизнь, в том числе влияющие на самооценку индивида и т. д. Объективный вред заключается в причинении преимущественно материального ущерба. Так, обработка персональных данных может стать предпосылкой для невыдачи займа, кредита. Кроме того, существует риск того, что при использовании персональных данных будет проигнорирована их связанность контекстом. Речь идет о том, указал Николай Дмитрик, что человек ведет себя по-разному в зависимости от ситуации, поэтому использовать персональные данные лица в отрыве от контекста недопустимо. По мнению эксперта, человек должен обладать правом на информационное самоопределение: он должен самостоятельно решать, какая информация о нем и кому может быть доступна. К контекстуальным характеристикам, влияющим на решение индивида о согласии на обработку его персональных данных, а также последствия их обработки (включая воплощение риска использования данных "против" физлица), можно отнести следующие:

  • обстоятельства, при которых передаются данные, например, добровольно в банке или госучреждении самим физлицом либо фактически без ведома субъекта персональных данных (хотя в согласии на их обработку или пользовательском соглашении могли быть предусмотрены соответствующие условия) от оператора третьим лицам – рекламным компаниям;
  • характер передаваемой информации;
  • способы обработки информации, используемые для этого технологии;
  • "уязвимость" самого субъекта персональных данных – принадлежность к соответствующим социальным группам;
  • политическая ситуация и другие.

Эксперт отметил, что подход, нацеленный в первую очередь на защиту личности при обработке персональных данных, применяется не только европейскими странами. Так, недавно в штате Калифорния США приняли достаточно строгий в отношении бизнеса закон, направленный на обеспечение защиты обрабатываемых в цифровой среде персональных данных пользователей (потребителей) [Калифорнийский закон о защите частной жизни потребителей (California Consumer Privacy Act of 2018) от 28 июня 2018 года, по данным официального сайта законодательной информации штата Калифорния. – ГАРАНТ.РУ]. Согласно этому закону компании обязаны информировать потребителей о сборе персональных данных и его целях, а потребители имеют право требовать раскрыть информацию о категориях собираемых данных и об отдельных специальных данных, а также удалить ее, если только такая информация не требуется компании и (или) сервис-провайдеру для совершения с потребителем сделки, обеспечения свободы слова других лиц и т. д. Хотя и в более мягкой форме, но данный закон "повторяет" европейский подход, выраженный в том числе во вступившем в силу с 25 мая текущего года Регламенте Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных или GDPR). Суть подхода, заметил эксперт, состоит в осознании важности сохранения связанности персональных данных с личностью. Контроль над данными со стороны субъекта персональных данных, по мнению Николая Дмитрика, выгоден и субъекту, и бизнесу, для которого ценно с экономической точки зрения использовать актуальные, полные, релевантные данные.

На кого возложена обязанность доказывать, что было дано согласие на обработку персональных данных в целях продвижения товаров, работ, услуг или в целях политической агитации? Узнайте ответ в "Энциклопедии решений. Персональные данные" интернет-версии системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!

Получить доступ

Информация как таковая, безусловно, по мнению профессора кафедры гражданского права МГЮА имени О. Е. Кутафина, эксперта Российской Академии Наук, арбитра Российского арбитражного центра при Российском институте современного арбитража, д. ю. н. Марины Рожковой, является объектом гражданских прав. "Но когда мы говорим об информации – мы говорим о большом количестве ее разновидностей", – заметила эксперт. Так, персональные данные, с ее точки зрения, – это информация, которая не может являться объектом гражданско-правовых сделок. Регулирование таких данных существует в публично-правовых целях, в том числе правоохранительных. Получается, указала профессор, что, например, все пользовательские данные, если они не обезличены (п. 9 ст. 3, ч. 7 ст. 5, п. 9 ч. 1 ст. 6 Закона о персональных данных), не могут использоваться в гражданском обороте. Напомним, что обработка персональных данных в статистических или иных исследовательских целях (но не в рамках продвижения товаров, работ или услуг либо политической агитации) допускается при условии обезличивания данных (п. 9 ч. 1 ст. 6 Закона о персональных данных).

 

Проблема определения понятия больших данных

В сфере правового регулирования потоков данных в цифровом пространстве до сих пор не разработан понятийный аппарат. Марина Рожкова считает, что в первую очередь всегда необходимо определяться с понятиями. По мнению эксперта, например, важно отметить, что в Законе о персональных данных нет понятия общедоступных данных, о котором иногда говорят в прессе и профессиональной среде, а есть статья об общедоступных источниках персональных данных. При этом в такие источники персональные данные лица (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные данные) включаются только с его согласия (ч. 1 ст. 8 Закона о персональных данных). Источники данных и сами данные – разные понятия. Судебной практикой поддерживается позиция о том, что размещение пользователями персональных данных в соцсетях и на иных интернет-ресурсах, включая сайты для размещения объявлений о покупке или продаже товаров (предоставлении работ, услуг) не делает их автоматически "общедоступными" (Определение Верховного Суда Российской Федерации от 29 января 2018 г. № 305-КГ17-21291).

Массу вопросов, по словам Марины Рожковой, вызывают большие данные (big data). Во-первых, под большими данными можно понимать информацию как объект обработки. Во-вторых – механизм обработки данных. Кроме того, под большими данными в качестве объекта понимаются так называемые "сырые" данные, которые формируются из массива различных источников (соцсети, видеорегистраторы и т. д.). В то же время и уже структурированные по каким-либо критериям данные называют big data, отметила эксперт. По данному вопросу единогласия пока не достигнуто ни на законодательном уровне, ни в теории.

"Появилась и такая разновидность больших данных – большие пользовательские данные", – отметила Марина Рожкова. Охватываются понятием в данном случае, по словам профессора, не только персональные данные (которые должны быть обезличены), но и любые данные из Интернета, связанные с человеком, которые невозможно отнести к персональным. Так, эксперт подчеркнула, что используются иногда понятия "цифровой личности" или "цифрового профиля", в которые может включаться информация о разного рода предпочтениях физлица, например, о музыкальных или художественных, выявляемых на основе анализа интернет-активности человека (его "лайков", постов и т. д.). Такая информация нередко используется в рекламных целях (таргетированная реклама).

Напомним, что 23 октября текущего года группа депутатов внесла в Госдуму законопроект, предполагающий закрепление в Федеральном законе от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" понятия больших пользовательских данных, а также правила об обязательном информировании пользователей об обработке таких данных путем размещения на сайте оператора больших пользовательских данных соответствующего информационного сообщения. Под большими пользовательскими данными в проекте понимается совокупность не содержащей персональных данных информации о физлицах и (или) их поведении, не позволяющая без использования дополнительной информации и (или) дополнительной обработки определить конкретное физлицо. Речь идет об информации, собираемой из различных источников, в том числе сети Интернет, количество которых превышает тысячу сетевых адресов. Однако правовое управление Госдумы и профильный комитет по информационной политике, информационным технологиям и связи решили вернуть проект субъекту законодательной инициативы из-за невыполнения требования ч. 3 ст. 104 Конституции РФ о представлении заключения Правительства РФ, если законопроект предусматривает расходы, покрываемые за счет федерального бюджета. А проектом предполагается создание усилиями Роскомнадзора федеральной государственной информационной системы "Реестр операторов больших пользовательских данных".

По мнению Марины Рожковой, большие данные, которые не содержат в себе персональных, могут без проблем быть объектом гражданско-правовых сделок. А основная сложность состоит в том, чтобы "на берегу" определиться с понятиями, поскольку если в большие данные будет включаться персональная информация, то ключевым станет вопрос ее обезличивания. Ведь персональными данными, как считают большинство экспертов, торговать в прямом смысле слова нельзя. Напомним, что под обезличиванием персональных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту (п. 9 ст. 3 Закона о персональных данных).

***

Очевидно, что злободневные для IT-сферы вопросы коммерциализации персональных данных и определения понятия big data остаются пока без однозначных ответов и еще требуют проработки: доктринальной, законодательной, правоприменительной. Исходя из мнений экспертов можно заключить лишь, что большинство все же придерживаются позиции о необходимости в первую очередь заботиться о защите прав субъектов персональных данных на охрану достоинства и частной жизни. Именно в таком русле сформировано сейчас и продолжает развиваться российское законодательство. Однако не исключается возможность гражданского оборота больших данных и (или) больших пользовательских данных. Только сначала необходимо определиться с тем, о чем именно идет речь, когда говорят о такого рода данных. Возможно, есть потенциал и для развития ограниченного оборота персональных данных, пусть и не посредством их отчуждения.

Универсальным на данный момент можно было бы назвать совет – ответственно подходить к персональным данным как физлицам – субъектам таких данных при распоряжении ими (читать пользовательские соглашения и согласия на обработку, осторожно относиться к размещению персональной информации в открытых источниках), так и бизнесу при обработке данных, в том числе передаче третьим лицам.

______________________________

1 С текстом Протокола о внесении изменений в Конвенцию о защите физических лиц при автоматизированной обработке персональных данных на английском и французском языках можно ознакомиться на официальном сайте Совета Европы.

Документы по теме: