Законы

Как регулируются законодательством персональные данные и Big Data

С каждым годом объемы цифровой информации, которые пользователи передают в руки корпораций растет. Более того, сами государства активно двигаются в сторону оказания услуг через интернет-сервисы. А там, куда приходит государство, появляется регулирование. Рассказываем, что такое 149-ФЗ, 152-ФЗ и GDPR. Так ли хорошо они работают на практике?

19 мин
13/12/2019

Чем регулируются персональные данные?

Регулирование персональных данных в России осуществляется с применением ряда нормативно-правовых актов:

  1. №152-ФЗ «О персональных данных»;
  2. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  3. ТК РФ Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты;
  4. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных;
  5. №125-ФЗ «Об архивном деле в Российской Федерации»;

и множества других, а если происходит обработка данных жителей Европейского Союза, то ещё и GDPR, который имеет экстерриториальное действие. Но подробно мы разберем его ниже.

Впрочем, для юристов не так страшны федеральные законы, конвенции и кодексы, как приказы ФСБ, ФСТЭК и Роскомнадзора. Вот только некоторые из них:

И такие приказы выходят с завидной регулярностью, что для крупных операторов данных (телеком, банки, интернет-гиганты) является серьезной юридической нагрузкой.

Что такое большие данные и как они связаны с персональными?

Российское законодательство не даёт большим данным чёткого определения. По сути это массив структурированных и неструктурированных данных (не только персональных), которые динамически меняются, обрабатываются и анализируются программными инструментами с целью выявления новых связей для принятия различных решений.

Буква закона №152-ФЗ «О персональных данных» определяет персональные данные в качестве любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Это значит, что фактически любая информация, которая достоверно может определить физическое лицо, к которому эта информация относится, является персональными данными.

В 2018 году группа депутатов внесла на рассмотрение в Госдуму поправки в №149-ФЗ, где вводились такие определения, как «большие пользовательские данные», «оператор больших пользовательских данных», «обработка больших пользовательских данных» и другие. Летом 2019-го журнал Forbes писал об основных проблемах в поправках к федеральному закону об информации. 

В итоге никаких поправок так внесено и не было, а законопроект всё ещё находится на рассмотрении.

Большие данные состоят из персональных данных?

Персональные данные — это важная составляющая больших данных, но далеко не единственная. Большие данные могут добывать и из других источников: с помощью геолокационных систем и промышленного оборудования. Например, компания Monsanto (сейчас она принадлежит Bayer) долгое время специализировалась на сборе и обработке больших сельскохозяйственных данных. Корпорация собирала показатели уровня влажности, температуры, урожайности и десятков тысяч других фактов, чтобы предсказывать заинтересованным фермерам урожайность их земель в очередном году и давать рекомендации по её повышению. Даже для самого строгого государственного чиновника очевидно, что данные о количестве колосьев пшеницы, собранных в Техасе в 1986 году, нельзя отнести к персональным.

Операторы больших данных обезличивают персональные данные, обрабатывают их в агрегированном виде и получают статистические или демографические данные. Они являются производными из персональных данных, но юридически не классифицируются как таковые, потому что прямо или косвенно не раскрывают личность субъекта, к которому эти данные относятся. Однако при объединении или связи агрегированных данных с персональными данными появляется возможность идентифицировать физическое лицо. Поэтому такие комбинированные данные будут обрабатываться как персональные.

При этом агрегирование — это лишь один из способов обезличивания персональных данных. Согласно определения, данного в  №152-ФЗ, обезличивание — способ обработки персональных данных, в результате которого в обработанных персональных данных нельзя идентифицировать физическое лицо, которому эти данные принадлежат. По сути происходит скрытие, изменение или удаление персональных идентификаторов из набора данных. Конкретные способы и порядок обезличивания устанавливается приказом Роскомнадзора от 5 сентября 2013 г. №996.

На данный момент закон в явной форме не описывает последствия обезличивания данных. Единственное право, которое даёт закон оператору в отношении обработки персональных данных, содержится в п. 9 ч. 1 ст. 6 №152-ФЗ. Оно разрешает использовать обезличенные данные в научных и исследовательских целях. Коммерческое использование данных невозможно без их передачи другим компаниям, что в силу текущих формулировок закона достаточно рискованно. 

Также возникают проблемы и в социально-значимых проектах, где не подразумевается коммерческое использование данных. Так, МегаФон совместно с «Лиза Алерт» в марте 2019 года запустил специальную платформу «МегаФон.Поиск» для поиска пропавших детей и взрослых с использованием технологии анализа больших данных, в ходе тестирования которой с помощью платформы удалось найти более 60 человек. Одна из причин использования платформы на базе больших данных, а не просто передача геолокационных данных пропавшего, — ограничения №152-ФЗ «О персональных данных».


Мы написали отдельный материал про то, как большие данные помогают искать пропавших.

Идентификаторы и регуляторы 

Перечень данных, который можно отнести к персональным, не является закрытым — это вытекает из определения персональных данных, которое дается в №152-ФЗ. Поэтому любой набор информации, позволяющий определить или идентифицировать вас среди множества других людей, относится к персональным. Даже если информация не позволяет точно идентифицировать физическое лицо, но помогает значительно ограничить круг тех людей, к которым данные могут относится, она является «персональной».

Таких идентифицирующих данных огромное количество, и к ним можно отнести фамилию, имя, отчество, дату рождения, место рождения, возраст, фотографию, ссылку на профиль в социальных сетях и другие.

Например, если вы кому-то сказали вашу фамилию, имя, отчество и дату рождения, то вас с высокой точностью можно будет определить, как конкретную личность. Однако, если мы уберем из набора такие вводные данные, как фамилию или дату рождения, то понять, о каком именно человеке идет речь, будет невозможно. Верно и обратное: безобидные данные, такие как показания электрического счётчика, при их обогащении данными, относящимися к физическим лицам, становятся персональными.
Если говорить о номере мобильного телефона и электронной почте, то представители государственных органов считают, что их использование в качестве персональных данных возможно в отдельных случаях. Например, если имеются дополнительные данные, которые позволяют однозначно соотнести абонентский номер или адрес электронной почты к физическому лицу. Абонентский номер и адрес электронной почты точно не относятся к персональным данным, если договор с оператором был заключен на юридическое лицо. Также почта может являться рабочей или вовсе не содержать никакой идентифицирующей информации.

Бывают и более сложные категории данных. До сих пор нет однозначной позиции о том, является ли IP-адрес персональными данными и обрабатывают ли персональные данные службы Google Analytics и Яндекс.Метрика — позиция регуляторов очень подвижна. В декабре 2018-го Роскомнадзор заблокировал сайт «Умного голосования», сославшись на тот факт, что владельцы ресурса не уведомили пользователей об использовании счётчиков. В то же время ряд судов явно выражал позицию о том, что IP-адреса к персональным данным не относятся. Да и сам Роскомнадзор не спешит блокировать и штрафовать государственные органы, на сайтах которых без каких-либо уведомлений используются аналогичные инструменты.

Какой вывод из этого можно сделать? Совокупность данных, которые необходимы и достаточны для идентификации физического лица, и понимается под персональными данными. При этом финальное слово всё равно остаётся за судами и контролирующими органами.

Ассоциация больших данных

Поскольку российское законодательство несовершенно и даже между регуляторами возникают разночтения, рынок сам пытается установить для себя общие правила по использованию данных — по крайней мере среди крупных игроков. Банки, телеком-операторы и интернет-гиганты создали Ассоциацию больших данных, в которую также входит и МегаФон. Ассоциация стимулирует своих членов относиться к данным ответственно, не использовать для бизнеса данные с серых рынков, формировать этические нормы в отношении сбора и обработки больших данных для защиты интересов пользователей. 

На Неделе Российского Интернета крупнейшие банки, телекомоператоры и крупнейшие интернет-компании подписали кодекс этики использования данных. По словам президента АБД Анны Серебряниковой, целью создания кодекса является развитие «осознанности и добросовестности бизнеса», а также налаживание диалога с государством и защита интересов граждан в вопросе обращения с данными.  Кодекс не несет жесткого административного характера, а следить за его выполнением будет совет ассоциации.

GDPR

Общий регламент по защите персональных данных, принятый Европейским союзом в 2016 году и вступивший в силу в 2018,  — тема отдельной большой статьи. Да и про GDPR написано уже достаточно много, ниже — ссылки на подробные материалы:

Мы расскажем только про некоторые особенности GDPR и чем он отличается от №152-ФЗ.

  1. Экстерриториальное действие. Для российских компаний экстерриториальное действие закона о персональных данных не является чем-то принципиально новым. Но в отличие от отечественного закона GDPR напрямую предусматривает обязанность для компании, которая не находится в Европейском Союзе, назначить представителя на территории ЕС (статья 27 GDPR). Приятный бонус для государственных органов в Европе — возможность рассчитывать штраф для филиалов и представительств по доходу материнской компании.
  2. Открытость и прозрачность. Цели, объемы и методы обработки персональных данных должны излагаться просто и доступно. По требованию европейских пользователей компании должны предоставлять полную информацию о том, какие данные обрабатываются, сколько хранятся и каким третьим лицам передаются. При этом, в отличие от России,  уполномоченные в сфере защиты персональных данных органы государств ЕС активно штрафуют операторов персональных данных за «лишние» согласия, если у обработки данных есть иное основание. Такие согласия вводят пользователей в заблуждение, заставляют людей думать, что они могут отозвать согласие и обработка прекратится.
  3. Права субъекта данных. Граждане ЕС имеют право требовать от компании прекратить обработку их персональных данных, перенести в электронной форме данные из одного сервиса в другой, а также удалить личные данные по запросу во избежание их распространения, если это не противоречит общественным интересам.
  4. Контроллер данных и процессор данных. Компании не всегда используют свои собственные ресурсы для хранения и обработки данных. Поэтому большую юридическую ответственность несет тот, кто инициирует сбор, хранение и обработку данных (контроллер), а не компания-исполнитель (процессор).

По сравнению с №152-ФЗ GDPR дает гораздо больше прав субъектам персональных данных и в целом направлен на то, чтобы вернуть людям контроль над их цифровой жизнью и данными. Соответственно в рамках такого регулирования рынок данных пользователей не может существовать. Ниже к статье мы прикрепили материал по GDPR от PwC — GDPR: практика реализации требований.

Судебные кейсы

ВКонтакте vs Double Data

В России публично о больших данных заговорили после подачи ВКонтакте иска против Double Data (ООО «Дабл»). В деле ранее также участвовало «Национальное бюро кредитных историй», но оно заключило с ВКонтакте мировое соглашение, в котором говорится, что «НБКИ обязуется изменить свои правоотношения с ООО «Дабл» таким образом, чтобы они не нарушали права истца, либо прекратить их».

Double Data использовала данные из открытых профилей пользователей ВКонтакте для анализа и продажи результатов такого анализа различным бюро кредитных историй и банкам. ВКонтакте под предлогом защиты пользователей подала иск, в котором просила суд признать базу пользовательских данных ВКонтакте интеллектуальной собственностью компании, а действия Double Data, соответственно, нарушением исключительного права ВКонтакте на базу данных. 

Double Data же считает, что данные пользователей не могут принадлежать ВКонтакте. Тем более пользователи сделали профили открытыми, а значит согласись, что любой посетитель страницы в соцсети может использовать данные этих профилей.

На сегодняшний день дело пересматривается после решения кассационной инстанции в Арбитражном суде Москвы, и его исход станет прецедентным и чрезвычайно важным для всего рынка больших данных России. Пока что суд приостановил разбирательство и назначил проведение дополнительной экспертизы. Определение суда и список вопросов по делу можно прочитать здесь.

Facebook vs Cambridge Analytica

Один из самых громких скандалов, связанных с пользовательскими данными, дело Facebook и Cambridge Analytica в Federal Trade Commission (Федеральная торговая комиссия США). Cambridge Analytica воспользовалась данными около  87 млн пользователей Facebook для продвижения политической агитации, в том числе для президентской кампании Дональда Трампа. Около месяца назад, спустя 18 месяцев после скандала, FTC признала, что Cambridge Analytica обманывала пользователей Facebook и осуществляла сбор данных непрозрачно.

В итоге FTC наложила на Facebook штраф в $5 млрд за нарушение правил хранения персональных данных. Также Facebook выплатила штраф ICO (Управление комиссара по информации Великобритании) в размере 500 000 фунтов стерлингов, поскольку в числе базы Cambridge Analytica также оказались пользователи Великобритании.

Однако на этом история не закончилась, и в конгрессе США всерьез озаботились проблемой того, как и для каких целей могут использоваться данные, которыми владеет Facebook. В частности, это касается вопросов дезинформации в политической рекламе. 

LinkedIn vs HiQ Labs

Не менее значимым кейсом в области данных пользователей является иск к HiQ Labs от LinkedIn — и он гораздо больше напоминает разбирательство между российскими ВКонтакте и Double Data.

HiQ Labs разрабатывает программы, которые помогают работодателям предсказывать поведение их сотрудников, в том числе планируемые увольнения. В качестве данных HiQ Labs использует открытые профили пользователей LinkedIn. Соцсеть заявляла, что в этом случае нарушаются права как пользователей сети, так и самой компании.

Апелляционный суд 9-го округа США посчитал, что данные профилей не могут принадлежать LinkedIn. И если пользователи делают свои профили общедоступными, соответственно, данные этих профилей также доступны для всех. Получается, что HiQ Labs может продолжать использовать открытые данные в коммерческих целях, а единственный способ для LinkedIn ограничить в этом HiQ Labs — запретить создавать общедоступные профили, что, вероятно, нанесет ущерб самой соцсети.

Петиция на решение суда, поданная LinkedIn, была отклонена, что на данный момент лишний раз подтверждает легальность использования открытых данных пользователей в коммерческих целях. Тем не менее, разбирательство еще находится на предварительной стадии и нельзя однозначно утверждать, что решение будет окончательным.

Похожие статьи

Update — медиа, в котором МегаФон рассказывает, как технологии меняют бизнес. Это наш пилотный проект, поэтому нам важно знать ваше мнение. И не забудьте подписаться на нашу рассылку! 🙂
© 2019 ПАО «МегаФон»
Сделано в
Red Collar