Новая нефть: в чем проблема законопроектов о персональных данных
Механизм обмена и торговли данными необходим, но чтобы он не угрожал безопасности пользователей, должна быть решена проблема обратной персонализации введенной в оборот информации
Конец 2018-го и начало 2019 года отмечены всплеском законотворческой активности в области персональных данных. Отталкиваясь от тезиса «данные — это новая нефть», заинтересованные стороны одну за другой выдвигают инициативы, как эту нефть эффективнее выкачать и продать.
Главное сражение разворачивается за так называемые деперсонализированные данные, рассказывающие об интересах и поведении пользователя, но без персональной информации (фамилия, имя, адрес, ИНН). К данным о посещаемых сайтах, поисковых запросах и геолокации хотят добавить содержимое сообщений, доступное операторам связи (в первую очередь sms), а также данные о платежах, то есть банковскую тайну и тайну переписки. Накопившие огромный объем данных банки и операторы связи хотели бы вывести их из-под существующего довольно жесткого регулирования и пустить в продажу.
Законные данные
Начиналось все с внесенного в октябре 2018-го группой депутатов Думы довольно умеренного законопроекта о регулировании больших данных. Под «большими данными» авторы документа подразумевают «совокупность не содержащей персональных данных информации о физических лицах и (или) их поведении, не позволяющую без использования дополнительной информации и (или) дополнительной обработки определить конкретное физическое лицо». Каждый элемент таких данных должен сопровождаться электронным согласием на обработку, причем привязанным не к подписавшему его физическому лицу, а почему-то к адресу используемого устройства. Уже по этому примеру видно, что авторы довольно плохо представляют себе не только работу с данными, но и интернет вообще, однако сам по себе документ подразумевает хоть какой-то контроль.
Затем в конце января с другим вариантом закона вышел Фонд развития интернет-инициатив (ФРИИ). Рекламируя проект, разработчики рассказывали, что граждане России смогут торговать своими персональными данными и зарабатывать на этом до 60 тыс. рублей в год. Правда, в самом документе соответствующая норма (п. 2 ст. 1) сформулирована гораздо шире: «Деперсонализированные данные могут свободно использоваться любым лицом и передаваться одним лицом другому лицу, в том числе на возмездной основе». То есть свободно продаваться кому угодно и без каких-либо ограничений и согласий субъекта.
Наконец, в феврале со своим законопроектом выступила рабочая группа «Нормативное регулирование» при АНО «Цифровая экономика», предложившая фактически отменить банковскую, врачебную и налоговую тайну и разрешить, например, банкам передавать третьим лицам сведения о своих клиентах для оценки их платежеспособности. А изменения, касающиеся тайны связи, должны разрешить оператору связи читать доступную ему переписку абонентов и использовать полученные сведения в коммерческих целях, например для таргетирования рекламы.
Обратная персонализация
Выделение деперсонализированных данных в отдельную категорию и смягчение режима их охраны, действительно, необходимы. Ключевой нормативный закон — 152-ФЗ («О персональных данных») — вступил в силу более десяти лет назад, с тех пор очень многое изменилось и в технологиях, и в жизни. Должен существовать и механизм обмена и торговли данными, но все это не должно угрожать безопасности субъекта. А с ней все непросто. Главная проблема — легкость обратной персонализации. Большое количество экспериментов в этой области показали, что для получения личных данных достаточно свести, например, историю покупок и геолокацию. При этом во все варианты нового закона заранее закладывается коллизия — везде речь идет о данных, деперсонализация которых невозможна. Но как и кем будет проверяться эта «невозможность», как доказываться и как поступать, если вдруг выяснится, что данные можно персонализировать — эти вопросы обходятся стороной.
Авторы законопроектов, в частности, считают, что оборот данных позволит правильно оценить платежеспособность клиента и тем самым обеспечить гигантский рывок для бизнеса, однако на деле эффект будет совершенно обратным. Уже сейчас существует мощный конфликт между рекламными площадками и рекламодателями относительно платежеспособности аудитории, большая часть которой готова смотреть рекламу дорогих товаров, но не может позволить себе их купить. Появление новых сервисов определения платежеспособности выведет этот конфликт на новый уровень. А вот кто будет в восторге от возможности точно определить уровень платежеспобности, так это мошенники, продвигающие фишинговые сайты и распространяющие различное spyware.
Выделить деперсонализированные данные и разрешить их облегченный, но не полностью свободный оборот, стоит. Однако необходимо прямо запретить «обогащение» этих данных за счет слияния их с информацией, представляющей банковскую, личную, медицинскую и иную тайну. Нынешним законодательством это не запрещено до конца. Можно вспомнить описанную в СМИ историю 2017 года, когда Сбербанк передавал данные клиентов своему технологическому стартапу Segmento, который использовал их в маркетинговой акции для McDonalds. Сам банк подчеркивал, что передавалась лишь деперсонализированная информация.
Защита от утечек
Ни в одном из законопроектов не упоминается одна из главных сегодня проблем при защите персональных данных — борьбы с утечками. 152-ФЗ не предусматривает карательных санкций за утечки данных, а лишь за незаконную обработку, да и то в виде штрафа до 50 тыс. рублей. А раз нет ответственности, клиентские данные утекают отовсюду, как вода сквозь решето.
И эту проблему необходимо решать. Для этого требуется несколько неприятных, но хотя бы понятных законодательных новаций. Во-первых, нужны чувствительные (возможно оборотные) штрафы для компаний в случае утечек данных, аналогичные введенным по новому регламенту ЕС по защите персональных данных (GDPR). И во-вторых, необходимо создать формальные процедуры расследования утечек и отвечающий за это орган. Роскомнадзор, на который сейчас вроде бы возложена эта задача, фактически не имеет ресурсов на ее выполнение.
А вот введение государственных реестров согласий на обработку персональных данных, что предлагается, например, в законопроекте АНО «Цифровая Экономика», — опасная инициатива. По сути, получится очередной клон системы ЕГАИС с ее известными сбоями, предназначенный для хранения и контроля исполнения согласий на обработку данных ста с лишним миллионов пользователей Рунета и тысяч ресурсов, которые они посещают. Внедрение подобного механизма грозит дополнительными требованиям к инфраструктуре Рунета, сравнимыми с последствиями «закона Яровой», техническая неисполнимость которого уже даже не является предметом обсуждения.
Удивительно, но общественные организации, которые должны представлять интернет-отрасль, практически не интересуются законотворчеством в области персональных данных. С учетом скорости работы законодателей, новые нормы могут быть приняты до конца года и с 2020 года начать действовать. И нам всем с этим нужно будет жить.
Об авторах
Ашот Оганесян
основатель и технический директор DeviceLock
Точка зрения авторов, статьи которых публикуются в разделе «Мнения», может не совпадать с мнением редакции.