С каждым годом растут объемы цифровой информации. Государства активно двигаются в сторону оказания услуг через интернет-сервисы, создают и обрабатывают всё больше данных, а также стремятся регулировать их использование. Рассказываем, что такое № 149-ФЗ, № 152-ФЗ и GDPR. Так ли хорошо они работают на практике?
Чем регулируются персональные данные
Регулирование персональных данных в России осуществляется с применением ряда нормативно-правовых актов:
- № 152-ФЗ «О персональных данных»;
- № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- ТК РФ Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты;
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных;
- № 125-ФЗ «Об архивном деле в Российской Федерации»;
- и множества других, а если происходит обработка данных жителей Европейского Союза, то ещё и GDPR (General Data Protection Regulation — Общий регламент по защите данных), который имеет экстерриториальное действие. Подробно разбираем его ниже.
Впрочем, для юристов гораздо большее значение имеют приказы ФСБ, ФСТЭК России и Роскомнадзора, которые выходят регулярно. Вот только некоторые из них:
- Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. №378;
- Приказ ФСТЭК России от 23 марта 2017 г. №49;
- Приказ Роскомнадзора от 30 октября 2018 г. №159.
Что такое большие данные и как они связаны с персональными
Российское законодательство не даёт большим данным чёткого определения. По сути, это массив структурированных и неструктурированных данных (не только персональных), которые динамически меняются, обрабатываются и анализируются программными инструментами с целью выявления новых связей для принятия различных решений.
Закон № 152-ФЗ «О персональных данных» определяет персональные данные в качестве любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Это значит, что фактически любая информация, которая достоверно может определить физическое лицо, к которому она относится, является персональными данными.
Большие данные состоят из персональных данных?
Персональные данные — это важная составляющая больших данных, но далеко не единственная. Большие данные могут добывать и из других источников: с помощью геолокационных систем и промышленного оборудования. Например, компания Monsanto (сейчас она принадлежит Bayer) долгое время специализировалась на сборе и обработке больших сельскохозяйственных данных. Корпорация собирала показатели уровня влажности, температуры, урожайности и десятков тысяч других фактов, чтобы предсказывать заинтересованным фермерам урожайность их земель в очередном году и давать рекомендации по её повышению.
Операторы больших данных обезличивают персональные данные, обрабатывают их в агрегированном виде и получают статистические или демографические данные. Они являются производными из персональных данных, но юридически не классифицируются как таковые, потому что прямо или косвенно не раскрывают личность субъектов. Однако при объединении или связи агрегированных данных с персональными данными появляется возможность идентифицировать физическое лицо. Поэтому такие комбинированные данные будут обрабатываться как персональные.
При этом агрегирование — это лишь один из способов обезличивания персональных данных. Согласно определения, данного в № 152-ФЗ, обезличивание — способ обработки персональных данных, в результате которого в обработанных персональных данных нельзя идентифицировать физическое лицо, которому эти данные принадлежат. По сути, происходит скрытие, изменение или удаление персональных идентификаторов из набора данных. Конкретные способы и порядок обезличивания устанавливается приказом Роскомнадзора от 5 сентября 2013 г. № 996.
На данный момент закон в явной форме не описывает последствия обезличивания данных. Единственное право, которое даёт закон оператору в отношении обработки персональных данных, содержится в п. 9 ч. 1 ст. 6 № 152-ФЗ. Оно разрешает использовать обезличенные данные в научных и исследовательских целях. Коммерческое использование данных невозможно без их передачи другим компаниям, что в силу текущих формулировок закона достаточно рискованно.
Также возникают проблемы и в социально-значимых проектах, где не подразумевается коммерческое использование данных. Так, МегаФон совместно с «Лиза Алерт» в марте 2019 года запустил специальную платформу «МегаФон.Поиск» для поиска пропавших детей и взрослых с использованием технологии анализа больших данных, в ходе тестирования которой с помощью платформы удалось найти более 60 человек. Одна из причин использования платформы на базе больших данных, а не просто передача геолокационных данных пропавшего, — ограничения № 152-ФЗ «О персональных данных».
Идентификаторы и регуляторы
Перечень данных, который можно отнести к персональным, открыт и проистекает из определения персональных данных, которое дается в № 152-ФЗ. Поэтому любой набор информации, позволяющий определить или идентифицировать человека среди множества других людей, относится к персональным. Даже если информация не позволяет точно идентифицировать физическое лицо, но помогает значительно ограничить круг тех людей, к которым данные могут относится, она является «персональной».
Таких идентифицирующих данных огромное количество, и к ним можно отнести фамилию, имя, отчество, дату рождения, место рождения, возраст, фотографию, ссылку на профиль в социальных сетях и другие.
Например, если вы кому-то сказали вашу фамилию, имя, отчество и дату рождения, то вас с высокой точностью можно будет определить, как конкретную личность. Однако, если мы уберем из набора такие вводные данные, как фамилию или дату рождения, то понять, о каком именно человеке идет речь, будет сложно. Верно и обратное: безобидные данные, такие как показания электрического счётчика, при их обогащении данными, относящимися к физическим лицам, становятся персональными.
Если говорить о номере мобильного телефона и электронной почте, то представители государственных органов считают, что их использование в качестве персональных данных возможно в отдельных случаях. Например, если имеются дополнительные данные, которые позволяют однозначно отнести абонентский номер или адрес электронной почты к физическому лицу. Адрес электронной почты точно не относятся к персональным данным, если договор с оператором был заключен на юридическое лицо. Также почта может являться рабочей или вовсе не содержать никакой идентифицирующей информации.
Бывают и более сложные категории данных. До сих пор нет однозначной позиции о том, является ли IP-адрес персональными данными и обрабатывают ли персональные данные службы Google Analytics и Яндекс.Метрика — позиция регуляторов подвижна.
Какой вывод из этого можно сделать? Под персональными данными понимается совокупность данных, которые необходимы и достаточны для идентификации физического лица. При этом финальное слово всё равно остаётся за судами и контролирующими органами.
Ассоциация больших данных
Параллельно с законодательными процессами рынок сам пытается установить для себя общие правила по использованию данных — по крайней мере среди крупных игроков. Банки, телеком-операторы и интернет-гиганты создали Ассоциацию больших данных, в которую также входит и МегаФон. Ассоциация стимулирует своих членов относиться к данным ответственно, не использовать для бизнеса данные с серых рынков, формировать этические нормы в отношении сбора и обработки больших данных для защиты интересов пользователей.
GDPR
Общий регламент по защите персональных данных, принятый Европейским союзом в 2016 году и вступивший в силу в 2018, во многом отличается от № 152-ФЗ.
- Экстерриториальное действие. Для российских компаний экстерриториальное действие закона о персональных данных не является чем-то принципиально новым. Но в отличие от отечественного закона, GDPR напрямую предусматривает обязанность для компании, которая не находится в Европейском Союзе, назначить представителя на территории ЕС (статья 27 GDPR).
- Открытость и прозрачность. Цели, объемы и методы обработки персональных данных должны излагаться просто и доступно. По требованию европейских пользователей компании должны предоставлять полную информацию о том, какие данные обрабатываются, сколько хранятся и каким третьим лицам передаются. При этом, в отличие от России, уполномоченные в сфере защиты персональных данных органы государств ЕС штрафуют операторов персональных данных за «лишние» согласия, если у обработки данных есть иное основание. Такие согласия вводят пользователей в заблуждение, заставляют людей думать, что они могут отозвать согласие и обработка прекратится.
- Права субъекта данных. Граждане ЕС имеют право требовать от компании прекратить обработку их персональных данных, перенести в электронной форме данные из одного сервиса в другой, а также удалить личные данные по запросу во избежание их распространения, если это не противоречит общественным интересам.
- Контроллер данных и процессор данных. Компании не всегда используют свои собственные ресурсы для хранения и обработки данных. Поэтому большую юридическую ответственность несет тот, кто инициирует сбор, хранение и обработку данных (контроллер), а не компания-исполнитель (процессор).
Судебные кейсы
ВКонтакте vs Double Data
В России публично о больших данных заговорили после подачи ВКонтакте иска против Double Data (ООО «Дабл»). В деле ранее также участвовало «Национальное бюро кредитных историй», но оно заключило с ВКонтакте мировое соглашение, в котором говорится, что «НБКИ обязуется изменить свои правоотношения с ООО «Дабл» таким образом, чтобы они не нарушали права истца, либо прекратить их».
Double Data использовала данные из открытых профилей пользователей ВКонтакте для анализа и продажи результатов такого анализа различным бюро кредитных историй и банкам. ВКонтакте под предлогом защиты пользователей подала иск, в котором просила суд признать базу пользовательских данных ВКонтакте интеллектуальной собственностью компании, а действия Double Data, соответственно, нарушением исключительного права ВКонтакте на базу данных.
Double Data же считает, что данные пользователей не могут принадлежать ВКонтакте. Тем более пользователи сделали профили открытыми, а значит согласились, что любой посетитель страницы в соцсети может использовать данные этих профилей.
21 сентября 2022 года закончился этот масштабный судебный спор, который длился почти 6 лет. Иск ВКонтакте так и не был удовлетворен: суд по интеллектуальным правам (СИП) утвердил мировое соглашение сторон. Спор сыграл значимую роль в практике.
LinkedIn vs HiQ Labs
Не менее значимым кейсом в области данных пользователей является иск к HiQ Labs от LinkedIn — и он гораздо больше напоминает разбирательство между российскими ВКонтакте и Double Data.
HiQ Labs разрабатывает программы, которые помогают работодателям предсказывать поведение их сотрудников, в том числе планируемые увольнения. В качестве данных HiQ Labs использует открытые профили пользователей LinkedIn. Соцсеть заявляла, что в этом случае нарушаются права как пользователей сети, так и самой компании.
Апелляционный суд 9-го округа США посчитал, что данные профилей не могут принадлежать LinkedIn. И если пользователи делают свои профили общедоступными, соответственно, данные этих профилей также доступны для всех. Получается, что HiQ Labs может продолжать использовать открытые данные в коммерческих целях, а единственный способ для LinkedIn ограничить в этом HiQ Labs — запретить создавать общедоступные профили, что, вероятно, нанесет ущерб самой соцсети.
Петиция на решение суда, поданная LinkedIn, была отклонена. Апелляционный суд девятого округа США признал законность веб-скрейпинга — сбора данных со страниц веб-ресурсов. Суд постановил, что соцсеть LinkedIn не имеет права запрещать компании hiQ Labs собирать публичные данные о ее пользователях. Это подтверждает легальность использования открытых данных пользователей в коммерческих целях.
