Эксперты: необходимо защищать не только персональные данные лица в законодательном их понимании, но и его цифровой след в целом
SergeyNivens / Depositphotos.com |
Применение анализа больших данных (big data) и распределенных реестров (блокчейн-технологии), уже воспринимающихся в качестве неотъемлемых атрибутов перехода к цифровой экономике, поставили перед экспертным сообществом вопрос о необходимости совершенствования регулирования процессов сбора и обработки данных. Основные задачи в этой сфере обозначены непосредственно в программе "Цифровая экономика Российской Федерации". Так, на протяжении этого и следующего года предполагается, в частности:
- подготовить проекты нормативных актов, создающих благоприятные условия сбора, хранения и обработки данных, в том числе с использованием новых технологий, и обеспечивающих при этом защиту прав и законных интересов субъектов данных. Речь идет, в частности, об определении зависимости прав на сбор данных от согласия субъекта, условий по их обработке и коммерческому использованию, механизмов сбора и использования больших массивов данных, а также формировании подходов к регулированию интернета вещей (IoT);
- разработать и принять национальные стандарты обработки массивов больших данных, а также законодательно закрепить регулирование трансграничного обмена данными между участниками информационного взаимодействия;
- определить права и обязанности сторон информационного взаимодействия при обработке персональных данных и больших пользовательских данных, включая те, которые размещены в социальных сетях, и ввести ответственность за их ненадлежащую обработку;
- обеспечить безопасное обращение к облачным операторам при обработке персональных данных;
- законодательно определить права собственности на данные, создаваемые самими пользователями в интернете или пользовательским интернетом вещей;
- создать систему повышения грамотности населения в сфере информационной безопасности;
- разработать прототип специализированного ресурса для оперативной передачи уполномоченным органам сведений о признаках противоправных деяний в области информационных технологий (компьютерного мошенничества, навязанных услуг операторов связи, фишинговых схем);
- разработать ресурс, с помощью которого граждане смогут получать информацию об использовании их персональных данных и запрещать такое использование;
- определить перечень необходимых стандартов безопасной разработки приложений, в том числе для государственных информационных систем;
- гармонизировать национальные стандарты в области информационной безопасности с международными, региональными и отраслевыми стандартами с учетом интересов Российской Федерации.
С массивом судебных решений по спорам о защите персональных данных можно ознакомиться в "Энциклопедии судебной практики" интернет-версии системы ГАРАНТ. Получите бесплатный доступ на 3 дня!
Получить доступПри этом принятие решений по некоторым важнейшим вопросам в сфере обеспечения защиты данных в связи с применением новых технологий специалисты в ИТ-сфере считают пока проблематичными. Например, как отметил в ходе состоявшегося вчера в Аналитическом центре при Правительстве РФ круглого стола руководитель представительства Консорциума R3 в России и СНГ Алексей Благирев, при использовании блокчейн-технологий размывается граница между открытыми, персональными и конфиденциальными данными, поскольку предоставление лицом доступа к своим данным участникам транзакции подразумевает принятие всех возможных рисков и распределение их между ним и всеми этими лицами. Получается, что в условиях действующего законодательства, отдельно определяющего каждый из видов данных, реализовать такую схему в принципе невозможно. Таким образом, существенная переработка законодательства о персональных данных и информации, скорее всего, неизбежна.
При этом новое регулирование должно предусматривать не жесткие запреты или ограничения по использованию данных, которые, как показывает практика, при наличии заинтересованности можно обойти (передавая, к примеру, агрегаты данных или метаданные), а стимулы к эффективному использованию тех данных, которые граждане и организации сами передают в открытый доступ и разрешают обрабатывать, уверен директор Центра управления и развития компетенций по исследованию данных Сбербанка Максим Ерёменко. Он подчеркнул, что корпорации, сделавшие данные своим базовым активом, занимают на сегодняшний день лидирующие позиции в рейтинге самых дорогих (по показателю рыночной капитализации) компаний в мире. Данную позицию поддержал участник нескольких рабочих групп по разработке нормативного регулирования цифровой экономики, юрист ООО "1С" Валерий Пущин, отметив, что сейчас под действие Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" попадает слишком широкий перечень сведений, многие из которых могли бы свободно использоваться без нарушения интересов субъектов персональных данных. Поэтому при определении принципов регулирования использования больших данных предлагается дифференцировать их в зависимости от того, затрагивает ли и насколько существенно оборот данных интересы их субъектов. Кроме того, как сообщил эксперт, АНО "Цифровая экономика" изучает зарубежный опыт обработки больших данных с целью выявления и оценки всех возможных рисков, в том числе в связи с возможностью использования одного и того же механизма обработки информации для разных целей. Например, таргетинг может применяться как для формирования наиболее подходящих пользователям рыночных предложений, так и в политических целях (как в получившей широкую огласку весной этого года истории с несанкционированным использованием аналитической фирмой персональных данных почти 90 млн пользователей Facebook для составления персонализированной рекламы во время избирательной кампании).
Пока у экспертов нет единого мнения об условиях коммерциализации данных. Одни считают, что для заключения сделок по передаче или использованию информации она должна признаваться имуществом, другие – что необходимо создать единый ресурс, с помощью которого любой субъект персональных данных сможет управлять ими: разрешать использование, в том числе в коммерческих целях, и, напротив, запрещать.
Еще один проблемный вопрос касается механизма устранения последствий утечки данных. Пока непонятно, как должен оцениваться ущерб и кто должен его возмещать: оператор, не обеспечивший защиту данных надлежащим образом, или неправомерно получившее доступ к ним лицо, либо потери в таком случае вообще должны компенсироваться страховым возмещением, что предполагает необходимость развития рынка кибер-страхования, отметил и. о. руководителя Аналитического центра при Правительстве РФ Владислав Онищенко. Его поддержал заместитель руководителя Департамента информационных технологий Москвы Александр Горбатько, указав, что если крупные компании еще имеют возможность воспользоваться недешевыми услугами интеграторов в области информационной безопасности, для того чтобы найти источники потери информации, то обычные граждане просто не знают, что делать в таких случаях.
Особое внимание эксперты обратили на необходимость регулирования использования так называемого цифрового следа человека – данных, которые образуются при пользовании смартфонами, умной бытовой техникой, фитнес-трекерами и т. д. Например, завладев информацией о состоянии здоровья граждан, фармацевтические компании могут получить значительное конкурентное преимущество, считает генеральный директор ООО "Новые облачные технологии" Дмитрий Комиссаров. Кроме того, эксперт подчеркнул целесообразность обеспечения защищенности инфраструктуры, с помощью которой в условиях развития технологий будут собираться данные, ведь абсолютное большинство компьютеров, смартфонов и других устройств, используемых в России на данный момент, имеют встроенные механизмы получения к ним удаленного доступа. В развитие этой мысли директор Департамента информационных технологий госкорпорации "Ростатом" Евгений Абакумов отметил, что цифровой след является и будет являться публичным, так как в противном случае невозможно было бы обеспечить необходимый для удобного использования конкретным лицом уровень персонализации сервисов, поэтому вопросы об определении рисков такого добровольного раскрытия данных и обязательности их страхования действительно предстоит решить как можно скорее.
Еще одна ситуация, когда утечки данных, которая все-таки подразумевает либо взлом системы, либо непринятие оператором необходимых для защиты данных мер, как таковой нет – это размещение информации в социальных сетях. В этом случае свои права в споре с организацией, которая такие данные использовала, защитить очень сложно, отметил заместитель Министра цифрового развития, связи и массовых коммуникаций РФ Алексей Соколов. По его мнению, во избежание таких споров можно было бы предусмотреть необходимость получения согласия лица на вовлечение размещенных им в общем доступе данных в хозяйственный оборот, но для реализации этой идеи нужно не только определить процедуру предоставления этого согласия, но и механизм идентификации гражданина, от чьего имени ведется аккаунт в соцсети.
В заключение эксперты указали, что, поскольку от утечки данных может выиграть только лицо, вовлекающее их в хозяйственный оборот, следует подумать о введении обязанности подтверждения – в случае необходимости – правомерности получения данных, используемых субъектом, который не является их оператором.