Сюрприз для всех: чем опасен новый закон об интернет-пользователях
В Госдуму внесен очередной законопроект о регулировании интернета. Авторы нормативного акта предлагают обязать интернет-компании уведомлять пользователей о том, что их данные будут обрабатываться в обезличенном виде. Как уже сообщал РБК, для участников рынка инициатива стала сюрпризом.
Согласно документу, оператор персональных данных должен будет публиковать на своем сайте или разослать пользователям сообщение о том, что намерен осуществлять обработку их данных в обобщенном виде. Оператор данных также обязан будет получить информированное согласие пользователя об идентификации своего сетевого адреса до начала обработки данных для целей третьих лиц. Решение о том, какая информация должна содержаться в сообщении, а также о форме согласия, будет принимать Роскомнадзор.
РБК Петербург спросил экспертов, нуждаются ли большие пользовательские данные в защите и что ждет бизнес и обычных пользователей в случае принятия этого закона.
Карен Казарян, главный аналитик Российской ассоциации электронных коммуникаций:
«Законопроект совершенно комичен. Можно предположить, что его авторы абсолютно не понимают, что такое большие пользовательские данные, как они обрабатываются, на каких юридических принципах основывается обработка данных.
Если законопроект примут (чего, я надеюсь, не случится), он значительно обременит бизнес. В таком случае не только компаниям, но и львиной доле сайтов придется вступить в реестр операторов больших пользовательских данных и отчитываться перед Роскомнадзором о том, как они обрабатывают эти данные. Более того, в законопроекте прописана некая процедура, в соответствии с которой сайт должен получать согласие от пользователя на обработку его обезличенных данных. Каким образом можно получить согласие от кого-то на что-то, если это обезличенные данные? Получается, данные пользователя придется предварительно идентифицировать, но в этот момент его данные становятся персональными — и соответственно к ним уже применяется другой закон.
Проблема состоит в том, что определения больших пользовательских данных нет. Есть персональные данные, которые регулируются 152-м федеральным законом, и есть не-персональные данные, которые подвергаются обезличиванию и дальше законным образом компании могут их использовать — в том числе продавать или предоставлять третьим лицам безвозмездно. У нас есть некоторые законодательные пробелы в том, что такое обезличивание и какие его формы являются достаточными, у нас есть проблемы с определением персональных данных, но этот законопроект никоим образом их не решает.
Для того, чтобы закрыть эти пробелы, государство должно стимулировать качественное законное обезличивание данных. Сейчас у нас этот процесс отдается на откуп операторам персональных данных, но чаще всего они не стремятся заниматься этим, боясь наказания со стороны Роскомнадзора. Поскольку у нас нет методики этой работы, надзорное ведомство может предъявить претензии к любому оператору, назвав его метод некорректным.
Вообще если обезличивание проведено корректно — и в результате субъекта нельзя идентифицировать, то рисков нет. Но что значит корректно? Во многих странах Европы в законе прописаны определения «анонимизация» и «псевдоанонимизация». «Псевдоанонимизация» предполагает временное удаление идентификатора (например, столбца с именем и фамилией), но не исключает возможности при определенных условиях восстановить его. В процессе настоящей анонимизации применяются различные технические и статистические методы, которые делают невозможным возврат первоначального состояния массива данных. В России такого разделения нет — и Роскомнадзору не мешало бы разработать методики корректной анонимизации — тогда регулятору было бы проще контролировать бизнес, а бизнесу — проще проводить обезличивание данных.
В этом году в силу вступил Генеральный регламент о защите персональных данных в Европейском союзе и чуть позже летом была модернизирована 108 конвенция Совета Европы (Конвенция защите физических лиц при автоматизированной обработке персональных данных — ред.). Россия подписала обновленную конвенцию, и президент поручил разработать изменения в законодательстве, которые необходимы для ее внедрения. В рамках этих изменений и будет поднят вопрос о процессе обезличивания данных».
Вадим Ковалев, юрист Capital Legal Services:
«Очевидно, что без какого-либо регулирования эту сферу тоже оставлять нельзя. Неопределенность в вопросе обработки данных приводит к тому, что пользователи никак не могут защитить свои права, а компании — застраховаться от применения к ним жестких мер регулирования.
Но предложенный законопроект вряд ли понравится нашему бизнесу (особенно рекламодателям, чья стратегия выстроена на работе с массивами больших данных). Документ предлагает совершенно особый подход к использованию «больших данных», четко отделяя их от категории персональных данных. Такой подход является полной противоположностью европейской практике, где на большие данные распространяется такое же регулирование, как и на персональные данные.
Сложно сказать, какие риски для бизнеса повлечет за собой этот законопроект. Текущая версия документа выглядит подъемной и выполнимой для компаний, но окончательная картина будет понятна в ходе формирования правоприменительной практики.
По идее, главными бенефициарами данного законопроекта должны стать граждане, поскольку на обработку пользовательских данных потребуется их информированное согласие и в дальнейшем такую информацию нельзя будет использовать для идентификации пользователей без их разрешения. Скорее всего, такое согласие будет добываться добровольно-принудительным способом, например, очередными всплывающими окошками в программах и приложениях на смартфонах и компьютерах.
При этом граждане получат возможность обращаться с жалобами в Роскомнадзор в случае нарушения их прав на неприкосновенность частной жизни или в случае неполучения их информированного согласия, в том числе из-за недоработок самого приложения. Думаю, такие юридические споры могут превратиться в весьма интересные кейсы и прецеденты».
Мнения спикеров могут не совпадать с позицией редакции.