Комментарии в СМИ
«Органы, осуществляющие ОРД, получат неограниченный доступ к Big Data для идентификации физлиц»
Юрист практики по интеллектуальной собственности / информационным технологиям «Качкин и Партнеры» Андрей Алексейчук полагает, что в поправках в Закон об информации реализован не совсем корректный подход к обработке больших пользовательских данных и не решаются многие важные проблемы.
В Думу внесен проект поправок в Закон об информации, направленных на регулирование обработки больших пользовательских данных.
По мнению одного эксперта «АГ», законопроект слишком поверхностен, он не охватывает основные проблемы по обработке соответствующих данных. Другой эксперт отметил, что законопроекты в части послабления в области регулирования деятельности операторов персональных данных становятся новым трендом в регулировании данной сферы отношений.
23 октября в Госдуму внесен законопроект № 571124-7 о внесении изменений в Закон об информации, информационных технологиях и о защите информации, направленных на регулирование обработки больших пользовательских данных, или Big Data.
Как следует из пояснительной записки, правовой вакуум в сфере регулирования больших пользовательских данных в России лишает физических лиц должной правовой защиты и поддержки. «Ежедневно в результате использования различных социальных сетей, сервисов, устройств и других информационных технологий пользователи оставляют о себе в сети “Интернет” огромный массив обезличенной информации, которую принято называть “большими пользовательскими данными”», – указывают авторы проекта.
Как отмечают разработчики, данная информация в результате автоматизированной обработки позволяет определять отдельные пользовательские характеристики, которые в дальнейшем используются операторами больших пользовательских данных для собственных целей либо передаются ими другим заинтересованным лицам безвозмездно или за плату. При этом Big Data не являются персональными данными.
Как указано в тексте пояснительной записки, поправки направлены, прежде всего, «на повышение эффективности защиты информации, собираемой из различных источников, в том числе сети “Интернет”, количество которых превышает тысячу сетевых адресов, о физических лицах и (или) их поведении, не позволяющей без использования дополнительной информации и (или) дополнительной обработки определить конкретное физлицо».
В этой связи предлагается закрепить в Законе об информации понятие «большие пользовательские данные», обозначить, кто является их оператором и что понимается под их обработкой. Проект также устанавливает особенности госрегулирования обработки БПД: в частности, вводится обязанность обязательного информирования пользователя об этом путем размещения соответствующего информационного сообщения на сайте оператора БПД, а при отсутствии такого сайта – иным доступным способом.
Законопроектом установлена обязанность оператора больших пользовательских данных до начала их обработки (когда предполагается передача БПД третьим лицам на безвозмездной основе или за плату, получение их у третьих лиц или иная их обработка для третьих лиц) получать электронное информированное согласие пользователя об идентификации сетевого адреса. Требования к информационному сообщению и информированному согласию, а также их формы устанавливаются Роскомнадзором.
Также проектом предусматривается, что оператор БПД, осуществляющий их обработку (в том числе сбор данных посредством идентификации не менее 100 тыс. сетевых адресов), обязан уведомить госорган о своем намерении осуществлять обработку Big Data для целей третьих лиц.
Согласно проекту сведения об операторах БПД будут храниться в специальном реестре, который будет создан уполномоченным госорганов в соответствии с определенным Правительством РФ порядком.
Особо отмечается, что в целях предотвращения нарушения конституционных прав человека и гражданина, в том числе на неприкосновенность частной жизни, личной и семейной тайны, предлагается установить запрет на обработку БПД, направленную на определение (идентификацию) конкретного физлица. Исключение сделано только для такой обработки по запросам госорганов, осуществляющих оперативно-розыскную деятельность.
Юрист практики по интеллектуальной собственности и информационным технологиям адвокатского бюро «Качкин и Партнеры» Андрей Алексейчук полагает, что в данном законопроекте реализован не совсем корректный подход к обработке БПД и не решаются многие важные проблемы по их обработке.
По мнению эксперта, поправки предлагают регулирование Big Data, во многом аналогичное регулированию обработки персональных данных. «При этом не совсем ясно, как должно соотноситься регулирование обработки БПД с положениями Закона о персональных данных, – отметил юрист. – Большинство участников рынка Big Data владеют как БПД, так и персональными данными, поэтому такие лица либо не будут подпадать под предложенное регулирование в принципе (объединяя данные так, чтобы они в своей совокупности являлись персональными данными), либо будут вынуждены соблюдать двойное регулирование (получать два согласия на обработку данных, направлять два уведомления в Роскомнадзор и т. п.)».
Кроме того, по его словам, привязка понятия БПД к сетевым адресам автоматически выводит из-под действия законопроекта собранные данные о пользователе, если они не привязаны к сетевому адресу: «Данные, которые соотносятся с определенным сетевым адресом, в ряде случаев признаются персональными данными как в России, так и в европейской практике».
По мнению Андрея Алексейчука, также не совсем ясно, как будет работать институт информированного согласия на обработку БПД для целей третьих лиц. «Очевидно, что для того, чтобы дать такое согласие, пользователь должен себя идентифицировать, но тогда собранные в отношении него данные станут персональными данными и не будут подпадать под регулирование, предложенное в законопроекте», – заключил юрист.
Старший партнер юридической компании «Катков и партнеры», член Совета ТПП РФ по интеллектуальной собственности Павел Катков отметил, что послабления в области регулирования деятельности лиц, осуществляющих обработку персональных данных, становятся новым трендом в регулировании данной сферы отношений.
«Вслед за законопроектом Минсвязи об обезличенных данных, представленным экспертной общественности в августе этого года, появился данный законопроект», – отметил эксперт. По его мнению, общий смысл подобных законодательных инициатив заключается в том, чтобы, с одной стороны, смягчить регулирование отдельных категорий лиц, совершающих обработку персональных данных, а с другой стороны, уравновесить это послабление контролем за данными субъектами в случае их выхода за обозначенные законом рамки.
Зинаида Павлова
Материал опубликован на сайте «Адвокатской газеты» 26.10.2018
