Блог

Андрей Алексейчук, юрист практики по интеллектуальной собственности / информационным технологиям «Качкин и Партнеры», рассуждает о новом законопроекте об обработке больших данных.

23 октября 2018 года в Государственную думу Российской Федерации депутатом М. В. Романовым был внесен законопроект [1] «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» (далее – Законопроект), предусматривающий регулирование обработки «больших пользовательских данных» — так называемых Big Data. Насколько известно, это первый законопроект, прямо касающийся обработки Big Data, который был внесен в Государственную думу.

Рассмотрим основные положения данного законопроекта.

Законопроектом предлагается, во-первых, определить понятие «больших пользовательских данных». В соответствии с пунктом 2 статьи 1 Законопроекта под большими пользовательскими данными предлагается понимать «совокупность не содержащей персональных данных информации о физических лицах и (или) их поведении, не позволяющая без использования дополнительной информации и (или) дополнительной обработки определить конкретное физическое лицо, собираемой из различных источников, в том числе сети «Интернет», количество которой превышает тысячу сетевых адресов».

Во-вторых, в отношении обработки больших пользовательских данных предлагается ввести регулирование, во многом очевидно копирующее существующие положения Федерального закона «О персональных данных» (далее – Закон о персональных данных) [2].

Согласно Законопроекту, под обработкой больших пользовательских данных будет пониматься «любое действие (операция), или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с большими пользовательскими данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, удаление, уничтожение больших пользовательских данных» (пункт 2 статьи 1 Законопроекта), что практически аналогично положению пункта 3 статьи 3 Закона о персональных данных.

Законопроект предусматривает две формы обработки персональных данных – для собственных целей и для целей третьих лиц.

Обработка больших пользовательских данных для собственных целей может осуществляться только после информирования пользователей об осуществлении такой обработки по форме, которую должен будет разработать Роскомнадзор, либо с помощью размещения соответствующей информации на сайте, либо путем направления информации непосредственно пользователю устройства. (часть 1 статьи 122 — пункт 3 статьи 1 Законопроекта).

Обработка больших пользовательских данных для целей третьих лиц, в том числе передача таких данных третьим лицам за плату, должна осуществляться на основании информированного согласия пользователей, форму которых также установит Роскомнадзор (часть 2 статьи 122 — пункт 3 статьи 1 Законопроекта). Лица, планирующие осуществлять обработку больших пользовательских данных посредством идентификации не менее чем 100 000 адресов для целей третьих лиц, должны будут направить соответствующее уведомление в Роскомнадзор, который включит их в специальный реестр (часть 3 статьи 122 —  пункт 3 статьи 1 Законопроекта). При этом деятельностью по обработке больших пользовательских данных для целей третьих лиц не будет являться обработка данных в рамках одной группы аффилированных лиц (часть 6 статьи 122 —  пункт 3 статьи 1 Законопроекта).

Кроме того, Законопроектом предусмотрен запрет на обработку больших пользовательских данных, направленную на идентификацию конкретных физических лиц, за исключением действий по запросу органов государственной власти, осуществляющих оперативно-розыскную деятельность (часть 5 статьи 122 — пункт 3 статьи 1 Законопроекта).

По моему мнению, предлагаемое в Законопроекте регулирование обработки больших пользовательских данных, слишком поверхностно, не охватывает многие проблемы, касающиеся обработки Big Data и не предлагает должного регулирования.

Во-первых, не совсем ясно, как предложенное регулирование соотносится с Законом о персональных данных. С учетом того что в большинстве случаев компании, осуществляющие обработку больших пользовательских данных (например, социальные сети, мобильные операторы, банки), владеют также персональными данными пользователей, законопроект либо в принципе не будет применяться, поскольку данные в своей совокупности будут связаны друг с другом и являться персональными данными, либо, если данные будут разделены, то потребуется осуществлять двойное регулирование (получать от пользователей два согласия, включаться в два реестра и т. п.).

Во-вторых, предложенное определение больших пользовательских данных привязывает такие данные к конкретному сетевому адресу, и из буквального прочтения определения больших пользовательских данных следует, что данные, не привязанные к конкретному сетевому адресу, не будут признаваться большими пользовательскими данными, что не совсем правильно. Кроме того, следует отметить, что сетевой адрес, в некоторых случаях, позволяет идентифицировать соответствующего пользователя. В таком случае такие данные будут являться именно персональными данными, поскольку косвенно позволяют идентифицировать конкретное физическое лицо.

Интересно, что в европейской практике сетевой адрес прямо относится к персональным данным. Так, в практике Европейского суда (European Court of Justice) данные о динамических IP-адресах, собранные онлайн-сервисом, были признаны персональными данными [3]. GDPR [4] также предусматривает, что IP-адреса, также как и иная метаинформация, могут быть отнесены к персональным данным (пункт 30 Преамбулы).

В-третьих, из текущей редакции законопроекта не совсем понятно, как будет работать институт информированного согласия на обработку больших пользовательских данных. Из буквального прочтения соответствующих положений законопроекта следует, что информированное согласие дает пользователь соответствующего оборудования. При этом можно сделать вывод, что пользователь должен идентифицировать себя, иначе будет невозможно установить, что конкретный пользователь дал свое согласие на обработку таких данных. Если же пользователь себя идентифицирует, то его данные автоматически становятся персональными данными.

Вообще, как я уже сказал выше, отношения, связанные с обработкой больших пользовательских данных, неразрывно связаны с обработкой персональных данных. В связи с этим регулирование данных отношений целесообразно осуществлять путем развития именно отрасли регулирования персональных данных, в частности:

— уточнение на законодательном уровне понятия персональных данных в части отнесения к информации, которая позволяет косвенно идентифицировать субъекта, различных метаданных: сетевых адресов, данных местоположения, истории просмотра веб-страниц и т. п. В настоящий момент такая информация зачастую признается персональными данными на уровне судебной практики [5];

— развитие института обработки обезличенных данных, в том числе, уточнение способов обезличивания и последующей обработки данных после обезличивания — с согласия и без согласия субъекта персональных данных.

Тем более, Закон о персональных данных уже содержит необходимы общие положения и принципы, касающиеся обработки данных, в частности принцип информированного согласия субъекта, принцип обработки данных с определенными целями и иные, изложенные в статье 5 Закона о персональных данных. На мой взгляд, данные принципы целесообразно распространить и на большие пользовательские данные.

Безусловно, регулирование отношений, связанных с обработкой Big Data, востребовано и должно быть осуществлено, однако данная конкретная реализация такого регулирования нуждается в переработке с привлечением соответствующих специалистов.

[1] http://sozd.parliament.gov.ru/bill/571124-7

[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

[3] Patrick Breyer v Bundesrepublik Deutschland, ECJ, Case C-582/14, 19 October 2016

[4] The General Data Protection Regulation (EU) 2016/679

[5] См., например, Постановление Тринадцатого Апелляционного арбитражного суда от 01.07.2016 по делу № А 56-6698 / 2016