Операторы больших данных заявляют о растущей потребности в обмене ими в обезличенном виде. Создание такого механизма упирается в законодательство, регулирующее оборот персональных данных. Директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович считает, что российская нормативно-правовая база в сфере оборота данных требует слишком больших объемов бумажного документооборота
Фото: Анатолий Карбинов, Коммерсантъ
Фото: Анатолий Карбинов, Коммерсантъ
BUSINESS GUIDE: В одном из интервью вы говорили, что термин «большие данные» не имеет четкого определения в законодательстве ни одной из стран мира, включая Россию. Как в таком случае они могут быть одной из базовых технологий для принятых на федеральном уровне национальных проектов: «Цифровая экономика», «Наука» и др.?
Александра Орехович: Большие данные — это очень сложный составной термин. Речь о сквозной технологии, которая используется во множестве решений в самых разных сферах. Это и промышленные данные, и статистические, и персональные (ПДн.— «ЭР»).
Что касается нацпроектов, я хоть и юрист, но не сторонник избыточного формализма и не склонна настаивать на том, чтобы под каждый чих в рамках национальных стратегий было подведено нормативно-правовое определение любого слова.
BG: Вы также говорили, что персональные данные есть в распоряжении у всех, кто работает с ними, даже у тех, кто не имеет соответствующего статуса оператора. Почему эта коллизия не урегулирована законодательно?
А. О.: Главная сложность здесь — в разграничении типов данных. Например, в Краснодаре есть проект Magrotech, получивший поддержку ФРИИ. Это сервис для оптимизации питания растений — полива, удобрения и т. д. Понятно, что для его работы необходимо собирать данные об урожайности и других параметрах. По идее, такая сводка с полей — это промышленные данные. Но в некоторых случаях, добавив к ним информацию, скажем о времени и местоположении, можно вычислить персональные данные конкретного механизатора. То есть большие данные объединяют в себе огромное количество разной информации, в том числе той, использование которой уже урегулировано тем же федеральным законом «О персональных данных» №152-ФЗ. Поэтому невозможно урегулировать использование больших данных в целом. Регулировать нужно каждый тип данных в частности.
BG: Защиту промышленных данных может регулировать закон «О коммерческой тайне», персональных — упомянутый выше 152-ФЗ. Чего же не хватает?
А. О.: Четких правил игры. Предположим, есть некий массив обезличенных данных, например статистических. Закон «О персональных данных» гласит, что сбор обезличенных данных в целях статистики никаких согласий не требует. Но с точки зрения правоприменительной практики совершенно непонятно, что такое исследовательские статистические цели.
Однако существует позиция, в том числе, со стороны правоприменителей, согласно которой даже для решения исследовательских задач обрабатывать данные без согласия могут только научно-исследовательские учреждения. Но если вы получили персональные данные, зашифровали их, чтобы обезличить, и передали другому оператору, то без ключа шифрования он никогда не доберется до конкретных персоналий. Так почему он не может в дальнейшем использовать их в своих целях? В законе говорится, что даже обезличенные персональные данные остаются персональными и что оператор обязан запрашивать разрешение владельца на их использование. И это при том, что владелец обезличенных данных обычно не стремится к тому, чтобы становиться оператором ПДн.
«в России никто не понимает, как обмениваться данными: куда ни ткни, требуется согласие субъекта ПДн, причем, как правило, в бумажном виде. XXI век на дворе, блокчейн и криптовалюты шагают по планете, а мы все еще собираем бумажные согласия»
BG: Почему обладать подобным статусом невыгодно?
А. О.: Приведу пример. Допустим, владелец обезличенных данных разрабатывает задание на закупку лекарств для какого-нибудь региона России. Есть данные о том, сколько жителей региона заболевает в течение одного месяца, сколько — в другом месяце. На их основе можно понять, сколько и каких лекарств необходимо региональному рынку в конкретном периоде, как сформировать задание на закупку медикаментов, чтобы не было дефицита лекарств. И, если я этим занимаюсь, то мне совершенно не интересны имена и фамилии конкретных заболевших. У того, кто собрал и передал мне данные о заболеваемости, эта информация есть. Но я ее получаю в зашифрованном виде и искать этих людей мне незачем. Однако, согласно правовым актам, одной из характеристик персональных данных является их обратимость, то есть, даже будучи обезличены, они позволяют установить личность субъекта, к которому относятся. Поэтому у меня два пути. Первый — запрашивать все ключи шифрования и становиться оператором персональных данных. А выполнение таких требований 152-ФЗ процесс сильно усложняет и удорожает. В нашем случае это отразится на ценах на лекарства. Второй вариант — формировать задание по наитию, без опоры на статистику, что, конечно не будет способствовать развитию экономики.
Данные необходимо разграничить и разработать методики их обезличивания. Именно этим путем пошли в Европейском Союзе, приняв в 2018 году Общий регламент по защите данных (GDPR). Он налагает ряд довольно жестких ограничений на операторов персональных данных. Они касаются их целевого использования, сроков хранения, точности данных и т. д. Количество данных, которые получает оператор, ограничены минимально необходимым для решения той или иной задачи объемом. Также регламент предоставляет субъектам ПДн широкие права в плане контроля использования своих данных и устанавливает жесткие требования к форме согласия на обработку персональных данных.
BG: После его принятия рынок обработки данных в ЕС упал на 20%.
А. О.: Тогда, в мае 2018 года, рынок обвалился потому, что резко изменились правила оборота данных, необходимо было перестраивать процессы. Тогда многие в одночасье перестали обрабатывать ПДн, но только на время. Сейчас все выстроили свои бизнес-процессы и рынок выровнялся; его участники поняли, что следовать новым правилам не уж так дорого. Скажем, Google потратил на создание интерактивного сервиса для получения согласия на обработку данных в соответствии с регламентом 25 центов на пользователя из ЕС. В общей сложности затраты корпорации составили миллиарды долларов, но Google точно извлекает из данных одного пользователя гораздо больше, чем 25 центов. Возможности для заработка на данных очень разнообразны. В равной с Евросоюзом степени это относится и к России. Компании готовы покупать друг у друга информацию о платежеспособности клиентов, что особенно интересно банкам, об их предыдущих покупках — для формирования специальных предложений, о перемещениях людей, чтобы предлагать им конкретные кафе и рестораны и т. п. Это хорошие инструменты для увеличения выручки.
BG: Может быть, России стоит просто позаимствовать европейский опыт?
А. О.: У нас уже есть национальное законодательство: 152-ФЗ очень похож на GDPR. Просто наш закон — вообще не цифровой. Он заточен на бумагу. Чтобы получить какую-то информацию у оператора, который обрабатывает твои персональные данные, ты должен ему подать собственноручно подписанный бумажный запрос. Бизнес хочет обогащать свои данные, например банки заинтересованы в данных абонентов операторов мобильной связи и наоборот. Но никто не понимает, как обмениваться данными, потому что, куда ни ткни, требуется согласие субъекта ПДн, причем, как правило, в бумажном виде. XXI век на дворе, блокчейн и криптовалюты шагают по планете, а мы все еще собираем бумажные согласия. Это сильно сдерживает развитие цифровой экономики.
BG: Если принять нормы GDPR, собирать и использовать данные станет проще?
А. О.: Наш рынок к драконовским требованиям GDPR не готов. По статистике, 54% пользователей вообще не хотят никому передавать свои персональные данные. Поэтому если операторы ПДн начнут на каждом шагу запрашивать согласие, они будут очень часто получать отказы. Нам нужно свое сбалансированное решение, которое обеспечит защиту ПДн пользователей и при этом не создаст избыточного давления на бизнес.
BG: Для каких сфер в России сегодня особенно актуально формирование больших данных на основе персональных?
А. О.: Я бы назвала среди них «умный город» и медицину. Что касается «умного города», то при управлении транспортом встает большой вопрос: как обрабатывать и передавать данные о том, где и сколько находится людей, насколько загружена транспортная система. Здесь возникают те же сложности — как использовать данные с камер видеонаблюдения, которые, несомненно, являются персональными?
Медицинские данные — так и вовсе боль и слезы. Данные о состоянии здоровья человека относятся к специальным категориям ПДн, их обработка допускается законом только в ограниченном количестве случаев — при оказании медицинских услуг, обеспечении безопасности и т. п. При этом за нарушение закона в этой части может наступать даже уголовная ответственность. Как использовать эти данные для создания полноценного искусственного интеллекта в медицинской сфере, который, очевидно, необходим, ведь уже доказано, что такие самообучающиеся системы выдают на основании анализа симптомов более точные диагнозы и реже ошибаются, чем даже светила в области диагностики.
Еще одна важная с точки зрения обработки данных отрасль — обеспечение безопасности в разных ее проявлениях. Я недавно пересела за руль автомобиля, которым до этого управлял более спокойный водитель, и бортовой компьютер на мой стиль вождения отреагировал сообщениями: «Вам срочно нужно отдохнуть!» (смеется). Представляете, сколько эта машина накопила информации о технике вождения предыдущего владельца? Эту технологию применяют сейчас каршеринговые компании: они рейтингуют клиентов по стилю вождения и в зависимости от этого выбирают для него машины.
BG: Если ориентироваться на нынешние законотворческие планы властей, то каких изменений законодательства, регулирующего оборот данных, стоит ожидать в ближайшие годы — оно ужесточится или смягчится?
А. О.: Я не жду ужесточения законодательства, регулирующего использование данных бизнесом. Возможно, в ближайшее время будут четко установлены требования к процессам обработки персональных данных в государственных информационных системах, в том числе за счет введения цифрового профиля гражданина, объединяющего информацию о гражданине, которая в этих системах содержится: паспортные данных, ИНН и другие документы, а также место жительства, работы и т. д. (работа над этим проектом началась в мае нынешнего года, запустить институт цифрового профиля в эксплуатацию правительство планирует в мае 2020 года.— «ЭР»).
Александра Владимировна Орехович
Родилась в 1984 году. В 2006 году окончила юридический факультет МГУ. В 2011 году защитила диссертацию на тему «Развитие регионализма в странах Европы» и получила степень кандидата юридических наук. В 2014 году получила степень магистра европейского права в МГИМО. Работала в правительстве Московской области и других органах власти, занималась развитием законодательства в сфере природопользования, территориального управления и товарооборота. С 2015 года возглавляет направление правовых инициатив в ФРИИ. В ФРИИ при участии госпожи Орехович разработаны такие юридические инструменты как опцион на заключение договора, меры государственного регулирования по поддержке отечественного программного обеспечения и концессии в IT. Она также выступает экспертом при разработке закона о телемедицине.
Фонд развития интернет-инициатив (ФРИИ)
Некоммерческая организация — венчурный фонд для предоставления инвестиций российским технологическим компаниям на ранних этапах их развития. Учрежден в 2013 году Агентством стратегических инициатив по инициативе президента России Владимира Путина.
Объем средств фонда — 6 млрд рублей. В общей сложности ФРИИ инвестировал более чем в 400 компаний. Среди стартапов, получивших поддержку фонда,— два ростовских и шесть краснодарских проектов. В их числе — облачный сервис для автоматизации типографий Web2Print, производитель биологических фильтров для воздуха Veoly, платформа оптовой торговли продуктами питания DisFood и другие. В акселерационных программах фонда приняли участие более 10 тыс. проектов. Также фонд занимается разработкой методов правового регулирования венчурной отрасли.