Одной из главных тем конференции «Защита персональных данных» стала практика работы с «большими пользовательскими данными» — массивами персональной информации, которые сейчас собирают все, кто может: операторы мобильной связи, создатели интернет-сервисов, разработчики мобильных приложений и т. д.
Эти данные Александр Жаров, глава Роскомнадзора, назвал топливом экономических процессов нового цифрового уклада. К 2025 году в Китае, по оценкам McKinsey, озвученным Жаровым, почти четверть (22%) роста внутреннего валового продукта будет связано с предложением таргетированных цифровых услуг, в США экономический эффект от цифровизации аналитики оценили в 1,6–2,2 трлн долл., а в России — в 4,1–8,9 трлн руб. (от 19 до 34% общего ожидаемого роста валового продукта).
Однако дело в том, что персональные данные каждого человека защищены законом 152-ФЗ, а вот работа с их массивами находится в законодательной «серой зоне» (см. также «BIG DATA 2017: как обрабатывать большие, но персональные данные», Computerworld Россия, 5 апреля 2017). Жаров говорил о необходимости проработать регулирующие акты в этой сфере — создать соответствующий понятийный аппарат, установить режимы работы с большими персональными данными, выработать правила для рынка услуг.
При этом надо пройти, как обычно, между Сциллой и Харибдой — чрезмерное регулирование плохо скажется на рынке услуг, недостаточное — приведет к нарушению прав граждан. Большую роль может сыграть, по мнению главы Роскомнадзора, саморегулирование отрасли. Подвижки в этом направлении есть: созданием закона «о себе» занялись производители компьютерных игр.
И такие действия с их стороны весьма предусмотрительны: среди игроков изрядный процент детей, а обеспечению их прав на приватность, как полагает Жаров, надо уделить особое внимание. В частности, надо запретить биометрическую идентификацию несовершеннолетних: биометрические данные сдаешь раз в жизни (в этом, собственно, их преимущество), и человек должен делать это сам, в сознательном возрасте.
Кроме того, Жаров считает, что нужно законодательно закрепить использование специальных «детских» SIM-карт, заводимых с разрешения их родителей или других законных представителей. Сейчас карты в телефонах зарегистрованы на родителей и представителей и, соответственно, рассматриваются операторами и владельцами сервисов как обычные, «взрослые». На «детскую» же карту можно наложить, например, ограничения по части использования.
Международная составляющая
Кроме неопределенности с правовым положением больших персональных данных внутри страны, есть и трансграничные проблемы, обусловленные разностью подходов к регулированию их оборота в различных юрисдикциях.
В США с 2016 года законодательство, по словам Игоря Ашманова, генерального директора компании «Ашманов и партнеры», разрешает продавать накопленные данные без всяких ограничений, а в Еврсоюзе в мае 2018 года вступит в силу «Регламент по защите персональных данных», более строгий, чем соответствующее российское законодательство. Причем, как отметил Игорь Щеголев, помощник президента РФ, изначально в Европе укоряли нас за излишнюю «жесткость», но, по его мнению, такова тенденция. И пользователь станет не только источником, но и распорядителем своих данных.
С Евросоюзом ведутся работы по гармонизации законодательства. Пока, по словам Жарова, еврорегламент должен учитываться российскими операторами только при обработке персональных данных европейских граждан на территории ЕС, при работе на территории нашей страны они должны руководствоваться нашими законами. Какое-то обсуждение применения регламента в России возможно, только когда накопится некоторый опыт его правоприменения и будет заключен соответствующий международный договор.
С американскими компаниями Роскомнадзор пока с переменным успехом ведет борьбу за перенос персональных данных россиян на российские серверы. Вопрос о том, как регулировать работу с большими персональными данными, пока вообще не ставится.
Политика и экономика
Между тем торговля большими пользовательскими данными, как полагает Ашманов, вопрос не только экономический (отметим, что стоимость набора данных — 10–20 долл., в зависимости от его содержимого), но и политический. Принципиальная особенность Больших Данных вообще в том, что они «больше, чем их составляющие»: их изучение может дать информацию, которую отдельные составляющие не содержат. В случае с большими персональными данными ситуация осложняется тем, что, кроме данных о себе, которые пользователи отдают в явном виде и сколько-нибудь сознательно, масса информации передается «попутно».
Как неоднократно отмечалось на конференции, проблема еще и в том, что российский (да и любой другой) пользователь подписывает пользовательские соглашения не читая, разрешая сервисам и приложениям распоряжаться любой информацией по их усмотрению. Сервисы и приложения же в массе своей норовят получить доступ ко всему, что есть в смартфоне. Даже если это приложение типа «фонарика». На этом фоне то, что фитнес-трекер передает в неведомую даль информацию о физическом состоянии и распорядке дня своего владельца, кажется совершенно естественным.
Соответственно, как заявил Ашманов, связав внешне независимые данные, можно узнать о любом человеке если не все, то многое. И не только предложить ему контекстную рекламу, но и создать вокруг него «информационный пузырь», меняющий его взгляд на мир. А распорядок дня, график перемещений и физическое состояние официального лица и вовсе могут дать больше развединформации, чем традиционные методы шпионажа.
Национализировать осторожно коммерциализировать
Решением, по мнению Ашманова, может стать «национализация» больших персональных данных — пользователь своими данными распорядиться (запретить собирать или использовать) все равно не сможет; сборщики и агрегаторы ими владеют не вполне законно
Взять на себя регулирование их оборота должно государство — создать честный рынок, вложиться в его развитие, заниматься просвещением пользователей, созданием площадок, с помощью которых пользователи смогут управлять своими большими персональными данными.
Коммерческий сектор, со своей стороны, должен прекратить попытки их приватизировать, а вместо этого принять отраслевые этические кодексы по работе с ними, разработать стандарты информирования пользователей и государства об обороте больших персональных данных.
В частности, необходимо создать государственный стандарт пользовательского соглашения, иначе пользователь по-прежнему будет «не глядя» соглашаться на все предложенные условия использования его данных. Если же сервис будет вынужден прописывать в явном виде больше полномочий на работу с пользовательскими данными, чем предусматривает госстандарт, может, кто и задумается.