Не нужно красть чьи-то данные — скоро их можно будет купить

В прошлом году «Континент Сибирь» затрагивал тему персональных данных и их использования интернет-магазинами. По мнению экспертов, требования к операторам персональных данных в нашей стране можно охарактеризовать как «сверхжесткие», где при желании нарушение найти можно у кого угодно, и развивать интернет-торговлю в таких условиях очень трудно. А теперь правительство готовит поправку, которая, по некоторым сведениям, сможет все эти запреты снять. Или, по крайней мере, большинство из них. Так ли это на самом деле, попробовал разобраться «Континент Сибирь».

Напомним, что поправки в закон № 152 «О персональных данных» в конце июля представил вице-спикер Совета Федерации РФ Андрей Турчак. Главным нововведением этих поправок, на которое обращают внимание чаще всего, станет возможность использовать персональные данные, не спрашивая на это согласия пользователя. Там же вводятся понятие «анонимизации персональных данных» и процедура обработки информации, не позволяющей определить ее принадлежность к конкретному лицу. Под информацией, которую можно обезличить, подразумеваются данные о местоположении человека, его пол, возраст, а также средний счет за сотовую связь или средний доход на одного абонента (ARPU). Интернет-компании могут добавить к этому данные об интересах и поисковых запросах пользователей, покупках в онлайн-магазинах, а также информацию о состоянии счетов клиентов.

По предварительным данным, проект уже получил позитивный отзыв кабинета министров и с большой долей вероятности будет принят.

Персональные данные под замком

Вместе с тем, как констатируют юристы, сегодняшнее определение персональных данных достаточно «резиновое» — под него может попасть любая информация, прямо или косвенно относящаяся к ее обладателю. «Исходя из этого, даже сведения о IP-адресе, cookie-файлах можно отнести к персональным данным со всеми вытекающими ограничениями, — комментирует старший юрист фирмы «Ветров и партнеры» Елизавета Разина. — При этом закон фактически никак не регулирует рыночные отношения по использованию данных о пользователях в различных сферах, прежде всего, в рекламе и маркетинге». По ее словам, ситуации, когда субъекты персональных данных самостоятельно продают их операторам, а те за плату ими пользуются, также не находят регулирования в законе. Именно поэтому в законодательстве и судебной практике до сих пор не выработаны подходы к использованию данных разных категорий в рамках рыночных отношений, включая данные пользователей в социальных сетях. «К сожалению, сейчас недостаточно правовых инструментов для легальной монетизации персональных данных, а равно формирования легального рынка данных», — резюмирует юрист.

Не открыть рынок, а смириться с его существованием

Означает ли это, что принцип «люди — новая нефть» реализуется таким образом, где роль «людей» займут их «цифровые образы»? По мнению экспертов, скорее нет, чем да.

«Бессмысленно отрицать тот факт, что рынок фактически уже сформирован, — констатирует руководитель юридического отдела проекта «Совесть» Артем Мишин. — Однако серьезным стоп-фактором для эффективного развития до сих пор остается отсутствие внятного регулирования, которое учитывало бы интересы не только субъектов персональных данных, но и бизнес-игроков». По его убеждению, необходимы предоставление большей свободы для всех участников процесса обработки персональных данных, учет ключевых рисков для потребителя и особенно внятное информирование о целях обработки.

«Крупные компании и сейчас постоянно собирают персональные данные пользователей из открытых источников и анализируют их, чтобы, например, создавать наиболее привлекательные предложения для разных социальных групп. В сети сейчас можно найти немало историй о масштабах и способах сбора данных, — поддерживает эту точку зрения эксперт департамента информационной безопасности группы компаний Softline Илья Тихонов. — Бесконтрольное распространение информации может привести к тому, что вам начнут навязывать ненужные услуги, контролировать политические взгляды и интерес к определенным событиям. К сожалению, сегодня даже в банках случаются утечки данных клиентов, что уж говорить о личных кабинетах интернет-магазинов и прочих структур». По его опыту, для того чтобы разрешить организациям обмен персональными данными клиентов — даже в обезличенной форме, — нужно будет существенно усилить степень киберзащиты внутри этих организаций. «Поэтому я считаю, что говорить о таком расширении законодательства пока преждевременно, но рано или поздно мы к этому придем», — отмечает Илья Тихонов.

«Поскольку данные сегодня — чрезвычайно ценный ресурс, особенно персональные, рынок вокруг них уже в какой-то мере образовался, — соглашается с этим тезисом глава представительства компании Vertiv в России и Белоруссии Николай Харитонов. — На одну только безопасность и системы защиты тратятся миллиарды. Если говорить о создании рынка, где сами персональные данные будут своего рода «товаром», то для этого в первую очередь необходимо грамотное и очень четкое законодательное регулирование этого процесса. Даже на бытовом уровне бесконечные звонки и рассылки с предложением различных услуг демонстрируют, что нелегальный или теневой рынок торговли личными данными уже существует. Что будет, если все эти активности выйдут из подполья, — вопрос открытый. Важный момент в том, какую стратегию выберет регулятор».

Кто будет качать «новую нефть»?

Основным выгодополучателем «поправки Турчака» чаще всего называют компании — держатели ЦОДов, которые будут хранить и обрабатывать обезличенные данные. При этом ответственность за возможные проколы и утечки ляжет на поставщиков «сырья», для которых мало что изменится. «Первую скрипку в данном вопросе, скорее всего, будет играть государство, а также крупные корпорации, связанные с ним, — считает Илья Тихонов. — На текущий момент государство намерено строго контролировать процесс по сбору и хранению Big Data. Сложно предсказать, что будет, если большие данные будут храниться у частных лиц, даже в обезличенном варианте: смогут ли они обеспечить надлежащее хранение и обезопасить информацию от доступа злоумышленников».

Нарушения закона «О персональных данных» в 95% случаев находятся прямо на сайте

«Если отталкиваться от правого регулирования, которое не осталось бы просто громкими словами, а содержало в себе элементы прозрачного администрирования, то, несомненно, ключевую роль должны играть ЦОДы, — соглашается Артем Мишин. — Они могли бы обеспечить необходимый уровень защищенности данных и прозрачные условия доступа к этим данным участников рынка. Сейчас уже можно говорить о создании такой системы на государственном уровне, построенной на базе «Госуслуг», которая позволяла бы пользователю принять решение о том, кому, какие данные и для каких целей можно передать».

Но есть и другая точка зрения — в «поправке Турчака» указаны достаточно строгие требования для владельцев Big Data относительно «обесцвечивания» данных и строгости их хранения. Так, операторы персональных данных по-прежнему не имеют права их продавать, они могут использовать только обезличенную информацию для улучшения работы сервисов. Это может быть ценовая политика, выбор ассортимента, анализ дорожного трафика и так далее.

А вот непосредственно собственников информации такие запреты уже не касаются. Фонд развития интернет-инициатив (ФРИИ) обратил внимание еще на то, что в новом законопроекте у россиян появится право самим совершенно легально продавать доступ к своим данным и регулировать уровень этого доступа. По оценке Фонда, каждый пользователь сможет зарабатывать на предоставлении доступа к информации о себе от 15 до 60 тыс. рублей в год.

В качестве реального примера можно привести Amazon, который платит каждому своему покупателю 10 долларов (в виде скидки на покупку) в обмен на доступ к истории браузера. Цель ритейлера заключается не в изучении запросов клиента (если верить их заявлению), а в мониторинге цен конкурентов (Target.com, Walmart и др.). По мнению Николая Харитонова, в России такой опыт применить вряд ли удастся: «Большая часть пользователей отнесутся к таким мероприятиям, как предоставление доступа к истории браузера, с опаской, и их можно понять. Поэтому широкое применение таких «акций» вряд ли возможно».

Тем не менее он считает, что «розничные» продавцы данных смогут занять хорошее место на рынке. «Если процесс сбора и обработки данных действительно будет юридически прозрачен, как предлагают в ФРИИ, то «розничные продавцы» или «дистрибьюторы» будут, скорее всего, иметь больше влияния на рынке, — говорит Николай Харитонов. — Контроль над всеми манипуляциями с конечными заказчиками и динамикой предложения позволит им серьезно менять ситуацию, в то время как держатели ЦОДов будут лишь «поставщиками» обезличенных массивов».

Сами держатели ЦОДов с этим, разумеется, не согласны. Самая важная часть, с их точки зрения, — это превращение данных в информацию и создание интересных продуктов на основе этой информации, чего «розничные» поставщики сделать не могут.

Гонка цифровых вооружений

Если дать кому-то прямой доступ к истории браузера — это пока еще слишком круто для российских пользователей, то немного приоткрыть личные данные за определенный бонус — уже легче. Это показал опыт сети «ВКонтакте» в самом начале ее работы: тогда вверх любого списка попадали те пользователи, которые указывали о себе больше данных.

«Наша цель — быть первым оператором с бесплатной связью и зарабатывать на услугах, основанных на информации»

Пример этой соцсети приводит и Илья Тихонов: «Такой опыт давно уже используется в российских продуктах. «Яндекс» анализирует наши запросы, а социальная сеть vk.com делает большие ставки на таргетированную рекламу в развитии своих маркетинговых сервисов. Все это прописано в политике конфиденциальности, с которой мы соглашаемся, проходя регистрацию. Например, в правилах защиты информации о пользователях сайта vk.com указано, что администрация осуществляет обработку персональной информации пользователей. Помимо данных, необходимых для прохождения регистрации (фамилия, имя, дата рождения), ресурс собирает данные об IP-адресе хоста, виде операционной системы пользователя, используемых браузерах, географическом положении, поставщике услуг Интернета, данные из адресной книги, информацию, полученную в результате доступа к камере, микрофону и так далее. И мы сами даем согласие на все это».

Как констатирует Елизавета Разина, монетизация персональных данных сейчас никак не урегулирована со стороны государства, и заключая такое соглашение, владелец данных и пользователь действуют на свой страх и риск. По ее словам, государство будет проверять лишь то, было ли получено согласие обладателя данных на подобное использование, нарушены ли его права и права третьих лиц.

«Сейчас реализация подобных сервисов сопряжена с множеством юридических рисков, — уточняет Артем Мишин. — Зачастую контролирующие органы признают процесс сбора согласий не соответствующим закону, так как у пользователя нет возможности отказаться от предоставления доступа к своим данным, а сами по себе такие данные не являются необходимыми для предоставления сервиса. В целом такой формат является примером так называемых win-win отношений между компанией и ее пользователями, потому что сервис не может быть абсолютно бесплатным, но в этом случае пользователь платит не деньгами, а своими данными».

Редакция «КС» открыта для ваших новостей. Присылайте свои сообщения в любое время на почту news@ksonline.ru или через нашу группу в социальной сети «ВКонтакте».
Подписывайтесь на канал «Континент Сибирь» в Telegram, чтобы первыми узнавать о ключевых событиях в деловых и властных кругах региона.
Нашли ошибку в тексте? Выделите ее и нажмите Ctrl + Enter

ОСТАВЬТЕ ОТВЕТ