Кроме путаницы в понятиях и наслоения с регулированием персональных данных, законопроект противоречит природе «больших данных», а также может затормозить развитие информационных технологий.
Рабочая группа «Связь и информационные технологии» Экспертного совета при Правительстве России подготовило заключение (имеется в распоряжении РосКомСвободы) по результатам рассмотрения законопроекта №571124-7 «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации»», который направлен на формирование регулирования больших пользовательских данных в РФ. Данная инициатива уже получила массу отрицательных отзывов от представителей отрасли, и мнение правительственных экспертов здесь практически полностью совпало с ранее высказанной критикой.
Эксперты отметили, что ранее не принимали участия в обсуждении указанного законопроекта, однако они согласны с тем, что «в условиях активного развития различных сервисов обслуживания граждан (телекоммуникационных, банковских, страховых и др.) создаются предпосылки формирования больших массивов данных, которые могут в дальнейшем использоваться для предоставления иных сервисов».
Механизм регулирования, предложенный депутатами в законопроекте по регулированию больших пользовательских данных (БПД) эксперты назвали неэффективным, содержащим концептуальные недостатки.
«В пояснительной записке к законопроекту указано, что его принятие обусловлено поручением Президента Российской Федерации В.В. Путина, утверждённым Указом от 7 мая 2018 года №204 «О национальных целях и стратегических задачах развития Российской Федерации, — отмечается в заключении. — В то же время, следует отметить, что поручение Президента состоит в обеспечении создания глобальной конкурентоспособной инфраструктуры передачи, обработки и хранения данных».
Рассматриваемый законопроект, считают эксперты, объективно создаёт дополнительные барьеры для передачи и хранения данных, особенно для онлайн-обработчиков. В то же время, документ и не содержит механизмом по повышению контроля со стороны субъектов данных за оборотом своих данных. «В этой связи цели законопроекта, на наш взгляд, являются неопределёнными», — говорится в заключении.
Проведя обсуждение законопроекта на очном заседании Рабочей группы, эксперты пришли к следующим выводам:
1. Понятийно-терминологический аппарат законопроекта не только недостаточно проработан, но нередко входит в противоречие с содержанием понятий и терминов действующих законодательных актов:
«Предлагаемое определение термина БПД, с одной стороны, относит к БПД информацию, собираемую из различных источников, описывая обезличенные персональные данные, а, с другой стороны, содержит уточнение про 1 000 сетевых адресов при сборе данных в сети Интернет, что не позволяет считать данные обезличенными».
.
Во-первых, такой подход приводит к необходимости разграничения БПД с персональными данными, так как фактически природа больших данных носит неперсонифицированный характер и не позволяющий идентифицировать человека. Это порождает риск двойного регулирования БПД и персональных данных. Во-вторых, понятие «большие пользовательские данные», в том числе контекст его терминологического использования, из категорий «пользователей» неправомерно «исключает» предприятия, организации и т.д. (государственные и частные, как являющиеся юридическими лицами, так и не являющиеся таковыми).
«Вместе с тем, если при обработке информации затрагиваются интересы неопределённого или определяемого физического лица, то их защищают положения Федерального закона «О персональных данных», — отмечают эксперты. — Если обрабатывается информация, не содержащая персональных данных, интересы физического лица не могут быть затронуты. Если такая информация не содержит персональных данных и не позволяет определить конкретно физическое лицо, то непонятно, как сбор и обработка такой информации может затронуть интересы или нарушать права конкретного физического лица».
Кроме этого, Законопроектом к обработке БПД предлагается относить любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с БПД, включая сбор, запись и иные действия. «Однако, обороты «средства автоматизации», «любые действия (операции) с БПД» носят оценочный характер и могут приводить к различному толкованию в правоприменительной практике», — считают они.
2. Создаются дополнительные барьеры посредством необходимости получения оператором БПД информированного согласия пользователя (в случае передачи данных 3-му лицу) при обработке БПД. «Это приведет к тому, что владелец сайта, установивший систему сбора статистики (Google Analytics, Яндекс.Метрика), должен получить согласие пользователя на обработку БПД, поскольку в таких системах предполагается передача данных третьим лицам», — уверены эксперты.
«В ряде случаев, — отмечает рабочая группа «Связь и ИТ», — положения законопроекта о необходимости получения согласия не смогут быть исполнены по причине отсутствия на абонентском терминале механизмов ввода/вывода информации, необходимого для получения такого согласия. Например, передача операторами фискальных данных в Федеральную налоговую службу сведений о совершенных покупках товаров с помощью контрольно-кассовой техники. Механизмы уведомления и сбора согласий пользователей, уведомления уполномоченного органа создают дополнительные барьеры для развития больших данных».
3. Законопроект определяет БПД как информацию, собираемую из различных источников, количество которых превышает 1 тысячу сетевых адресов. Обработка сетевого адреса, напоминают эксперты, имеет ряд технических особенностей:
— информация, полученная при обработке данных от сетевого адреса, может не относиться к физическому лицу. Сетевые адреса присваиваются всем устройствам, подключенным к сети, в том числе устройствам Интернета вещей (IoT). Таким образом, на стороне оператора БПД могут накапливаться данные, которые относятся к IoT-датчикам или к программным продуктам, но не к сетевым адресам физических лиц;
— за одним внешним сетевым адресом может находиться множество устройств в рамках одной подсети, например, компьютерные сети предприятий, организаций и т.д. (государственных и частных, как являющиеся юридическими лицами, так и не являющиеся таковыми);
— за несколькими сетевыми адресами может находиться 1 устройство (пользователь), если адрес назначается автоматически при подключении устройства к сети (динамический IP);
— за разными устройствами (сетевыми адресами) может находиться 1 пользователь, который использует несколько устройств для доступа в сеть Интернет (смартфон, ноутбук, планшет).
«Таким образом, — приходят к выводу эксперты, — взаимодействие в цифровой среде нельзя упростить до формулы: сетевой адрес=устройство=пользователь и количественные критерии в отношении такой идентификации будут оценочными. При текущем тренде увеличения количества подключаемых устройств Интернета вещей (IoT-устройств), доля генерируемых и обрабатываемых данных является динамично изменяющейся величиной, что неизбежно ставит под сомнение концептуальные подходы регулирования, предлагаемые Законопроектом».
4. Предусматривается создание Реестра операторов БПД, в который должны войти только операторы, осуществляющие сбор данных посредством идентификации не менее 100 тысяч сетевых адресов. «По экспертным оценкам, — отмечается в заключении группы «Связь и ИТ», — эта норма затронет узкоспецилизированные отраслевые веб-сайты/блоги в 5-7 тысяч подписчиков. Фактически новый реестр будет дублировать реестр операторов персональных данных. Финансово-экономическое обоснование к законопроекту не раскрывает требование о создании единого реестра операторов БПД, источники разовых финансовых затрат на его создание, внедрение, а также периодических затрат на обслуживание».
5. Законопроектом не решается проблема трансграничного взаимодействия в сети Интернет и обработки БПД иностранными компаниями. Принятие законопроекта приведет к тому, что российские компании будут поставлены в неравные условия с иностранными компаниями, которые смогут осуществлять сбор и обработку БПД о физических лицах на территории Российской Федерации без получения согласий и без включения в реестр Роскомнадзора.
.
Также эксперты рабочей группы «Связь и ИТ» обратили внимание на следующие правовые противоречия Законопроекта и действующего законодательства:
1. В соответствии с ч. 4 ст. 29 Конституции Российской Федерации каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Введение дополнительных ограничений на поиск, получение, передачу, производство и распространение информации, которая не нарушает чьи-либо законные права и интересы, является ограничением прав и свобод, гарантированных Конституцией Российской Федерации.
2. Законопроект не содержит ответа на вопрос о возможности формирования БПД, например, из массива персональных данных путем их обезличивания. Соответственно, оператор БПД может получить персональные данные физического лица в рамках своей хозяйственной деятельности. Фактически произойдет идентификация такого лица, что не допускается законопроектом и формально приводит к невозможности использования таких данных для формирования БПД.
3. В понятийно-терминологический аппарат российского законодательства Законопроектом предлагается ввести новое понятие — «БПД» — содержательно совпадающего с понятием «обезличенные персональные данные»: оба понятия обозначают данные о физическом лице, на основании которых невозможно без использования дополнительной информации определить их принадлежность конкретному физлицу. Федеральный закон «О персональных данных» содержит определение понятия «обезличивание персональных данных», под которым понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Понятие «обезличенные персональные данные» встречается как в нормативных правовых актах, так и в актах органов власти рекомендательного характера (см., например, «Требования и методы по обезличиванию персональных данных», утверждённые Приказом Роскомнадзора от 05.09.2013 №996, Методические рекомендации по применению приказа РКН «Об утверждении требований и методов по обезличиванию персональных данных»).
4. Согласно законопроекту, обязательному учёту в Реестре операторов БПД подлежат только операторы, осуществляющие сбор данных посредством идентификации не менее 100 тысяч сетевых адресов. То есть речь идёт о сайтах, интернет-агрегаторах, собирающих, как презюмируется разработчиками, большое количество обезличенной информации онлайн. При этом большинство офлайн-операторов (в чьём распоряжении находятся данные подчас в большем количестве: банки, страховые компании) остаются за рамками регулирования в этой части, в Реестр обработчиков они включаться не должны. Причина такого выборочного контроля остаётся не совсем понятной.
Кроме того, данное ограничение в 100000 сетевых адресов крайне проблематично просчитываемо, поскольку не определён период времени обработки.
5. Кроме того, законопроект выводит федеральные органы исполнительной власти, органы исполнительной власти субъекта Российской Федерации, органы местного самоуправления из-под действия норм об обязанности уведомлять Роскомнадзор о намерении обработки данных для третьих лиц и запрете такой обработки до направления уведомления пользователям. При этом именно органы исполнительной власти обладают огромными массивами информации, которая может содержать БПД, и неправомерное обращение с которой может нарушить законные права и интересы человека и гражданина.
6. С учётом положений п.4 ст.15 Конституции РФ, п.1. ст.4 ФЗ «Об информации, информационных технологиях и о защите информации», законопроект не коррелирует Конвенции о защите физлиц в отношении обработки персональных данных (ETS №108), которая в мае 2018 года была изменена соответствующим Протоколом.
.
Согласно выводам экспертов, предложенная в законопроекте концепция противоречит природе больших данных. Принятие законопроекта существенно затормозит развитие информационных технологий в области больших данных, поставит в неравное положение российские и иностранные компании и станет препятствием при реализации задач, предусмотренных программой «Цифровая экономика», утверждённой в РФ.
«Механизм извещения до начала обработки БПД и получения согласия пользователя создают дополнительные барьеры и экономические затраты для бизнеса, создает препятствия для широкого применения технологий обработки больших данных. В сопроводительных материалах к законопроекту не описаны риски обработки БПД, которые необходимо нивелировать посредством принятия законопроекта – указание на «правовой пробел» не является достаточным основанием для предлагаемого регулирования», — говорится в заключении экспертов, которые по итогам рассмотрения инициативы депутата Романова единогласно выразили позицию «о нецелесообразности принятия законопроекта № 571124-7 «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации»».
Данный документ, который выражает позицию многих крупных интернет-игроков, будет представлен на рассмотрение в Правительство РФ и Государственную Думу.
Напомним, на прошлой неделе рабочая группа «Нормативное регулирование» при АНО «Цифровая экономика», состоящая из представителей крупного бизнеса и банков, жёстко раскритиковала законопроект о больших пользовательских данных депутата Госдумы Михаила Романова. Также председатель инфокомитета ГД Леонид Левин заявил, что авторы документа не представили заключения Правительства РФ, и законопроект на данный момент предлагается «вернуть для устранения нарушения».
Читайте также:
Росстат хочет узнать от сотовых операторов место проживания граждан
?
«Пакет Яровой», Big Data и отмена сетевого нейтралитета: последний рубеж
?
Власти Москвы обещают найти «серых» арендодателей квартир с помощью Big Data
?
Сбор, обработку и продажу Big Data оформляют в закон
?
Сбор, обработку и продажу Big Data оформляют в закон
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.