В конце мая Сбербанк представил свою стратегию развития ИИ в России, которая в числе прочего предлагает обеспечить бизнесу доступ к массивам больших данных, собираемых госорганами и бюджетными организациями. Чтобы реализовать эту инициативу, потребуется внести изменения в федеральный закон «Об информации, информационных технологиях и о защите информации». Проект поправок находится на рассмотрении в Госдуме с прошлого года, но депутаты так и не определились, считать ли большие данные разрешенным товаром или ограничить их передачу жесткими правилами. Если до окончательного принятия закона эта дилемма не будет решена, регулирование оборота больших данных станет полностью бюрократизированным, что сведет на нет возможный экономический эффект в этой области.
2018 год ознаменовался новыми законодательными инициативами в сфере интернета, информационных технологий и персональных данных — тренд, набирающий обороты и в этом году. Одной из таких инициатив стал законопроект о внесении изменений в федеральный закон «Об информации, информационных технологиях и о защите информации». Пока он находится на рассмотрении, но вряд ли будет существенно изменен, хотя в нынешнем виде документ только добавляет проблем в регулирование оборота больших данных.
Персональные или большие?
Самое важное в этом законопроекте — попытка дать легальное определение больших данных. «Большие пользовательские данные — совокупность не содержащей персональных данных информации о физических лицах и (или) их поведении, не позволяющей без использования дополнительной информации и (или) дополнительной обработки определить конкретное физическое лицо, собираемой из различных источников, в том числе сети «Интернет», количество которых превышает тысячу сетевых адресов», — говорят авторы документа.
Депутаты имеют в виду пользовательские данные, доступ к которым сейчас хотят получить очень многие компании и структуры. При этом авторы законопроекта подчеркивают, что big data не может и не должна содержать персональные данные. Но последние, исходя из официального определения, — это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Справедливо ли в таком случае утверждать, что данные, которые можно отнести к конкретному физическому лицу с использованием дополнительной информации или обработки (предполагается, что обработка уже открывает путь к большим пользовательским данным), не являются персональными? Видимо, все-таки нет. Определение в законе «О персональных данных» содержит такой элемент, как косвенно определяемое физическое лицо, к которому такие данные относятся. Поэтому наличие или отсутствие дополнительной обработки или сведений особой роли тут не играют: данные в любом случае остаются персональными.
Получается, что ограничений, которые предлагает законопроект, с одной стороны недостаточно — если большие данные не являются персональными, то и сведения, которые позволяют определить конкретное физическое лицо с помощью дополнительной обработки, также не должны считаться большими данными. С другой стороны, они чрезмерны — если персональные данные уже исключены в первой части определения, то последующее уточнение не имеет смысла.
При этом совершенно непонятно, что такое информация, не содержащая персональных данных, но относящаяся к физическим лицам и их поведению. На ум приходят только статистические данные, но вряд ли big data ограничивается только статистикой.
Товар, который нельзя купить
Из текста законопроекта понятно, что законодатель хотел исключить большие данные из персональных, то есть не применять к ним известные ограничения — например, обязанность получать согласие на обработку. Тут прослеживается связь с другими законодательными инициативами, касающимися персональных данных. Например, летом прошлого года крупные операторы связи лоббировали поправки в закон «О персональных данных», которые позволили бы им один раз получать согласие пользователей на обработку персональных данных, а потом без уведомления передавать информацию другим компаниям. Чуть позже Фонд развития интернет-инициатив предложил ввести понятие «деперсонализированных» пользовательских данных, которые пользователи смогут продавать или безвозмездно передавать бизнесу на ограниченный срок для целевого использования. По оценкам ФРИИ, граждане могли бы зарабатывать на этом 15 000-60 000 рублей в год. Правда, эксперты посчитали, что эти суммы сильно завышены, и вообще поправки выгодны не гражданам, а владельцам крупных баз данных, которые смогут торговать ими без согласия пользователей.
Сейчас, формулируя определение больших пользовательских данных, законодатель так и не смог до конца определиться с тем, как следует к ним относиться — как к товару, оборот которого можно разрешить, или как к персональным данным, обработка и передача которых ограничена жесткими правилами. Пока закон предусматривает компромиссный вариант: для самого оператора больших данных допускается обработка без получения согласия пользователя, а для третьих лиц — только с согласия пользователей. При этом требования к такому документу напоминают требования к согласию на обработку персональных данных.
Как новый законопроект поможет регулированию оборота больших данных, пока непонятно. Обосновывая необходимость установления отдельного правового регулирования в этой области, авторы обычно пишут о большом экономическом потенциале, который не используется из-за пробелов в законодательстве. Но бюрократизация процесса получения сведений от пользователей, которую предполагает проект, только затрудняет реализацию того самого экономического потенциала. Получается, что законопроект порождает больше вопросов, чем ответов. И надежда на то, что до момента окончательного принятия закона депутаты внесут в документ правки по существу, к сожалению, очень невелика.