Объем информации, генерируемый людьми, государственными органами и предприятиями, постоянно растет. Ожидается, что к 2025 году он увеличится в пять раз по сравнению с 2018-м. В попытке обуздать растущие риски Еврокомиссия недавно разработала проект регламента по обмену и управлению данными.
По словам европейских чиновников, новые правила в конечном итоге поспособствуют «благосостоянию общества, усилению контроля и доверия как граждан, так и компаний в отношении своих данных и предложат альтернативную европейскую модель практике обработки данных на основных технологических платформах». Оговаривается, что при коммерческом обмене данными передавать их напрямую будет нельзя.
Цифровой след (или цифровой отпечаток) — информация о действиях пользователя в интернете: данные о посещении сайтов, подписки на рассылки, финансовые платежи и другие операции в сети, проанализировав которые можно составить досье на человека.
По сути Евросоюз предлагает модель взаимодействия, призванную ограничить влияние и возможности крупнейших технологических платформ. Основными операторами данных должны стать компании-посредники или агрегаторы. Они будут заниматься сбором, хранением и обогащением информации для ее дальнейшего использования разными компаниями. А вот зарабатывать, предоставляя какие-либо услуги пользователям, не смогут — к ним будут предъявляться самые жесткие требования. Например, посредники не получат права разрабатывать собственные продукты на основе данных, продавать их или даже обрабатывать в собственных интересах. Исполнительный вице-президент Еврокомиссии Маргрет Вестагер заявила: «Необязательно делиться всеми данными. Но если вы это делаете и данные являются конфиденциальными, вы должны быть в состоянии сделать это таким образом, чтобы информацию можно было доверить и чтобы она была защищена. Мы хотим дать бизнесу и гражданам инструменты, позволяющие контролировать данные. И создать доверие к тому, что данные обрабатываются в соответствии с европейскими ценностями и основными правами».
Согласно проекту, провайдер должен обеспечивать высокий уровень безопасности для хранения и передачи обезличенных данных, а метаданные, собранные для обмена информацией, могут использоваться только в отношении определенной услуги или цели, для которой они и были собраны. Агрегатор обязан гарантировать справедливость, прозрачность и «недискриминационность» всем участникам процесса, при этом предоставлять услуги «непрерывно» — то есть и держатели, и пользователи данных в любом случае должны получать к ним доступ.
По словам председателя комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Александра Журавлева, этот регламент — один из шагов Евросоюза по защите национальных приоритетов, в частности, данных европейцев. Он в том числе необходим, чтобы ограничить монополию IT-гигантов и улучшить конкуренцию на этом рынке, а также защитить непосредственно граждан. Для этого и должны быть созданы организации, которые станут посредниками при передаче информации, то есть данные будут храниться у посредников в обезличенном виде, и они сами не будут иметь к ним доступ. Делиться ими можно будет только по запросу компаний или государственных органов. Но как это отразится на других участниках процесса?
«Там есть определенные оговорки, касающиеся других стран. И любые данные в обезличенном виде могут быть переданы, если запрашивающая организация и страна-получатель обеспечивают должный уровень защиты данных, которые соответствуют европейскому законодательству. То есть будет рассматриваться законодательство о персональных данных, об интеллектуальной собственности, уголовное и права государственных органов по доступу к этим данным — и затем приниматься решение о передаче или невозможности передачи таких данных», — заключает Журавлев. По словам эксперта, Евросоюз движется в направлении защиты данных своих граждан и компаний. Это делается в том числе для развития цифровой экономики — экономики данных.
С развитием цифровых сервисов граждане разных стран оставляют достаточно большое количество данных на разных ресурсах. А новые технологии в своей основе имеют алгоритмы, анализирующие огромные массивы данных, и они способны выявить процессы и закономерности, которые незаметны человеческому глазу. Чем больше разного рода данных получают компании, тем больше знают эти алгоритмы. По мнению заместителя генерального директора по правовым вопросам Института развития интернета (ИРИ) Бориса Едидина, для развития цифровой экономики важен принцип недискриминационного доступа к данным для всех заинтересованных пользователей. «Чем больше субъектов смогут получить доступ к ограниченному ресурсу, тем больше новых сервисов, технологий и услуг могут быть созданы или оптимизированы. Тем технологичней станет наша жизнь и конкурентоспособней экономика. По оценке европейских экспертов, в результате реформы вклад основанных на данных индустрий может достичь четырех процентов ВВП», — заключил он.
По мнению специалистов, новый законопроект, касающийся правил передачи данных, преследует сразу две цели. Первая и очевидная — это защита собственно граждан. Если ценные массивы персональных данных находятся в иностранной юрисдикции и степень их защищенности мала, то можно лишь предположить, как и кем они могут быть использованы. Второй аспект связан с бизнесом. Крупные социальные сети сосредоточили в своих руках информацию о миллиардах пользователей: к примеру, у Facebook их более трех. Обработав такое количество информации, платформа получает почти неограниченную власть, огромные инструменты влияния во всех сферах — от банальных покупок до жизненного выбора. При этом малые сервисы сталкиваются со сложностями, так как все данные сосредоточены в руках нескольких IT-гигантов. Чтобы не монополизировать рынок и осуществлять свободную конкуренцию, Еврокомиссия и предлагает новый регламент.
Согласно недавнему отчету, за два года применения GDPR почти все государства фактически реализовали указанные меры и обязательства в полном объеме, отстает пока лишь Словения. Большинство стран постоянно актуализируют законодательство в области персональных данных в попытке защитить граждан и собственную информационную безопасность. Против этих инициатив ожидаемо выступают многие крупные IT-платформы, так как они несут для них дополнительные неудобства и расходы. Однако постоянные сообщения об утечках вынуждают власти прибегать к радикальным решениям. «Мы живем в интересное время — суверенитету и независимости государств бросают вызов транснациональные технологические компании. Национальные регуляторы осознают опасность и предпринимают усилия по ограничению их возможностей. Эту тенденцию мы видим и в Европе, и в США», — отмечает заместитель генерального директора по правовым вопросам ИРИ Борис Едидин.
По словам Бориса Едидина, желание оформить локализацию законодательно пришло к странам с общим пониманием ценности информации. «Современные технологии позволяют даже в рамках очень простых сервисов, таких как фонарик на телефоне, собирать фактически неограниченные массивы данных о пользователях — от геолокации до состояния здоровья. Данные, как новые знания в Средние века, позволяют получать колоссальные преимущества при разработке и продвижении товаров и услуг, определять потребности и приоритеты пользователей на локальных рынках. Учитывая эти обстоятельства, контроль за обработкой данных и порядком их использования — это вопрос экономики, безопасности и конкурентоспособности государств», — отмечает заместитель генерального директора по правовым вопросам ИРИ.
Эксперты отмечают, что Россия также движется в сторону улучшения законодательства о данных. К таким шагам относят законопроект об общедоступных данных, который в том числе поможет защитить граждан в части публичного распространения их данных. Члены комитета Госдумыпо информационной политике все чаще говорят о том, что существующие штрафы для компаний за утечки данных ничтожно малы. Также в России действует европейская конвенция, где оговаривается понятие анонимизированных данных. Она предполагает разные степени обезличивания. По оценке председателя комиссии по правовому обеспечению цифровой экономики Московского отделения АЮР Александра Журавлева, существуют два варианта развития событий: либо провести эксперимент по обезличиванию данных в ряде регионов, либо сразу вводить эти понятия в законодательство о персональных данных. При этом, уверен он, на сегодняшний день очень важно обеспечить стимулы для операторов данных, чтобы они хранили их надлежащим образом.
Чуть ли не ежедневно мы сталкиваемся с информацией об утечках данных. Если говорить о нынешней степени защиты россиянина — он имеет право обратиться в Роскомнадзор с требованием провести проверку и привлечь к ответственности организацию, допустившую утечку. Но вне зависимости от того, сколько данных утекло, штраф для виновника составит максимально 75 тысяч рублей. «То есть по сути это не обеспечивает надлежащей защиты», — заключает Журавлев. Гражданин вправе подать в суд на оператора, если он видит, что его данные утекли, и взыскать моральный ущерб либо убытки. Эксперт замечает, что в части морального ущерба судебная практика складывается таким образом, что компенсация судом присуждается от полутора до трех тысяч, иногда доходит до 15 тысяч рублей. В части убытков и возможности их взыскания все еще сложнее. Убытки по своей природе предполагают доказательство причинно-следственной связи между действиями и бездействиями операторов данных. Сегодня такую связь доказать нельзя из-за отсутствия прозрачного оборота данных. За все время существования закона о персональных данных не было ни одного судебного разбирательства в этой части.
Юристы понимают, что судебной перспективы в этом нет. Потому что когда человек подписывает согласие, где указано право передавать данные третьим лицам операторами, — он не знает, кто эти «лица».
Подробнее: https://lenta.ru/articles/2020/12/17/save_data/