Digital Report

Россия готовится но-новому интерпретировать персональные данные

Регулирование хранения и обмена персональными данными готовится к переменам

Цифровое пространство активно развивается, информационные потоки растут. И все данные, в том числе персональные, превращаются в «большие». Участники рынка хранения и обмена информацией все чаще сталкиваются с необходимостью более жесткого регулирования взаимоотношений в этом сегменте. В России стартовало обсуждение необходимых изменений в законодательстве.

Требования к хранению и обмену персональными данными в российском законодательстве зафиксированы законом №152 «О персональных данных», хотя и нельзя сказать, что строго исполняются всеми участниками ИКТ-отрасли. Аналогичная ситуация наблюдается и в других странах. При этом в условиях глобализации трансграничный обмен данными не регулируется. «Взаимодействие с Google, Facebook и т.п. позволяет нам судить о подходах к работе с данными в мире. Четких правил игры нет, решения принимаются по ситуации», – говорит руководитель веб- и онлайн-аналитики интернет-магазина одежды Lamoda Игорь Селицкий.

Наращивание числа информационных потоков, вариативность типов данных и форматов, в конце концов объем информации заставляют задумываться о дальнейшем регулировании рынка данных. Далеко не все данные, требующие защиты, подпадают под действие закона №152 «О персональных данных», считает заместитель министра связи и массовых коммуникаций РФ Алексей Соколов. Также существуют типы персональных данных, защита которых может быть менее строгой, чем того требует закон.

Как заявил Герман Клименко, советник президента РФ по вопросам развития интернета, «мы должны двигаться в сторону регуляторики больших данных, учитывая различные цели, стоящие перед операторами и приобретателями данных: властью, регистраторами, банками, операторами связи, ритейлерами и т.п.». Представители ИКТ-отрасли активно подключились к процессу законотворчества и генерируют поток предложений. Сегодня на повестке дня вопрос классификации данных и смежных понятий.

Потребности правительства

По мнению представителя Минкомсвязи Алексея Соколова, сегодня есть три основных типа данных и связанные с ними проблемы регуляции:

  1. Персональные данные – их определения разнится от страны к стране, что мешает трансграничному обмену данными. В рамках российского законодательства понятие персональных данных также требует корректировки. Кроме того, возникают вопросы «Что такое обезличивание персональных данных?» и «Что такое цель обработки данных?». Законодательство не дает однозначной трактовки.
  2. Коммерческим сектором активно используются массивы обезличенных персональных данных, например, операторы продают их ритейлерам. Эксперты говорят, что обезличивание не является панацеей. С помощью обратной обработки вполне можно идентифицировать абонента.
  3. Распространяется интернет вещей, и возникают дополнительные массивы больших данных, не персональных. Однако накопленный объем информации вполне способен дать представление об источнике и владельце.

Третий тип данных вызывает даже больший коммерческий интерес, чем первые два, отмечает Алексей Соколов: «В ближайшие годы возрастет ценность данных второго и третьего типов, особенно третьего».

По его мнению, в ближайшие 2–3 года большинство российских предприятий внедрят технологии интернета вещей. Поэтому уже сейчас важно продумать, как вовлечь данные в хозяйственный оборот, обеспечить регуляцию обмена и защиты информации. Также необходимо конкретизировать права и обязанности оператора и покупателя массивов обезличенных персональных данных, и когда нужно согласие абонента.

Предложения телекома

По мнению Дмитрия Петрова, директора по связям с органами власти компании «МегаФон», возможно более широкое деление на категории данных:

  1. Персональные данные, которые создаются непосредственно их владельцем при вводе,
  2. Поток данных, среди которых в принципе могут быть «спрятаны» персональные данные. Например, это поток машинных данных, которые создаются вне зависимости от пожеланий владельца. Это может быть телеметрическая информация, видеофиксация, данные интернета вещей.

Представитель МТС склоняется к разбивке, перекликающейся с предложенной Минкомсвязи. Однако не останавливаться на этом, а ввести отраслевые подкатегории. То есть каждое понятие должно иметь свою расшифровку для госсектора, отрасли связи, интернет-торговли и т.д. Также необходимо определить субъектов владения данными и права их доступа.

Организации, которые занимаются вопросами регулирования обмена большими данными

  • Название организации/проекта: Big Data Value Association (BDV), ассоциация с участием Европейской комиссии.

    Цели и задачи:

    • Устранение ограничений на использование больших данных в науке и бизнесе при разработке инновационных решений и продуктов.
    • На 20% к 2020 году увеличить рост выручки операторов больших данных от продажи обработанных данных или оказания сопутствующих услуг.
    • На 5% рост суммарного ВВП стран ЕС за счет мультипликативного эффекта использования больших данных в экономике.
  • Название организации/проекта: Big Data Union, некоммерческая организация без прямого участия государства.

    Цели и задачи:

    • Упрощение обмена данными между крупными участниками рынка, включая выработку технических стандартов.
Защита данных, по мнению Петрова, может быть организована как государственно-частное партнерство между бизнесом и органами безопасности. «Необходимы методология и/или организационное обеспечение представления больших данных, – пояснил он. – Нормативный акт сам по себе не может обязать владельца данных стать умным». Эксперт предлагает выработать:
  • кодексы этики и решения «case-by-case»,
  • условия обработки машинных данных,
  • принципы взаимодействия бизнеса и государства.

Мнение некоммерческих организаций

Карен Казарян, главный аналитик РАЭК (Российская ассоциация электронных коммуникаций) предлагает обратиться к европейскому опыту. Во-первых – расширить понятие персональных данных, в то же время введя большое число классификаций, например, с учетом псевдоминимизации идентификаторов. Сегодня этот тип данных называют обезличенными персональными данными, которые, тем не менее, накапливаясь, помогают идентифицировать человека. Во-вторых, для каждого класса данных предусмотреть свои методы защиты. В-третьих, необходимо ввести принцип добросовестного использования данных. Даже если человек дал согласие на обработку данных в рамках одной задачи, это не значит, что данные можно использовать для других задач. Каждый раз необходимо оценивать, способно ли повторное использование данных нанести ущерб человеку.

«От обратного»

Существует и диаметральный подход к подготовке поправок в законодательство, у которого также есть приверженцы. Проблема в том, что классификация – это процесс, в котором можно завязнуть, как в болоте. Типы данных, которые позволяют идентифицировать человека, неисчислимы. И дело не столько в формате, сколько в способе обработки. А применение когнитивных технологий постоянно расширяет диапазон возможностей. Возможно, имеет смысл начать с описания, что, кому и зачем хранить; чем, когда и зачем обмениваться. И только потом переходить к классификации. Путь «от обратного» также имеет право на существование.

Прозвучало несколько интересных сопутствующих предложений. Например, создать перечень типовых угроз и прописать ответственность за невыполнение требований законодательства при хранении/обмене данными по аналогии с уголовным кодексом. Также было предложено создать «биржу данных» – единую площадку обмена информацией. Это обеспечило бы выполнение требований законодательства. Светлана Мальцева, член ученого совета НИУ ВШЭ, предложила создать отечественную систему профессиональной сертификации специалистов по работе с данными. В мире уже есть аналоги.

 

Exit mobile version
Перейти к верхней панели