Для развития цифровой экономики и противодействия киберугрозам регулирование персональных данных в России должно не только отвечать интересам представителей бизнеса, но и обеспечивать защиту граждан. Такое мнение для портала национальной программы «Цифровая экономика» выразил старший научный сотрудник, доцент факультета права НИУ «Высшая школа экономики» Александр Савельев.
Савельев поделился выводами исследования Международной лаборатории по праву информационных технологий и интеллектуальной собственности Высшей школы экономики о регулировании персональных данных за рубежом. Он рассказал, что в основном анализировался опыт стран Европейского союза, США и стран Азии «с акцентом на Сингапур».
Первый вывод – в большинстве юрисдикций дается широкое определение понятия «персональные данные». «Оно содержит не только информацию, которая позволяет прямо идентифицировать лицо, но и информацию, которая позволяет идентифицировать лицо косвенно – с привлечением другой информации», – отметил Савельев.
В качестве примера доцент ВШЭ привел закон о защите неприкосновенности частной жизни потребителя, принятый в июне 2018 года в штате Калифорния. «В нем персональные данные определены как любая информация, которая идентифицирует, относится или может быть ассоциирована или связана прямо или косвенно с конкретным потребителем или домовладением. По закону онлайн идентификатор, ip-адрес, адрес электронной почты, информация об активности в сети интернет относятся к персональным данным», – пояснил он.
Второй вывод – ни в одной иностранной юрисдикции, исследованной аналитиками ВШЭ, обезличенные данные не выходят из-под действия закона о персональных данных, поскольку не исключена потенциальная возможность обратного процесса – связывания обезличенных данных с конкретной личностью. «При этом в Европе из понятия «обезличенные данные» еще выделяют группу анонимизированных данных, которые уже безвозвратно утратили связь с конкретным физическим лицом и в отношении них уже не применяется законодательство о персональных данных», – добавил Савельев.
Третий вывод – регулирование общедоступных данных в странах США, ЕС и Азии по разным сценариям. В частности, самый либеральный правопорядок в Соединенных Штатах Америки. В стране допускается свободный сбор и использование общедоступных данных с учетом точечных ограничений по защите прав лиц, которые в ней нуждаются – несовершеннолетних, заемщиков, работников при оценке их трудовых качеств работодателем.
Не менее либеральный подход к регулированию общедоступных данных в одной из азиатских стран-лидеров по цифровизации – Сингапуре. Такие данные в стране могут собираться и передаваться без согласия субъекта.
В консервативных странах Европы персональные данные не рассматривают как товар, поскольку на первое место ставят конституционные права и свободы граждан. В то же время для некоторых видов данных существует специальные основания для их обработки без согласия субъекта – совместимость с целями. Например, ФИО и адрес сотрудника, размещенные на сайте компании для связи, запрещены к использованию в целях прямого маркетинга. Необходимо получить отдельное согласие.
«К чему привели эти подходы? С экономической точки зрения исследования показывают, что рынок больших данных в США составляет значительную часть общемирового. Та же Европа, которая жестко подходит к защите персональных данных, не блистает на этом рынке. Там очень мало компаний, которые действительно являются крупнейшими по капитализации в области больших данных и аналитики», – отметил Савельев.
Доцент ВШЭ акцентировал, что при этом, в отличие от Евросоюза, в США и Сингапуре сейчас очень остро стоит проблема информационного профиля. «Либеральный рынок общедоступных данных привел к тому, что появились специальные игроки на этом рынке, которые создают виртуальные профайлы пользователей и продают любому заинтересованному лицу. Это привело к ряду ситуаций, когда граждане не могли получить кредиты, работу из-за неточности в этих профайлах. То есть при таком подходе к регулированию возникает ряд рисков», – указал он.
По мнению Савельева, Россия должна учесть консервативный и либеральный подходы к регулированию. При этом, чтобы избежать рисков, которые возникли в зарубежных юрисдикциях необходимо выработать учитывающие новые экономические реалии специальные основания для обработки персональных данных, в том числе, обезличенных без согласия субъекта.
«Такой подход представляется компромиссом, который позволит и развивать технологии, и обеспечивать необходимый уровень защиты персональных данных граждан», – резюмировал доцент ВШЭ.