Отделять теплое от высокого, ровное от светлого, мух от котлет – занятие необходимое, но хлопотное. Необходимое, потому что здравый смысл всегда требует разобраться в текущей ситуации и тем самым избежать внезапного ущерба. Хлопотное, потому что у экспертов по отделению сущностей нередко отсутствует общность взглядов в отношении таковых. Если взяться коротко обрисовать современную проблематику защиты персональных данных в момент, когда они становятся Большими, то именно этот «вселенский катаклизм» мы и увидим в российских реалиях.

Вроде бы уже стали хрестоматийными примеры того, как на основе косвенной и обезличенной информации из открытых источников посторонние субъекты извлекают тайны юридических и физических лиц. И кажется, российские законодатели, приняв ФЗ-152, возвели семиметровый забор на пути к этой информации. Но проблема остается – ценные сведения, полученные путем анализа больших массивов персональных данных, все чаще утекают в чужие руки. Во многом – из-за отсутствия отраслевого консенсуса по вопросам защиты этих специфических данных, что стало очевидным после дискуссии на форуме BIG DATA 2017, организованном издательством «Открытые системы».

Некоторые эксперты из крупных российских и международных ИТ-компаний убеждены: никаких Больших Данных вовсе не существует, а есть «просто данные». И вопросы правового регулирования должны быть вынесены за скобки процесса обработки данных, пусть даже и персональных, независимо от их «величины». Чаще об этом говорят те, кто по роду деятельности несет прямую ответственность за успех внедрения ИТ-решений у заказчиков, – системные интеграторы. Маркетинговые лозунги они используют дозированно, чтобы не наобещать клиенту лишнего от ИТ-проектов.

Наряду с такими «радикальными» представлениями, в экспертном сообществе бытуют компромиссные суждения, и они сводятся к тому, что возможен вариант, когда персональные данные могут считаться Большими (и наоборот), и вот тогда работу с ними нужно как-то регулировать. Главное при этом – провести четкую границу между «Большими персональными Данными» и «Большими неперсональными Данными». Чаще такой тезис озвучивают представители вендоров. Они заинтересованы в раскрутке маркетинговых лозунгов и модных концепций, но при этом стараются не нарушить локальное законодательство.

Из другого сегмента экспертной среды слышится: Большие Данные есть, но их нельзя признать персональными, потому что такое признание возможно лишь в рамках правового поля, а поле это еще непаханое – нужных законов нет (да они и не нужны) в России и за границей. К представителям данного сегмента чаще относятся компании, обслуживающие миллионы клиентов, – поставщики услуг связи. Для них любое ужесточение регулирования оборота данных чревато дополнительными затратами, и поэтому они выступают за смягчение регулирования. Отстаивая свою позицию, провайдеры ссылаются на отсутствие международного опыта исполнения жестких требований, предусмотренных пакетом Яровой, и опасаются их переноса в мир Больших Данных.

 

Что в этой связи нужно знать ИТ-директорам, предприятия которых также являются операторами персональных данных и активно осваивают Большие Данные? Еврокомиссия уже готовит нормативные акты, содержащие требования к обороту Big Data, и эти требования будут гармонизированы с новыми актами ЕС по защите персональных данных. Представители российских регулирующих органов об этом, конечно, осведомлены. А значит, нам стоит ожидать аналогичных законодательных инициатив. Появление правил на строящейся дороге к цифровой экономике можно только приветствовать. Но важно, чтобы они оказались эффективными. Для этого ИТ-директорам неплохо бы выработать свое видение ситуации и заблаговременно донести до властей мнение профессионального сообщества по вопросам регулирования Больших Данных, которые могут быть признаны персональными. Мухи должны быть отделены от котлет.

- Алексей Есауленко