Большие Данные, включающие в себя информацию о конкретных людях, нуждаются в особой защите, однако правовых норм, регулирующих оборот данных именно этой категории, пока нет, как нет и юридически обоснованного понятия Больших Данных. Такая ситуация чревата рисками для предприятий. При этом ответственность за инциденты с персональными данными обычно несут ИТ-директора и руководители корпоративных служб информационной безопасности. В ближайшей перспективе в нашей стране могут появиться правовые нормы, регулирующие процессы обработки Больших Данных на предприятиях. Но снимут ли они остроту проблемы или добавят ИТ-директорам новых хлопот, пока не ясно.
Интернет-омбудсмен Дмитрий Мариничев: «В отрасли пока нет четкого понимания того, кому, собственно, принадлежат Большие пользовательские данные: государству, бизнесу, гражданам?» |
Вопросов по теме хранения, использования и защиты Больших Данных, содержащих персональную информацию, пока больше, чем ответов. Так считают участники дискуссии, которая развернулась на форуме BIG DATA 2017, организованном издательством «Открытые системы». Как отметил российский интернет-омбудсмен Дмитрий Мариничев, в отрасли пока нет четкого понимания того, кому собственно принадлежат Большие пользовательские данные: государству, бизнесу, гражданам? А поскольку уже есть случаи утечки и несанкционированного использования таких данных, то очевидно, что их оборот необходимо регулировать. Однако непонятно, где провести границы госконтроля и как минимизировать нагрузку на бизнес. В значительной степени эта неразбериха объясняется отсутствием консенсуса по базовым понятиям. Если с определением персональных данных ситуация в целом довольно прозрачна (на то есть 152-ФЗ), то с Большими Данными – ясности нет никакой. Некоторые эксперты считают, что сам этот термин еще не устоялся.
«Это скорее технический и маркетинговый термин, а потому Большие Данные нельзя вводить в область правового регулирования. Но из этого не следует, что Большие Данные, как они понимаются многими экспертами, существуют в абсолютном правовом вакууме. Поскольку многие данные, обрабатываемые средствами аналитики, могут рассматриваться как персональные, регулированию они подлежат», – убежден юрист НИУ ВШЭ Александр Савельев.
Другие специалисты вообще отрицают существование Больших Данных как предмета для регулирования.
Заместитель директора по технологическому развитию ФРИИ Сергей Алимбеков: «Никаких Больших Данных нет. Есть просто данные. Какая разница, много их или мало» |
«Никаких Больших Данных нет. Есть просто данные. Какая разница, много их или мало. Они есть, и их можно использовать для разных целей», – полагает заместитель директора по технологическому развитию ФРИИ Сергей Алимбеков.
Эту точку зрения разделяет и директор департамента универсальных платформ данных IBS Сергей Золотарев: «Мы давно решили для себя, что Больших Данных нет. Технически мы можем работать сегодня с любыми типами данных и в любом режиме».
Отрицающие само понятие Больших Данных эксперты одновременно поддерживают идею о необходимости регулирования просто данных. Эта необходимость уже перезрела, считает Алимбеков. А Золотарев подчеркивает, что именно вопрос прикладного использования данных сейчас ставится во главу угла и бизнесом, и государством, провозгласившим курс на цифровую экономику.
Владимир Журавлев, заведующий кафедрой УЦ «Информзащита», считает, что вопрос, как отделить Большие Данные от персональных, весьма актуален, поскольку бизнес может попасть под весьма жесткое законодательство. Он напомнил, что всего лишь за несоответствие письменной формы согласия на обработку персональных данных требованиям ФЗ-152 «О персональных данных» организация может быть оштрафована на 75 тыс. руб.
Вероятно, в перспективе вопросы регулирования оборота Больших Данных, содержащих персональные сведения, все же найдут свое решение, а ключевые, но не формализованные на данный момент понятия станут юридически значимыми. Как заявил эксперт по защите персональных данных и информационной безопасности DHL Express Алексей Мунтян, сейчас уже не стоит вопрос, будет или нет регулироваться оборот Больших и персональных данных. Это уже происходит.
Мунтян напомнил, что в январе 2017 года Еврокомиссия опубликовала план подготовки нового документа, посвященного электронным коммуникациям – E-privacy Regulation. И в нем явно и четко поднимается проблема регулирования Больших Данных.
«ЕК предлагает синхронизировать и гармонизировать новый европейский документ по защите персональных данных General Data Protection Regulation, который вступит в силу в мае 2018 года, с актом E-privacy Regulation. В этой связи там впервые обсуждаются такие термины, как метаданные, данные, касающиеся взаимодействия пользовательских устройств и технической инфраструктуры сервис-провайдеров. Фактически ЕС уже стоит на пороге регулирования Больших Данных в сфере электронных коммуникаций. Но этим дело не ограничится – это только первый шаг в регулировании Больших Данных», – заявил представитель DHL.
Российские регулирующие органы о ситуации, конечно, осведомлены, поэтому нам стоит ожидать аналогичных законодательных инициатив, считают эксперты.
Большинство из них приветствуют появление новых правил на строящейся дороге к цифровой экономике, но призывают сделать их эффективными.
Директор Российской ассоциации электронных коммуникаций Сергей Плуготаренко: «Российский рынок не готов к исполнению законов, регулирующих работу с Большими Данными» |
Активную позицию заняли компании, оперирующие персональными данными миллионов своих клиентов. Это телекоммуникационные операторы и интернет-компании, опасающиеся излишней зарегулированности оборота данных со стороны государства. Ведь слишком жесткие правила вынудят их инвестировать избыточные средства в инфраструктуру обработки данных. Недавно «ВымпелКом», «МегаФон», МТС, «Ростелеком», Mail.Ru Group и «Яндекс» задумались о создании саморегулируемой организации под рабочим названием «Ассоциация Больших Данных». Представители перечисленных компаний уже ведут соответствующие переговоры. Они также выступают за открытость ассоциации для участников других отраслей – финансовой, страховой и пр.
Директор Российской ассоциации электронных коммуникаций Сергей Плуготаренко считает, что российский рынок не готов к исполнению законов, регулирующих работу с Большими Данными, в случае если они несут в себе какие-то новые ограничения. В интервью ТАСС он заявил, что обсуждать целесообразно лишь подходы к сбалансированному законодательству, стимулирующему переход к цифровой экономике и одновременно способному предотвращать негативные последствия от непрофессиональной или незаконной обработки Больших и персональных данных.
Для принятия таких сбалансированных правил необходим диалог между регулятором и отраслевым профессиональным сообществом. Это позволит заблаговременно донести до властей мнение бизнеса по вопросам регулирования Больших Данных, которые могут быть признаны персональными.