Практически любая набирающая популярность технология рано или поздно перестает укладываться в существующие законодательные рамки. И для того, чтобы она могла развиваться, необходимо изменять имеющиеся законы или принимать новые. Не стали исключением и Большие Данные.
Как отметил Александр Савельев, кандидат юридических наук, доцент факультета права НИУ ВШЭ, член консультативного совета при Роскомнадзоре, между законодательством о персональных данных и практикой работы с Большими Данными о физических лицах имеются изрядные противоречия.
Персональными данными и у нас, и за рубежом считается все, что хотя бы теоретически может быть использовано для определения конкретного физического лица. ФЗ-152 гласит: «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу».
Слово «косвенно» означает, что для квалификации информации в таковом качестве не обязательно, чтобы ее самой по себе было достаточно для идентификации индивида. Достаточно теоретической возможности — например, при сопоставлении с каким-нибудь другим набором данных.
Аналогично европейская «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» гласит, что «персональные данные означают любую информацию об определенном или поддающемся определению физическом лице».
Персональные данные, по российскому законодательству, провайдеру надлежит собирать только в том объеме, в каком необходимо для оказания им услуг, и использовать только с заранее объявленными целями, на которые физическое лицо — субъект персональных данных — дало свое информированное согласие. Обработка этих данных должна ограничиваться достижением конкретных, заранее определенных целей. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
С Большими Данными ситуация прямо обратная. Их собирают все, какие есть, и всеми возможными способами, иногда без точной цели, в надежде, что когда-нибудь накопленным массивам информации найдется применение, их сопоставляют с данными из других источников, рассчитывая получить новую информацию, и т. д.
В результате один из самых популярных примеров бизнеса на Больших Данных — «оператор связи продает обезличенные данные о клиентах другим компаниям» — с точки зрения закона попадает в «серую» зону. Ибо никому не дано предугадать, как именно будет использована эта информация.
Правоприменительная практика в этой области пока невелика, но понемногу накапливается. В Европе, скажем, данные о динамических IP-адресах, собранные онлайн-сервисом, объявлены персональными, если они могут идентифицировать конкретного субъекта в совокупности с данными, которые имеются у его интернет-провайдера, и у сервиса есть потенциальный доступ к таким данным провайдера. В России персональными данными посчитали сведения о поисковых запросах физического лица и просмотренных им страницах.
Еще одна «точка напряжения» — законом запрещается принятие на основании исключительно автоматизированной обработки персональных данных юридически значимых решений в отношении субъекта персональных данных. Например, о приеме на работу или о выдаче кредита. Последним часто грешат микрофинансовые организации, которые без автоматического скоринга (проверки заявки на получение кредита) не справятся с потоком заявлений. Но в принципе этот запрет можно обойти — нужно только получить от клиента письменное согласие на автоматизированное принятие решения (плюс в некоторых случаях вынесение таких решений разрешено законами).
«Пересечение» персональных и Больших Данных успело получить наименование Больших пользовательских данных. Так, глава Роскомнадзора Александр Жаров отнес к ним «все данные о пользователе, которые собирают информационные системы и устройства; профили пользователей на интернет-ресурсах; геолокационные данные; данные о пользовательском поведении на сайтах».
Но определить — это лишь малая часть дела, надо еще понять, что с ними делать. Если применять закон о персональных данных к Большим пользовательским, то сбор и использование последних становится практически невозможным. Принятие «собственных» законов о Больших пользовательских данных, как полагает Савельев, ничего хорошего не принесет. Возникнут коллизии с законодательством о персональных данных, а государственные информационные системы придется вывести из-под действия нового закона.
Для сопряжения законодательства о персональных данных и реальной практики использования Больших Данных, как считает Савельев, необходимо совершенствовать методологии обезличивания данных и прояснить их правовой статус. А также создать правовую основу для обработки персональных данных без согласия субъекта, но с созданием дополнительных гарантий, что полученная информация не будет использована ему во вред.