Персональные данные: открывать или нет?

Константин Корепанов

Бизнес и государство спорят о наших с вами данных. В чем предмет спора?

Фонд развития интернет-инициатив в марте 2019 года предпринял пятую попытку найти консенсус в этой теме на пятом ежегодном Дне открытых данных.

Представители власти, бизнеса, науки, некоммерческих организаций, IT-специалисты, аналитики и журналисты обсудили актуальные вопросы развития рынка открытых данных в России. Лебедь, рак и щука по достоинству оценили бы дискуссию.

Для начала попробуем понять, что же такое персональные данные. Федеральный закон №152 «О персональных данных» определяет их как «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Без разъяснений, но...

Россия идет к европейским стандартам

Денис Лукаш, директор Центра цифровых прав
Денис Лукаш, директор Центра цифровых прав

В 2007 году специальная рабочая группа Европейского союза сформулировала на 26 листах подробное, с примерами, разъяснение, что является персональными данными. А наш 152 Федеральный закон не предусматривал, чтобы Роскомнадзор давал какие-то специальные разъяснения.

Пакет российских судебных решений, где рассматривались какие-либо случаи отнесения данных к персональным, резко стремится к тому, что разъяснили европейцы на 26 листах.

Поэтому, сейчас можно относить к персональным данным, во-первых, абсолютно любые онлайн и оффлайн идентификаторы и прикрепленную к ним информацию. Любые пользовательские данные – по международной практике считаются персональными, и Россия так или иначе к этому идет, Роскомнадзор постепенно под это продавливается.

Кроме того, есть GDPR (Генеральный регламент о защите персональных данных — постановление ЕС, с помощью которого Европейский парламент, Совет Европейского Союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в Европейском Союзе – Executive.ru) еще больше расширил понятие персональных данных.

В прошлом году под его влиянием изменилась 108 Конвенция. И Роскомнадзор уже говорит, что наш закон должен стремиться к так называемой Конвенции 108 с изменениями и, в принципе, быть ближе к GDPR. Поэтому нужно быть готовым и лучше сейчас иметь в виду, что персональные данные – это любая информация, имеющая статус идентификатора, совокупность каких-то факторов, прямо или косвенно относимая к человеку.

Когда заходит речь об открытых данных, не все понимают, что это такое и при чем здесь персональные данные. Прежде всего нужно понять, что открытые данные – понятие более общее. Оно описывает идею об определенных данных, которые должны быть свободно доступны для использования и дальнейшей републикации без механизмов контроля.

В общем случае это любые данные. Например, база данных торговой компании о реализации различных видов товаров, данные использования мобильной сети и прочее. Самое интересное начинается, когда в открытых данных обнаруживаются персональные, а как их отличить друг от друга, не всегда, как выясняется, знает даже эксперт.

Сколько «стоит» гражданин?

В начале 2019 года имя Александры Орехович, директора по правовым инициативам ФРИИ, было у многих на слуху, и обычно упоминалось в связке с 60 тысячами рублей в год, которые, якобы смогли бы зарабатывать граждане на «торговле своими персональными данными».

Напомним, Фонд развития интернет-инициатив подготовил поправки в закон «Об информации», разрешающие россиянам продавать бизнесу свои данные. Одним из основных тезисов этого проекта стало введение термина «деперсонализированные данные» со свободным обращением на рынке. Это позволит продавать свои данные с определенной целью и на определенный срок.

По оценкам фонда, при таком раскладе каждый согласившийся на обработку данных сможет зарабатывать от 15 до 60 тысяч рублей в год. Но если клиент не даст согласие на обработку данных, бизнес должен будет исключить их из оборота.

Как рынок данных влияет на экономику?

По оценке правового комитета «Ассоциации участников рынка больших данных», рост рынка аналитики, обработки больших данных и монетизации сервисов, связанных с ними к 2024 году может составить 300 млрд рублей. Прогнозируется и существенный рост ВВП за счет использования больших данных, учитывая их ценность с точки зрения оптимизации бизнес-процессов во всех отраслях экономики.

Например, пользуясь большими данными можно оптимизировать процессы на промышленном предприятии в традиционной отрасли экономики, и существенно увеличить производительность труда. Использование больших данных во всех отраслях экономики показывает рост ВВП на 1,5% или 1,5 триллиона рублей к 2024 году.

Не говоря уже о том, что рынок данных имеет существенное позитивное влияние на цифровую экономику: это и прорыв российских компаний в сфере больших данных и искусственного интеллекта, и формирование экспортного потенциала алгоритмов, и систем хранения данных и так далее.

Кроме того один из пунктов в плане мероприятий по цифровой экономике – это формирование в России виртуальной особой экономической зоны по хранению данных. В чем у нас огромное конкурентное преимущество по сравнению с другими странами. Ведь стоимость хранения единицы данных в России существенно ниже, чем, например, в азиатских странах. Тому есть объективные причины – как экономические, так и социальные, и даже связанные с климатом.

Теперь предоставим слово участникам дискуссии, которые обозначили «болевые точки» формирующегося рынка.

«Все открыть» и «Все закрыть» – это две крайности

Никита Данилов, руководитель правового комитета «Ассоциации участников рынка больших данных»
Никита Данилов, руководитель правового комитета «Ассоциации участников рынка больших данных»

Две крайности: это всем известный законопроект Романова (депутат ГД РФ от «Единой России» – Executive.ru), который, по сути, приравнивает большие пользовательские данные к персональным данным и ужесточает режим обработки. И другая – «давайте абсолютно все легализуем, откроем и так далее».

Необходимо выработать некий кодекс этики в сфере использования данных. Это – очень хороший и удобный инструмент саморегулирования. Представители государства, бизнеса и ведущих отраслевых ассоциаций в сфере информации и данных могли бы сесть за один стол и выработать некие стандарты и лучшие практики в сфере обработки и использования данных.

«Никто не защищает данные, все защищаются от проверяющих органов»

Борис Зингерман, директор Ассоциации искусственного интеллекта в медицине
Борис Зингерман, директор Ассоциации искусственного интеллекта в медицине

В медицине возникла ситуация, когда никто не защищает персональные данные, все защищают себя от проверяющих органов. Я не знаю ни одного примера, когда бы разбирался случай, например, утечки персональных данных. К сожалению все вопросы, связанные с защитой персональных данных, приводят в итоге к самым негативным последствиям: данные не оказываются в нужное время и в нужном месте.

Нужно решить, что для вас важнее: чтобы ваш анализ мочи не увидел случайный прохожий или чтобы его своевременно увидел ваш доктор? Я за то, чтобы его своевременно увидел доктор и мне абсолютно все равно, кто его увидит еще.

Сегодняшнее действо по защите персональных данных в медицине выглядит именно таким образом. Благодаря нашим серьезным защитным мероприятиям пациент, к сожалению, своевременно не может получить свои данные. Вообще не определен вопрос, кто этими данными владеет.

«Мы очень зарегулированы в части открытия данных»

Юлия Духовнова, начальник отдела управления международного сотрудничества и валютного контроля ФНС России
Юлия Духовнова, начальник отдела управления международного сотрудничества и валютного контроля ФНС России

Мы, как государственный орган, наверное в большей мере зарегулированы в части открытия либо нераскрытия каких-то моментов, связанных с данными, поэтому все, что нам можно открыть, мы стараемся открывать. И то, что нас обязывают открыть, мы тоже стараемся открывать.

Любая информация, которая попадает в налоговые органы, она приобретает очень интересную особенность – она становится налоговой тайной. То есть одни и те же, по сути, данные, попади они к нам, получат гриф «налоговая тайна», а в другом ведомстве они останутся общедоступными либо не обладающими никаким грифом. Поэтому для нас с точки зрения работы с персональными данными, это та же самая налоговая тайна, как и любые другие данные, которые к нам попадают.

Открывая либо не открывая персональные данные и спрашивая согласие на их обработку, мы выполняем все те законодательные ограничения и обязательства, которые на нас возложены, как на госорган. Поэтому когда к нам обращаются с вопросом раскрытия информации, мы всегда оперируем категориями не столько персональных данных, сколько данных налогоплательщика.

Поэтому для нас вопрос использования и обеспечения сохранности любых данных, в том числе персональных является очень важным. Мы всегда очень осторожно относимся к любому раскрытию каких-то данных, которые впоследствии могут нести для нас репутационный риск, как для госоргана. И, соответственно, никогда мы не раскроем то, что не нужно.

За персональными данными к нам бесполезно обращаться, потому что мы их просто не дадим. Банки тоже не обращаются просто так. Есть соответствующий механизм, который регулируется поправками в 102 статью. Поэтому, какие бы то ни было проекты, которые могли бы быть связаны с передачей персональных данных третьим лицам, всегда натыкаются на один простой вопрос – где правовые основания для того, чтобы мы вам эти данные дали? И как только этот вопрос задаешь, все другие снимаются, потому что правовых оснований ни у кого, как правило, нет, а в рамках просто передачи третьим лицам мы их не отдаем.

Все, что касается самостоятельной передачи налогоплательщиком своих собственных данных мы, конечно, контролировать не можем, потому что это его данные, он волен делать с ними все, что хочет.

Следственные органы – отдельная тема, которая регулируется отдельными законодательными актами, в которых четко прописан не только механизм, но и объем передаваемой информации. Собственно, информация, которая передается в рамках межведомственного взаимодействия, она тоже регулируется на законодательном уровне.

«Когда нет однозначной трактовки, непонятно, что делать»

Сергей Муслаев, руководитель отдела консалтинга в компании «Б-152»
Сергей Муслаев, руководитель отдела консалтинга в компании «Б-152»

Первое – многие вопросы, которые возникают в рамках обработки персональных данных, не имеют однозначной трактовки. И это действительно большая проблема, потому что, когда нет однозначной трактовки, непонятно, что делать: то ли пытаться сделать это как-то на свое усмотрение, то ли цепляться за какие-то слова и формулировки, которые были услышаны в том или ином взаимодействии с тем же Роскомнадзором, то ли, что делают, к сожалению, очень многие, извиняюсь за выражение, забить.

Вторая проблема – это то, что у бизнеса нет достаточного количества стимулов, чтобы в принципе озаботиться вопросом защиты персональных данных.

Со стороны государства есть две проблемы.

Первая – недостаток даже со стороны государства инструментов воздействия на бизнес. То есть либо можно закручивать гайки, либо можно каким-то образом проводить воспитательные мероприятия и объяснять, зачем всем это надо. До определенного момента штрафы были настолько копеечными, что просто все закрывали на них глаза. Да, их повысили, но тем не менее.

Вторая – очень слабая техническая подготовка в том числе и у представителей того же Роскомнадзора. Для меня лично притчей во языцех стала ситуация, когда один из наших клиентов пытался подать уведомление в Роскомнадзор, где, описывая информационную систему, указал несколько адресов расположения баз данных.

В принципе, ситуация вполне логичная: любой облачный сервис может перемещаться между Центрами обработки данных и иметь чуть ли не 20 адресов физического местоположения. Но представители Роскомнадзора ответили, что так нельзя. Нельзя указывать в ИСПДн (Информационная система персональных данных - Executive.ru) несколько адресов. Если ваша система размещается на серверах по разным адресам, например по трем, вы должны указать три информационных системы. Мне кажется любой человек, который хотя бы немного технически подкован, может сказать, что это полный нонсенс.

«Пользователи воспринимают использование персональных данных как кражу»

Александра Орехович, директор по правовым инициативам ФРИИ
Александра Орехович, директор по правовым инициативам ФРИИ

Сейчас практически 70% пользователей воспринимают использование своих персональных данных как кражу. Они считают, что их данные крадут. Чаще всего это не так. Это значит, что где-то ты дал свое согласие, а потом тебе начинают звонить отовсюду и ты действительно уже не понимаешь – твои данные, они твои или уже давно принадлежат непонятно кому, и этот кто-то использует их по собственному желанию.

Бизнес теряет реальные деньги, спасая себя от проверяющих органов, делая какие-то невероятные запасы согласий, еще и в бумажном виде. У каждого согласия одна цель – спастись от проверяющих.

«Закрыть бумажками и больше не вспоминать»

Сергей Муслаев, руководитель отдела консалтинга в компании Б-152
Сергей Муслаев, руководитель отдела консалтинга в компании Б-152

Для очень большого процента бизнеса защита персональных данных это что-то вроде противопожарной охраны и защиты труда, – то есть вещи, которые все предпочитают как-нибудь потихонечку закрыть бумажками и больше не вспоминать.

Почему к нам приходят? Есть два возможных кейса. Первое – это когда компания имеет определенные репутационные риски и, в принципе, считает, что законодательство надо исполнять. Это очень здравая позиция, но она, увы, достаточно редка. Второй момент – когда компании получают запросы от Роскомнадзора.

Они могут быть разные, одна из самых банальных историй – что есть всем известный реестр операторов персональных данных, и бизнес очень часто думает, стоит ли туда подавать уведомления.

Роскомнадзор, выбирая объекты для проверки не руководствуется реестром. Приходит «письмо счастья»: «Нам стало известно, что компания такая-то является оператором персональных данных». Учитывая, что в любой компании есть как минимум один наемный рабочий, то любая компания является оператором персональных данных, независимо от того, подали они уведомление или нет. Соответственно, «уважаемые господа, не могли бы вы дать нам четкое разъяснение, почему вы не исполняете требования законодательства и не подали уведомление?».

Есть ряд кейсов, когда возможно не подавать уведомление в Роскомнадзор, но все это написано так, что более-менее серьезный бизнес так или иначе не подпадает под список исключений, когда уведомление подавать не требуется.

Второй вид запросов РКН – это некие жалобы от субъектов персональных данных, то есть от обычных людей. Тут наверное самые увлекательные и забавные случаи, показывающие, смекалочку населения – это разного рода должники.

Человек берет кредит, в какой-то момент перестает его платить, получает кучу запросов от банка, после чего вспоминает, что у нас есть законодательство о персональных данных. Но забывает, что пока не выплатил долг по условиям договора, он не исполнен. Договор этот находится все еще в стадии действующего, поэтому можно сколько угодно запрашивать или отзывать свое согласие на обработку.

Мы знаем миллион случаев, когда позиция неких представителей Роскомнадзора от проверки к проверке очень сильно разнилась. И говорить о том, что у нас действительно есть прецедент, который будет работать здесь и всегда, мы не можем, потому что официальной позиции нет. И как в следующий раз будет разбираться какая-либо ситуация, мы не знаем.

Сколько стоит информация об онкологическом больном?

Борис Зингерман, директор Ассоциации искусственного интеллекта в медицине
Борис Зингерман, директор Ассоциации искусственного интеллекта в медицине

Во-первых, для каждого конкретного человека или медицинских организаций чрезвычайно важен обмен данными для организации преемственности лечения. Если вы пришли к новому врачу, ему, естественно, очень важны данные вашей истории болезни из других медицинских организаций. Сегодня их получить достаточно трудно. И самый простой способ передать данные о пациенте от одного доктора к другому – это отдать их пациенту в тетрадке, чтобы он отнес их лично.

Уже около 10 лет назад была принята концепция единой государственной информационной системы в здравоохранении, но в 2017 году она неожиданным образом поменялась. Если изначально предполагалось, что ЕГИСЗ – единая государственная информационная система здравоохранения – это будет некое хранилище, в котором будет накапливаться в отношении каждого человека вся его медицинская информация, где бы она ни возникла. А у гражданина будет единая медицинская карта, к которой по определенным правилам будут иметь доступ врачи из разных медорганизаций.

В 2017 году, видимо, на самом высоком государственном уровне испугались вот такой огромной концентрации данных в одном источнике и подход пересмотрели. Сегодня государство пытается создать систему обмена медицинскими данными. Она будет выглядеть следующим образом...

Каждый пациент, через свой личный кабинет на портале государственных услуг сможет выяснить, где хранятся его медицинские данные, запросить и забрать их в личном кабинете на ЕПГУ, и сделать с ними все, что ему заблагорассудится. Например, донести до другого доктора.

А та самая интегрированная электронная медицинская карта сохранилась, но как чемодан без ручки. В ней будут храниться обезличенные данные о каждом из нас. Уже сегодня медорганизации отправляют данные о каждом пациенте в том объеме, в котором они могут, исходя из своих технических возможностей. Данные на входе в эту единую государственную систему обезличиваются и хранятся. Но мы не понимаем, что дальше с этими данными будет делаться.

Сегодня есть три претендента для владения медицинскими персональными данными.

  • Это сам пациент, и это не вызывает вопроса, но вызывает большой вопрос о форме этого владения. В ключевом законе об охране здоровья сказано, что каждый из нас имеет право на получение копий любых медицинских документов, но при этом порядок, формы, сроки выдачи этих копий должны быть утверждены приказом Минздрава, который с 2011 года так и не вышел.
  • Вторым владельцем медицинских данных является государство – это та самая китайская модель, когда всем кажется, что если государство владеет данными, то дальше мы можем достаточно легко и свободно создать климат предоставления этих данных разнообразным научным организациям, которые на основе них будут разрабатывать механизмы искусственного интеллекта и прочее.
  • Но реальным владельцем медицинских данных сегодня является третья инстанция – конкретная медицинская организация. То есть сегодня реально данные накапливаются в районной поликлинике. Они считают их полностью своими, неохотно делятся и с государством, и с пациентами, и с другими медицинскими организациями. И непонятно, каким образом они могут осуществлять это свое владение, то есть они сидят на этом чемодане с золотом, которым в общепризнанной практике являются медицинские данные, и не знают, как ими распорядиться.

Медорганизация, запуганная тем самым законом о персональных данных, не понимает, кому она может их предоставить. А вопросы здесь возникают довольно практичные и понятные. Например, одно из самых перспективных и работоспособных направлений в искусственном интеллекте – это анализ медицинских изображений, то есть алгоритмы, которые в автоматическом режиме умеют находить артефакты в , скажем, рентгеновских снимках и выделять подозрительные области, связанные, например, с онкологией. И некоторые алгоритмы, в общем, не хуже врачей умеют определять, например, рак легких.

Для обучения таких алгоритмов нужны большие массивы рентгеновских снимков. И сегодня эти массивы накоплены в медицинских организациях, и каждый федеральный центр владеет огромным их объемом. Но вопрос о том, чтобы составить единый консорциум, объединить эти хранилища, на базе которых можно было бы проводить обучение алгоритмов, сегодня ни разу нигде не реализован, именно потому что медицинские организации точно так же не понимают, как они могут этими данными поделиться и так далее.

Насчет фактической стоимости данных, один пример из статьи, которую прочитал буквально два дня назад. В прошлом году произошел очень интересный факт на медицинском рынке. Roche Group приобрела компанию Flatiron – это не очень большая американская компания, которая занимается разработкой информационных систем для онкологии.

Объем их работы не так велик, – они автоматизируют работу 2-4 тысяч онкологов в США. Но холдинг приобрел эту компанию за $2 млрд. На рынке очень долго обсуждался вопрос, собственно говоря, безумности этой цены и все говорили о том, что Roche приобрел не компанию, не медицинскую систему, он приобрел доступ к данным. И вот кто-то из американцев просто посчитал, что объем данных, которым владеет компания Flatiron – это примерно 200 тысяч случаев онкологических заболеваний. Поделил одну цифру на другую и с удивлением обнаружил, что компания Roche купила информацию об одном случае онкологического заболевания за $10 тыc.

Кому подражать: Европе, США или Китаю?

Никита Данилов, руководитель правового комитета «Ассоциации участников рынка больших данных»
Никита Данилов, руководитель правового комитета «Ассоциации участников рынка больших данных»

Сейчас в мире три глобальных модели поведения в вопросе защиты персональных данных.

Первая – европейская. По оценке только Deutsche Telekom – крупнейшего оператора – по их собственным данным, несет ежедневно потери в 100 млн евро. Европейская комиссия нереализованный потенциал роста цифровой экономики оценивает в 450 млн евро. Во многом эти цифры складываются из-за барьеров и ограничений, которые накладывает законодательство.

Другая модель – США. Там режим обработки данных сильно либерализован, что ведет к активным инновациям, развитию новых сервисов и приложений.

Третья модель – Китай. Эта страна идет одновременно по пути защиты информации и стимулирования защиты национальных компаний, развития собственных сервисов и создает для них режим наибольшего благоприятствования.

Мы сейчас стоим на пороге выбора и можем инкрементировать наиболее оптимальные практики разных стран для развития инноваций и для обеспечения баланса интересов между государством, обществом и бизнесом. Соответственно для бизнеса 300 млрд – рост рынка, для государства – рост ВВП и повышение инвестиционной привлекательности российской цифровой экономики, ну а для граждан – развитие новых информационных сервисов, которые удобны, user friendly, и позволят потреблять большее количество цифровых услуг в намного лучшем качестве.

Понравилась публикация? Ставьте нам лайк

и подписывайтесь на канал! :)