В регулировании персональных данных появляется все больше ограничительных норм, требований к бизнесу и новых видов ответственности. Однако на степень защищенности данных это напрямую не влияет — много данных утекает, и не только из коммерческих источников, но и из государственных или окологосударственных. В интервью в сентябрьском номере журнала «Закон» эксперт рабочих групп Роскомнадзора и Центра компетенции Главного радиочастотного центра, управляющий партнер ООО «Комплай» (Comply) Артем Дмитриев рассказывает о проблемах законодательства в сфере защиты персональных данных, рассуждает о том, какие пути есть для их решения и приводит примеры регулирования отношений в других странах. В этом материале — выдержки из интервью. Полную версию читайте здесь.
«Раньше можно было сказать, что законодательство у нас в целом схоже с европейским, поскольку в его основу были заложены Конвенция 108[1] и Директива ЕС 1995 года[2]. Но за последние годы оно существенно поменялось и использует нечто среднее между европейским и китайским подходами. Европейский подход — в первую очередь субъектно-центричный, когда во главу угла ставятся интересы субъекта персональных данных. Китайский в большей степени преследует публичные интересы, перенимая многие формальные аспекты из Европы. При этом американский ориентируется прежде всего на интересы бизнеса, но его также нельзя назвать вседозволяющим.
<…>
Уровень защиты интересов субъектов персональных данных вряд ли растет. Все больше данных утекает, и не только из коммерческих источников, но и из государственных или окологосударственных, хотя государство вряд ли в этом признается. Интересы бизнеса не обеспечиваются, несмотря на развитие законодательства. И интересы государства, видимо, тоже недостаточно защищены, раз законодательство меняется так стремительно.
Ключевые изменения — это, конечно же, значительное увеличение ответственности: повышение размера административных штрафов и введение уголовной ответственности.
Другой тренд — это так называемая национализация данных, стремление государства направлять все потоки работы с данными через свои ресурсы («Госуслуги», «национальное озеро данных», или «ГосДата.хаб») и в пределах территории России.
Кроме этого, растет количество комплаенс-требований к бизнесу.
<…>
При этом никакого смягчения регулирования не наблюдается. Гайки только закручиваются, работать становится все сложнее. Предлагается большое количество законодательных инициатив, в том числе и от Минцифры, чтобы осовременить подходы к регулированию в этой области, но все они теряются в ходе межведомственных согласований.
<…>
Есть инициативы, которые вызывают опасение. Например, идея оставить право работать с персональными данными только большим компаниям, соответствующим определенным требованиям. Остальные должны будут делегировать им обработку. Эта инициатива влечет антиконкурентные риски и риски информационной безопасности, а также не учитывает реалии, в которых каждое юридическое лицо в России является оператором персональных данных, и сложно логистически представить, как можно реализовать эту идею.
У нас формируется какой-то свой подход к регулированию этих отношений, но логика его и целевой образ пока не очевидны.
<…>
Требования законодательства довольно часто меняются, а подходы контролирующих органов иногда отходят от сути закона, и бизнесу все труднее каждый раз перестраивать процессы для соблюдения меняющихся требований, особенно в случаях, когда бизнес-модель построена именно на работе с данными.
<…>
Защитить данные на 100% нельзя, но компания должна сделать все возможное, чтобы их защитить, в том числе учить своего работника тому, что делать можно, а чего нельзя, проводить технические тесты защищенности, осуществлять периодические проверки и адаптировать меры по защите данных, в конце концов, минимизировать сбор и хранение данных. И если компания предпринимала все возможные меры, то это должно учитываться в качестве смягчающих или исключающих вину оснований в момент привлечения ее к ответственности за утечки и другие нарушения в области оборота персональных данных. Сейчас же это не берется в расчет вне зависимости от того, какие меры предпринимались компанией для защиты данных: она будет нести ответственность в соответствии с установленными санкциями. Такой подход не особо мотивирует бизнес усиливать меры по защите данных и больше инвестировать в информационную безопасность. Ведь все равно человеческий фактор полностью нельзя исключить.
<…>
Сейчас Роскомнадзор в основном ограничивается формальным контролем, не исследуя глубоко бизнес-процессы и системы компаний. Понятно, что у него ограничены ресурсы и финансирование, и по-другому, наверное, быть не может. Но надо отметить, что между контролирующим органом и бизнесом становится больше полезного взаимодействия на различных площадках.
<…>
Нужен взаимовыгодный подход. Можно, например, предложить бизнесу вместо использования согласий на обработку персональных данных собирать и обрабатывать их на основании законного интереса, но ввести запреты на конкретные случаи использования данных и требование предлагать субъекту данных возможность возражать против такой обработки (opt-out). Либо предписать внедрить обязательный функционал на сайте, в личном кабинете пользователя, через который можно было бы запретить отдельные цели обработки данных субъекта. Также можно было бы установить требование для компаний уведомлять Роскомнадзор о коммерческом использовании персональных данных или иных специфических действиях по обработке, имеющих высокие риски. Для этого как раз пригодился бы существующий реестр операторов.
<…>
Болезненной остается ситуация с обезличиванием персональных данных. В России принят жесткий подход, согласно которому обезличенные данные остаются персональными во всех ситуациях, законодатель и Роскомнадзор не признают понятие анонимизации данных. К обезличиванию предъявляются довольно строгие требования, которые, однако, не позволяют бизнесу эффективно использовать полученные данные. Исключения для обработки обезличенных данных, которые формально прописаны в законе, проблему не решают: разработка и обучение моделей искусственного интеллекта с трудом укладываются в рамки аналитики или статистики, а само обезличивание в некоторых случаях все так же нуждается в самостоятельном основании.
<…>
В Южной Корее обезличенные данные прямо допускаются к использованию для научных и аналитических целей, включая разработку и обучение ИИ-моделей, при условии соблюдения технических и организационных гарантий. Кроме того, корейский законодатель рассматривает возможность ввести новое исключение: разрешать использование персональных данных для обучения ИИ и без их обезличивания, если цель обучения совместима с исходной целью их сбора и при условии разрешения регулятора».
[1] Конвенция о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981).
[2] Директива Европейского парламента и Совета Европейского союза 95/46/ЕС от 24.10.1995 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных.
«Раньше можно было сказать, что законодательство у нас в целом схоже с европейским, поскольку в его основу были заложены Конвенция 108[1] и Директива ЕС 1995 года[2]. Но за последние годы оно существенно поменялось и использует нечто среднее между европейским и китайским подходами. Европейский подход — в первую очередь субъектно-центричный, когда во главу угла ставятся интересы субъекта персональных данных. Китайский в большей степени преследует публичные интересы, перенимая многие формальные аспекты из Европы. При этом американский ориентируется прежде всего на интересы бизнеса, но его также нельзя назвать вседозволяющим.
<…>
Уровень защиты интересов субъектов персональных данных вряд ли растет. Все больше данных утекает, и не только из коммерческих источников, но и из государственных или окологосударственных, хотя государство вряд ли в этом признается. Интересы бизнеса не обеспечиваются, несмотря на развитие законодательства. И интересы государства, видимо, тоже недостаточно защищены, раз законодательство меняется так стремительно.
Ключевые изменения — это, конечно же, значительное увеличение ответственности: повышение размера административных штрафов и введение уголовной ответственности.
Другой тренд — это так называемая национализация данных, стремление государства направлять все потоки работы с данными через свои ресурсы («Госуслуги», «национальное озеро данных», или «ГосДата.хаб») и в пределах территории России.
Кроме этого, растет количество комплаенс-требований к бизнесу.
<…>
При этом никакого смягчения регулирования не наблюдается. Гайки только закручиваются, работать становится все сложнее. Предлагается большое количество законодательных инициатив, в том числе и от Минцифры, чтобы осовременить подходы к регулированию в этой области, но все они теряются в ходе межведомственных согласований.
<…>
Есть инициативы, которые вызывают опасение. Например, идея оставить право работать с персональными данными только большим компаниям, соответствующим определенным требованиям. Остальные должны будут делегировать им обработку. Эта инициатива влечет антиконкурентные риски и риски информационной безопасности, а также не учитывает реалии, в которых каждое юридическое лицо в России является оператором персональных данных, и сложно логистически представить, как можно реализовать эту идею.
У нас формируется какой-то свой подход к регулированию этих отношений, но логика его и целевой образ пока не очевидны.
<…>
Требования законодательства довольно часто меняются, а подходы контролирующих органов иногда отходят от сути закона, и бизнесу все труднее каждый раз перестраивать процессы для соблюдения меняющихся требований, особенно в случаях, когда бизнес-модель построена именно на работе с данными.
<…>
Защитить данные на 100% нельзя, но компания должна сделать все возможное, чтобы их защитить, в том числе учить своего работника тому, что делать можно, а чего нельзя, проводить технические тесты защищенности, осуществлять периодические проверки и адаптировать меры по защите данных, в конце концов, минимизировать сбор и хранение данных. И если компания предпринимала все возможные меры, то это должно учитываться в качестве смягчающих или исключающих вину оснований в момент привлечения ее к ответственности за утечки и другие нарушения в области оборота персональных данных. Сейчас же это не берется в расчет вне зависимости от того, какие меры предпринимались компанией для защиты данных: она будет нести ответственность в соответствии с установленными санкциями. Такой подход не особо мотивирует бизнес усиливать меры по защите данных и больше инвестировать в информационную безопасность. Ведь все равно человеческий фактор полностью нельзя исключить.
<…>
Сейчас Роскомнадзор в основном ограничивается формальным контролем, не исследуя глубоко бизнес-процессы и системы компаний. Понятно, что у него ограничены ресурсы и финансирование, и по-другому, наверное, быть не может. Но надо отметить, что между контролирующим органом и бизнесом становится больше полезного взаимодействия на различных площадках.
<…>
Нужен взаимовыгодный подход. Можно, например, предложить бизнесу вместо использования согласий на обработку персональных данных собирать и обрабатывать их на основании законного интереса, но ввести запреты на конкретные случаи использования данных и требование предлагать субъекту данных возможность возражать против такой обработки (opt-out). Либо предписать внедрить обязательный функционал на сайте, в личном кабинете пользователя, через который можно было бы запретить отдельные цели обработки данных субъекта. Также можно было бы установить требование для компаний уведомлять Роскомнадзор о коммерческом использовании персональных данных или иных специфических действиях по обработке, имеющих высокие риски. Для этого как раз пригодился бы существующий реестр операторов.
<…>
Болезненной остается ситуация с обезличиванием персональных данных. В России принят жесткий подход, согласно которому обезличенные данные остаются персональными во всех ситуациях, законодатель и Роскомнадзор не признают понятие анонимизации данных. К обезличиванию предъявляются довольно строгие требования, которые, однако, не позволяют бизнесу эффективно использовать полученные данные. Исключения для обработки обезличенных данных, которые формально прописаны в законе, проблему не решают: разработка и обучение моделей искусственного интеллекта с трудом укладываются в рамки аналитики или статистики, а само обезличивание в некоторых случаях все так же нуждается в самостоятельном основании.
<…>
В Южной Корее обезличенные данные прямо допускаются к использованию для научных и аналитических целей, включая разработку и обучение ИИ-моделей, при условии соблюдения технических и организационных гарантий. Кроме того, корейский законодатель рассматривает возможность ввести новое исключение: разрешать использование персональных данных для обучения ИИ и без их обезличивания, если цель обучения совместима с исходной целью их сбора и при условии разрешения регулятора».
[1] Конвенция о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981).
[2] Директива Европейского парламента и Совета Европейского союза 95/46/ЕС от 24.10.1995 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных.