Privacy-мнение: ЭПР без «барьера» или где ЭПР в сфере данных
Что произошло?
24 февраля в Думу внесен законопроект № 1158700-8 с поправками в Федеральный закон № 258-ФЗ «Об экспериментальных правовых режимах…». Да, речь об ЭПР.
Законопроект предлагает:
Издалека предлагаемые правки не будоражат воображение. Это вам не оборотные штрафы и не 272.1 УК. Поэтому и нет должной огласки столь прекрасной инициативы. А между тем на практике – это потенциально чувствительная перенастройка конструкции ЭПР. Ведь идея ЭПР почти священна для развития, но реализация оставляет желать лучшего.
В чем проблема сейчас?
Формально ЭПР можно установить только там, где есть прямой нормативный запрет или ограничение. То есть, нет барьера – нет режима. И вот тут начинается парадокс, с которым ваши покорные слуги уже не раз столкнулись. Рассказываем.
На рынке может существовать перспективная технология – например, безопасная модель совместного использования данных для богоугодных целей (развития ИИ, конечно же). Причем речь идет не о «давайте обрабатывать побольше ПД», а наоборот – о моделях, где используются privacy-enhancing technologies, реализуется риск-ориентированный подход, архитектура выстроена так, что прямого доступа к ПД может не быть вовсе, а риски для субъектов минимальны или исключены.
И вот здесь наступает ключевой момент. ЭПР нам нужен не потому, что «сложно собрать согласия». Само по себе это слабый аргумент. ЭПР нужен для того, чтобы в контролируемом режиме проверить: а действительно ли в такой модели нет обработки / доступа к ПД? Нужны ли согласия как правовое основание? Или же технология объективно выводит такую обработку данных из-под требований отраслевого регулирования, потому что доступа к данным нет и рисков для субъектов не возникает?
Пока эксперимент не проведён, мы этого не знаем. Есть правовая неопределенность и регуляторный риск. Но формального «барьера» в законе нет. Закон не запрещает – он просто не отвечает однозначно на эти вопросы. А отсутствие ясности не считается «барьером» для целей 258-ФЗ.
В результате инициативы в сфере данных застревают: запустить ЭПР нельзя, потому что нет прямого запрета, а запускать модель рискованно, потому что неясно, как регулятор ее оценит, а значит, инвестиции и время под риском. Именно поэтому нам известно о нескольких проектах в сфере данных, которые так и не стартовали. Вспомните хотя бы симпатичнейшую инициативу АБД для доверенных посредников. Напомним, что ее целью было тестирование механизмов безопасного использования данных для создания технологий ИИ посредством создания «песочницы данных АБД».
А в итоге что? Да, есть 19 ЭПР в РФ, НО есть ли хоть один в сфере данных? Такая вот экономика данных.
Зачем здесь ЭПР?
Именно для таких случаев режим и задумывался как инструмент аккуратной апробации:
… и многое другое, что позволяет пробовать без или с контролируемым риском нарушения чьих-либо прав и охраняемых интересов.
А дальше – если технология доказывает свою состоятельность, то возможно точечное обновление общего регулирования. Например, если в рамках ЭПР будет подтверждена эффективность privacy-enhancing technologies, логично обсуждать адресные изъятия из требований к правовому основанию при использовании таких инструментов.
Что меняют поправки?
Отмена обязательного «барьера» делает ЭПР ближе к классической регуляторной песочнице. Режим можно будет запускать не только там, где есть прямой запрет, но и там, где требуется в отсутствии прямых запретов:
В контексте развития ИИ – это более чем актуально.
В итоге выиграют все: бизнес, государство и пользователи. Заживаем наконец-то! Осталось принять закон.
Что произошло?
24 февраля в Думу внесен законопроект № 1158700-8 с поправками в Федеральный закон № 258-ФЗ «Об экспериментальных правовых режимах…». Да, речь об ЭПР.
Законопроект предлагает:
- исключить требование о наличии «нормативного барьера» для установления ЭПР;
- увеличить максимальный срок действия ЭПР с 3 до 5 лет;
- разрешить прекращать статус субъекта ЭПР по его мотивированному обращению.
Издалека предлагаемые правки не будоражат воображение. Это вам не оборотные штрафы и не 272.1 УК. Поэтому и нет должной огласки столь прекрасной инициативы. А между тем на практике – это потенциально чувствительная перенастройка конструкции ЭПР. Ведь идея ЭПР почти священна для развития, но реализация оставляет желать лучшего.
В чем проблема сейчас?
Формально ЭПР можно установить только там, где есть прямой нормативный запрет или ограничение. То есть, нет барьера – нет режима. И вот тут начинается парадокс, с которым ваши покорные слуги уже не раз столкнулись. Рассказываем.
На рынке может существовать перспективная технология – например, безопасная модель совместного использования данных для богоугодных целей (развития ИИ, конечно же). Причем речь идет не о «давайте обрабатывать побольше ПД», а наоборот – о моделях, где используются privacy-enhancing technologies, реализуется риск-ориентированный подход, архитектура выстроена так, что прямого доступа к ПД может не быть вовсе, а риски для субъектов минимальны или исключены.
И вот здесь наступает ключевой момент. ЭПР нам нужен не потому, что «сложно собрать согласия». Само по себе это слабый аргумент. ЭПР нужен для того, чтобы в контролируемом режиме проверить: а действительно ли в такой модели нет обработки / доступа к ПД? Нужны ли согласия как правовое основание? Или же технология объективно выводит такую обработку данных из-под требований отраслевого регулирования, потому что доступа к данным нет и рисков для субъектов не возникает?
Пока эксперимент не проведён, мы этого не знаем. Есть правовая неопределенность и регуляторный риск. Но формального «барьера» в законе нет. Закон не запрещает – он просто не отвечает однозначно на эти вопросы. А отсутствие ясности не считается «барьером» для целей 258-ФЗ.
В результате инициативы в сфере данных застревают: запустить ЭПР нельзя, потому что нет прямого запрета, а запускать модель рискованно, потому что неясно, как регулятор ее оценит, а значит, инвестиции и время под риском. Именно поэтому нам известно о нескольких проектах в сфере данных, которые так и не стартовали. Вспомните хотя бы симпатичнейшую инициативу АБД для доверенных посредников. Напомним, что ее целью было тестирование механизмов безопасного использования данных для создания технологий ИИ посредством создания «песочницы данных АБД».
А в итоге что? Да, есть 19 ЭПР в РФ, НО есть ли хоть один в сфере данных? Такая вот экономика данных.
Зачем здесь ЭПР?
Именно для таких случаев режим и задумывался как инструмент аккуратной апробации:
- ограниченный периметр,
- специальные правила,
- усиленные меры защиты,
- присмотр регуляторов,
… и многое другое, что позволяет пробовать без или с контролируемым риском нарушения чьих-либо прав и охраняемых интересов.
А дальше – если технология доказывает свою состоятельность, то возможно точечное обновление общего регулирования. Например, если в рамках ЭПР будет подтверждена эффективность privacy-enhancing technologies, логично обсуждать адресные изъятия из требований к правовому основанию при использовании таких инструментов.
Что меняют поправки?
Отмена обязательного «барьера» делает ЭПР ближе к классической регуляторной песочнице. Режим можно будет запускать не только там, где есть прямой запрет, но и там, где требуется в отсутствии прямых запретов:
- протестировать новые модели обработки данных,
- обкатать организационные конструкции,
- выстроить механизмы распределения ответственности,
- проверить архитектуры совместного доступа к данным.
В контексте развития ИИ – это более чем актуально.
В итоге выиграют все: бизнес, государство и пользователи. Заживаем наконец-то! Осталось принять закон.