В бизнесе, да и в обычной жизни, мы все чаще сталкиваемся с технологическими понятиями, которые пугают своей неопределенностью, «большие данные», «искусственный интеллект», «облачные вычисления» и другие. А неопределенный риск людям свойственно преувеличивать. Поэтому появляется желание, прежде всего у юридического сообщества и законодателя, задать гуманитарную, правовую рамку для указанных технологических понятий. Давайте выясним что и, главное, зачем следует регулировать в сфере данных.
За последние пару лет было предпринято несколько попыток на законодательном уровне определить понятие больших данных и ввести обязанности операторов по обработке, вплоть до сбора согласий на обработку данных.
Например, в начале этого года был подготовлен законопроект, согласно которому большие данные: «совокупность неперсонифицированных данных, классифицирующая по групповым признакам, в том числе информационные и статистические сообщения, сведения о местоположении движимых и недвижимых объектов, количественные и качественные характеристики видов деятельности, поведенческие аспекты движимых и недвижимых объектов, полученных от различных владельцев данных либо из различных структурированных или неструктурированных источников данных, посредством сбора с использованием технологий, методов обработки данных, технических средств, обеспечивающих объединение указанной совокупности данных, ее повторное использование, систематическое обновление, форма представления которых не предполагает их отнесение к конкретному физическому лицу».
Определение сформулировано настолько широко, что фактически под него подпадает любая информация, обрабатываемая любым способом. Формально принятие данной формулировки означало бы, что операторами больших данных становятся все компании, которые собирают и обрабатывают какую-либо информацию. Вводимые законопроектом обязанности операторов больших данных должны были распространиться вообще на весь рынок, не только на сферу ИТ, но и на всех, кто ведет статистику, отчетность, занимается продажами (там же тоже базы данных клиентов) и тому подобное. Либо же принятие данного определения, за счет субъективных трактовок, и подзаконных разъяснений привело бы к еще большей правовой неопределенности.
Давайте подробнее остановимся на экспертном мнении в отношении больших массивов данных. Как правило, экспертами отмечается, что «большие данные» – это не категория информации, а ее признак, который предполагает большое количество различных и несовместимых друг с другом категорий данных, например, генерируемых автоматически данных телеметрии («межмашинное взаимодействие»), метеорологии, видеофиксации, сведений о технических параметрах оборудования, анонимизированого массива геолокационных данных, а также генерируемой человеком информации, которая при этом характеризуется высокой скоростью накопления и обновления. Разнообразные виды, категории и методы обработки больших данных не могут быть определены единым образом. В данном случае применимо только техническое регулирование, стандартизация, но никак не обобщенное гуманитарное понятие. Основываясь на модели угроз, в зависимости от потенциального риска, необходимо устанавливать технические требования к защите информации от несанкционированного доступа, к информационной безопасности, проводить сертификацию баз данных, в рамках регуляторных песочниц создавать механизмы контроля и наблюдения за проводимыми экспериментами, развивать компетенции DPO.
В случае с цитируемым законопроектом эксперты были услышаны, документ был раскритикован не только бизнес-сообществом, но и государственными органами, и, в итоге, был отозван разработчиком. Поэтому часто подчеркивается, что введение единого определения больших данных в законодательстве технически невозможно и юридически нецелесообразно.
Согласно широко цитируемому определению, данные – это новая нефть цифровой экономики, поэтому все чаще мы видим инициативы по созданию новых игроков на бурно растущем рынке данных. И тут возникает новая абстрактная фигура – доверенная сторона. А как создать доверенную сторону быстро и эффективно? И почему-то вместо придания статуса «доверенного оператора» тем, кто уже в силу закона собирает и анализирует большие массивы данных, например, банки, телеком операторы, крупные интернет-площадки, предлагается создать нового игрока — посредника. При этом инициаторы таких предложений не учитывают, что данные клиентов не только конфиденциальны и охраняются в силу закона, но ценны сами по себе для компании, инвестировавшей в сбор, хранение и обработку таких данных.
Один из недавних примеров, когда предлагалось создать посредника на уже развитом рынке, – это инициатива по созданию посредников между владельцами данных и финансовыми организациями на рынке услуг скоринга. Отмечалось, что должен обеспечиваться «доступ скоринговых компаний к максимально полному спектру данных». Предполагалось, что обладателя (оператора) пользовательских данных необходимо наделить статусом информационного агента, подразумевающим его обязанность обеспечить возможность получения ранее реализованных данных для любой скоринговой компании.
Но рынок данных устроен иначе, владельцы данных сырыми данными не торгуют, а предоставляют аналитические продукты. Например, возвращаясь к тому же скорингу, компании покупают не набор фактов о клиенте, а так называемый скорбалл, аналитический продукт другой компании, на основании которого принимается решение, что такому-то заемщику можно дать кредит по сниженной ставке, поскольку он является платежеспособным.
После обсуждения с экспертным сообществом эта инициатива вызвала массу критики на всех уровнях обсуждения и пока снята с повестки.
Подытоживая сказанное, следует отметить, что нет необходимости создавать формально-юридические понятия технологических явлений или групп технологий, таких как «большие данные», «искусственный интеллект», «облачные вычисления» и другие. Прежде всего стоит сосредоточиться на защите интересов граждан, приняв, например, технологические регламенты обезличивания или анонимизации данных. Также стоит подумать о защите интересов отечественного бизнеса, признав, что на рынке есть добросовестные компании, которые много лет собирают, хранят и обрабатывают большие массивы данных, часто делая это по прямому требованию закона. Эти компании годами эффективной работы доказали свою добросовестность, создали Кодекс этики использования данных, активно участвуют в развитии рынка данных, всегда ратуют за прозрачность и открытость в вопросах обращения с данными.