31 января 2018 г.

И снова о допустимости обработки персональных данных, размещенных в социальных сетях

Дал вчера вечером небольшой комментарий каналу "Говорит и показывает Санкт-Петербург" по поводу решения 9 арбитражного апелляционного суда по иску сети "ВКонтакте" к ООО "Дата". На эту тему я уже писал в декабря прошлого года здесь и здесь.



Это не точка в данном сложном вопросе. Все только начинается.   

Большой брат оценит каждого. Социальная сеть «Вконтакте» через суд запретила сервису Double Data использовать данные пользователей сети для оценки их кредитоспособности.
По данным «Вконтакте», Double Data проанализировала более 400 миллионов открытых профилей и предлагала информацию банкам. В прошлом году суд отклонил иск к Double Data и Национальному бюро кредитных историй. Но после аппеляции первой запрещено использовать данные сети, а с бюро в августе заключено мировое соглашение.
Давайте разберемся, кто, как и с какими целями анализирует и использует данные, которые мы добровольно выкладываем в социальных сетях с Михаилом Емельянниковым, управляющим партнером консалтингового агентства «Емельянников, Попова и партнеры».
Все, что выкладывает пользователь в социальных сетях, анализируется и используется различными компаниями. Даже фотографии, с кем, на каком фоне и как он фотографируется, тоже имеет значение. Данные сопоставляются и вычисляется, насколько человек кредитоспособен.
Суть иска «Вконтакте» в том, чтобы обеспечить монополию на персональные данные пользователей. 
Нужно несколько раз подумать, прежде чем выкладывать свои данные в интернет, так как все может быть использовано против нас, сообщил эксперт.
Свобода интернет-общения не освобождает от работы мозга. Хотя не стоит заблуждаться. Современные программы давно и легко определяют нашу кредиспособность, вкусовые, политические и другие предпочтения.

15 января 2018 г.

Про регулирование больших данных

Накануне нового года АНО «Радиочастотный спектр» (организация, близкая к Роскомнадзору, организатор международной конференции «Защита персональных данных», издатель специализированного журнала по вопросам связи, информационных технологий и массовых коммуникаций «РСпектр» и владелец портала по вопросам связи, информационных технологий и массовых коммуникаций RSPECTR.COM) на своем сайте опубликовала статью «Идентификация без согласия». О больших пользовательских данных, их регулировании, согласии на обработку, национальном операторе – ну, вы понимаете… И с традиционным выводом Игоря Ашманова о том, что «большие пользовательские данные должны стать собственностью нации».
Там же опубликован мой комментарий о необходимости, точнее, об отсутствии необходимости регулирования больших пользовательских данных, которые «значительно больше и шире, чем персональные», как утверждают некоторые авторы. Все уже и так более чем зарегулировано, и плодить новые сущности, регулируя (то есть ограничивая, запрещая и надзирая в большинстве случаев) их использование никакой необходимости нет. Более подробно – полный текст комментария ниже. Кому интересно, лучше почитать всю статью и все комментарии. Их, кроме моего, еще пять, и все авторы более чем осторожно и весьма скептически относятся к высказанным в статье идеям. Учитывая, что большие данные попали в программу «Цифровая экономика» и готовится не менее трех вариантов законопроектов по этому поводу на различных площадках, тема представляется более чем актуальной.
Вот еще один предновогодний комментарий на эту тему, телеканалу «Санкт-Петербург» и мой комментарий дословно:
«Пока и в России, и в мире «большие пользовательские данные» – достаточно абстрактный термин, обозначающий данные, формально не подпадающие под определение персональных данных, но характеризующие конкретного пользователя сети Интернет, абонента мобильной связи, чье местоположение известно, человека, попавшего в поле зрения систем видеонаблюдения, пассажира метро или автобуса, предъявившего на входе социальную карту, владельца автомобиля, передающего телеметрическую информацию производителю или в автосервис. Этот человек, может быть, и не был идентифицирован оператором, то есть его имя и иные признаки, устанавливающие его личность, оператору не известны, но оператор отличает его от других посетителей сайта, покупателей магазина, пассажиров, водителей и так далее.
Если собрать данные от различных источников и свести их вместе, тому, кто может это сделать, станет известно о человеке значительно больше, чем он предполагал, посещая сайт или входя в метро. Поэтому никакой единый, а тем более государственный оператор таких данных не нужен, и регулирование должно заключаться только в одном – полном и тотальном запрете консолидации данных из таких разнородных источников у одного лица без явного и доказываемого на то согласия субъекта персональных данных. И нет необходимости плодить новые сущности, все эти сведения вполне подпадают под существующее определение персональных данных, и Роскомнадзор уже минимум два года привлекает в судах к административной ответственности операторов связи, продающих рекламораспространителям профили пользователей сети Интернет для таргетирования рекламы, квалифицируя это не только как нарушение закона о персональных данных, но и как нарушение лицензионных требований к оператору связи об охране тайны связи. И никакие дополнительные законы для этого не нужны.
Безусловно, новая реальность, в которой живет цифровая личность, строго говоря, не известная, не верифицированная и не идентифицированная владельцем интернет-ресурса, со временем потребует законодательного и нормативного регулирования. Для этого надо будет решить очень много вопросов: является ли аккаунт пользователя социальной сети с неподтвержденным именем, с неизвестно чьим фото или пользователя, присутствующего в сети под никнеймом, его персональными данными, что из содержащегося в cookie-файлах является персональными данными, а что – нет. Я, например, очень сомневаюсь, что сведения о поддержке браузером Java-скриптов являются персональными данными пользователя, как и динамические IP-адреса.
И пока эти вопросы не решены и не выработано какое-то консолидированное мнение, регулировать эти вопросы не только не надо, но и очень опасно, тем более, что целью регулирования должна стать защита прав и свобод пользователя, а вовсе не ограничение деятельности оператора или консолидация таких данных у какого-то одного лица».