Про регулирование больших данных

Накануне нового года АНО «Радиочастотный спектр» (организация, близкая к Роскомнадзору, организатор международной конференции «Защита персональных данных», издатель специализированного журнала по вопросам связи, информационных технологий и массовых коммуникаций «РСпектр» и владелец портала по вопросам связи, информационных технологий и массовых коммуникаций RSPECTR.COM) на своем сайте опубликовала статью «Идентификация без согласия». О больших пользовательских данных, их регулировании, согласии на обработку, национальном операторе – ну, вы понимаете… И с традиционным выводом Игоря Ашманова о том, что «большие пользовательские данные должны стать собственностью нации».

Там же опубликован мой комментарий о необходимости, точнее, об отсутствии необходимости регулирования больших пользовательских данных, которые «значительно больше и шире, чем персональные», как утверждают некоторые авторы. Все уже и так более чем зарегулировано, и плодить новые сущности, регулируя (то есть ограничивая, запрещая и надзирая в большинстве случаев) их использование никакой необходимости нет. Более подробно – полный текст комментария ниже. Кому интересно, лучше почитать всю статью и все комментарии. Их, кроме моего, еще пять, и все авторы более чем осторожно и весьма скептически относятся к высказанным в статье идеям. Учитывая, что большие данные попали в программу «Цифровая экономика» и готовится не менее трех вариантов законопроектов по этому поводу на различных площадках, тема представляется более чем актуальной.

Вот еще один предновогодний комментарий на эту тему, телеканалу «Санкт-Петербург» и мой комментарий дословно:

«Пока и в России, и в мире «большие пользовательские данные» – достаточно абстрактный термин, обозначающий данные, формально не подпадающие под определение персональных данных, но характеризующие конкретного пользователя сети Интернет, абонента мобильной связи, чье местоположение известно, человека, попавшего в поле зрения систем видеонаблюдения, пассажира метро или автобуса, предъявившего на входе социальную карту, владельца автомобиля, передающего телеметрическую информацию производителю или в автосервис. Этот человек, может быть, и не был идентифицирован оператором, то есть его имя и иные признаки, устанавливающие его личность, оператору не известны, но оператор отличает его от других посетителей сайта, покупателей магазина, пассажиров, водителей и так далее.

Если собрать данные от различных источников и свести их вместе, тому, кто может это сделать, станет известно о человеке значительно больше, чем он предполагал, посещая сайт или входя в метро. Поэтому никакой единый, а тем более государственный оператор таких данных не нужен, и регулирование должно заключаться только в одном – полном и тотальном запрете консолидации данных из таких разнородных источников у одного лица без явного и доказываемого на то согласия субъекта персональных данных. И нет необходимости плодить новые сущности, все эти сведения вполне подпадают под существующее определение персональных данных, и Роскомнадзор уже минимум два года привлекает в судах к административной ответственности операторов связи, продающих рекламораспространителям профили пользователей сети Интернет для таргетирования рекламы, квалифицируя это не только как нарушение закона о персональных данных, но и как нарушение лицензионных требований к оператору связи об охране тайны связи. И никакие дополнительные законы для этого не нужны.

Безусловно, новая реальность, в которой живет цифровая личность, строго говоря, не известная, не верифицированная и не идентифицированная владельцем интернет-ресурса, со временем потребует законодательного и нормативного регулирования. Для этого надо будет решить очень много вопросов: является ли аккаунт пользователя социальной сети с неподтвержденным именем, с неизвестно чьим фото или пользователя, присутствующего в сети под никнеймом, его персональными данными, что из содержащегося в cookie-файлах является персональными данными, а что – нет. Я, например, очень сомневаюсь, что сведения о поддержке браузером Java-скриптов являются персональными данными пользователя, как и динамические IP-адреса.

И пока эти вопросы не решены и не выработано какое-то консолидированное мнение, регулировать эти вопросы не только не надо, но и очень опасно, тем более, что целью регулирования должна стать защита прав и свобод пользователя, а вовсе не ограничение деятельности оператора или консолидация таких данных у какого-то одного лица».