Бизнес на персональных данных: как добиться успеха и не преступить закон?

    image

    «Данные – нефть цифровой экономики» — выражение, которое уже стало афоризмом. Действительно, в современном мире пользовательские данные превратились в один из наиболее ценных и востребованных ресурсов. Так, по данным компании PwC, в 2018 году мировая выручка от использования пользовательских данных достигнет $300 млрд. Что касается России, то по данным журнала РБК в 2017 году оборот рынка продажи и покупки персональных данных в России составил не менее 3,3 млрд рублей. Более того, эксперты прогнозируют дальнейший интенсивный рост этого рынка.

    Тем не менее, использование персональных данных в бизнесе пока не имеет должного правового регулирования. Текущее законодательство оставляет открытым вопрос об оборотоспособности данных и возможности их монетизации. Также в судебной практике пока не сформированы универсальные критерии, позволяющие найти баланс между необходимостью защиты частной жизни пользователей и потребностями бизнес-сообщества в условиях цифровой экономики.

    Данные: Персональные, Большие или Большие пользовательские?
    • Персональные данные

    Краеугольным камнем для понимания термина «пользовательские данные» является нормативно закреплённое понятие «персональные данные» (далее — ПДн). Понятие ПДн носит «каучуковый» характер, не позволяющий однозначно определить, какие конкретно данные относятся к персональным. При этом, общей тенденцией сейчас является крайне широкий подход к понятию ПДн — любая информация, относящаяся к идентифицированному или идентифицируемому  лицу. Это может быть как IP-адрес, ID, номер мобильного телефона либо номер кредитной карточки.

    В то же время ни для кого не секрет, что такая информация активно обрабатывается во всемирной паутине, становится основой успеха множества бизнес-проектов (реклама, маркетинг, скоринг). А каких-нибудь однозначных критериев, позволяющих проводить границу между ПДн и Большими данными не выработано.

    • Большие данные

    В свою очередь понятие «большие данные» (Big data) носит ещё более дискуссионный характер и обычно раскрывается через свои характеристики:

    • большой объем (Volume);
    • большое разнообразие (Variety);
    • высокая скорость накопления и обработки (Velocity);
    • точность (Veracity);
    • переменчивость (Variability);
    • ценность (Value);
    • визуализация (Visualization);
    • жизнеспособность (Viability).

    Известный юрист и профессор А. И. Савельев пишет, что «большие данные можно определить как динамически изменяющийся массив информации, который представляет собой ценность в силу своих больших объемов и возможности эффективной и быстрой обработки автоматизированными средствами, что, в свою очередь, обеспечивает возможность его использования для аналитики, прогнозирования и автоматизации бизнес-процессов».

    Управляющий партнер Центра цифровых прав Саркис Дарбинян, выступая на форуме BIG DATA 2018,  так объясняет их природу: «Большие данные – это объемные потоки информации разнородных данных, которые постоянно генерируются пользователями электронных устройств и онлайн-сервисов либо техническими устройствами, а также обрабатываются в режиме реального времени».

    В России до настоящего времени нет единого понимания и подхода к регулированию Больших данных. Кроме того, продолжаются дискуссии о том, кому должны принадлежать Большие данные и как, используя их, не нарушать права на различные категории охраняемых законом данных (ПДн, коммерческой тайной, конфиденциальной информацией, авторского права на базу данных).

    • Большие пользовательские данные

    «Пересечение» ПДн и Больших Данных иногда называют Большими пользовательскими данными. Правового закрепления данный термин не имеет, однако глава Роскомнадзора Александр Жаров определил Большие пользовательские данные, как «все данные о пользователе, которые собирают информационные системы и устройства, профили пользователей на интернет-ресурсах, геолокационные данные, данные о пользовательском поведении на сайтах».

    Судебные споры вокруг бизнес-проектов на персональных данных

    Бизнес-проекты с использованием Больших пользовательских данных неизбежно сталкиваются с проблемой соблюдения законодательства о защите ПДн. Так, наглядными примерами здесь являются следующие судебные дела: Роскомнадзор vs. НБКИ, Роскомнадзор vs. МГТС, «HeadHunter» vs. «Робот Вера», «HeadHunter» vs. «FriendWork» и «ВКонтакте» vs. «Double Data».

    Единого подхода по вопросу использования Больших пользовательских данных, в том числе размещённых пользователями в социальных сетях, пока не выработано, а позиции различных судебных инстанций пока имеют хаотичный характер. Кроме того, стороны не всегда оперируют законодательством о защите ПДн, а ссылаются наинтеллектуальные права на базу данных. Например, нормы о защите интеллектуальных прав на базу данных использовались в делах по искам компании «HeadHunter», а также в резонансном деле «ВКонтакте» против «Double Data».

    Компания «Double Data» собирала и использовала в коммерческих целях данные пользователей, размещённые в социальной сети (фамилии, имена, места работы и учебы). Никаких дополнительных разрешений компания не получала. «Вконтакте» отстаивает позицию, что такие действия нарушают исключительное смежное право на базу данных, возникшее у «Вконтакте» как у изготовителя такой базы данных с данными пользователей. «Double Data», напротив, настаивает на открытости данных, невозможности запретить повторное использование информации и отсутствии прав у «Вконтакте» на базу данных, сформированную самими пользователями. На сегодняшний день (октябрь 2018 г.) дело дошло до СИПа (кассационная инстанция). СИП согласился с выводом апелляционной инстанции, что «из материалов дела усматривается как наличие объекта смежного права (базы данных пользователей социальной сети), так и наличие исключительного права общества «В Контакте» на указанный объект». Довод ответчиков о базе данных как «побочном продукте» деятельности «В Контакте» не был признан судом обоснованным. Однако СИП отправил дело на новое рассмотрение в суд первой инстанции (дата заседания — 19.12.2018), а потому битва «ВКонтакте» и «Double Data» еще продолжается. Видится, что после окончательного разрешения данного дело станет практикообразующим и будет определяющей вехой для развития бизнеса на пользовательских данных в России.

    Кроме того, важным для дальнейшей судьбы бизнес-проектов на пользовательских данных является дело Роскомнадзор vs. МГТС, в котором суд попытался найти баланс между правом пользователей и интересами бизнеса. Суд привлек компанию МГТС к административной ответственности, установив, что сделки по «перепродаже» данных об абонентах без их согласия нарушают право на неприкосновенность частной жизни.

    Также интересно дело Роскомнадзор vs. НБКИ, которое хоть и закончилось мировым соглашением, но в рамках рассмотрения которого ВС РФ сделал вывод, что данные после их размещения пользователями в социальной сети не становятся общедоступными согласно смыслу ст. 8 ФЗ «О персональных данных».

    Как на практике реализуется бизнес на персональных данных?

    Из-за отсутствия ясных и однозначных правовых подходов («правил игры») по использованию больших данных уже на протяжение многих лет существуют «серые» сервисы по продаже персональных данных. Например, Dark Web, где продаются самые разные виды ПДн: от паспортных данных до медицинской информации и паролей от кредитных карт. По результатам исследования «Черный рынок баз данных» аналитического центра «МФИ Софт» за 2016 г, объем рынка нелегальных баз данных в России – больше 30 млн рублей. И эта цифра только растёт.

    Тем не менее, не стоит полагать, что бизнес на персональных данных — это априори нелегально. Стремительно развиваются и легальные проекты, направленные на монетизацию ПДн пользователей: Opiria, Handshake, Datacoup, GoodData, Pillar Project, Personal и другие сервисы.

    Более того, в мировой практике известны и примеры оффлайн-проектов, использующих в качестве оплаты ПДн. Например, в американском кафе Shiru расплатиться по счету можно своими ПДн (именами, номерами телефонов, электронными адресами, датами рождения и сведениями об интересах).

    Однако многие компании заинтересованы не столько в получении ПДн конкретного субъекта, сколько в получении массива данных, отражающих те или иные признаки целого ряда субъектов. Потому ценность получают имеющиеся у других компаний базы данных ПДн, Большие пользовательские данные.

    Зачастую компании включают положения о передаче данных в договоры оказания услуг или иные аналогичные. Кроме того, видятся интересными проекты по обмену ПДн, реализуемые с помощью соглашений между компаниями об информационном взаимодействие в области передачи персональных данных или иных аналогичных по содержанию. Например, такие соглашения распространены в сфере медицины.

    Также описывая проекты, работающие с Большими пользовательскими данными, нельзя не упомянуть проект Double Data и аналогичные ему (Clever Datа, Scorista, Scorto, FICO, Бюро кредитных историй Equifax, Национальное бюро кредитных историй). Эти проекты, по большей части, используют данные для последующей перепродажи, а также для скоринга и персонализации рекламы. Они позиционируют себя как работающие с открытыми данными, отстаивая в лице НБКИ и Double Data в судебном порядке свои права на обработку Больших пользовательских данных без дополнительного разрешения как и от пользователей, так и от компаний, первично обрабатывающих ПДн.

    Отдельно стоит отметить скандально известную компанию Cambridge Analytica, которая собирала для анализа политических предпочтений избирателей ПДн пользователей без их согласия, в том числе ПДн пользователей социальной сети Facebook. В результате таких действий не только разгорелся политический скандал, но и неизбежно возникли юридические последствия и для Cambridge Analytica, и для Facebook. Cambridge Analytica, Facebook объявила о своём банкротстве, а Facebook оштрафовали на 500 тысяч фунтов стерлингов (около 600 тысяч долларов) за несоблюдение прав субъектов ПДн: отсутствие должной защиты ПДн пользователей и недостаточную прозрачность их обработки.

    В целом, скандал Cambridge Analytica-Facebook имеет далеко идущие последствия, в том числе и для России. Так, компания Facebook стала блокировать доступ к «подозрительным» сервисам, деятельность которых допускает риски нарушения законодательства о ПДн. Например, недавно (в начале октября 2018 г.) Facebook заблокировала больше 66 аккаунтов, профилей, страниц и приложений российского стартапа, Social Data Hub, который раньше сравнивал себя с Cambridge Analytica, а сейчас позиционирует себя как «специализирующийся на разработке систем искусственного интеллекта». Тем не менее, согласно данным СМИ проект занимается также коммерческим анализом данных пользователей для государства.

    Интересно, что на сайте Social Data Hub можно ознакомиться с ответом Роскомнадзора о легальности функционирования такого сервиса. Однако это не помешало компании Facebook усмотреть в деятельности Social Data Hub нарушение пользовательского соглашения Facebook и признаки незаконного использования ПДн. Facebook удалила аккаунты стартапа и его сотрудников, а также направила письмо с требованиями:

    • немедленно прекратить деятельность по обработке данных пользователей Facebook и уничтожить эти данные;
    • предоставить Facebook полный перечень всех используемых компанией данных и организации, получивших к ним доступ;
    • предоставить представителям Facebook доступ к хранилищам данных для проверки, что они действительно удалены.

    Представитель «Вконтакте» также отметил, что компания направила претензионный письмо в адрес Social Data Hub. В свою очередь руководители проекта отрицают какое-либо нарушение законодательство о ПДн, утверждая, что они «разрабатывают софт, а не продают данные».

    Правовые основы ведения бизнеса на персональных данных

    С юридической точки зрения бизнес-проекты на пользовательских данных реализуются с помощью различных правовых инструментов. Во многом такое положение дел объясняется отсутствием нормативного регулирования процессов монетизации пользовательских данных. Закон лишь предписывает обязательные требования и условия, при которых могут собираться и обрабатываться ПДн.

    Наиболее распространённое основание для обработки ПДн — это наличие согласия субъекта. Получение такого согласия, его «покупка», как раз лежит в основе большинства легальных бизнес-проектов на пользовательских данных. При этом важно понимать, что реализация такой покупки далека от классического гражданско-правового понимания договор купли-продажи. Помимо непосредственно получения согласия за определенное имущественное вознаграждение возможна обработка ПДн во исполнении заключенных с пользователями договоров, сопутствующих предоставлению каких-либо товаров и услуг (в большинстве случаев предоставления доступа к контенту в интернете).

    Кроме того, в последнее время популярность набирают проекты, в том числе и ICO-проекты, основная цель которых — это обеспечение легальной монетизации ПДн. Например, платформа Opiria. Данный проект позволяет пользователям предоставлять согласие на обработку своих ПДн в обмен на токены PDATA. Согласно утверждениям разработчиков, данная платформа является «глобальным децентрализованным рынком, где компании могут покупать персональные данные напрямую у потребителей без посредников». При этом Opiria гарантирует пользователям возможность контроля и управления своими ПДн в соответствии с требованиями законодательства о ПДн.

    В то же время посредничество в бизнесе на персональных данных не теряет свою актуальность. Множество компаний пытаются перепродать ПДн или совершить их обмен. Но такие проекты будут соответствовать законодательству, только когда получены соответствующие согласия на передачу ПДн третьим лицам и их последующую обработку.

    Показательным является английское дело сервиса DeepMind, который заключил соглашение об обмене ПДн с Национальной службой здравоохранения Великобритании. Однако стороны не предусмотрели получение согласия на передачу и обработку ПДн пациентов сервисом DeepMind, а потому было установлено нарушение законодательства о ПДн. Хотя данное дело основано на нормах иностранного законодательства, его выводы являются применимыми и в российских реалиях. Схожую позицию мы наблюдали, например, в ранее упомянутом деле о продаже МГТС данных о своих абонентах.

    В целом, в России для всех бизнес-проектов на ПДн крайне важно соблюдать общие требования законодательства о ПДн. В частности, необходимо:

    • ограничивать обработку ПДн конкретными, заранее определенными целями;
    • ограничивать объем обрабатываемых данных минимально необходимым объемом для осуществления заявленных целей их обработки;
    • не объединять базы данных, содержащие ПДн, обработка которых осуществляется в целях, не совместимых между собой;
    • уничтожать или обезличивать ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей (кроме случаев прямо предусмотренных законом);
    • определять правовое основание обработки ПДн (в большинстве случаев это будет согласие от субъекта ПДн, но также может быть договор, законодательная норма, общедоступность ПДн, иное);
    • соблюдать требования к форме согласия на обработку ПДн;
    • прекращать обработку или обеспечивать прекращение обработки другим лицом ПДн в случае отзыва субъектом согласия на обработку ПДн.

    Что касается проектов в сфере Больших пользовательских данных, то здесь спорных правовых вопросов ещё больше.

    • Во-первых, отсутствует единый подход к пониманию Больших данных.
    • Во-вторых, законодательство регулирует обработку Больших данных лишь частично.
    • В-третьих, не выработано однозначной позиции по вопросу использования ПДн, находящихся в открытом доступе и обезличенных ПДн.
    • В-четвертых, сложно определить реальную стоимость Больших пользовательских данных.
    • В-пятых, агрегирование Больших пользовательских данных какой-либо компанией может порождать интеллектуальные права этой компании на базу данных. В результате возникает коллизия прав. А коммерческие отношения в данной сфере становятся по своей непредсказуемости подобны лотерее.

    Возможно, ситуация на российском рынке изменится после окончательного разрешения спора «Вконтакте» против «Double data» и/или принятия каких-либо из обсуждаемых ныне инициатив (например, законопроект о регулировании больших данных, законопроект об использовании и передаче другим лицам обезличенных ПДн, инициатива по созданию специальной платформы по управления согласием на обработку ПДн).

    Также в настоящее время в Госдуме находится законопроект, который направлен на то, чтобы определить правила в отношении такого нового объекта гражданских прав как цифровые права. Законопроект предлагает урегулировать использование Больших данных в договорных отношениях, а именно закрепить в ГК РФ конструкцию договора об оказании услуг по предоставлению информации (ст. 783.1). Данным договором может быть предусмотрено условие о неразглашении информации третьим лицам в течение определенного срока. Кроме того, законопроект предлагает расширить понятие «база данных» исходя из потребности защищать базы данных, основанных на Больших данных.

    Заключительные рекомендации

    Таким образом, очевидно, что с каждым годом становится все больше и больше бизнес-проектов, в которых пользовательские данные играют основополагающую роль. Большие пользовательские данные могут представлять из себя ценнейший нематериальный актив, а могут стать и токсичным пассивом для компании, если неправильно подходить к обороту и защите таких данных. Согласно оценкам экономистов, такие проекты — неотъемлемая составляющая цифровой экономики, и их число будет только расти. Да и уже сейчас, несмотря на возникающие правовые преграды, вполне возможно построить бизнес на пользовательских данных, если подходить к данным ответственно и следовать несложным рекомендациям:

    • соблюдать предписания применимого законодательства;
    • в случае наличия неопределённости в нормативном регулировании стараться максимально учитывать права всех заинтересованных субъектов;
    • следить за судебной практикой и законотворческими инициативами;
    • своевременно консультироваться с юристами в любых непонятных ситуация.

    image
    Digital Rights Center
    99,00
    Юридическая помощь в цифровом пространстве
    Поделиться публикацией

    Комментарии 9

      +1
      Я вот задумалась, а кто и в какой форме будет нести ответственность за утечку данных (в т.ч. персональных), если она утечёт по вине государственного органа или гос.учреждения? насколько реально взыскать моральный вред с государства в таком случае…
        0
        Вот хорошая табличка по этому вопросу: www.garant.ru/actual/persona/otvetstvennost
        По гос. служащим смотреть на ответственность должностных лиц.
          0
          мерси, вижу штрафы весьма и весьма скромные…
        +2
        Очень полезная и интересная статья, спасибо!
          0
          Натянутая попытка скрестить персональные данные и big gata.
          Персональным данным уже 12 лет, и как-то научились определять что персданные, а что нет.

          Единого подхода по вопросу использования Больших пользовательских данных, в том числе размещённых пользователями в социальных сетях, пока не выработано

          Конечно, не выработано, т.к. понятие «большие пользовательские данные» надуманная сущность для проталкивания «новых решений». Данные либо персональные, либо нет, это вы, как юристы должны были знать.
            +2
            Спасибо за комментарий! Представляется, что в Вашем тезисе «как-то научились определять что персданные, а что нет», ключевое слово «как-то». Если бы все было так однозначно, не было бы всех этих сложностей при рассмотрении вышеописанных судебных дел, да и многочисленных теоретических дискуссий вокруг самого понятия ПДн.
            А насчёт надуманности понятия «Большие пользовательские данные» — отчасти соглашусь, но ведь речь идёт не столько о самом термине, сколько о подходе к обработке данных, которые одновременно являются big data и ПДн.
              +1
              а теперь полюбуйтесь на то, какой подход предлагают наши «любимые» депутаты sozd.duma.gov.ru/bill/571124-7

              и если этот законопроект примут, всё заиграет новыми красками (в том числе понимание, что есть ПДн, а что нет)
                0
                Тема с анализом этого тянет на отдельный пост тут.
                  0
                  о, да, отдельный текст обязательно будет.

                  зря, конечно, российские аналитики перс.данные с нефтью сравнивали, теперь и они могут утечь в частно-государственные руки, накаркали

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое