Современные технологии стали частью жизни практически каждого человека, однако не все задумываются, что данные технологии позволяют знать о нас больше, чем знают наши друзья, родственники или даже мы сами. И пока мы изучаем современные технологии, они изучают нас. Пользовательская информация собирается повсеместно, не исключение даже личная переписка пользователей. Например, в политике конфиденциальности Российской компании «Яндекс» прямо указано, что последняя оставляет за собой право собирать информацию о пользователе, в том числе из содержания его электронной почты. Аналогичным аккумулированием данных занимаются многие сервисы IT-компаний, а также гаджеты, например, смартфоны и компьютеры. Информация, как правило, собирается для улучшения произведённого продукта или сервиса. Для качественной оптимизации недостаточно данных ста или тысячи пользователей, речь идёт о десятках тысяч данных. Эти самые десятки и более тысяч данных называются Большими данными (Big data). Под Большими данными будем понимать совокупность структурированной и неструктурированной информации огромных объёмов, обрабатываемой путём детального анализа и структурируемой в большие кластеры данных, на основе которых можно делать определенные выводы (например, о восприятии пользователями рекламы на основе данных об их откликах). В среде IT-специалистов под Большими данными нередко понимаются не сами объемы информации, а специфические методы её обработки. Такой подход, конечно же, не лишён смысла, но так как в данной работе акцент делается не на технический, а на правовой аспект Больших данных, то первое определение будет более наглядным. Также хочется акцентировать внимание на том, что Большие данные подразделяются на несколько типов: пользовательские Большие данные (информация, которая получена в результате анализа действий человека) и промышленные Большие данные (информация, которая получена в результате сбора данных, как правило, о природе или физических процессах, например, показатели температуры или атмосферного давления). В данной статье мы рассматриваем правовое положение первого типа Больших данных.

Хорошо, когда на основе больших данных продукт или сервис улучшается под наши нужды, но бывают случаи, когда собранная информация попадает в руки третьих лиц (включая злоумышленников). Это может произойти как против воли компании-сборщика данных (например, в 2017 г. у американского бюро кредитных историй «Equifax» произошла утечка около 150 млн персональных данных), так и по её согласию. В свою очередь, данные, полученные третьим лицом, могут быть использованы не во благо человека, например, Российская организация ООО «Дабл» обрабатывала данные пользователей «В Контакте» для оценки платёжеспособности потенциальных заемщиков. При этом пользователи, чьи данные обрабатывались, ничего об этом не знали и не имели возможность исправить свои данные. Из-за этого существовал риск дискриминации, так как ООО «Дабл» могло обрабатывать потенциально недостоверные или устаревшие данные, вследствие чего пользователи не смогли бы реализовать свое право. Также известно, что американская компания «Facebook» ежедневно проводит A/B – тестирования, которые основываются на анализе больших данных, чтобы узнать, какие иконки или дизайн сайта нравятся пользователям, в целях адаптации социальной сети под их предпочтения. Однако такие действия часто вызывают у пользователей зависимость. В 2016 г. социальная сеть занимала 6-е место в рейтинге зависимостей, уступая наркотикам, алкоголю, азартным играм, половому влечению и сладкому.

Исходя из вышесказанного, возникает вопрос о том, как законодательно урегулированы большие данные. Вначале следует рассмотреть опыт Соединенных Штатов Америки (далее – США) и Европейского Союза (далее – ЕС).

В США большие данные детально не урегулированы на федеральном уровне, поскольку нормы права дифференцированы во множестве законов, среди которых следует отметить: 1. The Health Insurance Portability and Accountability Act (HIPAA). Данный документ регулирует защиту медицинской информации и применяется к любому лицу, оказывающему медицинские услуги; 2. The Gramm-Leach-Bliley Act (GLB Act or GLBA), который призван защитить пользовательскую информацию, хранящуюся в финансовых учреждениях, независимо от ее формы (например, данные могли быть собраны через файлы cookie); 3. The Privacy Act of 1974. Этот закон распространяется исключительно на федеральные органы, и его основные положения состоят в том, что субъектам предоставляется право на контроль своих данных и их исправление. Тенденцией в правовом регулировании больших данных на федеральном уровне является общее невмешательство, правительство ограничивается точечными нормативными правовыми актами. Такой подход можно объяснить, поскольку США являются лидерами в области информационных технологий, так как там располагаются компании, создающие тренды в IT индустрии, вероятно, федеральное правительство боится сдерживать их развитие. Отзыв о таком правовом регулировании больших данных отрицателен, поскольку названные законы применяются лишь в отношении персонифицированных данных (то есть субъект должен быть четко определен). Поэтому законодательство США слабо применимо к большим данным в принципе, поскольку часто большие данные не привязаны к конкретному лицу (важно помнить, что при применении специальных средств субъекта данных все-таки можно вычислить). Таким образом, создается пробел, который позволяет организациям обрабатывать личную информацию, не попадая под регулирование законодательства США.

В ЕС большие данные регулируются General Data Protection Regulation (Общий регламент по защите данных) (далее – GDPR). Данный закон в целом направлен на персональные данные, но сформулированные в нем позиции применимы и к Большим данным. Такой вывод следует из того, что под регулирование GDPR попадают данные, которые позволяют идентифицировать физическое лицо не только напрямую, но и косвенно (например, при помощи сведений о местоположении, а также по данным о психологической, умственной, экономической, культурной или социальной идентичности субъекта). Несомненным плюсом GDPR является и то, что в случае необходимости сбора каких-либо сведений о субъекте, организация должна получить у него явное согласие. При этом субъект не лишается права в любое время его отозвать и, что немаловажно, субъект наделен правом получить сведения, которые касаются обработки его данных, и изменить их. Еще одной особенностью, затрагивающей этические аспекты обработки данных, является недопустимость сбора и анализа сведений, без явного на то согласия пользователя или дозволения закона, об этническом происхождении человека, его политических взглядах, философских воззрениях, религиозных убеждениях. Также недопустима обработка данных о здоровье, генетических данных и сведениях, касающихся половой жизни человека. За нарушение GDPR предусмотрены штрафы, достигающие 20 миллионов евро.

В России попытки регулирования больших данных выразились в проекте Федерального закона № 571124-7 «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации», где большие данные определялись как информация, не содержащая персональных данных. Такой подход законодателя в целом был негативно воспринят в юридической среде, так как очевидно, что Большие данные это настолько огромный массив информации, что отделять персональные данные и иную информацию о физическом лице невозможно. На данный момент Большие данные в нашей стране практически не регулируются, поскольку действующее законодательство применимо к ним лишь отчасти. Сразу следует обозначить Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О Персональных данных»), который распространяет свое действие на сбор информации о прямо или косвенно определенных или определяемых физических лицах. Однако, в отличие от GDPR, в ФЗ «О персональных данных» не раскрываются способы косвенного определения физического лица, что вызывает двоякое толкование и может породить неоднородную судебную практику в будущем. На наш взгляд, это является пробелом и необходимо обозначить способы косвенного определения, взяв за основу тот же GDPR. Еще одним недостатком ФЗ «О персональных данных» является невозможность пользователя контролировать то, как используются данные о нем. Обработке Больших данных не достает прозрачности. Эти алгоритмы слишком загадочны для простого человека, а потому могут быть использованы для нарушения прав без воспрепятствования. Представляется, что нужно обязать сборщиков данных уведомлять субъекта о том, что данные о нем обрабатываются или будут проходить обработку. При этом уведомление должно быть понятно субъекту. В этих целях разумно доводить такую информацию в упрощенной форме, а не в виде политики конфиденциальности или согласия на обработку персональных данных, которые пользователи даже не читают. Также следует наделить субъекта правом на внесение исправлений в свои данные или их удаление.

Хочется согласиться с мнением А.И. Савельева, который указывает на отсутствие необходимости регулирования Больших данных в отрыве от персональных данных. По его мнению, при использовании специальных средств Большие данные позволяют определить физическое лицо, поэтому названные категории будут постоянно пересекаться, что вызовет коллизии, затрудняющие правоприменительную практику.

При исследовании вопроса о правовом регулировании больших данных в США, ЕС и России был сделан вывод, что европейский подход в наибольшей степени отвечает вызовам современных технологических реалий, а потому он непременно должен быть учтен при внесении изменений в действующее Российское законодательство о персональных данных.

В целях защиты лиц, чьи данные обрабатываются, законодателю следует рассмотреть возможность внедрения следующих принципов и прав: 1. Принцип прозрачности обработки Больших данных. Субъекты должны понимать суть обработки их данных: кто этим занимается, по каким критериям происходит обработка, и будут ли на основе такой обработки приниматься юридически значимые решения; 2. Право субъекта на исправление своих данных. Оно актуально в том случае, если на основе обрабатываемых данных будут приниматься юридически значимые решения; 3. Принцип обязательности уведомления субъекта о том, что его данные хотят обрабатывать; 4. Принцип обязательности запроса согласия субъекта на обработку его данных (не персональных); 5. Право субъекта на «цифровую смерть», то есть возможность запросить удаление данных о себе. Как представляется, для реализации этого права необходимо создать платформу, где каждый пользователь мог бы ознакомиться с массивом обрабатываемых данных (например, по принципу портала государственных услуг Российской Федерации). Крупным организациям имеет смысл задуматься о создании этических правил для персонала, работающего с Большими данными, в целях развития уважения к пользователям и к информации о них.

Названные выше предложения направлены на соблюдение положений Конституции РФ и, в частности статей 19, 23, 24, которые провозглашают равенство всех перед законом, недопустимость дискриминации и «запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия».

Данная тема имеет большой исследовательский потенциал, поскольку новые технологии обработки данных разрушают традиционные представления о частной жизни лица и при отсутствии гласности в их использовании способны привести к нарушениям фундаментальных прав и свобод человека и гражданина.

Эта статья ранее публиковалась в сборнике. Ссылка на неё будет выглядеть следующим образом: Салахутдинов В.Д. Проблемы правового регулирования Больших данных // Молодежный научный потенциал в юриспруденции XXI века: от теории к практике: Сборник статей III Всероссийской межвузовской студенческой научно-практической конференции. 2020. С. 124-130.