Только специалисты, занимающиеся персональными данными, стали вникать в положения GDPR (Общие правила защиты данных), как группа депутатов внесла в Госдуму проект закона об урегулировании сферы больших пользовательских данных. То есть открытых сведений о физлицах в интернете, которые не являются персональными данными. Разработчики предложили обязать компании, которые обрабатывают большие пользовательские данные, уведомлять об этом пользователей сайта. А если они еще и передают такие данные третьим лицам, то им придется запрашивать предварительное согласие пользователей и уведомлять Роскомнадзор.
В Госдуму внесен законопроект «О внесении изменений в Федеральный закон „Об информации, информационных технологиях и о защите информации“», в котором предлагается урегулировать сферу обработки больших пользовательских данных (big data). Он опубликован на сайте Госдумы 23.10.2018 под № 571124-7. Законопроект направлен на повышение эффективности защиты информации, собираемой из различных источников, в том числе в интернете, количество которых превышает 1000 сетевых адресов, о физических лицах или их поведении, не позволяющей без использования дополнительной информации или дополнительной обработки определить конкретное физическое лицо. В законопроекте предусмотрено, что если оператор обработки больших пользовательских данных планирует использовать эти данные только в собственных целях, то ему нужно будет лишь проинформировать об этом пользователей. Если же он планирует еще и передавать эти данные третьим лицам, то придется получать предварительное согласие пользователей.
Понятие больших пользовательских данных и их обработки
В законопроекте предлагается определить, что такое большие пользовательские данные, кто их может обрабатывать и в чем заключается такая обработка.
Цитируем документ
Большие пользовательские данные — совокупность не содержащей персональных данных информации о физических лицах и (или) их поведении, не позволяющая без использования дополнительной информации и (или) дополнительной обработки определить конкретное физическое лицо, собираемой из различных источников, в том числе сети «Интернет», количество которых превышает тысячу сетевых адресов.
Пункт 2 Законопроекта
Под обработкой больших пользовательских данных в законопроекте понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с большими пользовательскими данными. Сюда относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, удаление, уничтожение больших пользовательских данных. Такое определение аналогично тому, которое предусмотрено для обработки персональных данных (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных). Отдельно будет предусмотрено, что передача, получение и иная обработка больших пользовательских данных в рамках одного холдинга не считается обработкой больших пользовательских данных для целей третьих лиц. Речь идет о хозяйственных обществах, которые входят в одну группу лиц в соответствии с законодательством РФ о защите конкуренции.
Одновременно предлагается установить запрет на обработку больших пользовательских данных, направленную на определение (идентификацию) конкретного физического лица. Исключение — случаи такой обработки по запросам федеральных органов исполнительной власти, осуществляющих оперативно-разыскную деятельность. Таким образом, законодательно будет предусмотрено, что прокуратура и другие следственные органы смогут требовать от компаний не только персональные данные, но и большие пользовательские данные.
Обязанность проинформировать и получить согласие пользователей
В тексте законопроекта установлена обязанность информировать пользователей об обработке больших пользовательских данных. Для этого оператору больших пользовательских данных нужно будет разместить соответствующее сообщение на своем сайте. Если такого сайта не существует, то проинформировать можно будет в электронной форме «иным доступным способом». Какие еще возможны способы уведомления пользователей, в законопроекте не уточняется.
Если оператор больших пользовательских данных планирует передавать их на безвозмездной основе либо за плату третьим лицам, или получать их у третьих лиц, или иным образом обрабатывать для третьих лиц, то он должен получить информированное согласие в электронной форме пользователя абонентского терминала (пользовательского оборудования) об идентификации сетевого адреса. Такое согласие нужно будет получить до начала обработки больших пользовательских данных.
Требования к информационному сообщению и информированному согласию, а также их формы установит Роскомнадзор. Разработчики обращают внимание в пояснительной записке, что это позволит выработать единообразные по форме и содержанию документы, способствующие обеспечению защиты прав пользователей при обработке больших пользовательских данных.
Обязанность уведомить Роскомнадзор
Законопроектом предусмотрен случай, при котором оператор больших пользовательских данных до начала обработки больших пользовательских данных обязан уведомить Роскомнадзор о своем намерении осуществлять такую обработку. Так, оператор больших пользовательских данных, осуществляющий обработку, в том числе сбор больших пользовательских данных посредством идентификации не менее 100 000 сетевых адресов, обязан уведомить Роскомнадзор о своем намерении осуществлять обработку больших пользовательских данных для целей третьих лиц. Это не распространяется на федеральные органы исполнительной власти, органы исполнительной власти субъектов РФ, органы местного самоуправления. То есть если компания будет передавать большие пользовательские данные третьим лицам, то ей придется направить уведомление в Роскомнадзор.
Уведомление об обработке больших пользовательских данных должно содержать:
—наименование (ФИО), адрес оператора больших пользовательских данных;
—цель обработки;
—перечень действий с большими пользовательскими данными, общее описание используемых оператором способов обработки больших пользовательских данных;
—дату начала обработки больших пользовательских данных для целей третьих лиц.
Чтобы обеспечить исполнение этой обязанности, планируется создать федеральную государственную информационную систему «Реестр операторов больших пользовательских данных» (далее — Реестр). Полномочия по созданию и ведению Реестра закрепит Роскомнадзор, а порядок его создания и ведения установит Правительство РФ. Реестр будет создан в том числе в качестве инструмента обеспечения контроля и надзора за соответствием обработки больших пользовательских данных законодательным требованиям.
Судебные споры
Статус больших пользовательских данных действительно сейчас в законодательстве не определен. Совершенно неясно, кому принадлежат эти открытые данные и могут ли их использовать другие лица. Подобную проблему суды рассматривали в споре между стартапом ООО «ДАБЛ» и социальной сетью ООО «В Контакте». Из-за отсутствия регулирования больших пользовательских данных стороны перевели этот спор в плоскость положений ГК РФ о базах данных. Дело в том, что ООО «ДАБЛ» создало сервис, с помощью которого можно отслеживать кредитоспособность на основании открытых данных в социальных сетях. Соответственно, оно передавало эти данные за плату, в том числе АО «Национальное бюро кредитных историй». ООО «В Контакте» подало иск, в котором среди прочего просило признать действия ООО «ДАБЛ» по извлечению и последующему использованию информационных элементов из базы данных пользователей социальной сети «ВКонтакте» нарушением исключительного права истца как изготовителя базы данных и обязать прекратить нарушение.
Суд первой инстанции отка-зал в иске. Он посчитал, что у социальной сети нет исключительных прав на базу данных, поскольку ее создавали пользователи, которые публиковали свои данные. Апелляционный суд отменил решение первой инстанции и удовлетворил иск. Он решил, что истец использовал именно базу данных ООО «В Контакте», хотя социальная сеть не давала согласие на ее использование с целью получения информации о пользователях.
Суд по интеллектуальным правам отменил судебные акты нижестоящих инстанций и направил дело на новое рассмотрение. Одним из оснований стало то, что нижестоящий суд сослался одновременно на две статьи — п. 1 ст. 1334 ГК РФ и п. 3 ст. 1335.1 ГК РФ. В соответствии с абз. 2 п. 1 ст. 1334 ГК РФ в состав нарушения исключительного права изготовителя базы данных входит извлечение из базы данных материалов и осуществление их последующего использования без разрешения правообладателя. При этом под извлечением материалов понимается перенос всего содержания базы данных или существенной части составляющих ее материалов на другой информационный носитель с использованием любых технических средств и в любой форме. А в пункте 3 ст. 1335.1 ГК РФ установлено, что не допускается неоднократное извлечение или использование материалов, составляющих несущественную часть базы данных, если такие действия противоречат нормальному использованию базы данных и ущемляют необоснованным образом законные интересы изготовителя базы данных.
Таким образом, в первом случае нарушением является совокупность следующих действий: извлечение (перенос всего содержания базы данных или существенной части составляющих ее материалов на другой информационный носитель с использованием любых технических средств и в любой форме) и последующее использование всего содержания базы данных или существенной части составляющих ее материалов, совершенные без разрешения правообладателя (п. 1 ст. 1334 ГК РФ). Во втором случае нарушением является неоднократное совершение одного из действий (извлечение или использование) в отношении несущественной части базы данных, если это противоречит нормальному использованию базы данных и необоснованным образом ущемляет законные интересы изготовителя базы данных (п. 3 ст. 1335.1 ГК РФ). При этом суды так и не разобрались, существенную часть данных социальной сети передавало ООО «ДАБЛ» или нет. Новое рассмотрение этого дела назначено на 19 декабря 2018 г. (дело № А40-18827/2017).
Комментарий эксперта
Михаил Хохолков, ведущий юрист Группы правовых компаний «ИНТЕЛЛЕКТ-С»
Фактически большие пользовательские данные — это любой массив информации, который собирают наши гаджеты и используемые в них приложения. Это и данные о геолокации, и данные о посещении сайтов. Я бы назвал эти данные «цифровым следом», который каждый человек оставляет в Сети. Перефразируя понятие «большие пользовательские данные», используемое в законопроекте, у меня получилось следующее: большие пользовательские данные — это информация о физических лицах без персональных данных, собираемая из более чем тысячи источников.
Неизбежно возникает конфликт в терминологии, используемой законопроектом и Законом о персональных данных. Известно, что последний не содержит четкого перечня информации, относящейся к персональным данным. В различных ситуациях та или иная информация может быть отнесена к персональным данным и наоборот. Например, название должности само по себе не позволяет отнести информацию к персональным данным. Скажем, ведущий юрист. В этом случае информация не позволяет прямо или косвенно определить субъекта персональных данных. Но если мы скажем: «Президент РФ», — совершенно четко становится понятно, что в данном случае наименование должности прямо определяет субъекта персональных данных. Следовательно, название должности становится персональными данными, позволяющими прямо определить субъекта персональных данных. Из этого вытекает следующее: как только в массиве информации появляются персональные данные, к этому массиву будут применяться нормы Закона о персональных данных. А это означает, что обработка таких данных должна осуществляться с установленными ограничениями: получение согласия субъекта, соответствие объема обрабатываемых персональных данных целям обработки, срок хранения этих данных, трансграничная передача и т.п. Как быть с ситуацией, когда в больших данных появятся персональные данные, законопроект умалчивает. Поэтому можно прогнозировать, что придется ждать либо соответствующих разъяснений, либо судебной практики.