Пока технологии обработки данных развиваются с космической скоростью, регулирование персональных данных может сталкиваться с рядом возникающих рисков. Причем данные обстоятельства иногда становятся существенным барьером для запуска и развития новых цифровых решений. В материале разберем аспекты регулирования, которые наиболее часто могут стать источником риска для оператора и субъекта персональных данных в эпоху ИИ и нейросетей.
С развитием информационных технологий передача персональных данных различным сервисам стала неотъемлемой частью повседневной жизни почти каждого человека: мы пользуемся социальными сетями, интернет-магазинами и десятками иных приложений чуть ли не каждый день. При этом эти процессы сопровождаются незаметными процедурами, связанными с распространением, обезличиванием, и влекут риски утечек персональных данных.
Распространение персональных данных
1 марта 2021 г. вступила в силу ст. 10.1 Закона о персональных данных, определяющая особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения. Данная статья, в частности, устанавливает необходимость получения отдельного согласия в специальной форме.
Спустя три года действия этой нормы в правоприменительной практике до сих пор однозначно не решен вопрос о возможности распространения персональных данных на иных основаниях, предусмотренных ч. 1 ст. 6 Закона о персональных данных. А ведь распространение персональных данных это неотъемлемая часть функционирования почти всех онлайн-сервисов.
Иными словами, при каких обстоятельствах необходимо требовать согласие субъекта для распространения персональных данных?
С одной стороны, закрепленное законом понятие персональных данных, разрешенных субъектом для распространения, прямо указывает на то, что согласие является единственным основанием для распространения персональных данных. Единственное исключение из требования о наличии согласия на распространение касается только выполнения государственными и муниципальными органами своих полномочий (ч. 15 ст. 10.1 Закона о персональных данных).
С другой стороны, у оператора и без получения отдельного согласия на распространение может быть серьезный законный интерес в распространении определенных персональных данных, например, если:
- Оператор обязан распространять персональные данные в силу закона.
В частности, маркетплейсы обязаны информировать потребителей о продавцах — физических лицах; страховые компании обязаны публиковать на своем сайте сведения о руководителе и участниках на сайте; образовательные организации — сведения о педагогах, медицинские организации — сведения о медработниках.
В 2023 г. в деле № А40-139096/22 суд округа разрешил распространение персональных данных без согласия субъекта во исполнение соответствующей обязанности, предусмотренной законом. ВС РФ отказал в передаче кассационной жалобы Роскомнадзора на акты нижестоящих инстанций для рассмотрения в судебном заседании Судебной коллегии.
В данном деле страховая компания опубликовала на своем сайте информацию о своем руководителе и участниках, как этого требует п. 6 ст. 6 Федерального закона «Об организации страхового дела в РФ».
При этом отдельное согласие на распространение персональных данных получено не было, на основании чего Роскомнадзор признал такое распространение незаконным. Суды трех инстанций, а вслед за ними ВС РФ, поддержали отмену акта Роскомнадзора и указали, что распространение является частным случаем обработки персональных данных «с согласия субъекта персональных данных». Обязанность получения согласия на обработку персональных данных «во исполнение возложенных законодательством обязанностей» нормативно-правовыми актами не предусмотрена.
цитируем документ
Данный вывод, как правомерно отметили суды, следует как из самого названия статьи 10.1 Закона о персональных данных «Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения», так и из содержания указанной статьи, которой фактически устанавливаются требования к форме и порядку получения согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Позиция по этому делу теоретически применима не только к исполнению предусмотренных законом обязанностей, но и к иным основаниям обработки персональных данных, предусмотренных ч. 1 ст. 6 Закона о персональных данных. Тем не менее в отношении использования других оснований для распространения персональных данных суды пока прямо не высказывались.
- Распространение персональных данных тесно связано с исполнением договора с субъектом персональных данных.
В случае, когда компания заключает с физическим лицом договор на проведение видеосъемки, в котором явно обозначено, что полученные в рамках данной съемки материалы будут использоваться для создания образа ИИ-помощника, сможет ли компания использовать данные материалы без отдельно оформленного согласия на распространение? А в случае отзыва такого согласия?
- Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности.
Обезличивание персональных данных
В рамках Указа Президента РФ от 10.10.2019 № 490 «О развитии искусственного интеллекта в Российской Федерации» утверждены положения Национальной стратегии развития искусственного интеллекта на период до 2030 г. (далее — Стратегия).
Одним из основных направлений создания комплексной системы нормативно-правового регулирования общественных отношений, связанных с развитием и использованием технологий искусственного интеллекта, и обеспечения безопасности применения таких технологий в рамках Стратегии является законодательное обеспечение возможности доступа разработчиков технологий искусственного интеллекта к различным видам данных, в том числе определение механизмов обезличивания персональных данных.
Обучение нейросетей, развитие промышленности, медицины и иных областей требует использования больших данных — структурированного или неструктурированного массива данных большого объема. Получение согласий от всех субъектов таких данных требует от операторов огромных административных и временных ресурсов, поэтому возникает потребность в специальном регулировании обработки больших данных.
Большие данные чаще всего обрабатываются в обезличенной форме. В результате обезличивания становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. Например, у оператора есть сведения о ФИО, месте жительства, возрасте и истории покупок пользователя. При замене ФИО идентификатором третье лицо без дополнительных сведений вряд ли сможет определить конкретное лицо, которому принадлежат эти данные, пока значение идентификатора им неизвестно.
В настоящий момент обезличивание персональных данных коммерческими лицами в России почти никак не урегулировано законодательно. Закон о персональных данных содержит понятие обезличивания и упоминает его в качестве одного из способов обработки персональных данных (подп. 3 ч. 1 ст. 3 Закона о персональных данных).
Это позволяет говорить о том, что на обезличивание распространяются все требования к обработке персональных данных. Однако вопрос о том, как именно и на каких основаниях бизнес должен обезличивать персональные данные, остается неясным, поскольку приказ Роскомнадзора от 05.09.2013 № 996, посвященный требованиям и методам обезличивания, формально распространяется исключительно на государственные и муниципальные органы.
Вопросам обезличивания, среди прочего, посвящен законопроект № 992331-7. Так, данным законопроектом предусмотрено, что требования к обезличиванию персональных данных и методы обезличивания персональных данных будет устанавливать Роскомнадзор.
Помимо этого, законопроектом предусмотрены следующие нововведения.
Операторы обязаны будут предоставлять обезличенные данные в государственную информационную систему (ГИС) Роскомнадзора по требованию правительства. При отсутствии у оператора ресурсов для обезличивания оператор предоставляет «обычные» персональные данные, а обязанность по их обезличиванию лежит на Роскомнадзоре.
Доступ к ГИС с обезличенными данными будут иметь государственные и муниципальные органы и подведомственные организации, органы государственных внебюджетных фондов, а после истечения трех лет с момента загрузки данных — граждане РФ и юридические лица, определенные правительственной комиссией. При этом юридические лица должны находиться под контролем РФ, субъекта РФ или гражданина РФ, не имеющего гражданства иностранного государства.
Обработка обезличенных данных будет осуществляться только в ГИС и не должна будет выходить за ее пределы.
В условиях цифровой экономики данные являются ценным активом, а их сбор требует значительных инвестиций. Возможность безвозмездно получать данные наделяет государство и лица, которым будет предоставлен доступ к ГИС, конкурентными преимуществами перед компаниями, которые такой опцией не обладают. Более того, для создания ГИС необходимы огромные вложения, а возможность обеспечения ее бесперебойного функционирования и защиты от любых атак вызывает сомнения.
Основные же сложности возникают в отношении вопроса: насколько распространяются на обезличенные персональные данные требования к обработке «обычных» персональных данных?
Обезличивание не лишает данные идентифицирующего потенциала полностью, поэтому стоит согласиться с текущей позицией Роскомнадзора о том, что обезличенные данные — это все еще персональные данные, и для их обработки операторам необходимо получать согласие субъекта или иметь иное правовое основание для их обработки с определенной целью. Согласие не требуется в случаях, когда обработка персональных данных осуществляется для статистических или иных научных целей при условии их обязательного обезличивания (п. 2—11 ч. 1 ст. 6 Федерального закона № 152-ФЗ).
Однако такой подход может не отвечать интересам активно развивающегося IT-сектора. Многие компании получили бы больше возможностей для развития, если бы требования к обороту обезличенных данных были смягчены, в частности, была бы предоставлена возможность передавать третьим лицам обезличенные данные без согласия соответствующих субъектов. Конечно же, такая возможность может быть предоставлена только в отношении таких данных, получив которые третье лицо не сможет идентифицировать конкретных субъектов, которым они принадлежали.
Так, довольно логичным и сбалансированным выглядит подход GDPR1 к разграничению анонимизации и псевдонимизации персональных данных. В результате анонимизации персональные данные изменяются таким образом, что больше не могут идентифицировать субъекта как напрямую, так и косвенно. На анонимизированные данные требования к обработке персональных данных не распространяются (п. 26 преамбулы).
Псевдонимизация же является аналогом обезличивания данных, то есть влечет изменение данных таким образом, что с их помощью можно определить конкретного субъекта только с использованием дополнительной информации, например, идентификатора (п. 28 преамбулы).
В отличие от анонимизации, псевдонимизация подпадает под требования к обработке персональных данных. Таким образом, если оператор хочет свободно использовать данные, он должен соблюсти высокий стандарт анонимизации, однако в таком случае ценность данных может быть утрачена. Если же необходимо сохранить идентифицирующую ценность данных, оператору необходимо в полном объеме соблюдать законодательство о персональных данных.
Сохранность персональных данных
В Стратегии также, среди новых вызовов, определена необходимость обеспечения защиты персональных данных и иной информации ограниченного доступа. Представляется, что в условиях развития цифровой экономики риск утечки персональных данных достаточно высок. Со своей стороны компании могут только принимать меры по усовершенствованию методов защиты от таких утечек и предотвращению ущерба, который они могут нанести.
В свою очередь, государство принимает меры по созданию комплексной системы законодательного обеспечения защиты персональных данных и законодательной базы, регулирующей ответственность за нарушение в области защиты персональных данных.
Среди основных принципов развития и использования технологий искусственного интеллекта, соблюдение которых обязательно при реализации Стратегии, указывается:
цитируем документ
...безопасность: недопустимость использования искусственного интеллекта в целях умышленного причинения вреда гражданам и организациям, предупреждение и минимизация рисков возникновения негативных последствий использования технологий искусственного интеллекта (в том числе несоблюдения конфиденциальности персональных данных и раскрытия иной информации ограниченного доступа), а также использование искусственного интеллекта в целях обеспечения информационной безопасности.
Увеличение ответственности за утечки персональных данных активно обсуждается в России уже на протяжении нескольких лет. В первом чтении приняты два законопроекта, значительно увеличивающие санкции за утечки.
Законопроект № 502104-8 предлагает ввести новые составы административных правонарушений, предусматривающие значительные, в том числе оборотные, штрафы за действия (бездействия), повлекшие «утечку» персональных данных.
В законопроекте № 502113-8 предлагается ввести новую статью в УК РФ, предусматривающую уголовную ответственность за:
-
незаконные действия (сбор, хранение, передача, использование) с компьютерной информацией, содержащей персональные данные, которая была получена незаконным путем;
-
создание или обеспечение функционирования информационных ресурсов, заведомо предназначенных для незаконного хранения или передачи компьютерной информации, содержащей персональные данные.
Саму по себе идею повышения уровня защиты персональных данных от утечек следует оценивать положительно. Однако предлагаемые варианты ее реализации не всегда способны обеспечить баланс интересов операторов, граждан и государства.
Учитывая неясность формулировки «действий (бездействия), повлекших неправомерную передачу (предоставление, распространение, доступ)», существует риск, что в случае принятия законопроекта в его текущей редакции к ответственности могут быть привлечены и операторы, чьи данные попали в открытый доступ, несмотря на принятие ими надлежащих мер по защите данных. Однако итоговый вариант поправок пока не готов, поэтому вопрос учета вины оператора пока остается актуальным.
Между тем предложения по введению дополнительных механизмов для защиты персональных данных нельзя не приветствовать. Однако такие нововведения требуют от законодателя осторожных решений и одновременного учета интересов субъектов персональных данных, операторов и государства.
Правонарушение |
Лица, привлекаемые к ответственности |
Размер административного штрафа |
Невыполнение или несвоевременное выполнение обязанности по уведомлению Роскомнадзора в случае установления факта неправомерной передачи (далее — «утечки») персональных данных |
Граждане Юридические лица |
От 50 тыс. руб. до 100 тыс. руб. От 1 млн руб. до 3 млн руб. |
Действия (бездействие), повлекшие «утечку» персональных данных — более 100 000 субъектов персональных данных или — более 1 000 000 идентификаторов |
Граждане Юридические лица |
От 300 тыс. руб. до 400 тыс. руб. От 10 млн руб. до 15 млн руб. |
Действия (бездействие), повлекшие «утечку» специальных категорий персональных данных |
Граждане Юридические лица |
От 300 тыс. руб. до 400 тыс. руб. От 10 млн руб. до 15 млн руб. |
1 Перевод и интерпретация текста дел здесь и далее выполнены автором. За их достоверность отвечает автор.