Законопроект о пользовательских данных жестко раскритикован: «Он ведет к еще большему отставанию России в ИТ»
Рабочая группа программы «Цифровая экономика» по направлению «Нормативное регулирование» раскритиковала недавно внесенный в Госдуму законопроект о больших пользовательских данных. По мнению экспертов, законопроект вступает в конфликт с существующим законодательством и подразумевает ненужное регулирование сбора данных с устройств интернета вещей.Эксперты программы «Цифровая экономика» раскритиковали законопроект о больших пользовательских данных
Рабочая группа программы «Цифровая экономика» по направлению «Нормативное регулирование» раскритиковала законопроект о больших пользовательских данных (БПД), который недавно был внесен в Госдуму. Это следует из имеющегося в распоряжении CNews заключения рабочей группы.
С докладом на данную тему на рабочей группе выступила руководитель Центра правовых инноваций МТС Елена Сурагина (ее презентация также имеется в распоряжении CNews). Напомним, законопроект был внесен в Госдуму в конце октября 2018 г. группой депутатов от «Единой России» во главе с Михаилом Романовым.
Как в России предлагается регулировать большие пользовательские данные
Согласно законопроекту, под большими пользовательскими данными понимается «совокупность не содержащей персональных данных информации о физических лицах и их поведении, не позволяющая без использования дополнительной информации и дополнительной обработки определять конкретное физическое лицо, собираемой из различных источников, в том числе сети интернет, количество которых превышает тысячу сетевых адресов».
Под обработкой больших пользовательских данных понимаются «любые действия или совокупность действия, совершаемых с использованием средств автоматизации или без использования таких средств с большими пользовательскими данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, удаление, уничтожение больших пользовательских данных».
уже внесенный в Госдуму законопроект о больших пользовательских данных
Оператор больших пользовательских данных до начала их обработки должен разместить на своем сайте информационное сообщение об этом. В случае, если обработка данных производиться в интересах третьих лиц, оператор таких данных должен предварительно получить согласие в электронной форме от пользователей абонентских терминалов на идентификацию сетевых адресов.
В случае осуществления обработки не менее чем 100 тыс. сетевых адресов оператор должен будет предварительно уведомить об этом Роскомнадзор. Со своей стороны, Роскомнадзор будет вести реестр операторов больших пользовательских данных.
Как отличить большие пользовательские данные от обезличенных данных
В отзыве рабочей группы программы «Цифровая экономика» по направлению «Нормативное регулирование» указывается, что принятие законопроекта в таком виде приведет к конфликту с существующим законодательством. В частности, Закон «О персональных данных» имеет понятие обезличивания персональных данных как действия, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
В результате нельзя будет разграничить понятия больших пользовательских данных и обезличенных персональных данных. Это сделает невозможной обработку данных в статистических и иных целях без согласия их владельцев. В то же время сейчас обезличивание персональных данных рассматривается как условие введения данных в свободное обращение, гарантирующее соблюдение прав физических лиц благодаря разрыву связки между данными или конкретным субъектом.
Ненужное регулирование сбора данных с устройств интернета вещей
Другое замечание рабочей группы связано с необходимостью регулировать большие пользовательские данные в случае обработки более 1 тыс. сетевых адресов. Обработка информации с некоего сетевого адреса не позволяет определить, принадлежит ли устройство конкретному физическому лицу либо оно относится к интернету вещей.
В результате на стороне оператора БПД может накапливаться информация с большого количества устройств интернета вещей. Число таких устройств будет постоянно увеличиваться. Но данные устройства функционируют без помощи человека, и сбор данных с них не нуждается в дополнительном регулировании.
Кроме того, сетевой адрес может быть непостоянным, и, соответственно уникальным. Из-за этого нельзя будет установить неизменный идентификатор абонентского терминала пользователя.
Дополнительная обязанность для владельцев новостных агрегаторов
Также при предлагаемом критерии под действие будущего закона попадет большое число сайтов в интернете, имеющих высокую посещаемость, а также различные стартапы, разрабатывающие цифровые продукты на базе БПД. Возложение на таких лиц обязанности по уведомлению о своей деятельности Роскомнадзора усложнит им работу.
Существует опасность коллизии и с Законом «О новостных агрегаторах». Данный закон вводит дополнительные обязанности для владельцев новостных агрегаторов с посещаемостью более 1 млн пользователей. Но необходимость получения согласия владельцев БПД на их обработку затруднит владельцам агрегаторов сбор необходимой статистической информации об их посещаемости.
Еще одно замечание связано с необходимостью получать согласие владельцев сетевых адресов. Но такое согласие не будет обезличенным, предупреждают авторы заключения, соответственно, при его получении будут проводиться действия по идентификации пользователя. А это противоречит смыслу предлагаемого законопроекта.
«Принятие законопроекта приведет к еще большему отставанию России на мировых цифровых рынках»
В целом принятие законопроекта о БПД приведет к еще большему технологическому отставанию России на мировых цифровых рынках, уверены в рабочей группе программы «Цифровая экономика» по направлению «Нормативное регулирование». Иностранные компании продолжат накапливать пользовательские данные и разрабатывать на их основе инновационные продукты, тогда как отечественные компании окажутся в неравном положении с ними.
Со своей стороны, авторы заключения указывают, что раздел «Нормативное регулирование» программы «Цифровая экономика» уже содержит ряд мероприятий по уточнению порядка сбора и обработки общедоступных данных. В частности, рабочей группой уже одобрен законопроект, уточняющий порядок обезличивания персональных данных.