Кому принадлежат данные в цифровых платформах гражданам государству бизнесу оператору платформы

Мир сегодня стремительно меняется. Развитие информационных технологий ведет к формированию новой, так называемой цифровой реальности, не имеющей аналогов в прежнем мире. И в этой новой реальности возниикает вопрос о правах человека, а точнее — о цифровых правах. Что будет с фундаментальными правами человека в цифровом мире, существует ли правовой механизм, гарантирующий реализацию конституционных прав и свобод человека и гражданина в цифровом пространстве?

— Возьмем, к примеру, право на неприкосновенность частной жизни, — рассказал в интервью НЭП адвокат Джонатан Клингер, специалист в области информационных технологий и юридический советник Движения за цифровые права. — Это право является фундаментальным, гарантированным Конституцией и международно-правовыми актами. Но в цифровом пространстве за тобой следят постоянно и по определению, потому задача государства — определить и защищать цифровые права граждан от всевозможных нарушений.

 — У пользователя есть право потребовать, чтобы за ним не следили в сети?

— Нет, на самом деле такого права у него нет. Он может, с помощью имеющихся инструментов, обратиться с просьбой, да и то не всегда. Например, можно попросить частные компании не следить за тобой, но нельзя попросить государство не следить там, где оно имеет на это право. Без какого-либо согласия правительство может сохранить о гражданине информацию, а затем передать ее, к примеру, партиям накануне выборов. И он ничего не можешь с этим сделать. Даже у ГДР, где 2% населения работали на Штази (Министерство государственной безопасности ГДР — прим. НЭП), было меньше информации о гражданах, чем имеют сегодня израильские власти. Но так происходит не только в Израиле, конечно же, а в любой стране.

 — То есть в цифровом мире пользователь должен исходить из того, что его фундаментальные права либо трансформируются, либо они вовсе не защищены?

— В цифровом мире все иначе. Еще один пример — свобода выражения мнения. Раньше ты мог сидеть с друзьями, общаться, ругать кого-либо и не было с этим никаких проблем. В интернете все регистрируется и высказывание может повлечь за собой иск. К примеру, за реакцию в социальной сети можно подать иск за клевету. Цифровой мир изменил уровень нашей свободы, заставил постоянно оглядываться. Скажем, если ребенок хочет исполнить музыкальное произведение и выложить в сеть, он должен прежде подумать о возможном нарушении авторских прав.

 — Вся ответственность на пользователе?

— Люди должны понять, что у отсутствия прав в цифровом мире есть цена. Сделанная в молодости фотография, выложенная затем в социальные сети, может в будущем стать препятствием для приема на работу, так как отделы кадров проверяют информацию в соцсетях. Сегодня работодатели используют программы, отслеживающие и анализирующие поведение претендентов в социальных сетях. Хотя в реальном мире работодатель, конечно, не может копаться в личной жизни претендента.

 — Давайте поговорим о цифровых активах и о правах собственности на них.

— В широком смысле слова активы — это любые ценности, обладающие денежной стоимостью. Цифровые активы, или оцифрованные данные, формально не определены в правовом поле, тем не менее они существуют, хранятся и используются. Это могут быть торговые знаки, мобильные приложения, сайты, игры. Цифровые активы не приравнены к обычным, и потому вопросы защиты права собственности на них, купли-продажи, обмена и дарения пока не отрегулированы.

 — Другими словами, мой почтовый ящик или аккаунт в соцсети не принадлежат мне?

— Верно, ваш аккаунт в соцсети не принадлежит вам. Информация на нем защищена, но он может быть заблокирован, если вы нарушаете политику собственника сети. Даже убирая или изменяя данные вы не можете быть уверены в том, что кто-то не захочет их восстановить и использовать.

И не только аккаунт в соцсетях или почтовый ящик. Предположим, у вас есть успешный магазин в Amazon. Согласно правилам платформы, этот магазин нельзя продать или оставить в наследство. Для того, чтобы защитить цифровой актив, его надо связать с «реальным» миром: открыть фирму, которой будет принадлежать магазин в интернете, и только тогда можно поступать с ним, как с обычным активом.

 — То есть в цифровом мире мы полностью зависим от владельца цифровой платформы?

— Да, наше право на владение цифровыми активами упирается в то, кто владеет сервером. Гугл и Фейсбук устанавливают собственные законы и могут менять их по собственному желанию. Большинство пользователей, не задумываясь, «подписывают» соглашение с владельцем цифровой платформы, позволяя ему хранить и использовать собственные данные. В результате, по факту, все наши данные принадлежат владельцам платформы, а после смерти пользователя со временем они исчезнут из цифрового мира.

 — Когда законодатель посчитает необходимым вмешаться?

— Я полагаю, что регулятор осознает необходимость вмешательства тогда, когда выяснится, что информация и важные материалы исчезают вместе с людьми. Владелец цифровой платформы не знает о смерти владельца аккаунта, ящика, хранилища и так далее — но со временем перестает поступать плата за хостинг, и аккаунт исчезает. Так могут быть потеряны бесценные данные, и потому законодателю придется обеспечить права и обязанности в части цифровых активов.

Юрий Легков, НЭП. Фото: Томер Аппельбаум

Читайте также

Данные — это новая нефть

Информация — кровь современного постиндустриального общества. Экономисты и социологи уже давно называют современное общество информационным.

Значительную часть всех собираемых и обрабатываемых данных составляет информация о гражданах, пользователях, резидентах, абонентах, пациентах, покупателях и пассажирах — то есть о нас с вами.

Сбором данных и их обработкой сейчас занимаются все: интернет-компании, операторы связи, банки, страховые и транспортные компании, торговые и медицинские организации, государственные структуры и даже криминал.

Без соответствующих баз данных не могут функционировать ни государственные структуры, ни бизнес, однако главные «майнеры» информации о пользователях — это интернет-компании, такие как Google, Apple, Amazon, Microsoft, мобильные операторы, производители мобильных телефонов, разработчики мобильных приложений и владельцы мобильных платформ. Объем информации о пользователях, доступный им, поражает воображение.

Госрегуляторы попытались (пока без особого успеха) как-то классифицировать информацию, касающуюся частных лиц, выделить ее и ограничить манипуляции с ней. Появился специальный термин — персональные данные. В России персональными данными является любая информация, относящаяся прямо или косвенно к определенному лицу. Есть закон (№152-ФЗ), регулирующий сбор, хранение, обработку и передачу таких данных.

Серая зона

«Очевидно, что данные сегодня — это топливо цифровой экономики. Мы уже привыкли к множеству бесплатных сервисов и приложений, которые существуют только за счет тех данных, которыми мы их ежедневно кормим. Рынок данных — это действительно многомиллиардный рынок. Они есть у всех. И уже многие научились их обрабатывать, использовать в целях скорринга, маркетинга. Тем не менее легализировать их достаточно сложно. Во многих случаях использование таких данных не совсем законно. Большинство договоров между дата-майнерами и заказчиками прикрываются различными притворными сделками по оказанию услуг, и этот рынок живет в серой зоне», — считает адвокат «Роскомсвободы» Саркис Дарбинян.

Часть данных о себе мы предоставляем явным образом, например, показывая паспорт в банке или в МФЦ, заполняя анкеты при получении услуг, но большая часть информации собирается о нас тайно. Сookie в браузере, история поиска и веб-серфинга, банковские транзакции, геоданные и множество других цифровых следов собирается без всякого уведомления.

Как правило, разрешение на сбор, обработку и использование любой информации мы даем в тот момент, когда «подписываемся» под лицензионным соглашением приложения или интернет-сервиса.

Добровольно ли мы даем такое соглашение? Не совсем. Попробуйте не дать приложению «Карты» доступ к геолокации смартфона и посмотрите, насколько неудобно станет пользоваться навигацией. А часть сервисов и программ вообще невозможно использовать без соответствующей «галочки» в лицензионном соглашении.

То, что называется благозвучным эвфемизмом «сбор пользовательских данных», можно заменить словом «слежка». Более того, если говорить о деятельности коммерческих компаний, то уже идет своеобразная война экосистем. Чем больше экосистема, тем больше рекламы откручено, больше данных для аналитики. Чем полнее аналитика, чем лучше машинные алгоритмы обработки, тем более эффективен таргетинг и выше доход.

Например, вы обсуждаете дома с детьми, на какой фильм сходить в ближайшие выходные, а на следующий день видите рекламу киноновинок в своей ленте Facebook или в контекстной рекламе в браузере. Если же вы воспользовались поиском, чтобы узнать цену на тот или иной товар, то предложения различных интернет-магазинов будут вас гарантированно преследовать еще пару недель.

Если мы говорим о мобильных устройствах, то технически такую коммерческую «слежку» реализовать не так уж сложно — достаточно установить приложение с рекламным модулем и разрешение на доступ к микрофону.

В этом случае оно сможет собирать любую звуковую информацию с помощью микрофона, смартфона или умной колонки. Пока похожий функционал есть в основном в шпионском вредоносном ПО, но вероятность такого поведения со стороны коммерческих приложений тоже существует.

«Рекламные модули в различных мобильных приложениях могут собирать много информации об устройстве и его владельце: начиная от истории браузера и идентификатора устройства IMEI, заканчивая геолокацией. Все это может быть использовано для улучшения эффективности рекламы, которая массово показывается пользователю», – говорит Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского».

Люди не видят опасности

Безопасен ли такой, практически неконтролируемый, сбор данных? Разумеется, нет. Более того, обеспечение приватности данных пользователя и защита его от взломов и утечек — не менее важная задача для современных защитных решений, чем собственно защита от вирусов или фишинга, считает веб-аналитик Владислав Тушканов.

Если у какого-то сайта «утекла» база логинов-паролей, а пользователь использовал на нем ту же комбинацию, что и для личной почты или онлайн-банка, его аккаунты на них могут быть взломаны.

Пока единственным способом ограничить себя от постоянной слежки в интернете, сохраняя при этом привычные социальные связи, является использование браузерных версий сервисов вместо соответствующих им приложений. В этом случае пользователь жертвует удобством, но значительно ограничивает для этих сервисов доступ к записной книжке, геолокации, списку установленных приложений и другим данным, хранящимся на вашем смартфоне. В отличие от мобильных приложений, веб-версии обычно продолжают работать, даже если не выдать им разрешение на доступ к GPS.

Интересны результаты невольно проведенного Facebook социального эксперимента. Компания разместила в магазинах мобильных приложений программу Facebook Research, которая позволяла компании отслеживать все действия пользователя на его смартфоне. При этом пользователям, установившим приложение, компания выплачивала по $20 в месяц и дополнительное вознаграждение за привлечение новых пользователей.

Скандал разгорелся нешуточный, а Apple даже удалила из App Store приложение, обвинив Facebook в нарушении условий использования специальных сертификатов.

Однако не только Apple, у которой свои счеты с Цукербергом, не понравилось публичное размещение «шпионской» программы. Общественная реакция говорит о том, что несмотря на всю «новую прозрачность» и сетевой «эксгибиционизм», насаждаемый социальными сетями, люди ценят приватность и не хотят делиться информацией о себе с кем попало.

Кто владеет данными?

В текущей ситуации хорошо видны несколько фундаментальных противоречий между тремя основными сущностями современного информационного общества: пользователями, бизнесом и государством.

Обычный человек не хочет, чтобы государство или коммерческие организации следили за каждым его шагом, но при этом желает пользоваться бесплатными сервисами, невозможными без сбора данных.

Бизнес хочет максимально свободно собирать, хранить и использовать информацию о своих пользователях, причем без всяких ограничений, зарабатывать на ней и ни с кем не делиться доходами от такого рода деятельности.

Государство хочет иметь максимально полную информацию о своих гражданах и при этом ограничивать в этом сборе бизнес и все контролировать.

То есть мы имеем ситуацию, когда интересы каждой из сторон совершенно не совпадают, что создает почву для многочисленных конфликтов.

По словам руководителя проектов компании IDX Светлана Беловой, нынешние противоречия рынка данных связанны с отсутствием четкого ответа на вопрос: кому принадлежат данные о пользователе.

«С нашей точки зрения, противоречия между государственной политикой в отношении персональных данных и бизнесом, который стремиться коммерциализировать пользовательские данные, могут быть сняты, если будет однозначно определено, что персональные данные принадлежат самому субъекту, и граждане смогут активно участвовать в управлении своими данными. Ужиться противоположные тренды могут очень просто.

Необходимо обеспечить правовую основу вовлечения субъекта персональных данных в оборот его данных, сделать гражданина полноправным участником рынка ПД, заинтересованным в качестве и полноте его «цифрового профиля».

Все противоречия исчезнут, когда гражданин, а не только частные компании и государство, получит информацию о собираемых данных и возможность распоряжаться их использованием», — считает Белова.

По мнению Дарбиняна, для того чтобы найти баланс интересов следует воспользоваться европейским опытом.

«GDPR задал новые стандарты в части культуры сбора, хранения и использования данных. Требуется не только согласие пользователя, но и законная цель. В противном случае компанию ждут серьезные проблемы в Европе — штрафы, запрет на деятельность на европейском рынке. У нас тоже сейчас идет активная дискуссия по поводу реформирования законодательства о персональных данных. Осенью 2018 года Россия подписала модернизированный протокол к 108-ой Конвенции, и после ее ратификации нам предстоит внести множество изменений, и даже полностью поменять систему охраны данных, в том числе создать действительно независимый уполномоченный орган. Недавно был предложен законопроект о больших данных. Его тоже долго обсуждали, критиковали», — заявил эксперт.

Адвокат «Роскомсвободы» отметил, что иногда звучат и радикальные идеи.

«Например, во ФРИИ [Фонд развития интернет-инициатив] предложили недавно идею заключения договора на продажу данных между пользователем и платформой. Чтобы после покупки оператор мог делать с данными что угодно без дальнейшего согласия пользователя. Это очень тяжелая дискуссия. Но я надеюсь, рано или поздно мы придем к консенсусу и создадим реально работающие инструменты, которые с одной стороны дадут защиту самим пользователям, а с другой стороны, не задушат бурно развивающийся рынок», — заявил Дарбинян.

Мир ищет способы регулирования интернета. Как защитить интересы простого пользователя, если цифровые бароны теперь сильнее президентов? Первую часть материала читайте по ссылке.

Цифровой пролетариат: потребление платформы как производительный труд

Футуролог Алфин Тофлер в 1980 году создал термин «просьюмер» – от слов producer и consumer. Концепция просьюмера идеально описывает сетевой эффект. Пользуясь сетью для себя, любой пользователь вносит вклад для других. Например, потребляя новости, каждый участник сети репостит, акцентирует, комментирует, то есть создает добавочную стоимость, полезную для других, участвуя тем самым в работе вирусного редактора.

Парадоксально, но бизнес, основанный на массовой информации, может извлекать продукт даже из абсолютно пассивного потребления контента.

Довольно часто пользователь не репостит, не комментирует и вообще ничего не добавляет к новости. Но даже сам клик – сам факт, что пользователь обратил внимание на новость и «использовал» ее, – становится производительной силой. Клики создают трафик, то есть массовое внимание, которое предопределяет значимость информации для других.

Как сказали классики, тщательно пережевывая пищу, ты помогаешь обществу. Кликнули многие, значит, важно. Чем больше людей жевали этот контент, тем больше других людей тоже должны его пожевать. Массив даже абсолютно пассивного участия все равно создает социальную значимость – самую большую ценность в экономике внимания.

В классических СМИ фактор «производящего потребления» стал основой рекламной бизнес-модели примерно в начале 20 века. Теоретик пропаганды Уолтер Липпманн заметил в 1922 году, что СМИ не столько продают новости, сколько привлекают читателя, превращают в тираж и затем продают рекламодателям.

На базе этой идеи канадский экономист Даллас Смайс изобрел в 1977 году термины audience commodity (аудитория как товар) и audience power (аудитория как рабочая сила). Он пришел к выводу, что, потребляя массмедиа, аудитория работает на капитализм. Ведь потребление медиа публикой помогает капиталистам продавать свой товар. Причем в отличие от индустриального капитализма, где человек работал только в рабочее время, в информационном капитализме человек работает на капитал всегда, когда не спит. Больше того: за официальную работу мы хотя бы получаем зарплату. А за работу в качестве аудитории нам ничего не платят! Мы еще самим приплачиваем, покупая телевизоры и подписку (а теперь и компьютеры). Смайс даже подсчитал, что в 1976 году рекламодатели заплатили за работу аудитории в США 6,72 миллиарда долларов, а домохозяйства за то же самое, то есть за право «работать» своим телесмотрением на рекламодателей, – заплатили 21,9 миллиарда долларов, в три раза больше.

Несмотря на левацкий подтекст концепции, она дает хорошую оптику, чтобы посмотреть на отношения пользователей с платформами. По аналогии с «аудиторией СМИ как рабочей силой капитализма», все пользователи платформ – это цифровой пролетариат. Самим своим участием, независимо от степени активности, мы создаем добавочную стоимость, приносящую двойной эффект.

1) Владельцы платформ извлекают из нас, как из своей сетевой рабочей силы, прибыль.

2) Капитализм как социально-экономическая формация поддерживает свое существование за счет того, что мы инвестируем свои время, внимание и активность в его теперь уже цифровые механизмы. Вот буквально: открыл утром глаза, нырнул на телефоне в ленту «Фейсбука» – поддержал капитализм. Причем за свой счет. Алгоритмы засекли внимание, кликнутые ссылки, потраченное время, выраженные лайками предпочтения, дали данные рекламной бирже. Все эти зернышки тут посыпались на жернова капиталистической наживы.

Как и батраки раннего рентоземельного капитализма, пользователи совершенно бесправны. Они полностью зависят от земельного лорда. У них есть только их «аудиторная рабочая сила» и их орудия труда, которые они к тому же еще и покупают за свои деньги.

Власть платформ: верхи хотят, низы не могут

Бесправие пользователей, вкладывающих «труд потребления» в создание своей ленты и своего аккаунта, обычно вызывает возмущение по трем основным причинам.

1. Кто-то – конкретно владельцы платформ – обогащается на наших данных! При пользовании контентом, как известно, если ты не покупатель, то ты товар. Этот фактор для многих самый обидный. Но строго говоря, помимо жгучего чувства несправедливости, никакого влияния на нашу сетевую жизнь он не оказывает. Да, кто-то эксплуатирует наш «труд потребления». Но если этот механизм изъять, то у создателей и инвесторов платформ не будет стимула предлагать эту услугу.
2. Несимметричность прав пользователей и владельцев платформ. Это уже серьезно. Владельцы могут делать с нами все, что угодно. Самый очевидный пример: платформа может уничтожить принадлежащую ей цифровую личность президента, но президент не может даже защитить свою цифровую личность на этой платформе. Что уж говорить о простых смертных.

   Насилие платформ над нашей цифровой личностью всегда совершается под фиговым листком заявлений о «нарушении правил сообщества». Но ведь никакое сообщество никаких правил не устанавливало. Вынесение приговоров и приведение их в исполнение – исключительная прерогатива платформы (ну, иногда еще ее подгулявших алгоритмов). Прокурор слился с судьей и палачом. Адвокат иногда обозначен, но оплачивается и управляется теми же, кто содержит прокурора, судью и палача. От этой асимметрии прав и происходит бесправие пользователей. Это – самая большая проблема цифрового капитализма. И она базируется на следующем факторе.

3. Монополизм цифровых платформ. Монополизм возникает либо из-за роевого поведения участников – они сами собираются там, где уже есть наибольший рой (их привлекают феромоны сетевого эффекта), – либо из-за того, что крупнейшие платформы просто скупают или выжимают конкурентов.

Как говорят, жизнь на Земле могла бы возникнуть еще раз, но уже существующая белковая форма всегда пожирает всякую новую – там ведь ценные и вкусные ингредиенты. Например, после великой чистки в «Твиттере» и «Фейсбуке» трамписты пытались мигрировать в Parler. Но предыдущие «белковые формы» тут же его сожрали.

Для новых форм жизни остается только один путь – открывать новые экологические ниши, как это совсем недавно сделала голосовая сеть Clubhouse. Но риски монополизма сохраняются и на межнишевом уровне. Например, тот же «Фейсбук» поглотил «Инстаграм» и может теперь устанавливать единую политику сразу для двух сетей.

В результате вопросы сетевого мироустройства решаются очень небольшим количеством людей. По сути, Цукербергом, Дарси и советом директоров Google; в расширенном составе – баронами Силиконовой долины. Централизация ведет к монополии, монополия ведет к безальтернативности, безальтернативность ведет к бесправию, бесправие ведет к страданиям.

Цифровой капитализм и экспроприация цифровой личности

«Первооткрыватель» капитализма Адам Смит считал себя не экономистом, а моральным философом. Смит был уверен, что люди по природе эгоистичны, и именно «невидимая рука рынка» заставляет их считаться с интересами друг друга. Балансируя спрос и предложение в связную экосистему, «невидимая рука рынка» перенаправляет продукты и ресурсы по отраслям и территориям вне зависимости от воли отдельных магнатов или правителей.

За эту услугу капитал берет свою плату – ту самую экспроприированную долю стоимости продукта или труда. Экосистема капитала обеспечивает обитателям переток пользы сообразно ресурсам и суммарному коллективному интересу, но и питается жизнедеятельностью обитателей.

Эта формула описывает модель не только капитализма, но и социальных сетей. По сути, капитал был первой всемирной соцсетью. В ней циркулировала стоимость. Социальные сети перенесли принцип капитализма в цифровую реальность. В социальных сетях циркулируют смыслы. В точном соответствии с «работой» капитала, «невидимая рука интернета» связывает все акты спроса со всеми актами предложения и перераспределяет смыслы между «отраслями и территориями» – то есть между темами и социальными группами.

За эту услугу «связности» платформы тоже взимают плату на свое содержание: отчуждают в свою пользу часть вложенного «труда» участников. Да в общем-то, как и в эпоху первичного накопления, изымают весь «труд» – всё, что вложено в аккаунты, как и сами аккаунты. Аккаунт, который строился в процессе накопления связности, оказывается собственностью платформы.

Как и отчуждение труда капиталом, отчуждение аккаунтов платформами может быть названо экспроприацией и эксплуатацией. Название этих отношений сильно зависит от политической позиции. Но если смотреть на них с большой исторической дистанции, то ровно так же, как капитализм обеспечил обществу, причем практически мгновенно, небывалое материальное благополучие, а личности – небывалый уровень бытового потребления и социальных свобод, так и социальные сети мгновенно обеспечили обществу небывалую связность, а личности – небывалую скорость социализации и свободу общения. С этой точки зрения отношения выглядят не эксплуатацией, а симбиозом. Медиум (капитал, социальные сети) предоставляет обитателям экологическую нишу, которая процветает именно за счет продукта, производимого жизнедеятельностью обитателей. Образ пасечника, дающего пчелам улей и уход, но отбирающего мед, подходит лучше всего.

Пасечник, распоряжается платформой и отчужденным медом по своему усмотрению. То есть, с точки зрения пользователей – несправедливо. Но с точки зрения экосистемы, фигура такого владельца неизбежна и важна. Его вознаграждение является стимулом для всего класса владельцев строить платформы и инвестировать в них. Однако и возникающий при этом социальный конфликт между владельцем и пользователем (классовая борьба, в понятиях Маркса), тоже неизбежен.

Мы живем в эпоху первичного накопления цифрового капитала, когда эти отношения регулируются наиболее стихийном образом. Класс цифровых «пролетариев»-пользователей слишком слаб, чтобы заявлять свои политические права. Но конфликт обострился.

Далее следует развилка из трех дорог и на камне написано:

1. Налево пойдешь – социалистическая революция. Юзеры захватывают власть и декларируют поддержание жизнедеятельности платформы коллективными усилиями, что, конечно же, невозможно. В реальности вызревает новая идеологическая элита, апроприирующая собственность на платформу от имени юзеров и как бы для их блага, но больше с пользой для себя.
2. Направо пойдешь – тоталитарное государство вступает в сговор с цифровыми капиталистами. Они его боятся и не трогают, и вместе с государством держат юзеров в политической узде и цифровом повиновении, поставляя в обмен гарантированную, но минимальную норму цифровой колбасы.
3. Прямо пойдешь – всякие кейнсианские реформы, с введением общественного и государственного регулирования. Всевластие платформенных баронов усмиряется за счет разных форм «акционерного» вовлечения юзеров в права собственности, реальные и иллюзорные, или за счет защиты потребительского, а не политического права пользователей.

Левый вариант регулирования

Левый вариант регулирования, то есть социалистическая революция юзеров, намеренных взять платформенную власть в свои руки, кажется утопией, но, тем не менее обсуждается, причем в самом логове цифрового капитализма – в Силиконовой долине.

Как ни странно, власть в интернете уже была коллективной. Первые платформы раннего интернета не принадлежали никому, потому что были не платформами, а протоколами. Например, протокол SMTP позволял (и позволяет) каждому строить свой интерфейс. При таком дизайне никто единолично не управлял экосистемой электронной почты. Были и другие экосистемы, в основе которых лежал открытый протокол, позволяющий создавать свои интерфейсы: IRC (Internet Relay Chat), Usenet (на основе Network News Transfer Protocol). Первопроходцы интернета помнят эту эпоху общинного земледелия, к которому можно также отнести FidoNet, да и сам Интернет, протокол (HTTP) которого доступен всем желающим через многие интерфейсы.

Общинное цифровое земледелие, тем не менее, не смогло избежать логики исторического развития. Перехват сети платформами и оттеснение протоколов были неизбежны. Всегда найдется тот, кто захочет создать дополнительное удобство, оформить его в виде интерфейса и продавать его, порабощая пользователей этим удобством. Например, многие стремились создать наиболее удобный интерфейс для электронной почты. Gmail превзошел прочие эволюционные попытки «почт» своим дизайном и интеграцией с другими сервисами Google. Примитивное общинное земледелие всегда переходит в предпринимательское, ориентированное на добавленную стоимость (удобства).

Тем не менее, существуют идеи повернуть эволюцию вспять от платформ к протоколам. Один из идеологов, Майк Масник, выступил в 2019 году с программной статей «Протоколы, а не платформы: технологический подход к свободе слова». Поразительно, но идею поддержал Джек Дарси, глава «Твиттера». Дарси изъявил желание финансировать независимую команду дизайнеров открытого кода, «чтобы создать децентрализованный стандарт для социальных сетей. Цель «Твиттера» – стать одним из клиентов этого стандарта». Так возник проект Blue Sky.

Поддержка Дарси – это серьезно. Это примерно как поддержка Саввой Морозовым, пятым богачом в Российской Империи, большевиков и Ленинской «Искры» в начале 20 века. Наверное, какой-то стандарт команда Blue Sky напишет. Но есть сомнения в экономической состоятельности предлагаемой концепции. Экономические идеи Масника сводятся пока к механизмам подписки и тематической (не персонализированной) рекламы – то есть ровно к тем самым моделям, которые уже точно не обеспечили выживания старых СМИ в цифровой среде.

Тут надо отметить, что протоколы правили интернетом на заре интернета, когда пользователей было мало и почти все они были программистами. Но когда доля пользователей-ламеров в экосистеме превышает долю пользователей-экспертов в тысячи и миллионы раз, пользовательские протоколы неизбежно уступают место пользовательским платформам.

Без экономического механизма, извлекающего ресурс из самого факта потребления сети неопытными и пассивными пользователями и направляющего этот ресурс на поддерживание и развитие, экосистема существовать не сможет.

Авторитарный вариант регулирования

Правый вариант регулирования отражает слияние интересов правящих элит и цифровой олигархии. Этот вариант не требует специальной единой концепции. Он реализуется естественным образом через серию разовых сговоров между элитами и владельцами платформ.

Например, Китай хочет, чтобы поисковики не показывали упоминаний о протестах на Тяньаньмэнь. Местный Baidu выполняет условия, а Google уже много лет разрывается между желанием выйти на огромный рынок и давлением со стороны правозащитников, борющихся с политической цензурой.

Так выглядит выдача картинок на запрос «June 4th incident» (подразумевается разгон протестов на Тяньаньмэнь) для китайского пользователя в Google и Baidu. Источник.

В феврале «Твиттер» по требованию правительства Индии закрыл около 500 аккаунтов, включая аккаунты влиятельных журналистов и СМИ. Картина знакомая: в Индии идут фермерские протесты и правительство не хочет, чтобы оппоненты использовали соцсеть для политической мобилизации.

Впрочем, российскому читателю не надо далеко ходить за примерами слияния цифровых платформ с правящими элитами. Совсем недавно новости о зимних протестах в России пропадали с главной страницы «Яндекса», как пояснил поисковик, из-за «разного веса событий» по сравнению с другими «популярными» темами.

Серединный вариант регулирования

Требования покарать платформы за экспроприацию данных или ввести модерацию (цензуру) имеют мало общего с ключевой проблемой цифровой экосистемы: вернуть человеку контроль над своей цифровой личностью. Наоборот, политические варианты регулирования несут рисков больше, чем пользы.

Разработка регулирования должна вестись, скорее, в рамках защиты потребительских прав. Главным препятствием здесь остается представление о платформе как о частной услуге. Мол, не нравится, не пользуйся. Между тем, общество уже давно разработало механизмы вмешательства в частный бизнес именно для защиты потребителей.

Есть две характеристики, которые, будучи выявлены в любом бизнесе, автоматически дают основания для особого регулирования. Эти характеристики – монополизм и существенность услуги (essential utility services). Например, железнодорожные перевозки во многих странах находятся в монопольном ведении коммерческих компаний с частной или акционерной собственностью. Но поскольку у потребителя нет выбора, а услуга существенная, тарифы регулируются государством и права пассажира защищены не рынком («иди езжай другими поездами, если не нравится»), а законом. Нечто похожее распространяется на коммунальные службы. Они не только монопольны по своей природе (нет смысла в двух водоснабжающих сетях на одной территории), но и существенны для жизни. Поэтому у них регулируются не только тарифы и стандарты услуг, но даже и норма прибыли.

Цифровые платформы инфраструктурно похожи именно на монопольные essential utility services. Склонность к монополизму заложена в сетевом эффекте и является условием качества сетевой услуги: чем больше участников, тем лучше каждому из них (до тех пор, разумеется, пока их права не нарушены, потому что уйти некуда). Но остается вопрос: а является ли такая услуга – поиск, соцсеть – «жизненно необходимой». Так ли уж важно для жизни быть в «Фейсбуке»? Тем более что те немногие, попробовавшие жизнь без «Фейсбука» или «Твиттера», рассказывают, что «там» очень хорошо!

Конечно, фундаментальными ценностями для человека остаются картошка, соль и спички. Но чем больше удовлетворяются базовые потребности, тем более насущными становятся социальные потребности, то есть та же связность. Экономика, политика, образование, даже частная жизнь все больше перемещаются в сеть. Финляндия была первой страной, которая приравняла доступ к широкополосному интернету к конституционным правам человека еще в 2010-м году, потребовав от провайдеров обеспечить всем домохозяйствам доступ на скорости не менее 1Mbps. Министр связи Суви Линден заявил тогда: «Мы признали роль интернета в повседневной жизни финнов: это вовсе не только развлечение». Многие страны идут по этому пути и признают широкополосный интернет такой же насущной потребностью, как и прочие коммунальные сервисы. Логика развития общества приводит к тому, что подобное отношение («вовсе не только развлечение») будет перенесено и на пользование платформами.

Что любопытно: сами платформы именно к этому и стремятся. Они хотят стать пространством не только для общения, но и для политики, бизнеса, образования.

Свежий пример: «Фейсбук» буквально на днях запустил в США новую инициативу – он будет подсказывать каждому, где и когда можно сделать прививку от COVID. То есть он буквально сам берет на себя функцию горздрава и райсобеса. Понятно же, что это уже давно гораздо больше, чем платформа для общения с друзьями.

По факту получается, что политическая и экономическая борьба с платформами отвлекает от сути проблемы и даже усиливает власть платформ над рядовым пользователем (например, через введение политической цензуры). Гораздо важнее сосредоточиться на таких характеристиках платформ, как монополизм и существенность услуги.

Права потребителей – самые нейтральные и безусловные политические права людей. Механизмы потребительской защиты тоже известны. Цифровым баронам удается их счастливо избегать именно благодаря уводу дискуссии в сторону демократических ценностей и прочей ерунды вроде защиты персональных данных. На планетарном уровне уже заведены целые ритуалы, совершенно бессмысленные, для якобы защиты персональных данных. А персональные страницы изымаются без разговора. Экономика внимания: персональные данные обожествлены, персональные права никого не интересуют.

27 марта на форуме Big Data 2019 состоялась дискуссия «Нерешенный вопрос: право на данные». Эксперты обсудили недостатки текущего законодательства РФ, которые мешают развитию рынка данных, а также поговорили об этических вызовах, возникающих вместе с появлением новых технологий.

Участники:

• Светлана Белова, директор IDX;
• Иван Бегтин, генеральный директор Ассоциации участников рынка данных;
• Борис Зингерман, директор Ассоциации разработчиков и пользователей
• искусственного интеллекта “Национальная база медицинских знаний”;
• Екатерина Калугина, главный юрист IT Legal Consulting;
• Дженифер Трелевич, исполнительный директор TGPO consult;
• Иван Фост, руководитель направления в Аналитическом центре при Правительстве РФ;
• Мария Шклярук, генеральный директор Центра перспективных управленческих решений.

Модератор Михаил Петров, директор Департамента цифровой трансформации Счетной Палаты Российской Федерации.

Рынок данных в России

По мнению Ивана Бегтина, глубина российского рынка данных полностью неизвестна. В отличие от стран ЕС и США в России еще не проводилось детальных и подробных исследований для его измерения. Есть разные механизмы оценки того, насколько рынок данных велик. По модели оценки ЕС в него включаются все финансовые организации, производители продуктов системы интернета-вещей, системы обмена данными внутри разных корпораций, а также все фармацевтические компании. Эксперт считает, что в перспективе рынок данных — это тотально всё, что есть, но если сузить область, то к рынку относятся прежде всего те организации, которые производят данные в большом объеме и упаковывают их в соответствующие продукты, сервисы и инструменты доступа. Таких компаний в России насчитывается около тысячи, и, в первую очередь, это высокотехнологичные компании с разным уровнем капитализации.

Рынок данных остается серым — компании не готовы раскрывать свои бизнес-модели, потому что:

1. компании не желают раскрывать конкурентные преимущества;
2. государство может закрыть доступ к имеющимся данным, лишив возможности зарабатывать на них.

«Самой большой актуальной проблемой, ограничивающей развитие рынка, является правовое регулирование этой области. Закон о персональных данных фактически перевел весь рынок торговли данными в серую, а иногда даже черную зоны», — считает Иван Бегтин.

Светлана Белова уверена, что на рынке есть большой спрос на пользовательские данные: в разных формах и масштабах, с большим разбросом цены. По мнению руководителя IDX, основная цель продажи данных для бизнеса — это не маркетинг и не реклама, а борьба с мошенничеством. Единственное, что мешает бизнесу торговать данными легально — это отсутствие пользовательского соглашения. В существующей конструкции обмена данными не хватает учета интересов пользователей. В текущей редакции 152-ФЗ право на распоряжение данными не определено. Если обязать операторов данных предоставлять пользователям информацию о том, какие данные о них собираются и как они используются, дать пользователю доступ к этим данным, как это сделано в GDPR, то это позволит им монетизировать свои данные.

Государство как платформа и цифровой профиль гражданина

Минкомсвязи России опубликовали для общественного обсуждения законопроект о цифровом профиле гражданина. Государство выступает большим аналоговым посредником между человеком и его данными в информационных системах и бумажных картотеках. Мария Шклярук считает, что первый шаг к переходу на уровень «государство как платформа» — это появление алгоритма доступа к данным, то есть устранение посреднической роли государства. Для этого необходимо создать единый идентификатор, который свяжет записи о гражданине между собой. Таким образом, у каждого гражданина появится доступ к собственными данным и цифровой профиль того, как его видит государство. Мария в качестве примера поделилась случаем в исследовательской работе коллег:

«Коллеги изучили выплаты социальных пособий и получили разные определения устройства семьи, на основе чего возникает вопрос, что нужно учитывать и как рассчитывать доход, чтобы понять необходимость выплаты социального пособия конкретной семье? Соответственно, цифровой профиль поможет адекватно распределить пособия и рассчитать эту систему социальной поддержки».

Следующий уровень развития концепции «государство как платформа» — гражданин управляет собственными данными.

Кому принадлежат данные пациентов

Борис Зингерман, который представляет рынок данных в медицинской сфере, в использовании данных о пациентах ориентируется на такие юридические факты, как закон о персональных данных и врачебная тайна.

По мнению Бориса Зингермана, проблема оборота и использования данных в медицине заключается в том, что сложно понять, кому эти данные принадлежат:

«Казалось бы, всем нам понятно, что эти данные принадлежат тому самому человеку, из которого они “извлечены”. Но попробуйте сходить в свою районную поликлинику и получить медицинскую карту. Это связано с патернализмом нашей медицины. При таком подходе роль человека в охране его собственного здоровья довольно мала. Достаточно вовремя прийти к врачу и выполнять рекомендации. В этом случае человеку не нужны его данные».

Сейчас фактическим и реальным владельцем данных о пациентах является медицинская организация — то место, где данные были сформированы. Возможности владения и пользования данными пациентов не определены законодательством, потому что в соответствии с законом об охране здоровья эти данные хранятся и используются только для оказания гражданину медицинской помощи.

Есть еще один претендент на владение данными пациентов — это государство. В течение многих лет после принятия концепции с 2011 года разрабатывалась Единая государственная информационная система в здравоохранении — федеральное единое хранилище «Интегрированная электронная медицинская карта», в которой должна собираться вся медицинская информация о пациентах. Эта система призвана обеспечить преемственность лечения. В 2017 году, когда приняли 242-ФЗ о телемедицине, эта концепция изменилась: данные хранилища должны быть обезличены и использованы только для статистики и научных целей, а вся персональная медицинская информация должна привязываться к идентификаторам и распределённо храниться в тех медицинских организациях, которые ее выявили. Согласно изменениям, идентификаторы записей будут переданы в реестр электронных медицинских документов. Ключевым сервисом станет личный кабинет «Мое здоровье» на Едином портале государственных услуг. Каждый гражданин сможет зайти и посмотреть, какие и где на него есть медицинские документы, запросить их, получить и использовать по собственному желанию. Эти документы будут легитимны как документы в электронной форме — с электронной подписью и печатью. Человек сможет решать, какой больнице или врачу он сможет эти документы показывать.

Как право регулирует применение искусственного интеллекта?

Существующие недостатки правого регулирования законодательных систем прокомментировала Екатерина Калугина:

«Рынок больших пользовательских данных существует, но частично является теневым. Пока ни в России, ни в Европе не существует понятной юридической конструкции, которая бы позволяла компаниям обрабатывать большие пользовательские данные легально. В России обсуждают внесение поправок в законы “О персональных данных” и “Об информации”, которые предполагают внесение такой формулировки как “большие данные”. Существующие юридические принципы пока не регулируют разработку и применение новых технологий, в частности искусственного интеллекта (ИИ). Кто является ответственным в итоге за применение технологии ИИ: разработчик, лицо которое использовало данную технологию, или же сама технология? Вопрос остается открытым».

По мнению Бориса Зингермана, развитие и применение новых технологий для диагностики заболеваний ограничивается несовершенством правового регулирования этой области:

«Необходимо очень много снимков для того, чтобы обучить нейросеть анализировать и находить какие-либо артефакты болезни на их основе. Сегодня ни одна медицинская организация внутри себя не имеет нужного количества подобных данных. Это можно решить, например, создав консорциум огромных федеральных центров. Сейчас непонятно, на каких юридических основаниях это можно было бы сделать».

Мария Шклярук поделилась историей, связанной с результатами опроса РАНХиГС и Евробарометра о доверии граждан к государственными институтам. Социологи выяснили, что граждане России относятся к технологическим оптимистам, так как в большей степени склонны доверять принятие решений роботу-юристу, чем человеку:

«О чем это говорит? Это говорит об уровне репутации нашей настоящей судебной системы. Граждане рассудили, что уж лучше решение примет робот, его алгоритм будет честнее. Другой вопрос, что робота-юриста нельзя обучать на тех судебных решениях, какими мы обладаем, так как они принимаются несправедливо. Госслужащие, принимая решения, должны задавать себе этические вопросы и ориентироваться на благо и общественный интерес, а не на прибыль и выгоды прямого характера. Этика — это то, что отличает госчиновника от предпринимателя».

Иван Бегтин: «Не стоит вопрос о том, можно ли доверять решениям, принятым искусственным интеллектом. Вопрос в том, что мы будем делать, когда это неизбежно?»

В условиях развития уже существующих и появления новых цифровых технологий особое внимание следует уделить защите персональных данных. Массовые утечки конфиденциальной информации о пользователях, использование данных в злонамеренных целях — это еще не полный перечень проблем. Требуются адекватные правовые решения по обеспечению защиты персональных данных граждан.

Реализацию защиты персональных данных на международном уровне мы можем рассматривать через призму международных организаций и интеграционных объединений, которые участвуют в выработке международно-правовых документов по защите персональных данных. Мы предпочли остановиться на ЕС, МСЭ и ОЭСР для более подробного рассмотрения документов в сфере защиты данных.

На основании изученных материалов можно сформулировать следующие тезисы:

1. Саморегулирование и международные стандарты должны иметь больше точек соприкосновения в правовом регулировании защиты персональных данных. Это позволит обеспечивать поэтапную реализацию процесса защиты персональных данных на транснациональном уровне и гарантировать всем пользователям надлежащую защиту;
2. Научно-аналитическое исследование концепции «общедоступных данных» с привлечением интернет-компаний. Опыт интернет-компаний в регулировании данных пользователей и обращении с ними может оказаться применимым для разработки международно-правовых стандартов в сфере защиты персональных данных;
3. На организационно-административном уровне важно обеспечить международно-правовой универсальный диалог между цифровыми платформами и международными организациями для реализации концепций защиты и использования персональных данных. Возможно использование аналогии проекта Horizon 2020, в котором был предусмотрен раздел «future of the internet» и рабочая программа к нему, в которой подробно описано на что конкретно будет направлено развитие и связь со смежными институтами, например, ИИ. Подобная проектная документация и оформление расходных обязательств по программе могут использоваться как пример оформления вышеназванной инициативы.

Помимо чисто практических и административных рекомендаций следует особое внимание обратить на научные исследования. Дело в том, что необходимо уделять больше внимания междисциплинарным подходам в теории международного права. Например, существует наука о данных, которая отдельно рассматривает методы обработки данных, формирует процесс их обработки и использования. Основы этой науки могут формировать прикладной инструментарий для международного права и создавать эмпирический материал для правового регулирования и его изучения.

Таким образом, важно получить новый материал как с практической, так и теоретической позиции для исследования защиты данных на цифровых платформах. Кроме того, актуальным является и проработка этих вопросов в свете новых концепций больших данных и формирования четких правовых позиций.

На наш взгляд, исключительно в подобных условиях может сформироваться грамотная практическая и теоретическая позиция в сфере защиты персональных данных на международном уровне.

Когда дело касается приватности и открытости,
люди всегда требуют первого для себя,
а второго — для всех остальных.

Дэвид Брин

В условиях развития уже существующих и появления новых цифровых технологий особое внимание следует уделить защите персональных данных. Массовые утечки конфиденциальной информации о пользователях, использование данных в злонамеренных целях — это еще не полный перечень проблем. Требуются адекватные правовые решения по обеспечению защиты персональных данных граждан.

В представленной статье будут рассмотрены правовые концепции, которые нашли свое выражение в международных документах, а также предложены некоторые соображения по поводу дальнейшего совершенствования международных и национальных документов в сфере защиты данных.

Для анализа международно-правовой базы в сфере защиты данных мы позволим себе остановиться на следующих терминологических разъяснениях (они условные и предложены нами для максимального понимания смысла статьи), которые будут использоваться в этой статье:

а) цифровые платформы — платформы интернет-компаний (например, шеринговые платформы, поисковые системы, социальные сети и т.д.), которые представляют собой систему алгоритмизированных отношений между пользователем и владельцем платформы, а также третьими лицами (например, рекламными компаниями). Обязательным условием данных отношений является сбор, обработка и использование владельцами платформ данных зарегистрированных пользователей в собственных экономических, социальных, технологических интересах. Кроме того, цифровые платформы имеют возможность формировать собственную цифровую экосистему с другими цифровыми платформами;

б) защита персональных данных — комплекс организованных правовых и иных действий на международном и национальном уровнях с целью предотвращения возможных будущих нарушений, связанных со сбором и использованием персональных данных пользователей;

в) большие данные (big data) — совокупность всех данных, поступающих из различных гаджетов и иных средств связи и технических платформ с использованием Интернета, а также все стадии обработки информации, её анализа и структурирования.

Взаимосвязь больших данных и защиты персональных данных в условиях развития цифровых платформ

В первую очередь мы должны ответить на вопрос, как связаны большие данные и защита персональных данных? При ответе сошлемся на книгу Т. Сибела «Цифровая трансформация» [1]. В данной книге автор представляет нашему вниманию три основных этапа цифровой революции: интернет вещей, большие данные и искусственный интеллект [2]. Автор демонстрирует неразрывную связь данных технологий со всеми процессами, происходящими в условиях цифровой трансформации (не исключаются и организационно-правовые вопросы), в том числе — защита данных и информации [3].

Большие данные — совокупность данных и процессов их обработки и структурирования, а защита персональных данных — своего рода перечень действий, ограниченный предметно [4], для защиты определенных групп собранных и используемых данных. Таким образом, большие данные и защита данных соотносятся как целое и часть.

Реализация защиты персональных данных на международном уровне

Реализацию защиты персональных данных на международном уровне мы можем рассматривать через призму международных организаций и интеграционных объединений, которые участвуют в выработке международно-правовых документов по защите персональных данных.

В данной статье затрагиваются именно те организации и интеграционные объединения, которые участвуют не только в формировании своей собственной информационной политики, но и в выработке инструкций, а также исследуют вопросы защиты персональных данных. В большей степени интересны «внешние» документы, получаемые в результате международного нормотворчества, а не «внутренние». Политики конфиденциальности и документы по обращению с данными, созданные Управлением Верховного комиссара ООН по делам беженцев, безусловно важны для формирования общей политики защиты персональных данных. Однако в данной статье мы затрагиваем проблему цифровых платформ крупных компаний, поэтому нам необходимо сделать перечень международных организаций и интеграционных объединений более узким и целевым. В этой связи мы предпочли остановиться на ЕС, МСЭ и ОЭСР для более подробного рассмотрения документов в сфере защиты данных.

GDPR на уровне Европейского союза: мегарегулятор оборота данных?

На уровне ЕС 25 мая 2018 г. был принят регламент GDPR (Общий регламент по защите данных). Целью принятого регламента является укрепление прав субъектов персональных данных. GDPR подразумевает ответственность за несоблюдение правил хранения и обработки персональной информации. Данный регламент по определению является неким мегарегулятором защиты данных и регламентирует их трансграничную передачу на уровне Европейского союза.

Следует отметить, что многие страны после принятия GDPR издали собственные правовые акты [5]. Кроме того, в КНР готовится «Проект PIPL» (предполагается, что он будет реализован в 2022 г.). Данный проект устанавливает гражданские, административные и уголовные нормы, обеспечивающие защиту личной информации.

Авторы регламента GDPR уделили особое внимание процессу обработки данных. Этот процесс должен быть прозрачным и доступным субъектам персональных данных.

В соответствии с регламентом вводятся два термина: контролёр и организация-обработчик. Под контролёром понимается организация, которая сама инициирует процесс обработки персональных данных сотрудников или клиентов, а также отчитывается перед надзорным органом за процесс обработки той или иной информации. Организация-обработчик является организацией, которая обрабатывает личные данные от имени контролёра.

В регламенте уточняется термин «право на забвение». Под данным правом понимается право субъекта на удаление его персональных данных. Право конкретизируется в части оснований его возникновения:

а) личные данные больше не нужны в соответствии с целями их сбора и обработки;

б) отзыв согласия на обработку персональных данных;

в) возражение субъекта против обработки его данных;

г) персональные данные были обработаны незаконно;

д) данные должны быть удалены в соответствии с юридическим обязательством по законодательству Европейского союза или государства-члена, которому подчиняется контролёр;

е) личные данные собраны в соответствии с предложениями услуг информационного общества.

Также уточнено право на перенос данных. Оно включает в себя следующие основания, при которых контролёр вправе беспрепятственно переносить данные:

• обработка основана на согласии пользователя;
• обработка осуществляется автоматизированными средствами.

В регламенте различаются понятия «сбор» и «использование» информации (не только на теоретическом, но и на практическом уровне). В этом и есть основной дискурс работы с современными данными, так как зачастую невозможно понять, в чём состоит нарушение и где начинаются цифровые права другого человека.

В этой части регламент действительно выступает мегарегулятором с точки зрения не только географического охвата, но и содержания права на защиту персональных данных.

Однако, на наш взгляд, весомой проблемой является то, что ограничение территориальности безусловно создаёт определенные сложности в реализации. Хотя Facebook заявил, что будет исполнять регламент и внесет соответствующие изменения в собственные локальные акты, далеко не все интернет-компании поддерживают подобный регламент, ссылаясь на территориальные границы и законодательство Европейского союза.

Также при внедрении тех или иных технических решений при обработке персональных данных актуализируется проблема информационной безопасности. Проблема информационной/кибер безопасности данных также была отдельно выделена в сетевых слушаниях интернет-компаний (при использовании данных в т.ч.). Обеспечение полной безопасности данных в условиях развивающейся концепции «обезличивания данных» остаётся актуальным вопросом. Потому важно предвидеть определенные риск-факторы для обеспечения реального действия GDPR.

Нейтральная правовая позиция МСЭ

Международный союз электросвязи в отличие от Европейского союза посчитал верным держать нейтральную позицию и по мере необходимости давать рекомендательные и разъяснительные положения (как собственные, так и по регламенту GDPR).

По регламенту МСЭ высказался в статье «Влияние общей защиты данных (GDPR) на данные бизнес-моделей: портативность данных и Facebook». В данном документе помимо прочего отмечается, что GDPR направлен на то, чтобы предоставить потребителям возможность контролировать свои личные данные, обеспечить доверие к цифровой экономике и защиту данных на всей территории ЕС в соответствии со стратегией единого цифрового рынка. Также в документе предпринята попытка проанализировать и обрисовать, как GDPR может изменить бизнес-модели компаний (цифровых платформ), что может привести к положительному эффекту.

К положительному эффекту относится свойство переносимости данных. Подобное свойство оценивается как перспектива, которая может принести положительный результат. Переносимость данных как легально закреплённый процесс решает проблему блокировки и последующих монополий со стороны интернет-компаний, а давление конкуренции может повысить качество собираемых данных и предоставляемых услуг. Этот процесс обеспечивает доверие потребителя к цифровой платформе.

Также в статье отмечается, что теоретически регулирование переносимости данных может позволить интегрировать данные других цифровых платформ с согласия пользователя. Однако требования к совместимости и их правовое регулирование остается расплывчатым (фигурирует термин обязательный «машиночитаемый» формат). Подобные требования, по мнению авторов документа, МСЭ должны быть урегулированы, например, чтобы была возможность общаться друг с другом через разные платформы для пользователей социальных сетей. Так, Facebook может предложить функцию импорта данных (например, о музыкальных предпочтениях) от имени своих пользователей (при условии согласия пользователя на экспорт данных) и расширить свою бизнес-модель за счет дополнительных данных.

Также МСЭ выпустил рекомендацию от 2017 г. «Информационные технологии. Методы безопасности. Свод правил защиты информации, позволяющий установить личность». Данный документ носит диспозитивный характер. Вместе с тем следует отметить, что рекомендация содержит кодифицированный свод правил, в котором особое внимание уделено защите персональных данных в технических устройствах и на организационном уровне.

Особое внимание заслуживает раздел о криптографии, где также упоминается важность контроля криптографических процессов при обработке данных. Далее авторами рекомендации подробно рассматривается операционная безопасность. Именно раздел об операционной безопасности (общие правила безопасности системы, отраженные в техническом протоколе) включает в себя пункты о процессе вхождения в систему и её мониторинг, контроль операционного компьютерного обеспечения, аудит информационных систем.

Рекомендацию МСЭ нельзя рассматривать как аналог GDPR, так как направление стандарта узкое и сосредоточено исключительно на аспектах обеспечения безопасности, а не на сбалансированном регулировании комплекса прав на персональные данные. Кроме того, документ носит рекомендательный характер. Но мы позволим себе отметить, что раздел о криптографии и операционной безопасности следовало бы в дальнейшем учитывать в правовом регулировании защиты персональных данных. Подобные аспекты могли бы стать основой для технических стандартов.

ОЭСР в роли нового концептуального вектора больших данных

Организация экономического сотрудничества и развития создала «Руководство по защите неприкосновенности частной жизни и трансграничных потоков персональных данных» в 2013 г. В документе освещены такие принципы обеспечения неприкосновенности частной жизни как:

• справедливый, законный и ограниченный сбор персональных данных, получаемых с ведома и согласия физического лица;
• данные собираются в соответствии с целями обработки, обеспечивается их полнота и актуальность;
• использование данных для новых целей должно быть либо совместимо с первоначальной целью обработки, либо требуется согласие субъекта персональных данных на новые виды использования или раскрытия информации;
• используются разумные меры безопасности для защиты данных и обеспечивается подотчетность всех операторов данных.

Также в руководстве отмечается, что у субъекта персональных данных есть право на доступ к хранящимся о нём данным, а также право на их уничтожение или исправление. Кроме того, усилены требования подотчётности оператора данных независимо от их местонахождения, а также к обработке данных самим оператором, его представителями и при передаче другому оператору. Важным является, как упоминается в руководстве, сконцентрировать внимание государств на трансграничном сотрудничестве между уполномоченными органами по защите данных.

ОЭСР решили продолжить данную работу по развитию концепции защиты персональных данных в рамках проекта «Цифровой трансформации» («Going digital»). Однако вектор развития сменился, на наш взгляд, на более радикальный. В частности, ОЭСР выпустила отчет, в котором исследуются возможности расширения доступа к данным и обмена ими (EASD) в контексте растущего значения искусственного интеллекта и интернета вещей.

В отчете подчеркивается польза открытости данных и отмечается закономерность повышения их социальной значимости и роли. Вместе с тем подчеркивается риск-фактор утечки данных и необходимости его учета. В отчёте приводится несколько проблем, которые можно решить при использовании концепции «открытости данных»:

1. Контрактные соглашения, которые подразумевают рыночный подход к расширению доступа к данным и обмену ими в контексте B2B, в частности, использование через рынки данных.
2. Открытость данных очень часто трактуется правительствами как экстремальный подход, что выражается в оправдании более ограничительных подходов к доступу к данным и их совместному использованию. Однако данный подход следует пересматривать и более глубоко проанализировать понятие «открытость данных».
3. Переносимость данных пользователей может предоставлять пользователю как защиту, так и риск-факторы её взлома.
4. Ограничение оборота данных очень часто подменяется понятием «конфиденциальной информации». Однако в научных исследованиях (в области здравоохранения и т.д.) уже развиваются такие инициативы, как «данные для общественного блага».

Авторы отчёта в заключении отмечают потребность в структурах управления данными, которые включают общегосударственные подходы и их согласованность в социальных и экономических секторах. Следовательно, ОЭСР предпринимает важные концептуальные и аналитические попытки изучения новых вопросов развития больших данных.

Цифровые платформы и защита данных

В условиях цифровой трансформации все большую актуальность начинают приобретать цифровые платформы, которые оперируют самым большим количеством персональных данных. Цифровые платформы принадлежат крупным интернет-компаниям, представительства которых расположены по всему миру. Они находятся в социальной, игровой, экономической и цифровой сферах.

Цифровые платформы создают свои стандарты регулирования, которые прослеживаются в следующих видах документов:

• пользовательские соглашения;
• политика конфиденциальности;
• дополнительные соглашения (например, по борьбе с мошенничеством).

Саморегулирование в сфере защиты данных — это внутрикорпоративное решение каждой из интернет-компаний, оформленное вышеназванными документами, принятое и заданное их внутренними органами. Данные виды документов не обсуждаются с пользователями (второй стороной), к ним возможно лишь присоединение и последующее соглашение с условиями.

Данные документы обладают следующими общими характерными признаками:

• гибкость правовой материи. Соглашения не содержат императивных и рамочных норм. Скорее, нормы подобны гибким правилам, содержащим многовариативные действия, которыми пользователь может либо воспользоваться, либо нет;
• данные — это возможности. Соблюдение условий предоставления ваших данных является своего рода цифровой валютой при использовании того или иного функционала интерфейса. Если вы не предоставляете те или иные данные, платформа не предоставит вам определенные функции и возможности их использования;
• цифровые окна-нормы. Данные виды норм напоминают коллизионные нормы, но таковыми не являются. Они содержат отсылку к законодательству, но вместе с тем и отсылку к собственным правилам, которые по своей природе являются транснациональными (без привязки к национальным нормам);
• учтены минимальные международные требования, но не национальные. Такие компании, как Facebook, следуют регламенту GDPR и приводят в соответствие с ним свои внутренние документы. Однако интернет-компании не следуют национальному законодательству и всячески стараются избегать юрисдикционных процессов конкретного государства (но нельзя подобное утверждение применить к законодательству США [6]).

На основании подобных практических новшеств можно сформулировать следующие тезисы:

1. Саморегулирование и международные стандарты должны иметь больше точек соприкосновения в правовом регулировании защиты персональных данных. Это позволит обеспечивать поэтапную реализацию процесса защиты персональных данных на транснациональном уровне и гарантировать всем пользователям надлежащую защиту;
2. Научно-аналитическое исследование концепции «общедоступных данных» с привлечением интернет-компаний. Опыт интернет-компаний в регулировании данных пользователей и обращении с ними может оказаться применимым для разработки международно-правовых стандартов в сфере защиты персональных данных;
3. На организационно-административном уровне важно обеспечить международно-правовой универсальный диалог между цифровыми платформами и международными организациями для реализации концепций защиты и использования персональных данных. Возможно использование аналогии проекта Horizon 2020, в котором был предусмотрен раздел «future of the internet» и рабочая программа к нему, в которой подробно описано на что конкретно будет направлено развитие и связь со смежными институтами, например, ИИ. Подобная проектная документация и оформление расходных обязательств по программе могут использоваться как пример оформления вышеназванной инициативы.

Помимо чисто практических и административных рекомендаций следует особое внимание обратить на научные исследования. Дело в том, что необходимо в теории международного права уделять внимание междисциплинарным подходам. Например, существует наука о данных [7], которая отдельно рассматривает методы обработки данных, формирует процесс их обработки и использования. Основы этой науки могут формировать прикладной инструментарий для международного права и создавать эмпирический материал для правового регулирования и его изучения.

Таким образом, важно получить новый материал как с практической, так и теоретической позиции для исследования защиты данных на цифровых платформах. Кроме того, актуальным является и проработка этих вопросов в свете новых концепций больших данных и формирования четких правовых позиций.

На наш взгляд, исключительно в подобных условиях может сформироваться грамотная практическая и теоретическая позиция в сфере защиты персональных данных на международном уровне.

1. Сибел Т. Цифровая трансформация. Как выжить и преуспеть в новую эпоху. Изд-во Манн, Иванов и Фербер. С. 5-15.

2. Там же.

3. Там же.

4. Речь идет о различных отношениях в сфере данных в сфере Big data. Данные отношения могут касаться защиты данных, обмена данными, доступности данных и т. д.

5. Например, в Российской Федерации принят Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных».

6. Это объясняется тем, что интернет-компании часто используют в пользовательских соглашениях отсылки к законодательству Калифорнии и других штатов. Штаб-квартиры, их представительства чаще всего располагаются в штатах.

7. Келлехер Дж., Тирни Бр. «Наука о данных». Альпина паблишер. 2020 г. С.13-22.