24 сентября на форуме «Управление данными 2019» издательства «Открытые системы» выступит один из самых харизматичных экспертов в области нормативного регулирования рынка данных — директор по правовым инициативам ФРИИ Александра Орехович. В преддверии форума мы беседуем с Александрой о том, что происходит в данной сфере сейчас и чего можно ждать в ближайшем будущем.
- Какова сегодня ситуация с регулированием оборота данных?
Регулирование очень разрозненно. Цифровая экономика начинается с данных, данные нужны во всех сферах — этот постулат никем не оспаривается. У каждого типа данных своя сфера и особенности регулирования, и на практике трудно разобраться, по каким правилам эти данные можно использовать.
Если говорить о таком модном сегодня типе, как большие данные, то они никак не урегулированы. У всех, кто утверждает, что работает с большими данными, при ближайшем рассмотрении обнаруживается целый букет персональных данных. Например, при распознавании лиц в метро. То, что в кадре много лиц, из которых выхватываются, например, лица преступников, может и делает эти данные большими, но совершенно точно не дает права обрабатывать их абсолютно без правил. В каждом конкретном случае надо разбираться, какие данные используются.
Ждать того, что оборот именно больших данных будет урегулирован, не приходится. Вся мировая практика исходит из этого: никто не регулирует большие данные и не дает им определение. По сути, большие данные — это данные, персональные или не персональные, обезличенные или не обезличенные, собранные в большой массив.
Первостепенная проблема, связанная с данными, — регулирование оборота обезличенных данных. Являются ли обезличенные данные персональными? Остаются ли они в сфере действия закона о персональных данных? Многие считают, вернее хотели бы считать, что нет, хотя действующий закон не выводит обезличенные данные за периметр регулирования. С одной стороны, обезличенные данные позволяют при использовании дополнительной информации установить конкретного человека, субъекта персональных данных, а это значит, что права его могут быть нарушены и они должны быть защищены. С другой стороны, при неиспользовании дополнительной информации или в отсутствие такой информации у оператора данных такие данные теряют связь субъектом, тогда возникает вопрос: почему они остаются в сфере действия закона о персональных данных?
Логичным и правильным представляется подход изъятия данных, которые окончательно потеряли связь с субъектом персональных данных и даже при наличии дополнительной информации не дадут возможности его идентифицировать, из закона о персональных данных. То есть все, что не относится к персональным данным, может быть свободно обработано.
Это важно, к примеру, в такой новой актуальной сфере нашей жизни, как искусственный интеллект. Логичнее всего обучать искусственный интеллект на обезличенных данных. Но при этом необходимо понимать правила игры: что можно, а чего нельзя. Можем пойти по пути США, где Трамп издал указ, что системы искусственного интеллекта получают доступ к Federal Data, то есть к данным, содержащимся в государственных информационных системах.
- Процесс обезличивания в нормативных документах прописан?
В законе прописано, что обезличивание персональных данных не позволяет идентифицировать конкретного субъекта без использования дополнительной информации. То есть с использованием дополнительной информации — позволяет. Кроме того, подзаконные нормативные акты говорят, что одним из признаков обезличенных данных является их обратимость. И это — коллизия, потому что дополнительная информация, которая позволяет сделать данные обратимыми, не всегда есть и не всегда нужна. Для искусственного интеллекта, например, может быть не нужна, логично было бы использовать эти данные свободно.
В Минцифре сейчас обсуждается законопроект по обезличенным данным, где предлагается разграничить обезличенные данные и обезличенные персональные данные. По большому счету этот подход аналогичен принятому в GDPR разграничению обезличенных и анонимизированных данных. Предполагается, что обезличенные персональные данные, позволяющие сохранять связь с субъектом, будут регулироваться законом «О персональных данных», а обезличенные данные, которые потеряли связь субъектом, будут пускать в «свободное плавание». Требования к обезличиванию будут устанавливаться на уровне закона.
Процессы подготовки соответствующих законодательных инициатив сейчас объединяются; предложения Министерства цифрового развития, связи и массовых коммуникаций, Фонда «Сколково», ФРИИ интегрируются в этот законопроект.
- Как соотносится законопроект об обезличенных данных с предложенным экспертами ФРИИ проектом регулирования персональных данных?
Они нисколько не противоречат друг другу. Подготовленный ФРИИ законопроект нацелен в большей степени на предоставление субъекту возможности управлять своими персональными данными, не только и не столько обезличенными, получать информацию о том, кто какую информацию обрабатывает по категориям. Проект предусматривает возможность гибкого согласия, изменение цели обработки, отзыва данных у субъекта определенной категории и передачи своих данных от одного оператора к другому. То есть обеспечивает возможность обмена данными между операторами так, чтобы вся информация проходила через субъекта и субъект получал за это какие-то бенефиты.
- Каков статус этих законопроектов?
Пока ни один из них не внесен в Госдуму. Скорее всего, первым будет внесен проект об обезличенных данных — это поправки в закон «О персональных данных».
- По мнению экспертов, в медицине ФЗ-152 создает препятствия как для разработки систем искусственного интеллекта, так и для доступа врача к данным пациента...
Не совсем так. В медицине данные регулируются в том числе законом «Об основах охраны здоровья», который содержит положения о врачебной тайне. При этом, с одной стороны, закон «О персональных данных» говорит, что для статистических и исследовательских целей данные, если они обезличены, обрабатываются свободно, без согласия. С другой стороны, в соответствии с законом, данные о здоровье относятся к особо чувствительным, которые никак не могут быть обработаны без согласия субъекта, данного в письменной форме, предусмотрены особые меры для их защиты. На доступ к ним субъект должен дать согласие, а как же иначе?
- Руководители медицинских организаций запуганы ФЗ-152: пациент же дает согласие на обработку данных в целях лечения, а не написания алгоритмов.
Во-первых, не вижу проблемы в получении согласия на обработку данных в целях проведения научно-исследовательских работ. Во-вторых, закон о персональных данных не требует согласия на обработку персональных данных для проведения научно-исследовательских, аналитических и статистических работ в случае использования обезличенных данных.
Другое дело, не очень понятно, как развивать искусственный интеллект в условиях, когда по дороге на парламентские слушания встречаешься с пикетом против цифровизации. Огромное количество людей будет против того, чтобы их информация послужила основой для искусственного интеллекта.
- Радикально настроенных граждан немного, в основном люди либо не информированы, либо безразличны. Для искусственного интеллекта данных должно хватить?..
Да. А если начать предлагать денежные вознаграждения, будет еще интереснее. В Ernst & Young опубликовали недавно исследование, в котором медкарта каждого пациента оценивается в 100 евро: при этой цене для бизнеса будет выгодно использование данной информации.
Мы проводили опросы компаний, сколько они согласны платить за использование персональных данных. Ответы сильно варьируют в зависимости от отрасли, состава данных и цели использования. В среднем за тот состав данных, который интересен бизнесу, компании готовы платить от 16 тыс. до 60 тыс. руб. Сравнимую сумму — около 80 долл. — платит Facebook за доступ к персональным данным в рамках эксперимента.
- Это разовая плата, и дальше данные уже как бы не мои?
Ваши данные не могут перестать быть вашими, к тому же они постоянно генерируются и меняются. Компании платят клиенту за состояние «здесь и сейчас», а потом — как договорятся. Надо исходить из того, что это рынок. В любом случае насильно загонять в цифровое рабство законодательство не позволит: согласие на обработку персональных данных должно быть конкретно.
- По-моему, механизм монетизации должен быть связан с механизмом регулирования доступа. На портале госуслуг относительно просто поставить «галочку», указав, кому я разрешаю доступ к своим персональным данным. Эту возможность планируется реализовать для медицинских данных. А для остальных?
Данные из государственных информационных систем может выдавать только государство, но сомнительно, что оно будет cвязываться с механизмом монетизации. С 2019 года предоставляются метаданные из негосударственных информационных систем, например телемедицинских — сведения о том, где есть данные. Сами данные продолжают храниться в тех же информационных системах. Вот тут бизнес уже может думать о монетизации, чтобы обогащать собственные базы данных и получать больше информации о субъекте.
Например, если верить СМИ, сейчас это пробуют делать в Ассоциации больших данных: компании обмениваются данными между собой, запрашивая согласие клиента и давая ему за это какие-то бенефиты в виде услуг, бонусов. Деньгами, по-моему, еще не рассчитываются, но обмен уже происходит.
- Какие компании в наибольшей степени заинтересованы в устранении неопределенности с оборотом данных?
Телеком и все, кто хочет делать системы искусственного интеллекта. Им нужно работать с обезличенными данными и понимать правила обращения данных, которые послужат основой для искусственного интеллекта.
- Отсутствие регулирования тормозит развитие рынка данных или, наоборот, дает его участникам фору?
Смотря чем занимается компания. В непонятной ситуации ты постоянно боишься, что кто-то придет и накажет. Для больших компаний это выливается в то, что они собирают согласия на каждый чих. Крупные операторы арендуют специальные помещения, где копится неимоверное количество письменных согласий, и выделяют сотрудников, занимающихся исключительно бумажными согласиями.
А, например, компаниям, занимающимся распознаванием лиц, непонятный статус обезличенных данных действительно дает фору. Хотя принцип права на частную жизнь, заложенный в Конституции, никто не отменял.
- Вопрос в том, как это право реализуется…
Да. Кроме того, многое зависит от выбранного пути регулирования. Если бы три года назад вы спросили, тормозит ли отсутствие правового регулирования развитие телемедицины, я бы сказала: конечно тормозит! А сегодня регулирование такое, что лучше бы тормозило его отсутствие: за год 30% продуктов уходит с рынка.
На европейском рынке GDPR вызвал резкое сокращение оборота данных, и если мы примем ровно такие же правила, то развитие затормозится. Нужно думать о балансе, тогда регулирование даст четкие правила игры, понимание, что можно делать и чего нельзя. Главное, чтобы того, чего нельзя, было не слишком много...
... И не затрагивало ключевые вещи, подрубая тот корень, ради которого все задумывалось, как случилось в телемедицине, когда первичный прием онлайн фактически запретили.
Да.
- О чем вы расскажете участникам форума?
Про особенности современного регулирования данных, которые служат основой любого бизнеса и оказания услуг. О тех проблемах, с которыми может столкнуться любой субъект персональных данных или бизнес, оказывающий услуги, как может быть истолкована та или иная проблема. А также про пути их разрешения в условиях действующего законодательства и про пути разрешения в будущем на основе тех правовых инициатив, которые сегодня обсуждаются экспертным сообществом и на уровне регулятора.