Данные под контролем

Михаил Алексеев, модератор, управляющий партнер AC&M Consulting: Недавно стало известно о законодательной инициативе, которая будет касаться big data. У нас теперь даже появилось русское обозначение – «большие пользовательские данные» (БПД). Речь идет об обезличенных персональных данных, которые в огромном объеме собирают, кстати говоря, не только операторы связи, но и многие другие фигуранты рынка: интернет-компании, банки и, кстати, даже большие розничные сети.

Дмитрий Петров, директор по связям с органами власти «Мегафона»: Какая есть общемировая статистика использования больших данных? 90% [участников рынка] традиционно используют большие данные для себя (например, операторы исследуют абонентскую базу, понимают, кто больше потребляет интернет, а кто – голосовую связь, и делают соответствующее тарифное предложение), а 10% используют возможность «обогатить» этими данными других. И во всем мире государства стараются стимулировать эти 10%, потому что, если ничего не делать, бизнес замыкается в себе и ничего не происходит. Я убежден, что закон об охране БПД не нужен. Это все равно, что принимать, например, требования к хранению личных сбережений – т. е. каждый гражданин обязан охранять свои деньги вот такими-то способами – и описать, какими именно. Но мы же сами определяем, как хранить: под подушкой, в кубышке, в банке и т. д. С пользовательскими данными примерно та же история у бизнеса. Пользовательские данные – это репутация бизнеса, возможность для развития бизнеса, возможность заработать или представить лучшие предложения на рынке. Бизнес максимально корректно относится к данным своих пользователей, потому что раскрыть эти данные, передать их другому лицу означает отдать свою клиентскую базу, причем с доходами [возможностью получения дохода]. Никто такое даже в голове не держит.

Евгений Васильев, генеральный директор МТТ: Я, в принципе, с большой настороженностью отношусь к ситуации, когда государство пытается выйти на коммерческий рынок и создать там монопольного оператора. Но в данном случае, мне кажется, это пока преждевременные страхи, потому что мы еще не знаем, какое предложение есть, каким оно будет и будет ли вообще, поэтому немножко гипотетически рассуждаем.

В соответствии с этой инициативой (но никаких официальных документов по этому поводу пока не было) будет создана новая государственная структура, которая будет собирать БПД, хранить и предоставлять потенциальным пользователям. Причем структура эта будет якобы жить на 2% с доходов от обработки БПД для рекламной деятельности.

На горизонте 10–15 лет бизнес-модель операторов связи в значительной степени опирается на возможность использовать эти БПД – чтобы получать новые знания, чтобы таргетированно продвигать рекламные сообщения, чтобы создавать новые возможности для бизнеса и для индивидуальных пользователей. Этот вопрос во всем мире стоит достаточно остро, но мне не известны прецеденты, чтобы государство каким-то образом пыталось регулировать эту сферу. Может быть, мы являемся пионерами.

Некоторые представители власти говорят даже, что необходимо регулировать не только БПД, но и вообще объемы данных, которые в перспективе будут аккумулироваться в результате работы IoT-сетей или IoT-сред (IoT – интернет вещей. – «Ведомости»). В пределах 50 лет практически все индустриальные объекты, элементы инфраструктуры могут быть оборудованы системой беспроводного мониторинга, анализа, что приведет к появлению огромных массивов данных.

Вот Дмитрий [Петров] сказал, что сейчас никакого обмена данными нет. Вопрос: если этот обмен будет налажен под эгидой государственной структуры, означает ли это, что у операторов пропадет конкурентное преимущество в отношении использования своих [накапливаемых] БПД?

Я бы хотел попросить специалиста в области юриспруденции поделиться, какая сейчас складывается судебная практика в отношении такого рода вопросов.

Евгений Леонов, старший юрист «Пепеляев групп»: Не могу сказать, что много судебных актов на этот счет. Но мы сами понимаем, что БПД, как их сейчас называют, big data – это для нас никак не определено. То есть очень... теоретическая, скажем так, категория. Но вот что удалось найти.

Судебный спор соцсети «В контакте», которая обратилась с иском к двум компаниям (Double Data и Национальное бюро кредитных историй. – «Ведомости»): одна компания собирала данные с пользователей соцсети, вторая разработала собственно технологию для сбора данных. И первая компания, собирая данные пользователей, потом продавала их. На основании анализа формировался кредитный рейтинг, т. е. может ли лицо стать заемщиком банковской организации. Я заходил на сайт организации – разработчика вот этого ПО: действительно, такие решения предлагаются, их довольно много. Интересно то, что «В контакте» обратилась в суд с иском не о защите неопределенного круга лиц, а с иском о защите смежных прав на базу данных.

Второй спор, который удалось найти, – между Роскомнадзором и МГТС, он был в 2016 г. МГТС продавала обезличенные данные абонентов ряду компаний, а те занимались таргетированной рекламой. Роскомнадзор привлек МГТС за нарушение лицензионных условий, суд претензии поддержал. МГТС передавала партнерам поисковые запросы абонентов, адреса веб-страниц, посещаемых абонентами, тематику информации, размещенной на посещаемых интернет-ресурсах, IP абонента – информацию, достаточную для формирования «рекламного профиля». Суд сказал, что это является персональными данными абонентов, и привлек МГТС к ответственности.

Как это все регулировать – актуальная тема. Мое мнение – пока просто в теории, наверное, нужно все-таки разделять две вещи. Если мы на основе пользовательских данных можем определить конкретное лицо, то можно применять регулирование, аналогичное тому, которое установлено для персональных данных. Если же на основе пользовательских данных мы не можем определить, что это за лицо, то саморегулирования [в отрасли] будет достаточно. Или установить минимальное регулирование: например, пользователь ставит галочку, что да, он согласен передавать свои данные. Идея создания госоператора, с моей точки зрения, выглядит все-таки излишней.

М. А.: У нас присутствует человек, который стал инициатором создания саморегулирующейся структуры в отрасли именно в этом направлении. Воспользуемся этим и спросим Дмитрия [Петрова], как продвигается процесс, какой видится перспектива законотворчества и законоприменения в этой области.

Создание предпосылок, чтобы какое-то взаимное обогащение происходило, – вещь необходимая. Вот самый яркий пример последнего времени. Приходят банки и говорят: «Операторы, можете нам сообщать, когда пользователь меняет sim-карту? Потому что очень высок риск того, что sim-карту поменял не он сам, а кто-то другой, данные могут быть похищены. Это такой момент, который позволяет банкам предотвратить мошенничество. Понятно, что мы им говорим: «Нет, мы вам эти данные не дадим – мало ли что вы с ними сделаете». Кроме того, регулирование использования персональных данных нам этого не позволяет.

Но очевидно, что минимальный обмен информацией позволит как банкам повысить качество услуг (они будут распознавать мошенничество), так и сотовым компаниям проявлять заботу о клиенте. Нужно делать какие-то шаги, и повышение взаимного доверия – первый шаг.

Что во всем мире происходит? В Европе не пошли по пути регулирования. Создана огромная ассоциация, которая пытается нащупать коммерческие проекты [связанные с обменом данными]. В Китае создано две саморегулируемые организации. Первая – как раз среди участников рынка – направлена на развитие обмена данными, они друг к другу присматриваются, разрабатывают стандарты обмена данными, максимально обеспечивающие и защиту данных. Вторая ассоциация больше касается саморегулирования, и она уже с участием регуляторов. Это путь, к которому я призываю.

Регулирование, связанное с интернет-отраслью, более мягкое, у операторов оно более жесткое – наверное, его нужно выравнивать не в сторону жесткого.

М. А.: Если бы Евгений [Васильев] поделился точкой зрения из лагеря операторов...

Я бы в дополнение отметил тот сегмент, где, наверное, присутствие государственного оператора или [гос]организации было бы полезно.

Дело в том, что общеизвестные источники создания big data – это операторы связи, это финансовые сервисы (т. е. банковский сектор). Но само государство является очень серьезным генератором big data. Если будет создан единый понятный, прозрачный интерфейс, в котором участники рынка могут использовать big data, созданную в рамках государственной деятельности, – это вполне полезная инициатива, и она бы очень хорошо дополнила общий ландшафт рынка.

А насчет регулирования согласен, что саморегулируемая организация гораздо лучше, чем государственная компания.

М. А.: А вот про интернет вещей – все же эта тема нас сейчас тревожит. Все-таки необходимо каким-то образом регулировать доступ к этой информации (данным, собираемым с миллионов датчиков различных умных устройств на транспорте, в промышленности) или это тоже должно стать предметом саморегулирования?

Е. В.: Вообще говоря, саморегулирование не означает отсутствие регулирования. И мы знаем в мире примеры, где на уровне саморегулирования регулируется в целом отрасль связи и вполне неплохо все это живет.

Что касается того, нужно ли собирать big data с IoT, с моей точки зрения, это одна из самых главных задач IoT – формирование big data для дальнейшего использования. Поэтому, безусловно, нужно. А механизм сбора, контроля, распределения информации прекрасно укладывается в саморегулируемые организации, в которых, кстати, в том числе и государство может участвовать. У нас даже есть такие примеры: возьмите хоть Ассоциацию документальной электросвязи (АДЭ), которая объединяет операторов связи, но там присутствует государство – контролирует ситуацию, задает какие-то векторы обсуждения и т. д. (в частности, в АДЭ входят Минкомсвязи, Пенсионный фонд, ФСО, ФСБ, ФСТЭК. – «Ведомости»).

Я ни в коем случае не рекламирую какую-то конкретную организацию – я к тому, что есть механизмы, которые могут сочетать, с одной стороны, саморегулирование и эффективное участие в нем операторов, с другой – интересы, контроль [соблюдения] интересов государства.

М. А.: Очень интересно узнать профессиональное, официальное или даже личное мнение законодателя.

Леонид Левин, председатель комитета по информационной политике, информационным технологиям и связи Госдумы: Профессиональное – это уже будут оценивать участники. Думаю, что пока сойдемся на личном мнении.

Во-первых, про закон, с которого вы начали, точнее, про поправку. Детально с текстом не знаком, поэтому сложно комментировать. У нас много центров разработки законопроектов. В Государственной думе вопрос не прорабатывался, и речи о конкретном законопроекте пока не идет. Создан совет по цифровой экономике при председателе Госдумы Вячеславе Викторовиче Володине. И вопросы больших данных, обработки данных – одна из тем, которой также будет посвящено одно из заседаний – я думаю, что в ближайшее время.

Надо понимать, что вопросы, касающиеся пользовательских данных, не упираются в рекламу [использование в рекламных целях], а связаны с развитием бизнеса, связаны с новыми возможностями для пользователей, и вообще большие данные и интернет вещей – это колоссальный резерв для роста ВВП. Относиться к этому нужно максимально серьезно.

С другой стороны, мы видим, что Роскомнадзор фиксирует нарушения в обработке и использовании данных граждан. Это требует обязательного контроля со стороны государства и, может быть, дополнительного регулирования. Очевидно, что государство не может и не должно стоять в стороне от формирующегося рынка в этом направлении. Здесь сразу возникает дискуссия, может ли это быть саморегулирование или государство должно взять [контроль] на себя. Я думаю, что истина, как обычно, где-то посередине. У нас есть примеры того, как государство эффективно обрабатывает данные пользователей: это и портал госуслуг, и ЕС, и др. Государство будет продолжать работу в сфере обработки этой информации. Хотелось бы, чтобы оно, с одной стороны, корректно обрабатывало эти данные, с другой – контролировало использование их коммерческими организациями в третьих целях.

А теперь про третьи цели. Саморегулирование. Мы можем эту историю отдать на откуп [участникам рынка] или нет? Извините, может быть, за резкое сравнение, но тем не менее вспоминается история с коллекторской деятельностью, когда до какого-то времени государство не вмешивалось. Она подтверждает, что как только за этой сферой будут стоять большие деньги, то тогда, по Карлу Марксу, 300% – это уже доход, который застит глаза с точки зрения этики бизнеса. Не хочется, чтобы государству пришлось вмешиваться так же жестко, как сегодня – законодательно – в коллекторский рынок.

Наша задача – найти этот компромисс вместе с отраслью и в первую очередь с гражданами, чтобы мы понимали, что эти сервисы должны расширяться в наших интересах и для развития экономики, но, с другой стороны, чтобы это не стало новым направлением злоупотребления, продажи и, может быть, даже в отдельных случаях шантажа той информацией, которой обладают те, кто эти данные собирает.

М. А.: Спасибо большое. Я думаю, самое главное, что мы услышали, – если подобные инициативы будут, они, наверное, не обойдут как-то комитет по информационной политике и в этот раз мы не окажемся в ситуации, в которой оказались с законом Яровой. И здесь в полной степени вот наш законодатель, он полон решимости учесть интересы и индустрии, и потребителей. Это очень отрадно слышать.