В Госдуму внесли законопроект, который обязывает операторов больших данных получать согласие пользователей на сбор и обработку Big Data. Этот же закон обязывает передавать эти данные правоохранительным органам в случае осуществления оперативно-розыскной деятельности (ОРД).
Проект закона о Big Data
В Госдуму группа депутатов в соавторстве с членом партии Единая Россия Михаилом Романовым внесли Законопроект №571124-7. Документ нормативно закрепляет определения больших пользовательских данных, оператора этих данных. А также регулирует их обработку. В проекте закона прописано, что к большим пользовательским данным относится совокупность информации о физических лицах. Кроме персональной, «позволяющей без использования дополнительной информации или обработки определить конкретное физическое лицо».
В поправках к 149-ФЗ «Об информации, информационных технологиях и о защите информации» авторы предлагают определить понятия:
- «Большие пользовательские данные».
- «Оператор больших пользовательских данных».
- «Обработка больших пользовательских данных».
Определение «больших данных»
Законопроект определяет большие данные как «совокупность не содержащей персональных данных информации о физических лицах и (или) их поведении. Не позволяющая без использования дополнительной информации и (или) дополнительной обработки определить конкретное физическое лицо, собираемой из различных источников, в том числе сети «Интернет», количество которых превышает тысячу сетевых адресов».
Из этого следует, что под большими данными подразумевается практически вся информация, которую могут собирать компании в обезличенном виде.
К обработке таких данных относят любое неавтоматическое действие, которое подразумевает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, удаление, уничтожение больших пользовательских данных.
Оператор «больших данных»
Согласно положениям документа, операторами больших пользовательских данных могут быть госорганы, органы местного самоуправления, юридические или физические лица, которые осуществляют их обработку.
Стоит отметить, что оператор БПД обязан размещать на своем сайте информирование о намерении их обрабатывать.
«А при отсутствии такого сайта иным доступным способом информирует в электронной форме пользователя абонентского терминала (пользовательского оборудования) о своём намерении осуществлять такую обработку».
Также до начала обработки Big Data для целей третьих лиц оператор обязан получить согласие, указано в законопроекте. Требования к информационному сообщению и его форма устанавливаются Роскомнадзором.
Новый понятийный аппарат
В пояснительной записке к законопроекту отмечается, что сейчас такие большие данные в России никак не регулируются. И одним из первых шагов в этом направлении должно стать введение нового понятийного аппарата.
«Законопроектом в целях предотвращения нарушения конституционных прав человека и гражданина, в том числе на неприкосновенность частной жизни, личной и семейной тайны, предлагается установить запрет на обработку больших пользовательских данных, направленную на определение (идентификацию) конкретного физического лица, за исключением случаев такой обработки по запросам федеральных органов исполнительной власти, осуществляющих оперативно-розыскную деятельность», — гласит текст в пояснительной записке к проекту.
«Оператор больших пользовательских данных, осуществляющий обработку, в том числе сбор больших пользовательских данных посредством идентификации не менее 100 тысяч сетевых адресов, — указывает законопроект, — за исключением федерального органа исполнительной власти, органа исполнительной власти субъекта РФ, органа местного самоуправления, обязан уведомить Роскомнадзор о своём намерении осуществлять обработку больших пользовательских данных для целей третьих лиц».
Обязанности операторов БПД:
- Размещение на сайте информации для пользователей о сборе данных. Если сайта нет, то уведомить его «иным доступным способом».
- Оператор БПД должен получать согласие в электронной форме от пользователя об идентификации IP-адреса до начала обработки данных.
- В случае, если оператор БПД собирает данные более, чем со 100 тысяч сетевых адресов, он обязан уведомить государственные органы о своём намерении осуществлять обработку БПД.
- Оператор БПД обязан передавать данные правоохранительным органам по запросу в случае осуществления ОРД.
В свою очередь, Роскомнадзор будет вести реестр операторов БПД.
Комментарии экспертов отрасли
В Ассоциации больших данных, которую недавно создали МегаФон, Mail.Ru Group, oneFactor, Тинькофф Банк, Яндекс и Сбербанк заявили, что участники рынка, а также бизнес-ассоциации не принимали участия в разработке данного законопроекта.
«Мы изучаем текст документа. Но уже сейчас можно отметить, что излишнее регулирование в этом вопросе будет препятствовать развитию рынка Big Data в России. Так, например, мы считаем, что создание единого термина, описывающего большие данные в целом, нецелесообразно. С учетом того, что категории информации, которые могут собираться, постоянно меняются количественно и качественно с развитием технологий», — отметил представитель ассоциации.
«Внесенной инициативой описываются базовые правила для применения в этой области, — сказал председатель комитета по информационной политике, информационным технологиям и связи Госдумы Леонид Левин, комментируя законопроект о «больших данных». — Развитие нормативной базы, определяющей порядок применения технологий Big Data необходимо проводить осторожно. Поскольку предполагается использовать подходы, отличающиеся от тех, что уже применяются в сфере регулирования информационных технологий». Также он отметил, что тему больших данных сегодня активно обсуждают не только в России, но и за рубежом.
Депутат подчёркивает, что предлагаемые нововведения имеют отношение к закону «О персональных данных». А не к области, регулируемой федеральным законом №149-ФЗ «Об информации, информационных технологиях и о защите информации». Как это преподносят авторы.
Кроме этого, Левин назвал регулирование информации очень чувствительной темой. К ней надо подходить с позиций защиты конституционных прав граждан.
«Учитывая то, что в рамках данной инициативы планируют вводить механизмы регулирования информации о физических лицах и их поведении. Необходимо крайне аккуратно подходить к работе над этой чувствительной темой. Уделив особое внимание защите конституционного права граждан на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени».
Будут ли Big Data в сохранности
Директор Общества защиты интернета Михаил Климарёв сомневается в сохранности «больших пользовательских данных» в руках госорганов.
«Этот закон не касается операторов персональных данных — банков, страховых компаний, операторов связи и т.д., — высказывает своё мнение о законопроекте отраслевой Telegram-канал «Нецифровая экономика». — Фактически, он про регулирование сайтов, которые собирают Big Data о сетевых адресах пользователей без идентификации оных».
Замечает один из пользователей: «Но кроме Яндекса пойди найди в офлайне эти сайты. Куда инспектора направлять и как определить, что такая организация собрала более 100 тыс адресов. Где это можно увидеть? А если я напишу на сайте, что я не собираю Big Data? Вот как реально это проверить?».
Фото: Unsplash.