Свою трактовку понятию персональных данных помощник президента Игорь Щеголев дал на заседании коллегии Роскомнадзора в понедельник. Действующее понятие закреплено принятым в 2006 году законом «О персональных данных» (ФЗ-152). По нему такими данными считается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Щеголев считает, что на момент принятия закона такое определение было актуально, но сейчас оно должно быть расширено. Он предлагает распространить это понятие на информацию о действиях пользователей в интернете. В качестве примера Щеголев привел поисковые запросы, данные геолокации и информацию о посещаемых пользователями сайтах. Эти данные напрямую не идентифицируют человека, но характеризуют его привычки, поведение и мировоззрение, а значит, могут считаться персональными, объяснил Щеголев.
Весь массив подобных данных помощник президента назвал «нефтью современной экономики» — именно с их помощью интернет-компании достигают монетизации. Но саморегулирование в вопросе, какую персональную информацию можно собирать, как ее защищать и что с ней делать, рынок, по мнению Щеголева, обеспечить не в состоянии.
Права человека
Щеголев считает, что его предложение расширить трактовку понятия персональных данных призвано защитить пользователей. Сейчас операторы данных защищают от распространения такую информацию, как фамилия, имя и отчество человека или его паспортные данные, отметил помощник президента. Но параллельно они собирают много других данных о человеке, для того, например, чтобы продавать ему рекламу.
«Мы хотим, чтобы права человека были защищены и пользователь давал согласие на сбор тех или иных данных, принимая пользовательское соглашение», — объяснил свою задачу Щеголев. Такие соглашения, по его мнению, должны заключаться для каждого сервиса в отдельности: интернет-компания, получившая согласие на использование персональных данных «в электронном ящике», не может использовать ту же информацию для «сопряженной социальной сети».
Он также предложил ввести в российское законодательство «право на забвение»: удаление из интернета частных данных пользователя по его запросу.
Руководитель Роскомнадзора Александр Жаров, также присутствовавший на коллегии, обещал рассмотреть предложения Щеголева. Сам помощник президента уточнил РБК, что в конкретный документ его идеи пока не оформлены.
Роскомнадзор пока предлагает относить к персональным данные, которые могут идентифицировать пользователя, говорит источник РБК, близкий к ведомству. Это облегчает правоприменение закона, так как именно такую информацию сейчас защищают интернет-площадки, объясняет он.
Действующее определение персональных данных и так позволяет трактовать их максимально широко, считает консультант по безопасности Cisco Systems Алексей Лукацкий. К тому же это понятие совпадает с определением, закрепленным в Европейской конвенции по защите персональных данных. «Пока мы находимся в Совете Европе, мы не можем менять ни само понятие таких данных, ни практику проверок способов их обработки», — считает эксперт.
Ответственные за сбор
Данные о действиях пользователях в Сети, или так называемые логи, собирают все крупные интернет-площадки, включая Google, Facebook, Twitter, «ВКонтакте», «Яндекс» и др. С их помощью они, к примеру, таргетируют рекламу.
С помощью таких данных компания не может достоверно определить имя человека, но легко может отследить его интересы или место проживания, говорит источник в Mail.Ru Group. Все пользовательские данные компания уже хранит в России, так что дополнительных трат от расширения понятия пользовательских данных для себя не предвидит, уточнил другой собеседник РБК в компании. Представители «Яндекса», Rambler&Co, Mail.Ru Group и зарубежных компаний, которые с 1 сентября должны хранить персональные данные россиян в России, на запрос РБК вчера не ответили.
Российским площадкам инициатива Щеголева не нанесет ущерба, но если пользователи будут массово отказываться от сбора метаданных, это отразится на рынке технологичной рекламы, считает ведущий аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян. «Международным крупным игрокам вроде Criteo и DoubleClick Bid Manager [принадлежит Google], возможно, будет проще уйти с рынка, чем исполнять закон в такой трактовке», — считает технический директор компании GetIntent (платформа для размещения рекламы в интернете) Владимир Климонтович. Эти компании с согласия площадок размещают на них свои «счетчики», которые могут собирать обезличенные данные о пользователях, объясняет он. По оценке отраслевого издания AdIndex.ru, в прошлом году рекламодатели потратили на рекламу, размещаемую в интернете с использованием данных о действиях пользователей, более 3,2 млрд руб.
Во многих европейских странах данные о поведениях пользователей в Сети входят в понятие персональных, отмечает Казарян. Но в законодательстве ЕС существует разграничение по категориям важности персональных данных, и защищаются они по-разному. В тех странах, где есть специальное регулирование в отношении таких данных, находятся и не слишком болезненные решения, чтобы им соответствовать, отмечает юрист адвокатского бюро «Егоров, Пугинский, Афанасьев и партнеры» Павел Садовский.
Дарья Луганская, Ирина Юзбекова