Министерство цифрового развития, связи и массовых коммуникаций России разработало новую версию поправок к закону о персональных данных, следуя которой бизнес будет обязан бесплатно отдавать властям обезличенную информацию своих клиентов. С идеями правительства ознакомился «Коммерсант».
- Данные будут собирать «для государственного и муниципального управления». Однако, по какому регламенту бизнес будет делиться информацией с властями, пока неизвестно.
- Обновленный вариант законопроекта описывает участников рынка, как «операторов персональных данных». Под это определение подпадают физические и юридические лица (онлайн-сервисы, финансовые организации, мобильные операторы и проч.), а также органы власти.
- Операторы определяют цели обработки данных и осуществляют отбор необходимой информации.
- Среди таких операторов «Коммерсант» называет Сбербанк, Газпромбанк, банк «Тинькофф», Qiwi, «Яндекс», Mail.ru Group, «Билайн», «МегаФон», «Ростелеком» и МТС.
В зависимости от методики подсчета, ежегодный оборот рынка больших данных в России составляет от 10 до 30 млрд руб (информация Ассоциации больших данных (АБД)).
Минцифры направило первую версию документа в правительство 10 марта, а 16 марта внесло повторно.
Реакция бизнеса и экспертов
- Президент АБД Анна Серебрянникова раскритиковала законопроект за демотивацию бизнеса заниматься обработкой данных и создание дополнительных ограничителей и издержек. С ней согласились в «МегаФоне».
- «Яндекс» обратил внимание на то, что Минцифры не определило термин «обезличенные данные», а также — процесс передачи информации и меры по обеспечению безопасности данных клиентов.
- По словам директора по стратегическим проектам Института исследований интернета Ирины Левовой, проект Минцифры демонстрирует стремление государства выйти на рынок цифровых услуг. Она утверждает, что законопроект отошел от своего замысла создать в России условия для эффективного и безопасного оборота обезличенных данных граждан.
Контекст
В феврале 2021 года Госдума России приняла в первом чтении проект поправок к законопроекту «О персональных данных», согласно которым, в частности, один гражданин может давать согласие на обработку данных для нескольких целей. Изменения предусматривали полномочия Роскомнадзора по установке требований к обезличиванию данных пользователей и к инструментам для этого.
- Согласно первой версии документа, внесенной в Госдуму 10 февраля, операторы персональных данных должны были использовать защиту информации с возможностью полного ее уничтожения. Сертифицировать средства защиты должны были ФСБ и Федеральная служба по техническому и экспортному контролю.
- Для пользователей предусматривался универсальный идентификатор, который мог заменять собой ФИО и паспортные данные.
Предполагалось, что поправки должны расширить возможности для инновационного бизнеса по сбору персональных данных россиян.
Обезличенные данные в России
Исходя из положений ФЗ №152 «О персональных данных», обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
- 3 марта 2021 года Минцифры высказало идею о свободной обработке обезличенных данных россиян бизнесом при условии, что операторам будет запрещено «использовать иную информацию, действия и методы, которые помогут определить принадлежность персональных данных конкретному субъекту».
- 12 марта Минцифры представило законопроект, в котором приравнивает обезличенные данные к персональным. Использование обезличенной информации без разрешения граждан, согласно проекту, будет возможным только в целях исследований, сбора и обработки статистики.
Защита персональных данных в мире
Европа
В мае 2018 года Европейский Союз ввел Общий регламент по защите данных (GDPR). Регламент требует от ИT-компаний получать согласие каждого человека всякий раз, когда они собирают персональные данные гражданина (например, используя cookies).
- Разрешение при этом должно быть выражено в форме утверждения или в однозначных активных действиях пользователя. Согласие на обработку данных ребенка должно быть получено от его родителей или законных представителей.
- GDPR также расширил право резидентов ЕС контролировать обработку персональных данных. В частности, они получили возможность узнавать, каким третьим лицам раскрываются их данные, а также требовать исправления или удаления информации.
- Регламент устанавливает более жесткие правила обмена персональными данными пользователей. В частности, компании обязали уведомлять регулирующие органы о любых нарушениях регламента в течение 72 часов после их обнаружения.
- Максимальный штраф за нарушение GDPR — 4% от глобального оборота компании.
США
В сентябре 2018 года в американском штате Калифорния был одобрен California Consumer Privacy Act, или CCPA.
- Согласно этому акту, каждый пользователь Интернета в штате получает право требовать у каждой компании не только собранную о нем информацию, но и список третьих лиц, которым она была предоставлена.
- Также граждане получили возможность подавать в суд на предприятие, которое не выполнило запроса в срок или неправомерно воспользовалось личной информацией.
- Под действие закона попали компании с минимальным годовым доходом $25 млн или с базой персональных данных более 50 тыс. человек. Такие компании также должны обрабатывать данные резидентов Калифорнии, находящихся в пределах или за границей штата.