Кто владеет вашими данными в интернете и что об этом говорит закон
Экономически активный гражданин за год 10-20 раз делится персональными данными с одним только государством«Оператор признался в продаже миллиардов записей пользовательских данных», «Хакеры взломали аккаунты полумиллиона покупателей одежды», «С сервера утекла информация почти всех жителей страны» – это лишь несколько заголовков новостей специализированного сайта за неделю.
«Персональные данные», по статье 3 ФЗ-152 «О персональных данных», – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). GDPR (Общеевропейский регламент по защите персональных данных), европейский аналог ФЗ-152, дает более четкое определение с примерами, что именно относится к персональным данным. «Обезличенные данные» – такого понятия в ФЗ-152 нет, но в той же статье 3 вводится понятие «обезличивание персональных данных»: действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных их конкретному субъекту. «Анонимизированные данные» – в российском законодательстве пока нет такого определения, но оно есть в преамбуле к регламенту GDPR, пункт 26. По сути, это окончательно обезличенные данные – которые нельзя соотнести с конкретным владельцем: произвести их «реидентификацию». В случае с некоторыми типами обезличенных данных такое возможно: в GDRP их называют «псевдоанонимизированными».
Довольно молодой и экономически активный гражданин, особенно если он проживает в крупном городе, вполне может в течение года 10–20 раз и даже чаще оставлять свои персональные данные в различных государственных органах, на бизнес-платформах и в социальных проектах, говорит Андрей Арсентьев, аналитик ГК InfoWatch. Набор данных может серьезно варьироваться от случая к случаю, но чаще всего речь идет об ограниченном комплекте: фамилия, имя, отчество, номер мобильного телефона и электронная почта. Но в отдельных случаях человек может предоставлять данные и по десяткам параметров – например, при подаче заявления на выдачу загранпаспорта или при приеме на работу.
Кроме государственных органов основными операторами персональных данных выступают телекоммуникационные компании, банки, медицина, страхование, торговые сети, различные сервисные компании.
По оценке «Левада-центра», около 60% взрослых россиян активно пользуются социальными сетями, при этом многие зарегистрированы сразу на нескольких популярных ресурсах. Таким образом, на эти платформы также регулярно передаются массивы пользовательских данных.
Кроме того, все больше персональных данных передается на платформы интернета вещей (IoT). Например, источниками таких данных служат фитнес-браслеты и устройства умного дома.
Если оставить за скобками запись разговоров абонента, то сейчас бизнес – и телеком, и банки, и соцсети, и интернет-сервисы – собирают сотни килобайт данных о человеке в день, говорит партнер КПМГ Алена Дробышевская.
Все это потенциальный заработок для самых разных бизнесов по всему миру. Кому принадлежат эти данные и есть ли способ их защитить?
Кто возьмет ваши данные
Сайты собирают cookies, интернет-провайдеры – данные о поведении пользователей, операторы публичных сетей WiFi – информацию о MAC-адресах, сотовые операторы – сведения о перемещении клиентов (геоаналитику). Эти пользовательские данные обезличены. В основном их сбор и обработка нужны в коммерческих целях: сотовые операторы, например, с помощью геоаналитики помогают ритейлерам найти самое удачное место для размещения торговых точек.
Кроме юридических способов защитить интеллектуальную собственность можно использовать и технические – тот же блокчейн. «Главный потенциал этой технологии – в ее способности сделать максимально прозрачными отношения между большим количеством участников по вопросам интеллектуальной собственности: между авторами, правообладателями и пользователями», – говорит управляющий партнер MindSmith Руслан Юсуфов. Блокчейн позволяет фиксировать любые взаимодействия и автоматизировать их при помощи смарт-контрактов – компьютерных алгоритмов, предназначенных для заключения и поддержания самоисполняемых контрактов. Информация при этом сохраняется неизменной – благодаря криптографической системе защиты. Таким образом, владельцам интеллектуальной собственности не придется доказывать на нее свои права – можно будет сразу увидеть, кому она принадлежит, кто ее использовал и как распределить доход за это между участниками рынка. Блокчейн может стимулировать появление новых бизнес-моделей, позволив провайдерам данных, агрегаторам и аналитикам работать вместе, полагают в MindSmith.
Некоторые игроки рынка при этом собирают персональные данные пользователей напрямую. В их числе – социальные сети и рекрутинговые порталы, где пользователь сам загружает данные в открытый доступ. В последние годы на сбор и обработку этих сведений в коммерческих целях стали претендовать IТ-стартапы, которые часто занимаются этим без ведома пользователей. Вопрос, законно ли это, в российской судебной практике пока не решен.
Работа алгоритмов таких компаний основана на технологиях, которые позволяют буквально прочесывать весь интернет в поисках данных. «Иногда даже непонятно, охраняются эти данные авторским правом или нет», – говорит советник председателя правления фонда «Сколково» по вопросам интеллектуальной собственности Максим Прокш. При этом Гражданский кодекс «презюмирует добросовестность участников правоотношений», «так что, если они не знали или не могли знать, что там есть какие-то запреты, скорее всего их деятельность легальна», замечает он.
Сколько данных у пользователя
Объем рынка пользовательских данных, который является частью big data, оценить сложно: он слишком непрозрачен и методологии оценок разнятся. Пресс-служба Фонда развития интернет-инициатив (ФРИИ) со ссылкой на отчет международной компании OnAudience.com сообщила, что оборот этого рынка быстро растет: в 2018 г. он составил 890 млн руб. ($13,7 млн), что на 22% больше, чем в 2017 г. Ранее, в 2018 г., журнал РБК подсчитал, что если суммировать оценки разных экспертов по обороту пользовательских данных в рекламе, скоринге и маркетинге, то речь идет о сумме не менее чем в 3,3 млрд в год.
Чья база
Четкого регулирования рынка данных, в том числе пользовательских, в России нет. По словам директора по правовым инициативам ФРИИ Александры Орехович, сейчас в России есть три законопроекта по этому вопросу – от «Сколково», Совета Федерации и ФРИИ. Пока ни один из них не внесен в Госдуму, документы обсуждаются на различных площадках.
Массивы данных и алгоритмы – только один из новых видов нематериальных активов, регулирование прав и оборота которых еще не сформировалось.
К таким новым видам нематериальных активов можно отнести также:
■ программное обеспечение (отдельно код и отдельно основанный на нем продукт)
■ блокчейн-активы
■ репутация, признание и гудвилл
■ виртуальные активы и виртуальные валюты
■ публичность, конфиденциальность, право на забвение
■ права по смарт-контрактам
■ интернет-активы (в том числе доменные имена, индексы контента и т. д.)
■ нетрадиционные товарные знаки и узнаваемость бренда (звуки, цвета, ароматы)
■ бизнес-методы
■ активы, содержащие данные (например, о пользователях соцсетей – количество и охват подписчиков, связи, время контакта с контентом, лайки и т. д.; журналах использования устройств интернета вещей; биометрических данных)
■ кредитная история
Источник: IPChain
Общее в этих трех проектах, по словам Орехович, – все они оставляют понятие «обезличенные данные», для регулирования оборота которых достаточно существующего законодательства о персональных данных. Одновременно вводится понятие «анонимизированные данные» – которые полностью утратили связь с субъектом персональных данных. Они свободны к обороту и выводятся за пределы регулирования законодательства о персональных данных. По сути, это и есть большие данные (big data).
Уже больше года в судах идут два разбирательства, связанных с вопросом использования и прав на данные пользователей: «В контакте» против Double Data и HeadHunter против «Стафори». Оба они касаются вопроса, кому должны принадлежать данные пользователей: компаниям, которые их собрали, пользователям или их может использовать кто угодно?
Исход этих дел может повлиять на работу IТ-компаний, которые собирают и используют большие данные в России. На вопрос, кому принадлежат данные пользователей, которые находятся в открытом доступе, в российском законодательстве однозначного ответа нет, считают опрошенные «Ведомости&» юристы.
«В контакте», принадлежащая Mail.ru Group, в январе 2017 г. подала иск о защите исключительных смежных прав на свою базу данных пользователей к компании Double Data и Национальному бюро кредитных историй. Согласно заявлению истца, которое цитируется в картотеке арбитражного суда, в базе находилось 407 млн профилей. Double Data извлекала из них данные и обрабатывала, например, чтобы помогать коллекторам искать заемщиков, а банкам – оценивать потенциальных заемщиков. Double Data заявила, что у «В контакте» нет исключительных прав на созданную базу данных: для соцсети эта база не основной, а побочный продукт и ограничить использование общедоступных данных можно только федеральным законом.
Суд первой инстанции с этим согласился, но в апелляции «В контакте» удалось доказать, что структура данных пользователей является базой данных истца, на организацию и поддержание которой он понес затраты, и, таким образом, действия Double Data нарушают интеллектуальные права соцсети.
Позже, в 2018 г., суд кассационной инстанции отменил решение, которое запрещало Double Data использовать открытые данные «В контакте» в коммерческих целях. Спор, извлекала ли компания данные пользователей именно из собранной соцсетью базы данных (учитывая, что технология работает по принципу поисковиков: открытые данные собирают по всему интернету) и если да, то можно ли сказать, что ответчик использовал ее существенную часть, до конца не решен. Суд отправил дело на новое рассмотрение. Оно запланировано на июль 2019 г.
Роботы и кадры
В ноябре 2017 г. компания HeadHunter подала иск к сервису Friend Work, а в декабре – еще и к ООО «Стафори» (сервис по автоматизации рекрутинга «Робот Вера») и американскому сервису управления трафиком CloudFlare. По данным истца, в обоих случаях сервисы извлекали базу данных резюме ресурса hh.ru и предоставляли доступ к данным третьим лицам без ведома кадрового портала.
Судебная практика по делам о защите новых типов интеллектуальной собственности и пользовательских данных только формируется во всем мире. Вот самые известные случаи, когда компании судились с разработчиками или пытались ограничить их доступ к данным другими способами.
Facebook в 2016 г. запретил британской страховой компании Admiral Insurance использовать алгоритм анализа личностных качеств владельцев автомобилей на основе их поведения, назвав его «слишком навязчивым». Решение поддержали британские правозащитники. В 2018 г. соцсеть отключила 66 страниц сотрудников российской компании Social Data Hub. В этих двух случаях до суда дело не дошло, но в мае 2019 г. Facebook уже подал иск – к южнокорейской аналитической компании Rankwave.
Linkedin в 2017 г. направил в компанию hiQ Labs письмо с требованием прекратить использовать открытые данные своих пользователей. После этого hiQ Labs подала иск против LinkedIn, утверждая, что принадлежащая Microsoft Corp. профессиональная соцсеть нарушает антимонопольное законодательство. Суд США в 2018 г. постановил, что LinkedIn не имеет права препятствовать доступу к информации общедоступных профилей своих пользователей, и обязал ее в течение 24 часов удалить любую технологию, которая препятствует доступу к ним.
В случае с Friend Work Мосгорсуд принял сторону HeadHunter, а вот с «Роботом Вера» доказать, что разработчики этого стартапа использовали именно базу резюме истца, ему не удалось. При этом Мосгорсуд признал, что HeadHunter принадлежит исключительное право на собранную базу резюме.
После этого портал начал блокировать учетные записи компаний-работодателей, использующих расширения от сервисов автоматизированного подбора сотрудников. Но в апреле уже «Стафори» пожаловалась на портал в Федеральную антимонопольную службу (ФАС) – та возбудила административное дело не только против HeadHunter, но еще и против Rabota.ru и Superjob.ru. ФАС обнаружила, что ограничения на использование программного обеспечения автоматизированного подбора персонала содержатся в правилах порталов, и выявила факты блокировки таких сервисов.
«Мы делаем мир удобнее для вас»
Операторы данных используют информацию в своих интересах, предлагая пользователям всевозможные продукты, но в то же время благодаря персональным и динамическим данным техногиганты делают мир удобнее для пользователя, написал в колонке для The New York Times генеральный директор Google Сундар Пичаи в начале мая. Также он заверил, что данные надежно защищены и никогда не будут проданы третьей стороне. При этом, когда карты компании предлагают пользователю кратчайший путь до дома, поисковая строка дает ответы на любые вопросы (которые зачастую вы не решитесь задать даже самым близким), технологии экономят время пользователей, чтобы они могли заняться чем-то действительно интересным для них. Проблема в том, что все люди понимают конфиденциальность по-своему: для больших семей это защита данных друг от друга, для бизнеса – защита информации клиентов, для подростков – возможность уничтожить свои селфи. А потому компаниям важно максимально индивидуализировать возможности пользователей по защите их данных, уверен Пичаи.
Право и согласие
Решения судов в этих двух случаях были противоречивыми и ясности на рынке не прибавили, считает юрист Deloitte Legal Алина Давлетшина. «Однозначного вывода и какого-то критерия, по которому мы [юристы] можем сейчас работать, у нас нет, устойчивая практика пока не сложилась», – отмечает она.
В случае с делом «В контакте» и Double Data компании, которые организуют сбор баз пользовательских данных, приобретают исключительные права только на их компиляцию. Но в то же время у правообладателя есть право запрещать извлечение данных из своей базы – это следует из статьи 1334 Гражданского кодекса, рассуждает она. Под извлечением понимается перенос всей базы данных или ее существенной части на другой информационный носитель. Но что считать существенной частью, закон не определяет.
В поисках единообразия
Единообразная судебная практика по делам, связанным с оборотом данных, еще не сложилась, считает Прокш из «Сколково» (Double Data является резидентом фонда). Такого же мнения придерживается Давлетшина из Deloitte. Именно поэтому дела «В контакте» против Double Data и HeadHunter против «Стафори» имеют такое значение – не только для их участников, но и для других компаний, которые работают или хотят работать в России.
Итоговое решение должно быть сбалансированным, считает Прокш: учитывать интересы создателя базы данных, разработчиков алгоритмов, которые не всегда могут знать, из каких открытых источников их программные продукты собирают данные в интернете, и самих пользователей. В пользу сервисов, подобных Double Data, говорит то, что нельзя все данные в интернете считать охраняемым результатом интеллектуальной деятельности, к которым применима часть IV Гражданского кодекса, регулирующая вопросы охраны баз данных, полагает он. Скорее эти правоотношения должны рассматриваться в рамках законодательства об информации.
«Доступ к данным может осуществляться только с согласия пользователей и при наличии законных оснований», – говорит представитель «Мегафона» Юрий Нехайчук. Если интернет-площадка инвестировала в создание базы данных, где хранятся данные пользователей, то доступ к ним должен определяться волеизъявлением этих пользователей и правилами самой площадки.
Если судебная практика не будет учитывать интересы всех сторон, компании вроде Double Data могут перейти из российской в другие юрисдикции, считает Прокш. По его словам, Double Data – не единственный резидент «Сколково», который занимается сбором больших данных: сейчас у фонда около 2000 резидентов, треть из них – это IТ-стартапы, среди которых также есть немало потенциальных участников этого рынка. &
Текст: Мария Салтыкова