В Госдуму внесен законопроект, который обяжет интернет-компании уведомлять пользователей о том, что их данные будут обрабатываться в обезличенном виде. Для участников рынка инициатива стала сюрпризом.

Большие пользовательские данные (big data) — любая обезличенная информация о физических лицах и их поведении, собираемая из различных источников, в том числе из интернета, в количестве более 1 тыс. сетевых адресов — могут обрабатываться и передаваться третьим лицам только с разрешения пользователя. Такое предложение содержится в законопроекте, внесенном в Госдуму во вторник, 23 октября, депутатом от «Единой России» Михаилом Романовым (позже список авторов увеличился).

Согласно документу оператор таких данных должен будет публиковать на своем сайте или разослать пользователям сообщение о том, что намерен осуществлять обработку их данных в обобщенном виде. Оператор данных также обязан будет получить информированное согласие пользователя об идентификации своего сетевого адреса до начала обработки данных для целей третьих лиц. Решение о том, какая информация должна содержаться в сообщении, а также о форме согласия, будет принимать Роскомнадзор.

При этом оператор больших пользовательских данных, осуществляющий идентификацию не менее 100 тыс. сетевых адресов, должен перед началом обработки уведомить об этом Роскомнадзор. В уведомлении должна содержаться цель и описание способов обработки данных, а также другая информация. Роскомнадзор должен создать «Реестр операторов больших пользовательских данных».

Законопроект предполагает ввести ограничение на идентификацию конкретного человека с помощью больших данных за исключением случаев такой обработки по запросам федеральных органов исполнительной власти, осуществляющих оперативно-разыскную деятельность.

О каких данных идет речь

В пояснительной записке к законопроекту сказано, что большие пользовательские данные — это массив обезличенной информации о пользователях, которой те делятся в интернете в результате использования различных социальных сетей, сервисов, устройств и других информационных технологий. «Правовой вакуум» в области больших данных лишает пользователей правовой защиты и поддержки, тогда как эта информация дает возможность компаниям определять отдельные характеристики пользователей и использовать полученные сведения для собственных целей либо продавать и передавать третьим лицам, отмечается в документе.

Сооснователь маркетинговой платформы CallToVisit Дмитрий Егоров пояснил РБК, что «сетевые адреса», о которых идет речь в проекте, это, скорее всего, IP-адреса, так как любая интернет-компания способна их видеть. «Это не обязательно будет конкретный человек, так как есть IP-адреса, приписанные устройствам, или динамические IP-адреса, к которым в разное время могут подключаться разные устройства или сразу несколько устройств», — сказал он.

Готов ли рынок

Представитель Ассоциации больших данных сообщил, что участники рынка и бизнес-ассоциаций не участвовали в разработке законопроекта. «Мы изучаем текст документа, но уже сейчас можно отметить, что излишнее регулирование в этом вопросе будет препятствовать развитию рынка больших данных в России. Например, мы считаем, что создание единого термина, описывающего большие данные в целом, нецелесообразно, с учетом того, что категории информации, которые могут собираться, постоянно меняются количественно и качественно с развитием технологий», — отметил он.

Об интересе к использованию больших данных ранее заявляли крупные телекоммуникационные компании, финансовые организации и другие участники рынка. На данный момент в России регулируется только оборот персональных данных, под которыми понимают любую информацию, которую можно соотнести с конкретным физическим лицом. С 1 сентября 2015 года вступила в силу норма о том, что обработанные персональные данные россиян должны храниться на территории страны. Рынок больших данных, под которыми понимают большие объемы обезличенной информации о пользователях, остается в «серой зоне».

Представители «Ростелекома» и «ВымпелКома» (бренд «Билайн») сказали, что пока изучают документ. Представитель МТС отказался от комментариев.

По словам Егорова, индустрия давно ожидала и знала о том, что когда-нибудь такой закон должен появиться. «Такая инициатива обсуждалась и ранее, например на базе ФРИИ (Фронда развития интернет-инициатив. — РБК) в начале года. Считаю, что регулирование больших данных оправдано, так как с проникновением интернета и интернета вещей все больше компаний стали собирать у себя большие массивы обезличенных данных, с помощью которых можно описать поведение человека, пусть и без указания конкретного имени, или даже поведение целой нации. Государство тоже хочет контролировать эти данные, поэтому стремится упорядочить процесс сбора и обработки информации о своих гражданах», — отметил Егоров. По его словам, сейчас с помощью больших данных можно определить все что угодно — от геолокации до состояния здоровья, причем для довольно большой группы людей. «Обезличенные данные можно назвать большим поведенческим срезом. И если обработка персональных данных регламентирована, то больших — нет, хотя это может быть довольно чувствительной информацией», — сказал Егоров.

Директор по правовым инициативам ФРИИ Александр Орехович назвал инициативу депутатов неожиданной для рынка. Он указал, что не очень понятно, как оператор будет получать согласие пользователя на обработку его данных, учитывая, что это будут обезличенные данные. Кроме того, в реестр операторов больших пользовательских данных предлагается включать только операторов, идентифицирующих не менее 100 тыс. сетевых адресов. «То есть речь идет о сайтах, интернет-агрегаторах, собирающих большое количество обезличенной информации онлайн. При этом большинство офлайн-операторов (в чьем распоряжении находятся данные в не меньшем количестве: банки, например) остаются за рамками регулирования. Причина такого выборочного контроля остается не совсем понятной», — указал Орехович.

Представитель Роскомнадзора отказался комментировать инициативу, отметив, что ведомство не участвовало в ее разработке.

Председатель комитета по информационной политике, информационным технологиям и связи Госдумы Леонид Левин сообщил РБК, что сейчас тема регулирования больших данных широко обсуждается не только в России, но и за рубежом. В то же время он с осторожностью отнесся к инициативе. «Учитывая то, что в рамках данной инициативы планируется вводить механизмы регулирования информации о физических лицах и их поведении, необходимо крайне аккуратно подходить к работе над этой чувствительной темой, уделив особое внимание защите конституционного права граждан на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени», — сказал Левин.

Источник РБК в Госдуме отметил, что «говорить о конкретных перспективах этого законопроекта пока преждевременно», поскольку это «инициатива отдельных лиц».