Многие ретейлеры и управляющие компании торговых центров считают, что персональные данные — это когда есть изображение человека и его ФИО, а вот mac-адрес телефона, который компании получают, используя новые технологии, не является персональными данными. Что говорит об этом закон?
— Персональные данные — это любая информация, которая относится прямо или косвенно к определяемому или определенному физическому лицу (ФЗ-152 «О персональных данных» 2006 года). Если упрощать, то это любая информация, относящаяся к конкретному человеку. На практике и в науке идут споры о том, как толковать это определение. И есть две основные позиции. Первая — надо толковать предельно узко и понимать под персональными данными только ту информацию, которая сама по себе позволяет идентифицировать лицо. Например, паспорт, паспортные данные. Банковская карточка, кстати, не подходит, потому что по ее номеру, дате выдачи нельзя определить, кому она принадлежит, а если там написано имя — тогда уже можно.

Биография

Алексей Грибанов окончил в 2013 году юридический факультет Национального исследовательского университета «Высшая школа экономики» (Санкт-Петербург), в 2014 году окончил магистратуру в Школе права университета Кейс Вестерн Резерв (Кливленд, штат Огайо, США). С 2019 года является старшим юристом и руководителем практики «Интеллектуальная собственность и информационные технологии» петербургского офиса юридической фирмы «Борениус». В этой фирме работает с 2016 года.

Алексей фокусируется на сделках и спорах в сфере интеллектуальной собственности, защите персональных данных, регулировании интернета и новых технологий (криптовалюты, большие данные и т. д.) по праву России и Европейского союза.



Но в последнее время доминирует вторая позиция. Это широкое определение персональных данных, которое основано на буквальном толковании текста закона, — любую информацию, связанную с человеком, следует рассматривать как персональные данные. Почему? Потому что в современном мире информация о нас собирается, накапливается в огромном количестве совершенно разными субъектами. Она активно между ними циркулирует. И если мы возьмем кусочек информации, который сам по себе вас не идентифицирует, мы легко можем его сопоставить с другими такими же кусочками информации, которые вместе позволяют определить лицо, к которому относилась эта информация. Поэтому, чтобы защитить частную жизнь человека, в конечном счете мы должны думать в том числе о том, что происходит с этими маленькими кусочками информации, не представляющими сами по себе никакой ценности.  

А что говорит судебная практика про mac-адрес телефона?
— Такая практика мне пока неизвестна, но согласно этому подходу, бесспорно, следует считать, что это тоже персональные данные. Мы все очень тесно связаны со своими мобильными устройствами, а mac-адрес — это то, что идентифицирует уникальным образом наше устройство. Широкое определение персональных данных соответствует европейскому подходу. В Европе, как мы знаем, в 2016 году был принят общеевропейский регламент, в 2018 году он вступил в силу.

Справка

GDPR — General Data Protection Regulation. Общий регламент Европейского союза по защите персональных данных. Принят в 2016 году, вступил в силу в мае 2018 года. В нем обобщена практика многих десятилетий урегулирования оборота персональных данных в Европе. В регламенте содержится определение персональных данных, и оно очень похоже на российское определение.



На ваш взгляд, какое толкование правильное?
— Широкое толкование, потому что узкое не позволяет защитить информацию о нас, а значит, все остальные данные, не подпадающие под узкое определение, будут использоваться произвольно, что создает возможность вторжения в частную жизнь человека без его разрешения. Поэтому, если резюмировать, в законе предусмотрено широкое определение, на практике некоторые специалисты, ученые пытаются его сужать, в том числе для того, чтобы уходить от необходимости соблюдения законодательства о персональных данных. Россия очень тесно связана с Европой, и наше законодательство во многом — это производное от европейского законодательства, просто логично не идти здесь каким-то самостоятельным путем, а идти в русле европейской мысли, соблюдать их подход и с коллегами говорить на одном языке. Поэтому широкий подход представляется более правильным. 

А как дела обстоят в США и Китае?
— В Китае другая модель и другой подход к регулированию персональных данных. Там персональные данные очень свободно используются государством, госкомпаниями, права субъектов в этом смысле особо не учитываются, это дает мощный толчок развитию технологий в Китае, потому что компании не обременены необходимостью соблюдать сложные требования к защите персональных данных.

В США по сравнению с Евросоюзом более мягкий подход к регулированию, но не такой, как в Китае. Но при этом в США в последние годы активно начали обсуждаться проблемы защиты персональных данных, потому что были утечки, например из Facebook, скандал с компанией «Кембридж Аналитика», и другие истории. Были парламентские слушания, на которые приглашался Марк Цукерберг, он оправдывался перед парламентариями и объяснял им, что именно Facebook делает с персональными данными.

На уровне отдельных штатов сейчас обсуждаются законы, которые должны усилить защиту субъектов, в Калифорнии уже принят калифорнийский акт о защите частной жизни, который устанавливает более жесткие требования по сравнению с ранее действовавшим регулированием. И обобщая, можно сказать, что регулирование в США будет двигаться в сторону Европы. При этом в Европе тоже есть свои проблемы. Законодательство сложное, и обеспечить его реальное соблюдение довольно непросто, потому что практически все компании так или иначе обрабатывают персональные данные, а ресурс уполномоченных органов ограничен, и следить за тем, что они в реальности делают с персональными данными сложно, но практика применения GDPR накапливается, и там стараются сделать так, чтобы в жизни жесткий регламент действительно соблюдался, несмотря на все сложности.

Если вернуться к России, в законодательстве термин больших данных прописан?
— Не прописан. Нужен ли этот термин? Вокруг него в последние годы очень много разговоров, и как это часто бывает, все подхватывают этот термин, начинают о нем говорить.

И каждый что-то подразумевает свое…
— Да. Часто нет понимания, что говорящий имеет в виду. Сейчас есть разные законопроекты на стадии разработки, в которых пытаются определить большие данные. Вообще большие данные можно понимать по-разному. Это могут быть технологии, которые позволяют обрабатывать действительно большие объемы данных, которые быстро меняются во времени и содержат неоднородную информацию — текст, аудиозаписи, видео и так далее. А могут быть сами данные, которые могут включать элементы персональных и не персональных данных.

Есть компании, которые хотят работать с персональными данными как с частью больших данных, но им не нравятся жесткие требования законодательства. Они пытаются уйти от этих требований, говоря о том, что для больших данных нужно специальное регулирование, более мягкое, и пытаются добиться того, чтобы не соблюдать требования законодательства о персональных данных. Это опасно, потому что все равно, будучи элементом больших данных, они остаются персональными данными, и их обработка сопряжена с рисками для неприкосновенности частной жизни людей.

Давайте возьмем конкретный пример. Человек проходит мимо спортивного магазина и через какое-то время видит в браузере рекламу спортивных товаров. Это вторжение в частную жизнь или нет?
— Вторжение или не вторжение в частную жизнь — это термин не юридический. На бытовом уровне мы понимаем, что да, это вторжение. Это значит, что за нами следят и активно используют информацию о нас в своих целях. Кто-то не обращает на это внимания, а кто-то напрягается.
Возникает вопрос, какая технология была использована. Часто это аналитика: каждый современный смартфон содержит модуль Wi-Fi, у большинства людей он все время включен. Это значит, что телефон постоянно через этот модуль обращается к окружающим его Wi-Fi сетям, и если пользователь не подключается, то даже нескольких секунд контакта с сетью достаточно, чтобы сеть могла зафиксировать mac-адрес телефона.

Максимальный штраф за некоторые нарушения достигает 75 тыс. рублей, хотя еще 2 года назад это было всего 10 тыс. По сравнению с Европой это смешные штрафы. Там штрафы могут быть 20 млн евро или 4% от общемирового оборота компании за последний финансовый год. 



Самое интересное в получаемых данных — это местонахождение человека, время и уникальный идентификатор устройства, то есть mac-адрес, и с этой информацией, даже взятой самой по себе, уже можно работать. Потому что если вы — магазин, то понимаете, что, скорее всего, этот человек — потенциальный покупатель, путешествует по вашему магазину. Вы знаете, что он пришел тогда-то, пошел туда-то, был в таких-то отделах, и уже можно делать о нем какие-то выводы, полезные с маркетинговой точки зрения.

Но большая опасность состоит в том, что информация обрабатывается, как правило, не сама по себе, а соединяется с другой информацией об этом пользователе mac-адреса. То есть магазин, получив от вас эту информацию, докупает потом данные о вас у другого источника (например, у сотового оператора), которые содержат информацию о том, чем интересуется в Интернете владелец этого mac-адреса. И так можно дополнять информацию из многих источников, создавая очень подробную картинку конкретного человека.

Это и есть обработка персональных данных, которая должна происходить в соответствии с законодательством. И на практике часто требования закона о персональных данных не соблюдаются в этих сценариях.

Насколько законно использовать технологию распознавания лица в витринах магазинов?
— Изображение лица особенно ценно, потому что оно представляет собой уникальный идентификатор. Телефон можно поменять, у него будет другой mac-адрес, а внешность, как правило, остается с человеком навсегда.

Изображение человека — это биометрические персональные данные, которые на основе анализа физиологических особенностей позволяют его идентифицировать. К обработке персональных данных такого рода предъявляются повышенные требования. Если компания обрабатывает изображение человека для того, чтобы его идентифицировать, то во многих случаях требуется его письменное согласие.

Как поступать бизнесу, чтобы не нарушать закон?
— Самое часто используемое основание для обработки персональных данных — это согласие пользователя. Покупатель ставит галочку, что разрешает присылать ему рекламу или как-то иначе обрабатывать его персональные данные.

С согласием, кстати, тоже есть проблемы и в России, и в Европе. Согласие должно быть осознанным, информированным и конкретным. Информированным — это значит, что пользователю для принятия решения, соглашаться или нет, должна быть представлена полная информация о том, что будут делать с его персональными данными. У нас этого никто толком не объясняет. Часто продавцы не могут правильно объяснить, что будет происходить с вашими персональными данными после того, как вы дадите им свое согласие.


Глава Роскомнадзора Александр Жаров не очень давно так и сказал, что электронная коммерция — это огромная отрасль, где «и большие деньги гуляют, и большие права нарушаются».



Это бремя и обязанность продавца. Если он хочет обрабатывать персональные данные, то должен в этом сам разобраться и объяснить пользователю простыми словами, что происходит с его персональными данными. Проблема усугубляется тем, что часто это выливается в длинные и сложные документы, которые либо не читают, либо если пытаются читать, то все равно не понимают. 

В Европе надзорные органы рекомендуют писать политику в отношении обработки персональных данных (документ, рассказывающий субъекту о том, что компания делает с его данными) так, чтобы она была понятна человеку, данные которого обрабатываются. Если это ребенок, то политика должна быть написана так, чтобы она была понятна ребенку. При этом приводят в пример конвенцию ООН о правах ребенка. Была подготовлена специальная версия этого документа для детей, написанная простым языком, понятным ребенку. Так сложный документ превратился в простой. 

Но не всегда можно получить согласие. Например, прохожу я мимо какого-то магазина раз пять в месяц, магазин видит в истории моих интернет-запросов, что я интересуюсь товаром, которым он торгует. Значит я их потенциальный клиент. Но я с этим магазином никак не контактирую, карты лояльности не имею, связаться физически со мной они не могут для получения разрешения. Что делать?
— Значит, у магазина нет законного основания для обработки ваших данных. Это значит, что он нарушает требования закона, обрабатывая ваши персональные данные.

За нарушение законодательства о персональных данных возможно наступление трех видов юридической ответственности: административная, гражданско-правовая и уголовная. Административная ответственность — это штрафы. Максимальный штраф за некоторые нарушения достигает 75 тыс. рублей, хотя еще 2 года назад это было всего 10 тыс. Роскомнадзор может наложить штраф за 10 нарушений (обработка данных 10 физлиц) и взыскать 750 тыс., а может посчитать все эти нарушения как одно и наложить штраф 75 тыс. По сравнению с Европой это смешные штрафы. Там штрафы могут быть 20 млн евро или 4% от общемирового оборота компании за последний финансовый год. На практике был штраф в отношении Google во Франции в размере 50 млн евро.

Гражданско-правовая ответственность, когда субъект сам может пойти в суд и потребовать возмещения убытков, которые ему были причинены незаконной обработкой персональных данных, и морального вреда.

Также предусмотрена уголовная ответственность, но она может наступить лишь в редких случаях.

При этом важно отметить, что сейчас в Госдуму внесен законопроект, который предусматривает значительное увеличение штрафов за нарушение требований по локализации обработки персональных данных — до 18 млн рублей.

В практике уже есть уголовные дела?
— Да. Но это такие случаи, когда, например, сотрудник крупного оператора связи в своих целях копирует базу данных абонентов, доступ к которой в силу должностных обязанностей имеет, и потом эту базу продает на CD-диске на рынке за 100 рублей.

А ретейлеров и девелоперов привлекали к уголовной ответственности?
— Мне такие случаи неизвестны. Но Роскомнадзор ходит с проверками, дает предписания, предписания могут исполняться добровольно, могут выписываться штрафы, которые не оспариваются в суде и потому неизвестны публике. И то, что Роскомнадзор не пришел вчера, или то, что гражданин не пожаловался на ретейлера, использующего его персональные данные, не значит, что этого не произойдет завтра.

Если ретейлер планирует внедрение системы по обработке персональных данных, хочет вложить много денег, а это долгая история и серьезные инвестиции, то, игнорируя закон о персональных данных, он строит дом на песке.

История с персональными данными — это не есть что-то устоявшееся, все очень активно живет и развивается. Даже в Европе, которая на несколько шагов впереди нас в этих вопросах, все течет и меняется, прямо сейчас выстраиваются новые конструкции. Например, есть огромная индустрия AdTech (Advertising Technology), то есть технологий в сфере рекламы в Интернете, там используются очень сложные решения. 

Происходят дикие вещи с персональными данными, они распространяются среди огромного количества людей и компаний, они объединяются с другими данными, и все это происходит под покровом тайны для пользователей. И это американская и европейская практика, что уж говорить о России.



Это выглядит так: у вас есть сайт, вы хотите размещать на нем рекламу. Когда к вам приходит пользователь, а у вас встроен функционал в сайт, который сканирует информацию о том, кто зашел, вы эту информацию отправляете на аукцион. Сообщаете, что к вам пришла девушка в возрасте 20-25 лет, данные о ней могут привязываться к данным из других баз данных. И есть куча рекламодателей (тысячи компаний), которым интересно показать свою рекламу этой девушке. Каждый из них делает ставку, происходит аукцион, и тот, кто поставил больше, размещает свою рекламу в баннере на сайте. Это все происходит за доли секунды, пока у пользователя загружается страница.

При этом происходит обработка персональных данных с использованием сложных технологий и с распространением данных среди огромного количества субъектов. И в Европе только сейчас уполномоченные органы, аналогичные нашему Роскомнадзору, начинают разбираться, что с этим делать. Например, один из самых прогрессивных в Европе уполномоченных органов — английский орган (ICO). Он стал проводить конференции, собирать информацию, выпустил доклад о состоянии дел в этой индустрии, обозначил проблемные вопросы и наметил план, что с этим делать дальше. То есть происходит развитие, выработка подходов к решению проблемы.

Сейчас этим озаботились в Европе, и можно предполагать, что в перспективе нескольких лет это станет предметом внимания Роскомнадзора, который немножко отстает в таких вещах от своих европейских коллег.

Происходят дикие вещи с персональными данными, они распространяются среди огромного количества людей и компаний, они объединяются с другими данными, и все это происходит под покровом тайны для пользователей. И это американская и европейская практика, что уж говорить о России.

В России тоже такие аукционы проводят?
— У нас просто это не попало в поле внимания надзорных органов. Технологии развиваются очень быстро, они на несколько шагов впереди регулирования, а регулирование медленно идет следом. Я все это говорю к тому, что не нужно пренебрегать и отбрасывать в сторону персональные данные. Мы видим, что в других странах этот вопрос всплыл на самый верх, привлекая всеобщее внимание, компании вынуждены соблюдать закон. Можно ожидать, что то же самое произойдет и в России.

Получается, бизнес ограничен очень сильно. Везде можно нарваться на штрафы так или иначе.
— Потенциально да. Российское законодательство о персональных данных — сложное и неудобное для бизнеса. Это неудобство отчасти смягчается тем, что санкции по сравнению с европейскими не очень велики и правоприменительная практика не очень жесткая. Но путь будущего развития — устранение недостатков регулирования, создание таких правил, чтобы их было возможно соблюдать нормальному здравомыслящему бизнесу, и только после этого ужесточение санкций, чтобы стимулировать соблюдение тех правил, которые добросовестный бизнес может соблюдать. У нас сейчас, к сожалению, ситуация не такая. У нас неудобное законодательство, которое сложно соблюдать, и маленькие санкции за нарушения. 

Если говорить об общем тренде, то интерес российских государственных органов к тематике персональных данных растет. Ретейл — это же не только традиционная торговля в обычных магазинах, но и рынок e-commerce. Глава Роскомнадзора Александр Жаров не очень давно так и сказал, что электронная коммерция — это огромная отрасль, где «и большие деньги гуляют, и большие права нарушаются».