Анализ индустрии торговли персональными данными в России и США

Развитие технологий неизменно оказывает влияние на все сферы жизни людей. Так в 2008 году появился термин «Big Data», обозначающий разнообразные данные огромных объемов. Накопление у операторов данных больших объемов информации постепенно стало восприниматься как возможность извлечения дополнительной прибыли, при этом формально не допуская нарушения законодательства. Однако данные, особенно относящиеся к области финансов, зачастую становятся предметом интереса различных мошенников.

Люди зачастую не обращают внимания на то, как оставляют большому количеству компаний свои персональные данные. Мобильные сим-карты, скидочные карты магазинов, программы лояльности, запись на услуги через интернет и создание личных кабинетов на сайтах – информация о действиях клиентов есть у очень многих компаний. Особенно это стало проявляться с широким распространением интернета и социальных сетей, возникло такое понятие как «цифровой след».

В соответствии с Законом №152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным, в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.

Следует отметить, что информацию, которая может продаваться, можно разделить на две категории.

К первой будут относиться данные, предоставляющие информацию о передвижениях, транзакциях или других действиях, но при этом используются обозначения, коды шифрования и так далее, то есть личность не раскрывается. Сюда входит сбор данных сотовыми операторами, производителями операционных систем смартфонов и сбор MAC-адресов смартфонов через Wi-Fi. К последним внедренным инновациям в этой сфере можно отнести маяки IBeacon и подобные технологии активного сбора данных. Отдельно здесь можно выделить сеть Интернет. «Цифровой след», оставляемый пользователями, также становится предметом монетизации различными компаниями. По данным Cliqz и Ghostery, изучивших более 144 миллионов страниц, 77,4% сайтов имеют хотя бы один инструмент, собирающий информацию о действиях на страницах. Более 10% ресурсов используют одновременно более 10 таких счётчиков. Сотовые операторы готовы предложить не только обезличенные данные об определенных группах своих клиентов, но и оказать услугу по доставке рекламного сообщения конкретным людям, подходящим под характеристики запроса заказчика.

Во вторую категорию включаются данные, раскрывающие персональную информацию и личности конкретных людей. Торговля, как и любой другой способ передачи третьим лицам в этом случае регламентируется законом. В законе 152-ФЗ «О персональных данных» указывается, что к персональным данным относится любая информация, если таковой будет достаточно для идентификации определенного человека. Даже пару имя и электронный адрес можно расценить как персональные данные. Далее в статье 7 указана обязанность компаний не раскрывать и не распространять данные третьим лицам без согласия субъект.

Нарушение закона грозит гражданской, административной, дисциплинарной, уголовной или иной ответственностью. А не допустить нарушения можно, получив письменное согласие граждан на обработку данных.

Под обработкой, согласно 3 статье 152-ФЗ, в том числе подразумевается и передача (распространение, предоставление) данных. В случае же, если предложение оператора данных о продаже товара или услуги расценивается как публичная оферта, то принимая её субъект данных даёт согласие на обработку его персональных данных, указанных при заполнении заявки на покупку. Зачастую компании собирают информацию, предоставляя какие-либо услуги в свободный доступ.

Так, например, компания Тинькофф предлагает через участие в своей программе кэшбэк доступ к таргетированной настройке рекламы на обезличенную аудиторию. То есть компания выбирает необходимые параметры, такие как возраст, пол, геолокация, покупательское поведение и так далее, а банк обеспечивает доставку персонального предложения кэшбэка до целевой аудитории.

Подобная монетизация данных не противоречит закону. В то же время в связи с широким распространением «Дарквеб» или «Даркнет», позволяющей сохранять анонимность, всё больше мошенничества и нелегальной торговли персональными данными приходится на эту сеть.

Согласно данным исследования портала TOP10VPN стоимость полного пакета персональных данных человека в даркнет в среднем составляет около 1170 долларов США. Входят туда разнообразные данные, начиная от не представляющей особой опасности информации об аккаунтах Spotify, ASOS или Pizza Hut и заканчивая данными паспорта, банковских счетов и кошельков PayPal. Финансовые данные наиболее дорогая категория, цена продажи здесь зачастую составляет около 10% баланса счёта. Так, за 300 долларов можно купить полный доступ к кошельку с суммой до 3000 долларов США. Фактические адреса, имена, номера социального страхования, дата рождения и другая персональная информация – всё это находится в продаже.

Рынок торговли геоданными и другой обезличенной информацией в ближайшие годы будет только расти, учитывая новые технологические возможности активного сбора статистики. Таргетинг по геолокациям, поисковым запросам и интересам станет точнее и эффективнее. В свою же очередь торговля персональными данными требует более тщательного контроля со стороны государства, особенно если информация касается финансового сектора.

В регуляторных актах США не используется понятие «персональные данные», вместо него, как правило, используется термин «персонально идентифицирующая информация» (personally identifiable information) или «персональная информация» (personal information).

Для США характерен секторальный подход к защите такого рода информации, вследствие чего соответствующие законы приняты в различных сферах. Среди них государственное управление, здравоохранение, прокат видеофильмов, финансовые услуги, защита данных автовладельцев, защита частной жизни и др.

Закон о защите неприкосновенности частной жизни (US Privacy Act 1974) имеет ограниченную сферу применения и касается вопросов обработки персональной информации граждан США или лиц, имеющих постоянное место жительства в США, федеральными органами исполнительной власти. На коммерческий сектор он не распространяется.

Как следствие единого определения персональных данных (персонально идентифицирующей информации) в законодательстве США нет. Всего можно выделить три основных подхода законодательства США к определению понятия «персональные данные»:

• тавтологический;
• основанный на публичности информации;
• основанный на перечислении видов данных.

Первый подход можно встретить, например, в Законе о защите частной жизни в сфере видеопроката (The US Video Privacy Protection Act of 1988), согласно которому «персональная идентифицирующая информация – любая информация, которая определяет лицо». Соответствующий статус, таким образом, приобретает любая информация о лице, если она связана с предметной областью закона: приобретением экземпляров видеофильмов в аренду или в собственность у профессиональных продавцов.

Второй подход характеризуется определением персональных данных через указание на то, что соответствующая информация не является публичной. Например, Закон Грэма-Лич-Блайли 1999 г. (Gramm- Leach-Bliley Act of 1999) относит к персональной финансовой информации любые сведения финансового характера, которые не являются публичными. Закон не определяет, что такое публичные сведения, однако, по контексту к ним относятся общедоступные данные (public domain).

Третий подход основан на перечислении определенных категорий данных, относящихся к персональной информации. Он наиболее типичен для законодательства США в указанной сфере. Так, например, в соответствии с Законом о защите частной жизни детей в онлайновой среде, к персональным данным несовершеннолетнего относятся: имя и фамилия, адрес проживания, адрес электронной почты или идентификатор в мессенджере, номер телефона, номер карты социального страхования, онлайн идентификатор (уникальный идентификатор в cookie-файле, IP-адрес, уникальный номер устройства и т.п.), аудио, фото и видео, содержащие изображение или голос несовершеннолетнего, информация о геолокации, позволяющая идентифицировать улицу или город местонахождения лица, любая иная информация, которую оператор собирает о несовершеннолетнем или его законном представителе и соединяет с одним из вышеуказанных видов данных.

Информация не является публично доступной, если она используется для целей, которые несовместимы с целями, для которых она была собрана и предоставляется государственными органами. Понятие публично доступной информации не охватывает биометрическую информацию, собранную бизнесов без ведома потребителя, а также агрегированную информацию о потребителе и обезличенные данные.

В данном законе также содержится понятие «агрегированной информации о потребителях» (Aggregate consumer information), под которой понимается «информация, относящаяся к группе потребителей, из которой были удалены идентификаторы отдельных потребителей и которая не связана и не может быть разумно связана с любым конкретным потребителем или домовладением, в том числе посредством устройства».

При этом делается специальная оговорка о том, что под понятие агрегированной информации о потребителях не подпадает одна или несколько записей о потребителях, которые были обезличены. Понятие персональных данных, содержащееся в данном законе, вполне сопоставимо по своему объему с дефиницией, характерной для европейского права, выступая неплохой ее конкретизацией. Это является яркой иллюстрацией тенденций развития законодательства о защите персональных данных в США и влияния GDPR на него, которым не смог воспрепятствовать и тот факт, что Калифорния является штатом, в котором расположена Кремниевая долина и все основные американские IT-компании, работающие с данными (Facebook, Google и др.).

Много дискуссий разворачивается в настоящее вокруг статуса геолокационных и иных телематических данных, генерируемых автомобилями. Как показало специальное исследование, проведенное Управлением государственной отчетности США (Government Accountability Office), указанные виды данных регулируются законодательством лишь косвенно 61, в связи с чем основными документами, регламентирующими их использование, являются политики конфиденциальности компаний. Как отметили организации, принимавшие участие в исследовании (Nissan, Toyota, Chrysler, Ford, GM и др.), они собирают такого рода данные с автомобилей для целей диагностики автомобиля, оказания содействия при авариях на дороге, информировании о стоимости топлива на соответствующей территории, предоставления навигационных сервисов, отслеживания угнанных автомобилей.

При этом данные организации передают указанные данные своим партнерам для предоставления и улучшения соответствующих сервисов; правоохранительным органам и «иным лицам, после того как данные были обезличены» (методологии обезличивания отличались от компании к компании). Исследование показало, что в целом потребители автомобилей получают достаточное уведомление о соответствующих практиках сбора и передачи данных, однако при этом не имеют реального контроля над данными, поскольку не могут требовать их удалить. Также организации не предоставляют информации потребителям, каким образом защищаются соответствующие данные.

В связи с этим делается вывод о недостаточной степени информированности потребителей о существующих рисках в рассматриваемой области и ставится вопрос о наделении их необходимыми правами на соответствующие данные. Фрагментарный подход законодательства США к дефиниции персональной информации выступает предметом критики.

Высказываются предложения о необходимости выработки унифицированного подхода и расширении данного понятия, как минимум, за счет включения в него биометрических данных и данных, полученных с сенсоров устройств Интернета вещей, используемых индивидами.