Уже несколько лет тянется конфликт между аналитическим сервисом Double Data и соцсетью «ВКонтакте» (ВК), с переменным успехом для каждой из сторон. Очередной арбитражный суд признал в действиях Double Data нарушение прав на использование базы данных ВК, запретил Double Data извлекать и использовать данные пользователей, а также взыскал компенсацию в размере 1 рубль. По оценкам экспертов, однозначного решения данного спора в рамках текущей законодательной базы нет. Но есть стимул к активизации законотворческой деятельности и перспективы появления существенного прецедента.

«Действующие нормы законодательства по обработке данных о пользователях создавались, когда эти пользователи еще не оставляли цифровых следов так интенсивно, как сейчас, и потому не учитывают реалии производства и обработки данных в современном мире, — считает Виталий Щипков, генеральный директор компании MobileScoring. — Российский регулятор инициировал предметную дискуссию с представителями отрасли, и в скором времени можно рассчитывать на появление гармоничных правил, балансирующих интересы приватности пользователей и экологичной персонализации в электронных сервисах на основе Big Data».

Технологии, как всегда, идут впереди правовых норм. Причем база данных подписчиков соцсети и правила пользования ее содержимым сторонними сервисами — это одна сторона медали. Вторая сторона — права человека на нераспространение его личных данных, размещенных в социальных сетях. Двойственная природа данных соцсетей недостаточно урегулирована, и на этой почве возникает «серая зона» пользования персональными данными (ПД) граждан в интересах коммерческих IT-сервисов.

Данные пользователей = коммерческие интересы соцсетей?

В данном случае речь идет вовсе не о защите интересов пользователей, а о защите коммерческих интересов ВК как правообладателя базы данных, считает Павел Катков, владелец IT-legal компании «Катков и партнеры», член Комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций: «Согласно п. 1 ст. 1334 ГК РФ, изготовителю базы данных, создание которой (включая обработку или представление соответствующих материалов) требует существенных финансовых, материальных, организационных или иных затрат, принадлежит исключительное право извлекать из базы данных материалы и осуществлять их последующее использование в любой форме и любым способом». Иными словами, никто не вправе извлекать из базы данных информацию и осуществлять ее последующее использование без разрешения правообладателя, кроме случаев, предусмотренных ГК РФ. Причем неважно, каким способом это делается: посредством IT-сервиса с функцией парсинга или путем выписывания имен и параметров авторучкой на бумаге.

«Для законного использования требуется соглашение с правообладателем базы данных, и оно будет иметь природу лицензионного договора, по которому правообладатель разрешает лицензиату использование объекта правовой охраны — базы данных», — подчеркнула эксперт.

Аналогичный подход действует применительно к сайтам интернет-СМИ: любой человек может копировать новости при условии указания ссылки на источник, но если за эту же статью кто-то получит хоть копейку, возникнет нарушение прав данного СМИ. Чтобы этого не произошло, должен быть заключен соответствующий договор с правообладателем.

Подобный принцип должен действовать в отношении сервисов SaaS. Правда, эксперты говорят, что сегодня далеко не у всех коммерческих SaaS оформлены такие договоры, и прогнозируют для них серьезные проблемы в будущем. Однако если IT-решение продается не по SaaS-подписке, на площадке заказчика разворачивается инструмент сбора и парсинга данных, а база сведений формируется здесь же, то получается, что нет ни перепродажи данных, ни нарушения авторских прав.

В этом смысле обсуждаемое судебное решение может стать знаковым прецедентом, считает Павел Катков: «Если ВК победит в этом споре, то, полагаю, рынку стоит ждать аналогичных исков к компаниям вроде Double Data. Только вот цена иска, думаю, будет уже не 1 рубль».

Однако личные данные пользователей — это не только элементы базы данных соцсети. Это сведения, которые люди сами бесплатно выкладывают на всеобщее обозрение. Значит, каждый имеет право воспользоваться ими бесплатно, т.е. даром? 

Публичными данными могут пользоваться все?

Доступность публичных данных для третьих лиц, на которой базируются соцсети, — это альтернатива приватности. «Тайна частной жизни и приватность существуют ровно до того момента, когда человек, к которому эти сведения относятся, сам сохраняет их в тайне. Написал на заборе (в соцсети) — забудь о приватности. Ее больше нет», — считает Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры». Однако, дополнил Павел Катков, это вовсе не означает, что если что-то лежит в соцсети свободно, то и использовать это можно тоже свободно: «Это заблуждение. Отсутствие запрета не является разрешением (п. 1 ст. 1229 ГК РФ), и к вопросам использования баз данных этот принцип применим в полном мере. Сама по себе доступность базы данных для третьих лиц не лишает ее правовой охраны и не предоставляет этим третьим лицам права на ее свободное бесплатное использование».

Эксперт отмечает, что в рассматриваемом деле суд, отказывая ВК в иске в предыдущих разбирательствах, признавал наличие у истца права на базу данных. Только одновременно с этим суд, основываясь на выводах технической экспертизы, счел, что именно этот вид технических данных использовать можно, «потому что все используют» поисковые системы и другие сервисы, работающие в интернете. «Эта логика не показалась мне тогда небезупречной», — заметил Павел Катков и напомнил: когда речь шла о пиратской музыке, соцсети смотрели на нарушение чужих интеллектуальных прав сквозь пальцы, а как только дело дошло до их интеллектуальной собственности, принялись рьяно защищать ее.

Как это регулируется сегодня?

Здесь начинается зона неопределенности или, скорее, юридической турбулентности.

Несомненно, ВК — правообладатель базы данных. Но эти данные находятся в открытом доступе. Значит, ничто не мешает их собирать, кроме Закона № 152-ФЗ, впрочем, и он позволяет это делать с определенными оговорками. Однако, если данные не охраняются 152-ФЗ, то фактически запрет на сбор данных отсутствует.

Второй ключевой момент — пресловутая «галочка», которой человек подтверждает свое согласие на обработку его персональных данных третьими сторонами. Вопреки распространенному мнению, разрешение гражданина требуется вовсе не на любое использование его ПД. «152-ФЗ об этом не говорит. Напротив, Закон содержит обширный перечень случаев законной (я подчеркиваю — законной) обработки персональных данных без разрешения гражданина», — заявил Павел Катков.

Предложение поставить «галочку» подразумевает с правовой точки зрения, что две стороны заключают так называемое click-wrap-соглашение, заменяющее прямые переговоры между сторонами в онлайн-режиме. Интересно, что само понятие «click-wrap-соглашение» стало общеупотребительным в разных странах, активно используется в литературе и судебной практике, хотя на уровне законодательства не закреплено. И российское законодательство в том числе не регулирует click-wrap-механизм, что позволяет применять различные подходы к квалификации click-wrap-соглашений в зависимости от того, под каким углом зрения они рассматриваются.

Например, по мнению Роспотребнадзора, договор, заключенный дистанционно, может принимать форму click-wrap-соглашения, заключаемого путем щелчка мышью по клавише «Я согласен», если это сопровождается текстом такого договора и описанием ценовых и иных условий сделки, а также имеются очевидные доказательства того, что согласие потребителя было явно и осознанно выраженным.

Позиция Роскомнадзора: не все данные, объявленные общедоступными, можно использовать для создания сервисов или услуг.

Судебные органы в ходе рассмотрения подобных претензий Роскомнадзора к НБКИ в 2018 году также исходили из того, что обрабатываемые бюро персональные данные, содержащиеся в открытых источниках, не являются общедоступными. В решении суда первой инстанции поясняется: в нарушение п. 1 ч. 1 ст. 6 Федерального закона «О персональных данных» согласие субъекта на обработку его персональных данных на стороне НБКИ получено не было.

Если согласиться, что в отношении личных данных, размещенных в соцсетях, изначально действует «презумпция нераспространения», то как это проверить на практике? 

Михаил Емельянников утверждает: «Наши суды и судьи, кажется, забыли, что решение должно быть не только правосудным, то есть основанном на законе, но и исполнимым, что предполагает наличие надежного механизма контроля выполнения и ответственности за невыполнение. Недавно в своем интервью руководитель Роскомнадзора Андрей Липов заявил, что владелец забора (читай — соцсети) несет ответственность за то, что на нем написано. Суды пошли еще дальше и пытаются запретить любому использовать то, что написано на заборе». Но вряд ли запреты остановят парсинг и использование его результатов в скоринговых алгоритмах, полагает эксперт, ведь не воспользоваться тем, что доступно, для снижения банковских рисков, просто неразумно. «Зато появится возможность выборочно привлекать к ответственности тех, кто в парсинге будет уличен», — резюмировал Михаил Емельянников.

В поисках паллиативного решения

По мнению Павла Каткова, люди публикуют информацию о себе, в том числе персональные данные, в социальных сетях добровольно, на основе click-wrap-соглашения, заключаемого между ними и интернет-площадкой. «Пока кликовое соглашение (оферта) соцсети соответствует закону и площадка обеспечивает надлежащую защиту данных, я не вижу в ситуации особых проблем», — полагает он. Но как правильно организовать защиту данных пользователей соцсетей от постороннего использования?

Запретить парсить соцсети и обрабатывать данные всем, кроме тех, кому это разрешено? Или соцсеть сама защитит свои ресурсы от любого внешнего парсинга, помимо случаев, когда это разрешено? Что-то вроде защиты от копирования: от уровня стандартных параметров пользователя до неструктурированной информации пабликов? Эти задачи соревнуются друг с другом по степени сложности и трудоемкости… 

В целом, возникает вопрос о защите пользовательских данных со стороны самой соцсети. Судя по обилию предложений сервисов анализа соцсетей, ресурсы ВК парсит большое количество заинтересованных организаций (вполне возможно, не только с российской «пропиской»). В то же время общественности мало что известно, как соцсеть защищает данные пользователей от внешнего парсинга, как, впрочем, и о случаях наказания за утечку данных из сети. Например, на слуху громкая история с Facebook 2019 года. Федеральная торговая комиссия США оштрафовала Facebook на рекордную сумму 5 млрд долларов за утечку данных миллионов пользователей в компанию Cambridge Analytica, которая консультировала предвыборный штаб Дональда Трампа. Рекордный штраф был наложен за то, что компания вводила пользователей в заблуждение уверениями о контроле конфиденциальности их данных.

Впрочем, в истории с Facebook тоже далеко не все очевидно: там есть серьезный политический заказ на громкое разбирательство, и если бы Cambridge Analytica составляла, скажем, портрет заемщика на основе данных Faceboook, возможно, никто бы и не подумал о защите этих данных от копирования. Ведь в данном случае утечки данных для использования в криминальных целях точно не было — был реализован сложный механизм таргетированной политической рекламы. Иными словами, проблема заключается не в качестве защиты соцсети от утечки данных пользователей, а в вопросах тонкой аналитической обработки больших данных социальной сети.

Понятно, что зону неопределенности, сложившуюся вокруг данных соцсетей, нужно делать более прозрачной. Но как? 

Как подходить к регулированию использования данных соцсетей?

Самый простой способ — жестко регулировать отношения IT-сервисов с соцсетями в части сбора и обработки данных пользователей — вряд ли применим. Во-первых, вокруг этих данных сформировался серьезный бизнес-сегмент разработчиков и поставщиков инновационных сервисов. Это позитивный момент. Во-вторых, эти сервисы плотно интегрированы в бизнес банков, ретейла, страховых компаний и т.д. Есть риск негативно повлиять на бизнес этих организаций. В-третьих, в недрах поставщиков и заказчиков таких решений формируется мощный слой IT-специалистов нового поколения — дата-сайентистов, умеющих работать с большими данными и технологиями ИИ. Эту сложившуюся картину мира никто не будет сознательно разрушать чрезмерно жестким регулированием.

К тому же лучше начинать изменения с ответа на вопрос, какую конечную цель преследует корректировка регулирования. Вопрос нетривиальный, если вспомнить о двойственной природе соцсетей. Если задача — в том, чтобы защитить персональные данные россиян от неблаговидного использования всякими внешними силами, то это одна история. Тогда нужно хорошенько взвесить риски падения бизнеса соцсетей и критичность защиты тех сведений, которые сами пользователи совсем не скрывают. И совсем другая задача — защита интеллектуальной собственности социальных сетей. Здесь критически важна гармонизация усилий по защите регулятора и самой сети.

Эти вопросы еще ждут профессиональных ответов. А в их отсутствие усилия по совершенствованию правовых норм могут не дать ожидаемого эффекта. Так, Михаил Емельянников считает, что недавние изменения, связанные с согласием на распространение персональных данных, — яркий пример того, как менять регулирование не надо.

Законодательно определены несколько типов персональных данных:

• данные, к которым могут получить доступ третьи лица, но на их распространение дается согласие субъекта, причем с любыми ограничениями возможности их дальнейшего использования;

• данные, подлежащие обязательному опубликованию и раскрытию;

• данные, размещенные субъектом в общедоступных источниках. 

Однако вопрос получения согласия на распространение данных, по мнению Михаила Емельянникова, по-прежнему остается открытым. «Пользователи соцсетей должны теперь давать явное согласие на действия, которые могут выполняться с выложенными ими для неограниченного доступа персональными данными. Владельцы соцсетей должны размещать эти согласия, а все получившие доступ к данным лица делать только то, что в согласии указано, — пояснил эксперт. — Но будут ли они это делать?» Напрашивается аналогия с вопросом, ограничивает ли количество нарушений на дорогах наличие ПДД и ответственности за их несоблюдение?

«Скоринг и до этого был в серой зоне, поскольку принятие решения, затрагивающего права субъекта и имеющего для него правовые последствия на основании исключительно автоматизированной обработки, допускалось только с согласия субъекта в письменной форме. Я не замечал, чтобы кого-то это останавливало», — отметил Михаил Емельянников. К тому же вину неправомерного использования данных третьим лицом нужно доказать. «Но доказать, что это делает банк, бюро кредитных историй или страховщик, если они сами в этом не признаются, без использования средств инструментального контроля будет довольно сложно. Поэтому и новый закон, и новые правила не окажут существенного влияния на ситуацию в данном вопросе», — резюмировал эксперт. 

А если решиться на анонимизацию пользовательских данных?

Сегодня на уровне госрегулирования активно обсуждаются вопросы обмена данными пользователей между коммерческими компаниями, а также между бизнесом и государством. В центре этих обсуждений оказываются вопросы анонимизации сведений о конкретных пользователях.

Но есть большая проблема — на нее указал Михаил Емельянников: «В нашем законе нет анонимизации! Есть обезличивание, которое, в соответствии с приказом Роскомнадзора о методах и способах его реализации, должно быть обратимым. А это уже совсем не анонимизация!».

Кроме того, правила обезличивания ничего не говорят о степени его глубины. Какие конкретно данные должны быть заменены условными индексами, а лучше — удалены при обезличивании? Если только ФИО, а в данных есть еще что-то, например номер телефона, адрес, СНИЛС, ИНН, номер паспорта, то формально такие данные могут считаться обезличенными, но они точно не анонимизированы и могут быть при определенных усилиях соотнесены с конкретным субъектом персональных данных. «Поэтому очень много вопросов вызывает принятие законов о специальном регулировании при разработке и внедрении технологий ИИ и об экспериментальных правовых режимах в сфере цифровых инноваций. Ведь они предусматривают предоставление коммерческим организациям обезличенных персональных данных, для которых устанавливаются весьма жесткие нормы обработки и уничтожения», — подчеркнул Михаил Емельянников.

Павел Катков согласен: «Важны и анонимизация, то есть недоступность данных в привязке к конкретному пользователю, и регулирование самих процессов обработки больших данных. Ведь анонимизированные данные перестают быть таковыми, когда к ним добавляются другие данные. А эти другие данные, в свою очередь, могут стать известны в результате утечки. На предотвращение утечек, с одной стороны, и на определение разных типов данных с точки зрения их влиянии я на privacy, с другой, и должно быть направлено регулирование». Именно регулирование должно четко определить порядок анонимизации (понимаемой именно как невозможность сопоставления данных с конкретными субъектами персональных данных), которая обеспечит защиту приватности и прав субъектов данных.