Британский Informational Commissioner’s Office (ICO, регулятор в области «защиты прав на информацию в общественных интересах, содействия открытости государственных органов и конфиденциальности данных граждан») в октябре опубликовал отзыв на правительственный проект реформ регулирования в области данных «Data: a new direction» («Данные: новое направление»).
Во вступительном слове глава ведомства Элизабет Дэнам (Elisabeth Denham) отмечает, что с момента принятия Data Protection Act 2018 прошло уже три года, и за это время произошли существенные изменения в области IT и обработки данных. Цифровой сектор принёс британской экономике за год 151 миллиард фунтов стерлингов, он насчитывает более 1,6 миллиона рабочих мест (данные 2019 года) В июне 2021 было объявлено, что Британия достигла результата «сто отечественных технологических компаний, оцениваемых в 1 миллиард долларов или более», опередив по этому показателю все остальные страны Европы вместе взятые. То, что правительство стремится обеспечить соответствие британского законодательства требованиям будущего, и способность Великобритании играть ведущую роль в мировой цифровой экономике, является важным и заслуживает поддержки. Однако, по словам Дэнам, «дьявол кроется в деталях»: финальный пакет реформ должен чётко обеспечивать права физических лиц, сократить бремя для бизнеса и обеспечить гарантии независимости надзорного органа.
Поясняя позицию ICO, Дэнам выдвигает четыре тезиса.
- Высокие стандарты защиты прав субъектов персональных данных (ПД) способствуют, а не препятствуют инновациям. Каждому человеку можно поставить в соответствие набор данных, совокупность данных о человеке описывает его личность, «делает нас теми, кто мы есть». Социальная и экономическая польза от роста цифровых технологий возможна только через достижение и поддержку доверия людей, их добровольного участия в использовании принадлежащих им ПД. Человек должен быть в самом сердце регулирования. Меры по защите данных должны быть пропорциональны возможным рискам, и организации не вправе использовать данные способами, которые могут причинить вред людям. Кроме того, они должны обеспечить людям возможность полной реализации всех их прав.
- Независимый регулятор даёт общественности уверенность в защите. ICO должен иметь право привлекать к ответственности само правительство.
- Признание ценности высоких стандартов защиты данных для развития международной торговли.
- Законодательство о защите данных работает для всех и каждого. Защита ПД затрагивает все аспекты нашей жизни. Соответствующее регулирование должно защищать права каждого субъекта. ICO поддерживает развитие данного тезиса и готов реализовывать реформу, которая будет принята парламентом.
Ответ ICO на правительственный проект реформ включает пять основных частей:
- уменьшение барьеров для ответственных инноваций;
- уменьшение бремени для бизнеса и достижение лучших результатов для граждан;
- стимулирование торговли и уменьшение барьеров для трансграничной передачи данных;
- улучшение общественных сервисов;
- реформа ICO.
Во вступительной части документа (executive summary) отмечается, что законодательство о защите ПД жизненно важно, что оно основано на нормах о правах человека и разработано как для защиты, так и для предоставления возможностей. Высокие стандарты защиты данных дают возможность доверять свои данные другим.
Уменьшение барьеров для ответственных инноваций
Исследовательские цели
ICO отмечает, что действующее правовое регулирование отличается гибкостью в отношении исследовательских целей, широко интерпретирует понятие «научные исследования», однако не всегда может быть легко и однозначно истолковано. ICO в целом поддерживает правительственные инициативы в данной области и предлагает консолидировать и уточнить существующие нормы и дефиниции.
Последующая обработка
В отношении последующей обработки ПД для исследовательских целей ICO подчеркивает, что такая обработка должна во всех случаях соответствовать базовым принципам обработки ПД и не выходить за пределы разумных ожиданий субъекта ПД. Подчёркивается также, что, если обработка основана на согласии субъекта, такое согласие должно оставаться информированным и свободно данным. Люди должны сохранять возможность контроля над своими данными. Исключения из этих принципов должны быть строго ограниченными и могут быть вызваны только действительно важными общественными интересами.
Легитимный интерес
Правительство предлагает установить в законе ограниченный, исчерпывающий список типов обработки, для которых организации могут использовать как законное основание «легитимный интерес» без ненужного обращения к согласию на обработку ПД.
ICO полагает, что данное предложение нуждается в уточнении в части реализации прав субъекта данных, в частности, его права на возражение против обработки, основанной на легитимном интересе.
Искусственный интеллект и машинное обучение
ICO соглашается с правительством в том, что искусственный интеллект (ИИ) построен на данных, и полагает необходимым закрепить за собой надзор за тем, как ПД обрабатываются ИИ и другими системами автоматического принятия решений – чтобы такая обработка была ответственной и способствовала доверию к таким системам.
В числе дополнительных инструментов для обеспечения прав субъектов ПД в связи с ИИ ICO предлагает использовать DPIA (Data Protection Impact Assessment – оценка предполагаемого воздействия на защиту ПД, права и законные интересы субъекта), а также обратиться к европейскому проекту Artificial Intelligence Act.
Автоматическое принятие решений
ICO приветствует дискуссию об эффективности нынешней редакции ст. 22 британского закона о защите данных (Data Protection Act,DPA) 2018 года. Эта статья применима не ко всем случаям автоматического принятия решений, но лишь к ситуациям, когда решение является полностью автоматизированным и оказывает юридически значимое или иное существенное воздействия на права, свободы и законные интересы человека. Такие решения часто принимаются с использованием ИИ.
ICO согласен с тем, что необходимо провести исследования эффективности данных положений, но не соглашается с TIGRR (Taskforce on Innovation, Growth and Regulatory Reform – Целевая группа по инновациям, росту и реформе регулирования – см. отчёт TIGRR) в том, что право требовать вмешательства человека [в деятельность ИИ-систем] должно быть упразднено. Право на вмешательство человека может иметь фундаментальное воздействие на нашу жизнь и является частью защиты ПД уже много лет, ещё до GDPR. Это важно не только для обеспечения справедливости таких решений, но и для общественного доверия и инноваций, уважающих неприкосновенность частной жизни. Отмена этого права может создать представление, будто решения принимаются неподотчётными алгоритмами. Это может подорвать общественную поддержку использования ИИ, даже несмотря на возможные существенные экономические и социальные преимущества.
ICO предлагает рассмотреть возможность усиления действующих гарантий прозрачности ИИ-систем, а также расширения сферы действия ст. 22 на частично автоматизированные решения.
«Вычисленные данные» (inferred data)
ICO подчеркивает, что, когда вычисленные (полученные из многих источников – ред.) данные относятся к определяемому человеку, это подпадает под действие законодательства о защите прав субъектов ПД.
Анонимизация
ICO приветствует предложения правительства уточнить требования к анонимизации персональных данных.
См. также: О рисках распространения «обезличенных» данных >>>
Вторичное использование данных (data sharing)
Правительство также предлагает пути поддержки вторичного использования данных при сохранении необходимого уровня защиты.
Сокращение бремени для бизнеса и достижение лучших результатов для людей
Реформа принципа подотчётности
Подотчётность является центральной категорией правового режима защиты ПД как в Великобритании, так и на международном уровне.
Правительство предлагает новый подход к подотчётности, основанный на риск-ориентированных программах управления приватностью (privacy management programmes).
Назначение DPO
Правительство предлагает упразднить или изменить требования к назначению Data Protection Officer (DPO). ICO подчеркивает ценность для организации профессиональных качеств, которыми обладает DPO. Роль DPO по GDPR обеспечивает независимую внутреннюю консультацию и внутренний надзор. Изменения законодательства не должны привести к потере этих преимуществ.
Уведомление о нарушении персональных данных (data breach report)
Правительство предлагает уведомлять ICO о нарушении безопасности данных, если это может привести к существенному риску для людей. ICO считает, что уведомления о нарушении безопасности данных являются ценным ресурсом для превентивной работы ICO по предупреждению нарушений и минимизации их последствий.
DPIA (Data Protection Impact Assessment) и предварительная консультация с надзорным органом
Правительство рассматривает возможность отмены DPIA, который предполагается заменить более общим требованием по выявлению и минимизации рисков.
ICO предлагает не отменять действующие положения, а подумать над изменением порога, превышение которого ведёт к уведомлению.
Реестр обработки персональных данных
Правительство также рассматривает вопрос об отмене реестра обработки персональных данных (ст. 30 UK GDPR).
ICO полагает, что отмена реестра снизит эффективность правоприменения и подорвёт возможности защиты прав граждан регулятором.
Право субъекта данных на доступ к ним
Правительство предлагает некоторые изменения в режиме запросов субъекта данных на реализацию права на доступ (subject access requests, SARs).
ICO подчёркивает, что в условиях растущей цифровизации всех сторон жизни и повышения роли данных принципиально важно, чтобы реформа не подрывала право на доступ, которое позволяет людям знать, какая информация о них хранится и обрабатывается, и как это связано с решениями, которые влияют на их жизнь. Организации, получающие доходы от обработки ПД, должны соблюдать закон и при разработке внедрять защиту данных по умолчанию. Это должно включать автоматизацию запросов, внедрение систем управления информацией, которая поддерживает обработку SARs, и использование автоматизированных инструментов, когда это возможно.
Приватность и конфиденциальность конечного оборудования электронных коммуникаций, включая использование cookies и подобных технологий
ICO признает, что существующий подход PECR (Privacy of Electronic Communication Regulation – правила приватности в электронной связи, британская имплементация европейской e-Privacy Directive), в частности, в контексте cookies и аналогичных технологий, не является эффективным. Это создает бремя для бизнеса и неудобства для пользователей, не обеспечивая действительную прозрачность и эффективный контроль. Исследование для ICO, проведенное Harris International в 2021 году, показывает, что более половины (53%) людей заявляют, что соглашаются с обработкой файлов cookies на сайте, не вдаваясь в детали. ICO приветствует возможность улучшить эту ситуацию и стать международным лидером в данном сложном вопросе.
ICO поддерживает предложение урегулировать способы, которые позволят пользователю устанавливать и сохранять в настройках своего устройства или браузера свои предпочтения относительно cookies, чтобы эти настройки работали на всех сервисах, к которым пользователь получает доступ. Введение этих норм потребует эффективного надзора и правоприменения, а также международного сотрудничества. ICO рекомендует правительству в качестве дополнительной меры рассмотреть возможность принятия законодательства против использования cookie-баннеров, которые требуют от пользователя согласия в качестве входной платы за доступ к сайту.
ICO выражает беспокойство в связи с предложением TIGRR отменить требование предварительного согласия для всех типов cookies. Обеспокоенность связана в особенности с т.н. «третьесторонними (third-party) cookies», когда собираемая информация передается третьим организациям.
Прямой маркетинг
Правительство предлагает распространить нормы об исключении из требования предварительного согласия на прямой маркетинг («soft opt-in rule») на некоммерческие организации, в частности, на политические партии, благотворительные организации, которые имеют предшествующие отношения с субъектом (например, членство или подписка). В настоящее время «soft opt-in rule» позволяет организациям, в которых субъект приобретал товар или услугу, отправлять ему маркетинговые предложения, касающиеся аналогичных товаров или услуг, предлагаемых той же организацией, без получения предварительного согласия на это, но с предоставлением возможности отказа от получения таких сообщений. Это правило (soft opt-in) применяется только в электронных коммуникациях, исключая телефонные звонки. Политические и благотворительные коммуникации также не попадают в сферу действия этого правила.
ICO поддерживает правительственное предложение в этой части, но подчеркивает, что в этом случае должны соблюдаться все гарантии, предусмотренные законодательством в настоящее время.
Надоедливые и мошеннические звонки
Борьба с надоедливыми звонками является одной из приоритетных целей ICO. Спам и мошенничество уничтожают доверие к дистанционной продаже товаров и услуг, подрывая основы цифровой экономики.
ICO осуществляет эффективное противодействие этим злоупотреблениям, накладывает штрафы и рекомендует правительству рассмотреть возможность расширения территориальной сферы действия PECR, чтобы они применялись экстерриториально, как и UK GPDR.
Использование ПД для демократических процессов и политических кампаний
Правительство предлагает смягчить правила электронной коммуникации для политических партий, кандидатов и групп. Однако ICO считает важным, чтобы политические коммуникации осуществлялись способами, которые обеспечивают доверие, иначе принципы демократического политического процесса могут быть подорваны. Нынешнее регулирование даёт политическим партиям и кандидатам достаточные возможности по использованию средств электронной коммуникации.
Стимулирование торговли и сокращение барьеров для трансграничной передачи данных
В этой части рассматриваются аспекты реформы, связанные с изменением режима трансграничной передачи данных.
Режим адекватности. Риск-ориентированный подход
Правительство выдвигает ряд предложений развития института адекватности по UK GDPR. Предлагаемый риск-ориентированный подход основан на оценке вероятности и серьёзности рисков для прав субъектов ПД. Такая оценка должна проводиться правительством при участии ICO.
ICO отмечает необходимость сохранения высоких стандартов защиты данных и поддерживает правительственный проект в той части, в которой он предполагает при оценке правового режима третьей страны учитывать такие критерии, как:
- верховенство права;
- уважение прав человека и основных свобод;
- существование и эффективное функционирование регулятора.
Самым важным вопросом здесь является необходимость сохранения статуса адекватной юрисдикции в соответствии со стандартами ЕС. Для этого необходимо, чтобы британский стандарт адекватности и оценки третьих юрисдикций был достаточно высоким и обеспечивал надёжные гарантии защиты данных.
Альтернативные механизмы передачи данных
Правительство предлагает предоставить организациям больше возможностей для безопасной передачи данных в третьи страны. В настоящее время такие механизмы установлены в ст. 46 UK GDPR и известны как альтернативные механизмы международной передачи данных (alternative international transfer mechanisms, AITMs). Наиболее широко используемым AITM являются SCC (standard contractual clauses). SCC планируется заменить IDTA (International Data Transfer Agreement). Целью этих изменений является обеспечение соответствия решению европейского суда по делу «Schrems II». В настоящее время организации должны проводить оценку рисков, чтобы определить возможность использования инструментов, предусмотренных ст. 46 UK GDPR. Эта оценка должна принимать во внимание правовую систему третьей страны, в частности, возможность доступа государственных органов к частным данным, наблюдение и слежку, осуществляемую государственными органами. Такая оценка может быть затруднительной для некоторых организаций, поэтому ICO должен обеспечить необходимую помощь, разъяснения и методическую поддержку. Правительственные предложения должны усилить роль ICO в этом вопросе.
Механизм сертификации
Правительство предлагает расширить возможности использования механизмов и схем сертификации для трансграничной передачи данных. Такие схемы, наряду с кодексами поведения (Codes of Conduct, CoC) являются важным инструментом обеспечения подотчётности и имеют большой потенциал для использования в качестве инструмента трансграничной передачи данных. Однако установление дополнительных видов сертификационных механизмов не должно иметь негативного эффекта. Сертификационные механизмы должны включать элементы контроля за соблюдением условий сертификации.
Улучшение общественных сервисов
Построение доверия и прозрачности. Механизмы прозрачности для алгоритмов
ICO приветствует предложение правительства ввести обязательную прозрачную отчётность об использовании алгоритмов при принятии решений для государственных органов, правительственных ведомств и правительственных подрядчиков, использующих государственные данные. ICO призывает правительство рассмотреть распространение механизмов проактивной публикации в рамках Freedom of Information Act (FOIA), чтобы обеспечить доступность и содержательность информации об ИИ.
Реформа ICO
Правительство намерено провести реформы, которые позволят ICO защищать права субъектов ПД и укреплять доверие, позволяющее эффективно использовать данные.
Подчёркивается важность поддержания репутации ICO как мирового лидера в своей сфере при сохранении его независимости.
ICO поддерживает эти заявленные цели. Любой пакет реформ должен, среди прочего, обеспечить, чтобы ICO продолжал обладать независимостью, полномочиями и ресурсами, необходимыми для выполнения обязанностей.
Независимый надзор всё чаще признаётся важным на международном уровне, в том числе в таких соглашениях, как Конвенция 108+. Его важность также подчёркивалась в судебной практике.
Сохранение независимого надзорного органа, таким образом, является важным элементом высоких стандартов защиты данных, который необходим для будущих глобальных торговых сделок и соглашений об адекватности.
Таким образом, ICO поддерживает правительственный проект реформ в следующих аспектах:
- объединение надзорных функций и усиление полномочий и роли самого ICO;
- меры, направленные на упорядочение использования cookies и аналогичных технологий, борьбу с cookie-баннерами;
- меры по усилению ответственности за спам и незаконный прямой маркетинг;
- усиление роли ICO в надзоре над разработкой и использованием технологий ИИ;
- расширение использования гибких инструментов регулирования, таких как кодексы поведения, механизмы сертификации и методические руководства.
Вместе с тем ICO настаивает на сохранении основных принципов и правовых институтов законодательства о защите персональных данных, основанных на европейском подходе, в частности:
- DPIA и предварительная консультация с надзорным органом;
- DPO;
- ведение реестра обработок ПД;
- уведомление о нарушении безопасности данных.
ICO занимает наиболее жёсткую позицию в отношении необходимости сохранения и последовательной реализации всех принципов обработки ПД и прав субъекта.
ICO также последовательно отстаивает свой независимый статус и добивается изменения тех пунктов правительственного проекта, которые могут привести к ограничению этой независимости.
