В конце мая белорусская компания Data Privacy Office при информационной поддержке gdpr-text.com провела онлайн ежегодную международную русскоязычную конференцию GDPR Day 2021 (видеозапись см. здесь). Участники и аудитория конференции – компании, которые ведут в ЕС бизнес, связанный с необходимостью соблюдать действующий с 2018 года европейский закон General Data Protection Regulation (GDPR). Предлагаем вашему вниманию краткий отчёт о мероприятии.
Мероприятие вышло за рамки чисто практического – обсуждались весьма общие вопросы защиты персональных данных (ПД) и, шире, защиты тайны частной жизни граждан (приватности) в условиях, когда их ПД отчуждаются компаниями.
Защита ПД как экономическая задача
Констатировано, что за последний год значение защиты приватности и ПД значительно выросло. Дело не столько в пандемии, сколько во внутренней логике событий, связанных с ПД. Чем дальше, тем лучше люди понимают смысл обладания ПД и риски неконтролируемого распространения ПД. Собственно, это и вызвало к жизни GDPR.
Влияние этого закона как удачного примера государственного регулирования в сфере ПД границами ЕС не ограничивается: GDPR оказывает глобальное влияние на защиту прав человека, бизнес-процессы и трансформацию бизнес-моделей во всем мире. Представитель Data Privacy Office Сергей Воронкевич объясняет это связью между ПД с общественным благосостоянием. Законодательство, защищающее ПД, определяющее человека и его приватность целью государственного регулирования, есть институт, который в цифровую эпоху обязателен для развития человекоцентричной модели общества.
GDPR ограничивает монополии в их контроле над данными, защищает слабую сторону (человека) и восстанавливает нарушенный сегодня баланс между обладателями технологий (компаниями и государством) и субъектом ПД. Баланс нарушен в пользу компаний, извлекающих выходу из ПД, которым они завладевают, за счёт нарушенных прав человека распоряжаться информацией о себе. Такое положение дел мешает росту общественного благосостояния, а GDPR ему способствует.
Последнее время в среде специалистов по защите данных распространяется убеждение в том, что приватность — это не только частное благо, но и общественное. Можно пояснить примерами. Субъект ПД, чья генетическая информация не защищена, пренебрегает не только своими правами и своей безопасностью, но и правами и безопасностью широкого круга своих родственников. Передавая контроль над данными транснациональной монополии, субъект ПД усиливает эту монополию и укрепляет её власть над обществом. То же справедливо для государства – завладев избыточными ПД, он замедлит развитие страны.
Была также высказана мысль, что устоявшаяся аналогия между ПД и нефтью неверна. Скорее следует сравнивать ПД с токсичными или радиоактивными веществами, которые необходимы промышленности, но нуждаются в строгих регламентах изготовления, применения, утилизации.
Конференция поддержала позицию европейского законодателя в том, что ПД не являются товаром и не должны продаваться. На них не может быть права собственности. Другая аналогия, между компаниями-монополистами и колонизаторами, обращавшими аборигенов в рабство в обмен на безделушки, на конференции не оспаривалась. Современный субъект ПД точно также продаёт свою свободу в обмен на «цифровые бусы».
О российской практике регулирования в сфере ПД
Российское определение ПД по смыслу полностью соответствует европейскому, однако непонимание государственными структурами и операторами общих принципов защиты ПД и неумение пользоваться основаниями для обработки ПД, а также отсутствие согласованности между органами государственной власти в политке по отношению к ПД приводит, с одной стороны, к излишней детализации и неуниверсальности регулирования (например, введение новых оснований для обработки данных, или использованию согласия там, где оно неприменимо), а с другой – к попыткам сузить понятие ПД. Как отмечали участники конференции, российское законодательство является наглядным примером сразу нескольких «лучших способов написать плохой закон».
Неумение разрабатывать и применять абстрактные (универсальные) нормы, излишняя детализация, превращение закона в инструкцию неизбежно ведут к устареванию закона ещё до его принятия и пробелам для регулятора. Выявленные в процессе применения закона пробелы законодатель пытается восполнить многочисленными изменениями (читай – заплатами), которые появляются сразу же после принятия закона. Эти изменения являются всё более и более бессистемными, принятыми «по случаю», и только усугубляют ситуацию.
В итоге правовая система деградирует. Количество законов растёт как снежный ком, однако пробелов в регулировании меньше не становится, система права становится внутренне несогласованной и противоречивой, правоприменение произвольным. Отсутствие ясности, стабильности и предсказуемости правового регулирования ведёт к сокращению деловой активности, оттоку капиталов и технологий, а также – и это в данном контексте главное – самих данных.
Искусственный интеллект в связи с ПД
Упоминалось о также правовой определённости тесно связанного с данными, персональными в том числе, понятия «искусственный интеллект» (ИИ). Констатирована необходимость «широкого технологически нейтрального определения», которое будет учитывать, что ИИ шире, нежели только технологии, основанные на машинном обучении.
Это, конечно, верно, однако пожелание не реализовано нигде в мире. Об отсутствии удовлетворительного определения понятия «ИИ», напомним, D-Russia.ru уже писал.
Ряд специалистов России полагают, что развитие ИИ является самостоятельным правовым основанием для обработки ПД, и согласия субъекта ПД на их обработку не требуется (такая идея реализуется в Китае – ред.). В чате конференции по этому вопросу прошло голосование участников, подавляющее большинство которых высказалось против такого подхода.
В последующей дискуссии высказано мнение, что для целей развития ИИ следует использовать имеющиеся правовые основания, в частности, «легитимный интерес» субъекта ПД при сохранении контроль граждан над своими данными. Введение новых оснований обработки подрывает основные принципы защиты ПД, такие как минимизация данных, ограничение целей их использования и сроков хранения. Эффективное использование существующих правовых инструментов всегда предпочтительнее изменения правового регулирования, особенно принимая во внимание риски и опасения, связанные с ИИ.
Были также высказаны опасения по поводу использования ИИ для формирования социальных рейтингов, а также для автоматизированного принятия юридически значимых решений. Высказано мнение, что применять право должны люди, а не машины, иначе это не имеет ничего общего с правосудием. ИИ невозможно научить морали и этике, а также базовым принципам справедливости, без которых невозможно действительное правосудие.
Зарубежный опыт
Во второй день конференции были доклады на английском языке, представленные экспертами международного профессионального и научного сообщества в области защиты данных (ЕС, США, Канада).
Многие говорили о том, что к защите приватности следует относиться не как к риску или издержкам, а как к ценному активу, который, при правильном использовании, способен принести значительные материальные выгоды, в т.ч. за счёт построения доверия и экосистемы взаимного уважения между компаниями и потребителями. Большое внимание было уделено необходимости ранней имплементации принципов «спроектированной приватности» (privacy by design) во все сферы деятельности всех компаний.
