Бизнесу могут запретить создавать профайлы клиентов на базе персональных данных
Эксперты и участники рынка опасаются, что мера приведет к маркетинговым убыткам
Операторам персональных данных граждан (ПД) могут запретить собирать профили клиентов, т. е. автоматически обрабатывать ПД с целью анализа личности и предугадывания интересов, предпочтений и поведения людей без отдельного на то согласия. Это означает, что коммерческие банки, операторы связи, маркетплейсы и т. д. не смогут собирать данные из разных источников без ведома клиентов. Такая мера предусмотрена новым законопроектом по противодействию мошенничеству, который подготовило Минцифры во исполнение поручения вице-премьера Дмитрия Григоренко. Законопроект есть в распоряжении «Ведомостей», подлинность документа подтвердили источник в правительстве и два источника в компаниях телекомрынка. Наказание за нарушение этого запрета пока в законопроекте не предусмотрено.
Документ предлагает запретить анализ и прогнозирование характеристик, касающихся экономического положения субъекта ПД, его состояния здоровья, личных предпочтений, интересов, поведения и местонахождения с помощью любых автоматизированных алгоритмов. Эти правки будут внесены в ст. 5 № 152-ФЗ «О персональных данных», определяющую основные принципы обработки ПД, следует из документа.
Сами же субъекты ПД, следует из законопроекта, смогут направлять согласия на обработку данных только через два канала – непосредственно оператору или через ЕСИА (единую систему идентификации и аутентификации). Таким же образом можно будет отозвать согласие.
При сборе персональных данных через любые каналы оператор ПД должен будет передать информацию о факте обработки информации в ЕСИА, говорится в законопроекте.
Авторы законопроекта уточняют, что мера направлена на регулирование IT-мошенничества, следует из пояснительной записки. Согласно документу, по данным МВД, в 2024 г. было зарегистрировано 380 300 преступлений, предусмотренных ст. 159 (мошенничество), ст. 159.3 (мошенничество с использованием электронных средств платежа) и ст. 159.6 (мошенничество в сфере компьютерной информации) УК РФ. Это на 6,8% больше, чем в 2023 г. В результате был причинен материальный ущерб в размере 188,7 млрд руб. – на 38,2% больше, чем в 2023 г.
Сейчас «второй пакет» мер по борьбе с мошенниками находится на межведомственном согласовании и может меняться с учетом предложений ведомств и отрасли, уточнил представитель аппарата Григоренко. Законопроект еще не поступал на площадку аппарата правительства, в связи с этим преждевременно говорить о конкретных мерах, сказал он.
Установление требований при профилировании, поясняет представитель Минцифры, направлено на минимизацию собираемых ПД и защиту прав граждан. «Любое исследование наборов данных было и будет осуществляться при строгом соблюдении всех правил безопасности, а вся информация – надежно защищена», – добавил он. Он не стал рассказывать о подробностях до принятия документа.
Новый законопроект значительно усложнит ситуацию для бизнеса и пользователей, поскольку фактически вводится запрет на автоматизированный профайлинг, усиливается контроль через ЕСИА («Госуслуги»), устанавливается строгий порядок обработки ПД, подчеркнул источник «Ведомостей» в телекомкомпании. Как говорит собеседник, это негативно скажется на крупных технологических компаниях, финансовых структурах и рекламных платформах, вложивших значительные средства в системы скоринга и персонализации.
Кроме того, интеграция с ЕСИА и необходимость получения новых форм согласия от клиентов увеличивают административную нагрузку, особенно сильно ударяя по малому предпринимательству и стартапам, не имеющим штат специалистов по защите приватности, подчеркнул собеседник.
Текущая версия ФЗ «О персональных данных» уже содержит запрет на объединение баз данных с ПД, обработка которых осуществляется в целях, несовместимых между собой, сообщил «Ведомостям» представитель Ассоциации больших данных (АБД, входят крупнейшие операторы данных – «Сбер», Т-банк, VK, «Яндекс»). Дополнительный запрет на обработку данных из различных источников представляется более узким и избыточным, полагают в ассоциации. Предложенные изменения также могут стать причиной правовой неопределенности, поскольку содержат не прописанные в законодательстве понятия «различные источники», «личные характеристики» и «прогнозирование характеристик», говорит представитель АБД.
Источник «Ведомостей» в другой телекомкомпании рассказал «Ведомостям», что такое изменение законодательства не поддерживается рядом участников рынка. «Вместо точечного регулирования сервисов, которые могут предоставляться клиентам с их согласия, вводится тотальный запрет, – объяснил он. – При этом очевидно, что зарубежные интернет-компании такие ограничения никогда соблюдать не будут».
В законопроекте устанавливается, что обработка ПД должна быть ограничена конкретными целями и задачами, поставленными перед оператором, например рассмотрением заявки на кредит или заключением сделки – не больше, подчеркнула генеральный директор юридической компании Enterprise Legal Solutions Анна Барабаш. Но она соглашается, что похожее требование уже есть в ФЗ «О персональных данных», а предлагаемые поправки это положение еще раз подтверждают и конкретизируют.
Юрист полагает, что необходимость в поправках могла быть обусловлена именно развитием технологий и нехваткой законодательной базы для их регулирования – например, в части использования ПД при машинном обучении и в целом довольно слабо ограниченном законодательном доступе ИИ к базам, содержащим ПД. И логично, что для оценки личных характеристик субъекта ПД, его склонности к импульсивным покупкам новые алгоритмы используются все чаще, говорит она. Но, предупреждает Барабаш, эти же сведения в случае утечек могут использоваться и в преступных целях через методы социальной инженерии.
Если говорить об ответственности, то, вероятно, нарушивших данный закон могут привлечь за нарушение требований к составу сведений, которые субъект ПД разрешил анализировать оператору, а эти штрафы могут варьироваться в размере от 6000 до 10 000 руб. на физлицо, от 20 000 до 40 000 руб. на должностное лицо и от 30 000 до 150 000 на юрлицо, предполагает Барабаш.
Ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов полагает, что любые дополнительные запреты провоцируют появление путей их обхода, более изощренных способов мошенничества. Намного логичнее, полагает он, было бы пойти по пути квотирования или сегментирования по потребителям и по сценариям использования ПД. Этот подход уже реализован у крупных операторов данных, которые могут предоставить часть из них бизнесу под его специфический запрос, уточнил эксперт.
Запрет персонализированного маркетинга, говорит руководитель проектов компании «Интеллектуальная аналитика» Тимофей Воронин, может привести к ухудшению качества обслуживания клиентов и росту издержек на продвижение продуктов. Компаниям придется отказаться от таргетированной рекламы и перейти к массовым коммуникациям низкого качества, считает он. Ограничения также ставят российский технологический сектор в невыгодное положение на международной арене, замедляют развитие решений на базе ИИ и создают риски ухода реальных инноваций в офшорные зоны либо развития нелегальных схем обращения с ПД, резюмировал он.