Госдума взялась за большие пользовательские данные
Эксперты считают высокой вероятность принятия проекта федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации". Этот законопроект, призванный регулировать сферу больших пользовательских данных, внесен в Госдуму. При этом ни Роскомнадзор, ни недавно созданная Ассоциация участников рынка больших данных не принимали участия в его разработке. Эксперты признают, что принятие подобного закона может негативно сказаться на развитии и применении отдельных технологий в России. В первую очередь замедление развития коснется банковского сектора и телекома.
Как отмечается в пояснительной записке к законопроекту, он направлен на повышение эффективности защиты информации, собираемой из различных источников, в том числе в сети интернет. Законопроект определяет такие понятия, как "большие пользовательские данные", "оператор больших пользовательских данных", "обработка больших пользовательских данных". Также законопроектом предусмотрено создание "Реестра операторов больших пользовательских данных". В проекте описано, что обязан делать оператор больших пользовательских данных и как формируется реестр операторов.
Законопроектом предусматривается, что операторами больших пользовательских данных могут стать федеральные органы исполнительной власти, органы исполнительной власти субъекта РФ, органы местного самоуправления, юридические или физические лица, самостоятельно или совместно с другими лицами осуществляющие обработку больших пользовательских данных.
Законопроект устанавливает требование об обязательном информировании пользователя об обработке больших пользовательских данных путем размещения на сайте оператора больших пользовательских данных в сети интернет информационного сообщения. Законопроектом также установлена обязанность оператора больших пользовательских данных до начала обработки больших пользовательских данных, когда предполагается на безвозмездной основе или за плату передача больших пользовательских данных третьим лицам, получать информированное согласие в электронной форме пользователя абонентского терминала.
При этом в законопроекте указано, что требования к информационному сообщению и информированному согласию, а также их формы устанавливаются федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.
Согласно законопроекту, предполагается создание федеральной государственной информационной системы "Реестр операторов больших пользовательских данных". Полномочия по созданию и ведению реестра закрепляются за федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.
Представитель пресс-службы Роскомнадзора сообщил корреспонденту ComNews, что ведомство не принимало участия в разработке данного законопроекта. "Им занималась Государственная Дума. В связи с этим ведомство воздерживается от комментариев по данному вопросу", - добавил он.
Напомним, что в октябре ПАО "МегаФон", Mail.Ru Group, oneFactor, АО "Тинькофф Банк", ООО "Яндекс" и ПАО "Сбербанк" создали Ассоциацию участников рынка больших данных (см. новость ComNews от 18 октября 2018 г.). Основная цель ассоциации - организация условий для развития технологий и продуктов в сфере больших данных в России и создание единых стандартов обработки, хранения, передачи и использования больших данных.
Представитель ассоциации сообщил корреспонденту ComNews, что игроки рынка, а также бизнес-ассоциации не участвовали в разработке данного законопроекта. "Мы изучаем текст документа, но уже сейчас можно отметить, что излишнее регулирование в этом вопросе будет препятствовать развитию рынка больших данных в России. Мы считаем, что создание единого термина, описывающего большие данные в целом, нецелесообразно, с учетом того, что категории информации, которые могут собираться, постоянно меняются количественно и качественно с развитием технологий. Мы готовы сотрудничать и предоставить экспертную оценку законопроекта", - отметил представитель Ассоциации участников рынка больших данных, однако, оценку законопроекту давать отказался.
Технический директор DIS Group Олег Гиацинтов согласен с представителем ассоциации в том, что создание единого термина, описывающего большие данные в целом, нецелесообразно. "Big Data - это прежде всего технологии, которые используются для обработки и хранения данных и удешевляют это. В частности, это технология параллельной обработки и хранения данных на кластере Hadoop. Сами по себе корпоративные данные могут храниться и в традиционной реляционной базе, и на кластере Hadoop. Последний позволяет делать запросы к данным быстрее, работать с данными разных форматов, в том числе неструктурированными, одновременно обрабатывать большие объемы данных. Именно эти три признака - скорость, разнообразие, объемы - velocity, variety, volume - во всем мире и служат для определения Big Data. Ограничивать какой-то из этих параметров количественно сложно, так как технологии сейчас развиваются очень быстро", - рассказал корреспонденту ComNews Олег Гиацинтов.
Представитель пресс-службы ПАО "Ростелеком" сообщил корреспонденту ComNews, что "Ростелеком" в настоящее время изучает законопроект и подготовит экспертное заключение позднее. Представитель пресс-службы ПАО "ВымпелКом" (бренд "Билайн") также сказал, что в компании изучают законопроект.
Руководитель департамента стратегических коммуникаций Tele2 (ООО "Т2 Мобайл") Ольга Галушина сообщила, что Tele2 приветствует идею демократичного рынка, участники которого могли бы свободно обмениваться данными, при этом строго соблюдая интересы клиентов и гарантируя защиту персональных данных. "Принципы саморегулируемости рынка в конечном счете ведут к созданию ценности для клиента и позволяют предложить ему услуги лучшего качества. Tele2 делает аналитику больших данных в агрегированном виде, и внешний клиент получает только "обезличенный" результат. Мы помогаем бизнесу наладить коммуникацию с клиентом, при этом обязательное условие для взаимодействия нашего абонента с внешними заказчиками - его согласие", - рассказывает Ольга Галушина.
Олег Гиацинтов отмечает, что правовое регулирование работы с клиентскими данными имеет очень большое значение в современном мире. "Очень важно, чтобы бизнес хорошо знал, какие данные он собирает и зачем, где они хранятся, где могут попасть к третьим лицам. А также - эффективно защищал их, чтобы не нанести урон ни себе, ни своему клиенту. Инициативы государства в этой сфере помогут соблюсти интересы всех задействованных сторон. Но стоит отметить, что данные, которые сейчас собирают компании, действительно большие. Возможно, не все из них должны активно контролироваться регулятором. Например, регламент GDPR, который недавно вступил в силу в Европе, распространяется только на те данные, которые потенциально могут привести к идентификации конкретного человека", - комментирует Олег Гиацинтов.
Генеральный директор юридической и консалтинговой компании "ОрдерКом" Дмитрий Галушко говорит, что в законопроекте фактически используется маркетинговое название от английского Big Data. "Законопроект внесен представителями "Единой России", вероятность его принятия велика. Нормы законопроекта распространяются на владельцев Big Data от 1000 человек (сетевых адресов). При обработке свыше 100 тыс. бизнес должен подать уведомление и по итогам - занесен в Реестр Роскомнадзора. До подачи уведомления в Роскомнадзор бизнесу нельзя обрабатывать большие данные. При этом все операторы Big Data должны уведомить пользователей о сборе данных и получить согласие на передачу Big Data третьим лицам", - поясняет Дмитрий Галушко.
Дмитрий Галушко заметил, что пока нет параллельного законопроекта с ответственностью по КоАП за неисполнение требований, указанных в поправках к закону "Об информации, информационных технологиях и о защите информации". "Но, полагаю, в будущем ответственность будет аналогичная статье 13.40 КоАП: неисполнение оператором поисковой системы обязанности по подключению к информсистеме влечет наложение штрафа на юридических лиц от 500 тыс. до 700 тыс. руб. Кроме того, уже сейчас в КоАП РФ виды наказаний - ч.1 ст.3.2 - дополняются новым видом ограничения доступа к информационным системам и (или) программам для ЭВМ. Ограничение устанавливается на срок до 90 суток и назначается судьей. Постановление судьи должно содержать доменное имя, IP-адрес, URL сайта в сети интернет", - поясняет Дмитрий Галушко.
Олег Гиацинтов говорит о том, что, если поправки будут приняты, в каждой компании обязательно должен быть внедрен целый ряд технических инструментов и методология Data Governence (стратегическое управление данными). "В частности, нужно будет внедрить общий каталог всех клиентских данных с функцией метаданных - данные о данных, для того чтобы быстро искать нужные клиентские данные и удалять их при необходимости сразу во всех базах и системах. Вручную управлять таким большим объемом данных для соответствия новым правкам будет очень сложно", - отмечает он.
Олег Гиацинтов признает, что принятие подобного закона может негативно сказаться на развитии и применении отдельных технологий в России. Среди них - data science и machine leaning. "Задача data scientist - найти полезные для бизнеса закономерности в данных. Чем больше у него информации, тем лучше он может обучить свои модели. Неполная поведенческая информация приведет к ухудшению качества аналитики, в том числе предиктивной. В первую очередь замедление развития machine learning и data science коснется тех областей, где данных собирается больше всего, - банковского сектора и телекома", - объясняет он.
В то же время Олег Гиацинтов указывает на то, что решения на основе больших данных приносят пользу не только бизнесу, но и самому потребителю: "Рекомендательный сервис, который на основе машинного обучения самостоятельно определяет, какой товар вам действительно нужен, облегчает и ускоряет процесс покупки для вас. Современные модели машинного обучения позволяют добиваться очень высокой точности рекомендации. Добиться такого эффекта другими маркетинговыми средствами невозможно. Несомненно важно, чтобы у data scientist не было доступа к избыточной персональной информации клиента. Но для этого крупнейшие российские компании уже сейчас успешно применяют различные технологии обезличивания и блокирования данных. Среди них - Data Masking".