CC BY
153
www.volsu.ru
DOI: https://doi.org/10.15688/lc.jvolsu.202L3.23
UDC 342.721 Submitted: 03.05.2021
LBC 67.404.9 Accepted: 20.05.2021
THE PROBLEMS OF THE LEGAL REGULATION OF BIG DATA
Alexey Y. Churilov
Tomsk State University, Tomsk, Russian Federation
Introduction: the development of technologies for collecting and processing information gave rise to the emergence of a recent phenomenon on the market - Big Data, which is in a certain conflict with the current legislation on personal data. Objective: to study the problems and features of the legal regulation of Big Data considering their technological features. Methods: the methodological basis of the study is a set of methods of scientific knowledge, among which the primary place is occupied by the methods of historicism, systematic method, analysis. Results: the problems of compliance of the current regulation of relations regarding personal data with the realities of the technological development of society were analyzed, including the compliance of Big Data technology with the general principles of processing personal data, reflected in both domestic and foreign legislation. Conclusions: the author concludes that regulation of personal data lags the needs of entrepreneurs using Big Data in their work, and the need for a careful choice of a model for the legal regulation of relations arising from the use of this technology to achieve a balance of private and public interests.
Key words: Big Data, personal data, principles, legality, consent, regulation.
Citation. Churilov A.Y. The Problems of the Legal Regulation of Big Data. Legal Concept = Pravovaya paradigma, 2021, vol. 20, no. 3, pp. 155-160. (in Russian). DOI: https://doi.org/10.15688/lc.jvolsu.2021.3.23
УДК 342.721 Дата поступления статьи: 03.05.2021
ББК 67.404.9 Дата принятия статьи: 20.05.2021
ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ БОЛЬШИХ ДАННЫХ
Алексей Юрьевич Чурилов
Томский государственный университет, г. Томск, Российская Федерация
Введение: развитие технологий сбора и обработки информации породили возникновение нового явления на рынке - больших данных, которые находятся в определенном конфликте с действующим законодательством о персональных данных. Цель: исследовать проблемы и особенности правового регулирования больших данных с учетом их технологических особенностей. Методы: методологическую основу исследования составляет совокупность методов научного познания, среди которых основное место занимают методы историзма, системности, анализа. Результаты: проанализированы проблемы соответствия текущего регулирования отношений по поводу персональных данных реалиям технологического развития общества, в том числе соответствие технологии больших данных общим принципам обработки персональной информации, отраженных как в отечественном, так и зарубежном законодательстве. Выводы: зафиксировано отставание регулирования персональных данных от потребностей предпринимателей, использующих в своей работе большие данные, и необходимости тщательного выбора модели правового регулирования отношений, возникающих в связи с применением этой технологии для достижения баланса частных g и публичных интересов.
Ключевые слова: большие данные, персональные данные, принципы, законность, согласие, регулиро-2 вание. <С
« Цитирование. Чурилов А. Ю. Проблемы правового регулирования больших данных // Legal Concept =
о
Правовая парадигма. - 2021. - Т. 20, №> 3. - С. 155-160. - DOI: https://doi.org/10.15688/lcjvolsu.202L3.23
Введение
В условиях ускоряющегося технологического развития законодателю все труднее становится своевременно реагировать на изменения общественных отношений. Большие данные, или Big Data, еще не получили единого доктринального или легального толкования. Некоторые исследователи определяют большие данные как процесс обработки компьютерами большого количества информации для выявления поведенческих моделей с целью предсказания действий людей или компаний [10]. Другие же под этим термином понимают простую совокупность информации, которую не может обработать традиционная база данных [11], или раскрывают это понятие через особую архитектуру такой базы данных [1]. Большие данные начали активно использоваться для управления бизнес-процессами и прогностической аналитики [1], аудиторской деятельности [3].
Ключевые особенности больших данных традиционно раскрывают через 4 основных признака (или 4 V больших данных): большой объем (volume); разнообразие (variety); высокая скорость изменения (velocity); точность (veracity) [6]. Для хранения и обработки больших данных создаются особые распределенные системы хранения данных, в том числе распределенные файловые системы, позволяющие использовать внешнее файловое пространство системы хранения для обработки данных на устройствах, входящих в вычислительных кластер [4].
Постановка проблемы
Одной из проблем, с которой столкнулся как отечественный, так и зарубежный законодатель, является поиск адекватной модели правового регулирования отношений, возникающих по поводу так называемых больших данных, которые могут содержать в себе и использовать при работе персональные данные. Следует отметить, что законодательство под обработкой персональных данных понимает любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данны-
ми, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Таким образом, практически любая операция с персональными данными будет являться их обработкой.
Поскольку технология больших данных позволяет хранить и анализировать (обрабатывать) не только информацию о каких-либо производственных процессах, но и информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), возникает закономерный вопрос - насколько действующее законодательство адекватно регулирует отношения, возникающие при использовании больших данных. Ответ можно дать, проанализировав применение основных принципов обработки персональных данных к большим данным. Как отечественное, так и зарубежное законодательство о персональных данных выделяет 7 основных принципов обработки персональных данных: законность, справедливость и прозрачность; ограничение цели обработки; минимизация данных; точность; ограничение хранения; целостность и конфиденциальность; ответственность (подотчетность) [7].
В рамках исследования будет проведен анализ трех принципов - законности (в частности, при обработке особых категорий персональных данных), ограничения цели и минимизации данных, поскольку именно они представляют наибольшую проблему для работы с большими данными. Также будет рассмотрена возможность принятия решений на основании исключительно автоматизированной обработки персональных данных посредством больших данных.
Большие данные и принципы регулирования персональных данных
Принцип целевого ограничения, закрепленный в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и ст. 5 Регламента № 2016/679 Европейского парламента и Совета Европейского
Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (далее - Регламент), состоит в том, что данные собираются оператором для конкретных, заранее определенных и законных целей и в дальнейшем не должны обрабатываться несовместимым с ними способом. Цели обработки персональных данных могут происходить из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных.
Следовательно, контролер или обрабатывающее данные лицо должны ясно обозначить пользователю, для каких целей собираются и планируют использоваться персональные данные, а также отразить это в документации, предусмотренной ст. 18.1 ФЗ «О персональных данных» и ст. 30 Регламента. Существование этого принципа, распространяющегося и на обработку персональных данных при использовании больших данных, необходимо для того, чтобы у субъекта персональных данных оставался определенный контроль над тем, как будет использоваться переданная им оператору информация.
Представляется, что технология больших данных не может полностью соответствовать принципу целевого ограничения - используемые при обработке механизмы машинного обучения зачастую выходят не только за те цели, которые были первоначально определены оператором персональных данных, но и даже за пределы ожиданий. В этой связи оператор должен уведомлять каждого субъекта персональных данных об изменении цели и способах обработки, а также осуществлять постоянный мониторинг своих систем на предмет соответствия обработки заявленным целям. Попытка обойти этот принцип установлением максимально широких и неконкретно сформулированных целей обработки персональных данных может быть расценено как нарушение требований законности обработки
и повлечь в том числе административную ответственность в рамках отечественного (ст. 13.11 КоАП РФ) и европейского законодательства [8; 9]. При изменении цели обработки персональных данных необходимо учитывать и характер обрабатываемых данных.
Запрещено обрабатывать данные способом и для целей, которые не предусмотрены соответствующей документацией и соглашением с субъектом, не совместимы с первоначальной целью и о которых не уведомлен пользователь (и не получено его согласие), кроме ряда исключений: для публичных интересов, научных или исторических исследований, статистических целей. Эти цели, закрепленные в ст. 6 ФЗ «О персональных данных» и в ст. 5 Регламента, считаются априори совместимыми с первоначальной целью сбора и обработки персональных данных. Для больших данных статистические цели являются той лазейкой, которой может воспользоваться оператор для того, чтобы обработка оставалась в законных рамках.
Под термином «статистические цели» понимается любая деятельность по сбору и обработке персональных данных, необходимых для статистического изучения или для подготовки статистических результатов. Указанные статистические результаты могут быть в дальнейшем использованы в других целях, в том числе в рамках научного исследования. Статистическая цель подразумевает, что результатом обработки являются не персональные, а сводные данные, и что указанный результат, или персональные данные, не используются для обеспечения выполнения мер и решений, относящихся к определенному физическому лицу (п. 162 преамбулы Регламента). Следовательно, до тех пор, пока с помощью информации, полученной при обработке больших данных, не принимаются юридически значимые решения, обработка может соответствовать статистическим целям. Однако основной целью использования больших данных является дальнейшее их применение для, к примеру, таргетированной рекламы или принятия решений в отношении субъекта персональных данных, что автоматически выводит их из-под действия исключения статистических целей - к примеру, отечественный законодатель прямо исключает совмещение
исследовательски, статистических целей и целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.
Одним из важнейших проявлений принципа целевого ограничения является обязанность оператора не допускать объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Более того, согласно ст. 25 Регламента и ст. 18.1 ФЗ «О персональных данных», оператор должен имплементировать соответствующие технические и организационные меры для обеспечения того, что по умолчанию обрабатываются только те персональные данные, которые необходимы для каждой конкретной цели обработки. В рамках больших данных, представляющих собой не структурированную в привычном понимании базу данных, такое практически невозможно и, как минимум, экономически нецелесообразно.
В соответствии с принципом минимизации данных лицо должно обрабатывать и собирать персональные данные адекватно, то есть в достаточном количестве для обозначенных целей (исходя из прямого указания, к примеру, ФЗ «О персональных данных», обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки); персональные данные должны соответствовать заявленной цели (предполагается разумная связь данных в целях их обработки); сбор персональных данных должен быть ограничен тем количеством, которое необходимо для достижения заявленных целей. В соответствии с этим принципом также недопустимо собирать слишком большое количество информации о пользователях в надежде, что она когда-нибудь пригодится. Проблему соответствия больших данных этому принципу неоднократно отмечали исследователи [5; 11], поскольку сама основа больших данных заключается в сборе как можно большего количества персональных данных за единицу времени. Более того, большие данные не вполне будут соответствовать смежному принципу ограничения хранения, поскольку технологии обработ-
ки постоянно совершенствуются, и до тех пор, пока существует вероятность того, что уже собранные данные можно проанализировать иначе, они будут храниться у оператора. Безусловно, и в данном случае возможно применить уже упомянутое исключение обработки для «статистических целей», но оно затрагивает лишь крайне узкую сферу применения технологии больших данных. Представляется необходимым скорректировать регулирование применения этого принципа в отношении больших данных, в том числе путем expost регулирования отдельных видов обработки персональных данных, входящих в состав больших данных.
Принцип законности обработки персональных данных требует наличия правового основания для обработки персональных данных - будь то согласие субъекта или предусмотренные законодательством случаи допустимости обработки без согласия субъекта. Для больших данных существенную проблему представляет получение согласия каждого субъекта на обработку чувствительных персональных данных - в соответствии с нормами отечественного законодательства такое согласие должно быть дано в форме электронного документа с цифровой подписью и содержать довольно большой перечень обязательных реквизитов. Более того, сложившаяся практика идет по пути дачи согласия в форме отдельного документа, а не, к примеру, приложения или пункта договора [2], что еще больше усложняет обработку такой информации с помощью больших данных. Особенностью информации, которая обрабатывается с помощью больших данных, является ее способность менять категорию - к примеру, при анализе списка покупок программа может создать результат, имеющий отношение уже к специальным категориям персональных данных - о состоянии здоровья человека. В этой связи можно утверждать, что большие данные в принципе стирают грань между общими персональными данными и специальными. Эта особенность требует соответствующего изменения регулирования для того, чтобы достигнуть баланса частных интересов предпринимателей, работающих с большими данными, и публичных интересов защиты различных категорий персональных данных.
Еще одной проблемой, с которой сталкивается правовое регулирование больших данных, является автоматическое принятие юридически значимых решений исключительно с их помощью. По общему правилу, закрепленному как в отечественном, так и европейском законодательстве, такая обработка допустима только с согласия субъекта персональных данных. Проблема видится в том, что законодатель обязывает оператора разъяснить субъекту персональных данных процедуру принятия решений на основе анализа информации о них при том, что эта процедура может подпадать под режим коммерческой тайны, помимо того факта, что рядовой сотрудник организации вряд ли в состоянии объяснить принцип работы машинного обучения в достаточной для выполнения требования «разъяснения», которое также не уточнено в законодательстве. Более того, сам факт существования такого запрета ставит под угрозу применение больших данных во многих отраслях экономики. Существующий обход этого правила путем внедрения в процедуру принятия решения человека (который, как правило, слепо следует решению алгоритмов) делает эту норму практически неработоспособной.
Выводы
Подводя итог, следует заключить, что технология больших данных в определенной степени находится в конфликте с базовыми принципами законодательства о персональных данных и законодателю, и правоприменителю необходимо принимать взвешенные решения при регулировании сложившихся отношений для соблюдения хрупкого баланса между интересами предпринимателей и субъектов персональных данных.
СПИСОК ЛИТЕРА ТУРЫ
1. Войниканис, Е. А. Регулирование больших данных и право интеллектуальной собственности: общие подходы, проблемы и перспективы развития / Е. А. Войканис // Закон. - 2020. - №2 7. -С. 135-156.
2. Защита данных: научно-практический комментарий к судебной практике / Э. В. Алимов
[и др.] ; отв. ред. В. В. Лазарев, Х. И. Гаджиев. - М. : ИЗиСП : Контракт, 2020. - 176 с.
3. Казакова, Н. А. Перспективы внедрения аналитики больших данных в аудиторскую профессию / Н. А. Казакова, М. В. Мельник, Е. В. Дудорова // Аудитор. - 2021. - №№ 3. - С. 40-47.
4. Радченко, И. А. Технологии и инфраструктура Big Data / И. А. Радченко, И. Н. Николаев. -СПб : Университет ИТМО, 2018. - 52 с.
5. Ромашов, П. А. К вопросу о праве на неприкосновенность частной жизни в цифровой век / П. А. Ромашов // Пермский юридический альманах. Ежегодный научный журнал. - 2019. - №2 1. -С. 103-118.
6. Савельев, А. И. Направления регулирования Больших данных и защита неприкосновенности частной жизни в новых экономических реалиях / А. И. Савельев // Закон. - 2018. - №> 5. - С. 122-144.
7. Чурилов, А. Ю. Принципы Общего регламента Европейского союза о защите персональных данных (GDPR): проблемы и перспективы импле-ментации / А. Ю. Чурилов // Вестник Омской юридической академии. - 2019. - №2 1. - С. 29-35.
8. Bennett, C. J. Privacy Protection in the Era of "Big Data": Regulatory Challenges and Social Assessments. Exploring the Boundaries of Big Data / C. J. Bennet, R. M. Bayley // Amsterdam University Press. - Amsterdam, 2016. - P. 205-230.
9. Mayer-Schönberger, V. Regime Change? Enabling Big Data through Europe's New Data Protection Regulation / V. Mayer-Schönberger, Y. Padova // Science and Technology Law Review. -2016. - №№ 2. - P. 188-228.
10. Strahilevitz, L. J. Toward a Positive Theory of Privacy Law / L. J. Strahilevitz // Harvard Law Review. -2013. - Vol. 126. - Р. 2010-2042.
11. Tucker, D. S. Big Mistakes Regarding Big Data / D. S. Tucker, H. Wellford // Antitrust Source, American Bar Association. - 2014. - Р. 1-12.
REFERENCES
1. Vojnikanis E.A. Regulirovanie bol'shih dannyh i pravo intellektual'noj sobstvennosti: obshchie podhody, problemi i erspektivy razvitiya [Regulation of Big Data and Intellectual Property Law: General Approaches, Problems and Development Prospects]. Zakon [The Law], 2020, no. 7, pp. 135-156.
2. Alimov E.V., Alimova D.R., Gadzhiev H.I. Zashchita dannyh: nauchno-prakticheskij kom-mentarij k sudebnojpraktike [Data Protection: Scientific and Practical Commentary on Judicial Practice]. Moscow, IZiSP Publ., Kontrakt Publ., 2020. 176 p.
3. Kazakova N.A., Mel'nik M.V, Dudorova E.V Perspektivy vnedreniya analitiki bol'shih dannyh v
auditorskuyu professiyu [Prospects for Implementing Big Data Analytics in the Auditing Profession]. Auditor, 2021, no. 3, pp. 40-47.
4. Radchenko I.A, Nikolaev I.N. Tekhnologii i infrastruktura Big Data [Technology and Infrastructure of the Big Data]. Saint Petersburg, Universitet ITMO, 2018. 52 p.
5. Romashov P.A. K voprosu o prave na neprikosnovennost' chastnoj zhizni v cifrovoj vek [On the Issue of Right to Privacy in the Digital Age]. Permskijy uridicheskij al'manah. Ezhegodnyj nauchny jzhurnal [Perm Legal Almanac. Annual Scientific Journal], 2019, no. 1, pp. 103-118.
6. Savel'ev A.I. Napravleniya regulirovaniya Bol'shih dannyh i zashchita neprikosnovennosti chastnoj zhizni v novyh ekonomicheskih realiyah [Areas of Big Data Regulation and Protection of Privacy in New Economic Realities]. Zakon [The Law], 2018, no. 5, pp. 122-144.
7. Churilov A.Yu. Principy Obshchego reglamenta Evropejskogo soyuza o zashchite
personal'nyh dannyh (GDPR): problemy i perspektivy implementacii [Principles of the European Union General Data Protection Regulation (GDPR): Problems and Perspectives for Implementation]. Vestnik Omskoj yuridicheskoj akademii [Herald of the Omsk Law Academy], 2019, no. 1, pp. 29-35.
8. Bennett C.J., Bayley R.M. Privacy Protection in the Era of "Big Data": Regulatory Challenges and Social Assessments. Exploring the Boundaries of Big Data. Amsterdam University Press. Amsterdam, 2016, pp. 205-230.
9. Mayer-Schönberger V., Padova Y. Regime Change? Enabling Big Data through Europe's New Data Protection Regulation. Science and Technology Law Review, 2016, no. 2, pp. 188-228.
10. Strahilevitz L.J. Toward a Positive Theory of Privacy Law. Harvard Law Review, 2013, vol. 126, pp. 2010-2042.
11. Tucker D.S., Wellford H. Big Mistakes Regarding Big Data. Antitrust Source, American Bar Association, 2014, pp. 1-12.
Information About the Author
Alexey Y. Churilov, Candidate of Sciences (Jurisprudence), Analyst, Scientific and Educational Center "Intellectual Property and Intellectual Rights", Law Institute, Tomsk State University, Prosp. Lenina, 36, 634050 Tomsk, Russian Federation, Lefikantor@yandex.ru, https://orcid.org/0000-0001-9435-1626
Информация об авторе
Алексей Юрьевич Чурилов, кандидат юридических наук, аналитик научно-образовательного центра «Интеллектуальная собственность и интеллектуальные права», Томский государственный университет, просп. Ленина, 36, 634050 г. Томск, Российская Федерация, Lefikantor@yandex.ru, https://orcid.org/0000-0001-9435-1626
