Баланс между выгодой и приватностью при регулировании данных: как его ищут в разных странах
Регулирование оборота данных сегодня является актуальным для стран с разными правовыми культурами и традициями. Во многих странах уже либо приняты, либо находятся в стадии обсуждения стратегические документы в области данных, в которых основной акцент сделан на создание условий для максимально эффективного использования потенциала данных. О том, какие подходы к управлению данными существуют в разных странах мира, включая Россию, и как государства пытаются найти баланс между защитой приватности граждан и получением максимальной выгоды от использования данных для экономического роста, рассказывается в этой статье.
Основная статья: Управление данными (Data management)
Осенью 2021 года вышел аналитический обзор «Совершенствование моделей управления данными. Стимулирование обмена данными между государственным сектором и ключевыми участниками рынка». Материал содержит в себе сведения об основных подходах к управлению данными на стыке интересов (взаимодействия) государства и крупных игроков рынка, в том числе вопросы регулирования оборота различных типов данных ограниченного доступа, основных тенденций и стратегий развития рынка данных зарубежных стран, общий анализ подходов к развитию рынка данных; а также рекомендации для государственных органов, отраслевых организаций и бизнеса. В рамках исследования рассмотрены:
- стратегические подходы к развитию рынка данных в отдельных юрисдикциях (ЕС, США, Канада, Австралия, Китай, Япония, Южная Корея);
- подходы к определению различных категорий данных;
- принципы оборота данных, в том числе данных ограниченного доступа;
- существующие требования к раскрытию данных государственных информационных систем и бизнеса, в том числе отчетности или статистической информации;
- международные стандарты данных.
В качестве сопутствующих материалов в исследования приводятся важные стратегические документы в области развития рынка данных в различных юрисдикциях, некоторые модели управления данными в зарубежных странах, а также статистические показатели и графики.
Читателю предлагается ознакомиться с основными положениями и выводами данного исследования. Информация представляет интерес для экспертов в области данных и цифрового права, специалистов управленческого звена государственных органов и частных компаний, а также для широкого круга представителей профильного сообщества.
Аналитический обзор был подготовлен и представлен профессиональному сообществу АНО «Центр компетенций по глобальной ИТ-кооперации» (CGITC) совместно с Ассоциацией электронных коммуникаций (РАЭК) и Институтом исследований интернета.
Мировые тренды управления данными
В документах международных организаций свободный обмен данными рассматривается как одна из основ будущего благосостояния общества[1], важным элементом достижения целей устойчивого развития [2] и базис для экономического развития[3].
Вместе с тем, движение информационных потоков существенно ограничено различными барьерами: технологическими (неразвитость сетевой инфраструктуры, особенности способов обработки информации и т.д.), социальными (низкий уровень владения информационными технологиями, непринятие на человеческом уровне технологий по тем или иным соображениям и т.д.), правовыми и некоторыми другими.
Значительное влияние, которое сбор, обработка и обмен данными оказывает на общество, означает, что вопросы правового регулирования данной сферы и снятия существующих барьеров становится все более острыми.
Регулирование оборота данных сегодня является актуальным для стран с разными правовыми культурами и традициями. Во всех рассмотренных странах либо приняты, либо находятся в стадии обсуждения стратегические документы в области данных, в которых основной акцент сделан на создание условий для максимально эффективного использования потенциала данных.
В ряде юрисдикций (ЕС, Япония, Республика Корея) определен перечень приоритетных областей для развития использования данных. К ним, в частности, относятся здравоохранение, транспорт, государственное управление, сельское хозяйство, финансы, а также те сферы, где использование данных может способствовать решению актуальных проблем и задач, например, в Японии и Корее в этот перечень включена область предотвращения стихийных бедствий, в ЕС - экология (в рамках «Зеленого курса для Европы»), в Японии - уход за престарелыми и борьба со старением нации.
В Китае подход к регулированию данных на основе их классификации и категоризации обозначен в принятом в 2021 году Законе о безопасности данных, в котором дополнительный акцент сделан на степени влияния ущерба, нанесенного таким данным, на национальную безопасность страны.
Важнейшим аспектом выстраивания системы использования данных является поиск баланса между открытым рынком данных и защитой прав субъектов. Свой собственный ответ на этот вопрос пытается найти каждая юрисдикция, однако можно выделить несколько общих подходов к регулированию данных, которые условно и упрощенно следует разделить на европейский, китайский и подход США.
В Евросоюзе, а также тех странах, которые выстраивают собственную систему регулирования данных на основе европейской модели, основным постулатом инициатив в области свободного совместного использования данных является защита прав человека. В США регулирование рынка данных основано на приоритете экономических и коммерческих интересов, а потребители имеют возможность реализовать свои права посредством положений местного законодательства, принятого на уровне штатов. В Китае управление данными в большей степени сфокусировано на защите национальной безопасности и обеспечении экономической независимости. Защита прав субъектов данных рассматривается как элемент системы национальной безопасности и обеспечивается за счет государственной централизации потоков данных.
Вместе с тем, несмотря на традиционные различия, страны вынуждены решать схожие проблемы. К общим тенденциям регулирования обмена данными относятся:
• Инициативы в области открытых данных, прежде всего - данных органов публичной власти, в том числе принятие НПА, обязывающих государственные органы раскрывать свои данные, создание платформ открытых государственных данных, меры по облегчению доступа и использования данных (проактивное раскрытие данных, отсутствие платы за предоставление информации, обеспечение переносимости, размещение данных в машиночитаемом формате, следование стандартам данных, предоставление метаданных, использование открытых лицензий и т.д.).
• Определение модели взаимодействия требований к открытости информации государственного сектора с положениями законодательства в сфере персональных данных и поиск необходимого баланса между обеспечением доступности данных и соблюдением приватности.
• Вовлечение в процесс оборота данных компаний частного сектора как в качестве пользователя данных, так и в качестве их поставщика (например, создание открытых платформ для использования данных, участие частных компаний в обсуждении регуляторных инициатив в области данных, выпуск различных рекомендаций, руководящих принципов и сборников лучших практик, а также поддержка «альтруизма в области данных» в ЕС, создание системы посредников по обмену данными для повышения доверия и обеспечения безопасного обмена в Австралии и Японии, закрепление обязанности частных компаний предоставлять особо значимые данные для совместного использования в Китае, развитие государственно-частного партнерства и поддержка стартапов в области данных в Корее).
• Ужесточение законодательства в части требований к организациям, осуществляющим обработку персональных данных и расширения прав физических лиц - субъектов данных (например, поправки к Калифорнийскому закону о защите прав потребителей, модификация законодательства о персональных данных в соответствии с положениями Цифровой хартии в Канаде, проект Закона о защите персональных данных КНР, поправки к Законам о защите персональной информации в Японии и Южной Корее).
• Либерализация требований к согласию: расширение оснований для обработки персональных данных (в частности, законный интерес или необходимость выполнения условий контракта); использование таких моделей получения согласия, как подразумеваемое согласие или модель opt-out; гибкий подход к форме и процедуре получения согласия; отсутствие необходимости получения согласия для обработки обезличенных данных; смягчение требований, предъявляемых при раскрытии данных третьим лицам. Можно выделить два основных подхода к основаниям для действий с персональными данными. В ЕС и тех странах, где национальное законодательство в сфере защиты персональных данных основано на схожих с GDPR принципах (в частности, Южная Корея) для сбора, обработки и раскрытия данных требуется законное основание, без которого действия с персональными данным не могут быть произведены. В свою очередь, в США обработка персональных данных «разрешена по умолчанию», за исключением случаев, когда она должна осуществляться в соответствии со специальными требованиями закона в целях минимизации возможных рисков субъектов. В отличие от зарубежной практики, в российском законодательстве согласие субъекта по-прежнему рассматривается как единственное, за рядом исключений, легитимное основание для обработки персональных данных.
• Установление специальных, облегченных условий для обработки обезличенных данных и рассмотрение обезличивания как основы для свободного обмена данными. Во всех рассмотренных юрисдикциях обезличенные данные не считаются персональными данными и не попадают под требования законодательства по их защите. Однако ни в одном из проанализированных правопорядков обезличенные данные не определяются в упрощенном виде. В странах принимается во внимание наличие или отсутствие риска установления связи с физическим лицом с помощью других фрагментов данных, имеющихся у данного оператора или иных лиц, а к процессу обезличивания предъявляются особые требования - от жесткого варианта, когда обезличивание должно быть необратимым (GDPR), до принятия необходимых мер по снижению риска раскрытия личности субъекта при обработке таких данных с учетом имеющегося контекста (наличия других данных, обстоятельств обработки, принимаемых мер по защите и т.д.). В российском законодательстве единый подход к требованиям, предъявляемым к обработке обезличенных данных еще предстоит сформулировать.
• Совершенствование подходов к обработке общедоступных персональных данных. В законодательстве зарубежных стран можно выделить три основных подхода:
1) такие данные «по умолчанию» доступны для сбора и обработки, однако у субъекта есть право направить отказ от обработки данных (США, Австралия);
2) такие данные могут свободно обрабатываться в целях, ради достижения которых они были сделаны общедоступными, а для всех иных целей надо получать отдельное согласие или использовать иное основание для обработки (ЕС, Канада, Китай);
3) такие данные не являются исключением и обрабатываются в соответствии со всеми требованиям законодательства в сфере защиты персональных данных (Япония, Южная Корея).
• Обращение с данными специальных категорий. Перечень специальных категорий данных формируется каждой юрисдикцией по-своему. В общем случае к этой категории относятся данные, обработка которых связана с особым риском для субъекта, т. е. они являются особо «чувствительными». Как правило, к обработке специальных категорий данных предъявляются более жесткие, по сравнению с другими категориями, требования - обязательное получение предварительного согласия на обработку, особые условия получения согласия, дополнительные меры безопасности и т.д.
• Развитие правовых моделей регулирования оборота данных, генерируемых устройствами (промышленные данные или данные Интернета вещей). Такие модели только начинают формироваться. Наибольшую проработанность вопрос правового регулирования оборота промышленных данных получил в ЕС, в то время как в других юрисдикциях вопросы обработки данных, полученных от устройств, сводятся в основном к обеспечению безопасности их обработки.
• В большинстве случаев, когда речь идет о профессиональных тайнах (банковская, врачебная и другие), чаще всего информацией, охраняемой в рамках таких режимов, оказываются именно персональные данные. Вопросы, касающиеся раскрытия финансовых данных, наиболее проработаны в законодательстве ЕС, США и Китае, в то время как в других рассмотренных странах специальное регулирование режима банковской тайны отсутствует, а сбор, обработка и раскрытие данных субъектов в рамках деятельности финансовых организаций регулируется нормативными актами по защите персональных данных, а также положениями общего права.
• Возможность предоставления финансовых сведений третьим лицам базируется преимущественно на таких механизмах и основаниях, как согласие субъекта данных, а также публичный интерес, в основном связанный с вопросами обеспечения безопасности и/или обеспечения надлежащего государственного управления на разных уровнях (например, для целей оперативно-розыскных мероприятий). Раскрытие финансовых сведений допускается в целях защиты финансовыми учреждениями их прав и интересов.
• Медицинские данные, как правило, относятся к специальной категории данных, и к их обработке предъявляются более строгие требования. Раскрытие медицинских данных в рассмотренных юрисдикциях допускается с согласия субъекта, а также:
- в целях оказания медицинской помощи при наличии угрозы жизни и здоровью субъекта;
- в целях анализа и мониторинга работы системы здравоохранения, при наличии существенного общественного интереса в области здравоохранения;
- в целях проведения исследований в сфере медицины и состояния здоровья человека.
Подход к регулированию медицинских данных в России также основан на понимании природы медицинских данных как вида особо «чувствительной» информации. В большинстве рассмотренных юрисдикций наблюдается тенденция на модернизацию требований к обработке медицинских данных для обеспечения развития инновационных технологий, в том числе технологий на основе искусственного интеллекта.
• Необходимость разработки технических стандартов в сфере данных отмечается в стратегических документах различных юрисдикций, особенно в контексте беспрепятственного обмена данными, в том числе обеспечения переносимости данных, их качества, применения надлежащих мер по их защите. В Европейской стратегии в области данных создание стандартов переносимости данных указывается в качестве одной из основ беспрепятственного трансграничного обмена данными внутри ЕС. В Федеральной стратегии данных США внедрение стандартов данных также указывается в числе лучших практик по управлению данными и их защите. В Японии стандартизация данных рассматривается в числе мер по развитию использования данных государственного и частного секторов.
• Саморегулирование рассматривается как важная составляющая управления данными и поддерживается регуляторами во всех рассмотренных юрисдикциях. Саморегулирование позволяет закрыть «белые пятна», не затронутые регулированием, в условиях быстрого развития новых технологий. При этом обеспечивается гибкость и вариативность возможных решений, необходимая для развития инноваций. В Китае саморегулирование в сфере безопасности данных имеет статус обязательного требования. Инициативы по саморегулированию развиваются, в основном, в области персональных данных. При этом если в большинстве проанализированных юрисдикций саморегулирование является продолжением регулирования, раскрывающим отдельные аспекты и частные случаи применения законодательства, то в США, в отсутствие федерального закона в сфере защиты данных, саморегулирование, в определенном смысле, является заменой регулирования. В некоторых странах, например в Японии, практики, выработанные в процессе саморегулирования, впоследствии получили закрепление в национальном законодательстве в сфере защиты персональных данных. В России законодательно закрепленный механизм саморегулирования в области защиты персональных данных отсутствует, данное направление развивается за счет отраслевых инициатив.
Характерные особенности и тенденции в России
Вопросы оборота и использования данных в современных технологических условиях находятся в центре внимания российских государственных органов, представителей бизнес-сообщества и научных кругов. Необходимость их более широкого вовлечения в экономический оборот для разработки новых технологий, продуктов и сервисов признается всеми участниками дискуссии.
Мероприятия по совершенствованию законодательства в указанной сфере включаются в программные документы развития российской цифровой экономики[4], принимаются также отдельные национальные стратегические документы[5]. Все это подтверждает важность и актуальность рассматриваемой темы, а также свидетельствует о том, что в настоящее время регулирование оборота данных в России находится на стадии своего формирования.
Следует отметить, что отношения в сфере сбора, обработки и использования данных являются предметом регулирования нескольких самостоятельных отраслей, в том числе:
1) законодательства о персональных данных, регламентирующего порядок обработки данных в целях гарантий прав граждан на неприкосновенность их частной жизни;
2) законодательства об информации, устанавливающего правовой статус информации, порядок получения, распространения и защиты информации;
3) гражданского законодательства, в соответствии с которым определяются права на сформированные базы данных и порядок их экономического оборота;
4) антимонопольного регулирования, направленного на развитие конкуренции на рынке данных и недопущение злоупотреблений лицами, имеющими рыночную власть.
Если говорить об основных тенденциях развития российского регулирования оборота данных, то можно выделить следующие:
1) уточнение режима обезличенных данных, необходимость разработки новых риск-ориентированных методов и требований к обезличиванию, расширение условий использования обезличенных данных в коммерческом обороте;
2) обсуждение требований и условий по формированию государственных информационных систем обезличенных данных для разработчиков технологий искусственного интеллекта;
3) принятие федеральных законов, предусматривающих возможность устанавливать специальное регулирование в рамках экспериментального правового режима для проектов в сфере данных, подготовка к запуску первых проектов по обмену и обогащению данных;
4) разработка подходов к регулированию промышленных данных.
В настоящее время в российском законодательстве представлены не все инновационные инструменты, которые могли бы стимулировать обмен данными между бизнесом и государством.
Представляется, что первоочередными задачами для законодателей и регуляторов в данном направлении должны стать:
1) закрепление принципов обмена данными между государством и коммерческими организациями;
2) стимулирование создания доверенных посредников и пулов данных;
3) уточнение мер антимонопольного регулирования, которые могут применяться на рынке данных;
4) разработка специального режима доступа к данным разработчикам технологий искусственного интеллекта с учетом интересов участников рынка, а также требований к безопасности данных.
Общая карта рисков и управление рисками применительно к данным
Вопросы оценки рисков и управления рисками являются ключевыми в модели управления данными. Стратегии в области данных должны учитывать карту рисков, которая является многоуровневой и подвержена изменениям с развитием технологий и общественных процессов.
При оценке рисков прежде всего следует учитывать два критерия – вероятность риска и его потенциальный ущерб. Для оценки в самом широком спектре задач и принятия решений в области рисков можно использовать национальный стандарт Российской Федерации ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска» (разработан на основе международного стандарта IEC 31010:2019 "Risk management – Risk assessment techniques").
В качестве базовой классификации можно предложить следующий подход к структуризации рисков, применительно к последствиям, которые могут наступить в результате недостаточно продуманной и эффективной политики в области данных:
По последствиям для конкретной области или сферы деятельности
- риски, связанные с угрозой физической безопасности или материальным ущербом (для государства, общества, гражданина, в отношении какого-либо вида имущества и т. д.)
- экономические (в области торгово-экономических, финансовых, коммерческих отношений);
- научно-технические и технологические (замедление научно-технического и инновационного развития);
- правовые (нарушение прав и ограничение свобод) и дискриминационные (различные виды неравенств, несправедливости или угнетения);
- социально-политические (потеря управления, рост общественной напряженности, различного рода социальные кризисы, конфликты и т. п.);
- репутационные (дискредитация, ущерб для имиджа или бренда, потеря доверия и т. п.).
По категориям акторов и участников рынка
Риски для граждан
- обработка данных в отсутствие согласия лица или иного законного основания;
- ненадлежащее использование результатов обработки данных, в том числе дискриминация граждан на основе результатов обработки;
- снижение качества и разнообразия сервисов в результате недоступности данных или антиконкурентных действий на рынке данных;
- угрозы личной безопасности из-за недостаточного количества или качества данных в сфере охраны здоровья, общественного правопорядка, судопроизводства, оказания и предоставления социальных, государственных и муниципальных услуг и т. п.;
- невозможность получения выгод и дивидендов от развития оборота данных вследствие недостатка навыков и знаний у участников процесса;
- дискриминация вследствие появления «информационной асимметрии» между государством и гражданами, потребителями и бизнесом и т. п.;
- отсутствие единых стандартов «этичного поведения» при сборе, обработке и использовании данных;
Риски для государства
- экономическое и технологическое отставание и потери в результате недоступности технологий обработки данных, наборов данных для обучения алгоритмов, низких темпов обновления инфраструктуры и др.;
- утечки закрытых государственных данных и данных граждан;
- технологическое отставание в результате разбалансированного применения регуляторами и бизнесом мер информационной безопасности (в ущерб технологическому прогрессу);
- невозможность получения экономических преимуществ и дивидендов в условиях неравномерной цифровой трансформации государственного управления и контрольно-надзорной деятельности;
- угрозы национальной безопасности в связи с ненадежной защитой критической инфраструктуры;
- неспособность конкурировать на зарубежных рынках и полноценно участвовать в технологической и внешнеторговой кооперации;
- возникновение условий для применения различных криминальных операций и схем, роста случаев обмана, мошенничества или злоупотреблений при обработке данных (с целью извлечения незаконной прибыли или в других целях, наносящих ущерб государству и обществу).
Риски для бизнеса
- неравное положение российских компаний по отношению к иностранным;
- ограничение конкуренции на основе эксклюзивности контрактов на доступ к данным;
- увеличение издержек на обработку данных;
- потери, вызванные административными барьерами, препятствующими использованию государственных данных;
- низкие темпы развития сотрудничества и взаимодействия с игроками рынка из-за отсутствия единых стандартов и протоколов интероперабельности;
- ограничение возможностей развития в условиях отсутствия ясных положений регулирования для отдельных категорий данных, подпадающих под различные режимы защиты информации;
- монополизация данных и присутствие на рынке доминирующего игрока\платформы, определяющей правила сбора и обмена данными;
- сложности планирования бизнеса ввиду отсутствия четких прогнозов и последовательной (предсказуемой) политики в области данных.
В настоящее время в ряде стран мира предпринимаются попытки найти сбалансированные меры, которые обеспечат возможность экономического роста и инноваций без нарушения прав субъектов персональных данных. Основой для большинства таких мер является риск-ориентированный подход к обеспечению безопасности и защите приватности, который позволяет организациям, обрабатывающим персональные данные, выявлять потенциальные риски и фокусировать усилия на тех областях, где они являются наиболее высокими.
Риск-ориентированный подход к обеспечению безопасности может включать в себя следующие шаги:
- оценка вероятности возникновения и влияния потенциальных рисков на информацию о состоянии здоровья;
- внедрение мер безопасности в соответствии с выявленной степенью вероятности и влияния потенциальных рисков;
- документирование выбранных мер безопасности и, если это необходимо, обоснование выбора данных мер;
- обеспечение постоянной соответствующей защиты информации.
Структура управления рисками базируется на том, что любое использование персональной информации связано с определенным риском. Подход к описанию такой структуры изложен в положениях стандарта ISO 31000 Risk management – Guidelines. Зарубежная практика показывает, что структура управления рисками и принцип «обеспечения безопасности на этапе проектирования» могут успешно применяться операторами персональных данных.
Структура управления рисками состоит из следующих основных элементов:
1. Определение контекста. Полное понимание внешнего и внутреннего контекста использования данных необходимо для разработки мер по управлению рисками. Разработка и внедрение таких мер должны соответствовать имеющемуся контексту.
2. Выявление существующих рисков. Эффективная защита персональной информации требует выявления потенциальных рисков для конфиденциальности для их последующего устранения или, в случае невозможности, смягчения. В дополнение к таким процедурам, как оценка воздействия на конфиденциальность и регулярные аудиты в сфере приватности, для выявления рисков могут использоваться такие техники, как внедрение культуры защиты конфиденциальности в организации, совершенствование мер безопасности, описание потоков персональных данных внутри компании, изучение существующих бизнес-процессов и т.д.
3. Анализ и оценка рисков. Каждый из имеющихся рисков должен быть оценен с точки зрения степени его влияния на конфиденциальность. Поскольку организация может не обладать достаточными ресурсами для управления всеми имеющимися рисками, важно отделить критические риски от `приемлемых`.
4. Контроль рисков. Наиболее эффективный способ контроля риска - это его предотвращение, поэтому принцип «проектируемой конфиденциальности» играет столь важную роль. Среди других мер - обеспечение соответствия требованиям законодательства в сфере защиты персональных данных, а также лучшим практикам в этой области; ответственность и подотчетность; разработка, внедрение и поддержание политики конфиденциальности, проведение оценки воздействия на конфиденциальность и регулярных аудитов для выявления имеющихся уязвимостей, применение методов защиты данных, таких, как шифрование.
5. Мониторинг и постоянное усовершенствование. Организации должны сопоставлять полученные результаты с поставленными целями и оценивать выбранные стратегии с точки зрения достижения этих целей.
6. Коммуникации и консультации. Регулярное взаимодействие с внешними и внутренними заинтересованными лицами является существенным фактором для достижения высокого уровня в управлении рисками конфиденциальности.
Данные для разработчиков искусственного интеллекта (ИИ)
Одной из преград для развития ИИ-технологий является дефицит качественных данных, необходимых для обучения моделей машинного обучения. В последнее время в качестве возможного решения представители государства все чаще предлагают создание государственного хранилища обезличенных данных, где будут собираться как государственные, так и коммерческие датасеты, поставляемые операторами обезличенных/анонимизированных данных в соответствии с регуляторными требованиями к их деятельности.
Вместе с тем такое решение полностью не решит проблемы недостатка данных и потребует значительных издержек на реализацию такой программы. В этой связи целесообразно учитывать следующие факторы:
1. Значительные объемы данных и инвестиции в необходимую для их хранения инфраструктуру.
2. Сложности, связанные с объединением датасетов от разных операторов, отсутствие сквозных идентификаторов, различие форматов данных и др.
3. Быстрая потеря актуальности данных. В этой связи модели, построенные на данных, требуют постоянного мониторинга и доработки. Например, с введением формата удаленной работы предиктор, построенный на перемещениях субъекта, перестал приносить какую-либо ценность.
4. Государство уже собирает значительные объемы данных в рамках действующего законодательства, при этом пока отсутствуют законные основания для раскрытия и использования таких данных разработчиками ИИ в агрегированном/обезличенном виде.
В связи с этим целесообразно рассмотреть также следующие варианты решения вопроса дефицита данных: 1. Создание отраслевых ассоциаций (пулов данных) по предоставлению данных разработчикам систем ИИ с компенсацией затрат операторов со стороны государства. 2. Развитие платформ по коммерческому доступу компаний к государственными данным.
Коммерческий доступ компаний к государственным данным
Открытые государственные данные обладают огромным потенциальном для применения в бизнесе, как при взаимодействии граждан с коммерческими организациями, так и в области B2B, а также при взаимодействии организаций с государством.
Однако текущие механизмы получения и обмена такими данными не позволяют в полной мере реализовать потенциал повторного использования государственных данных. К сожалению, за почти 12 лет с момента принятия Федерального закона «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» №8 ФЗ в органах исполнительной власти в полной мере не сложилась практика и культура раскрытия данных в интересах общества или бизнеса.
В качестве альтернативы, в том числе, благодаря отраслевым инициативам, развивается возмездный доступ к данным ГИС. Вместе с тем, и для такой формы доступа к государственным данным существует ряд барьеров, затрудняющих развитие новых сервисов и услуг на их основе. Коммерческие компании не могут получить необходимые наборы данных, хранящихся в ГИС в приемлемый срок, а интеграция происходит отдельно с каждой из информационных систем госорганов.
Основными проблемами текущего регулирования коммерческого доступа к государственным данным являются:
- Отсутствие законодательного закрепления доступа к широкому кругу информации, документам и сведениям, содержащимся в ГИС для третьих лиц с согласия гражданина или организации;
- Отсутствие «единого окна» и организации, отвечающей за раскрытие государственных данных;
- Отсутствие практики создания регламентов и соглашений об уровне технического обслуживания для ГИС в цифровой форме;
- Необходимость закрепления в законодательстве об информации и защите персональных данных принципов законности предоставления и обработки сведений, содержащихся в ГИС, третьим лицам, в том числе организационных и технических мер по обеспечению безопасности таких данных и прав субъектов;
- Создание механизма управления согласиями на получение, обработку и хранение данных о гражданах и организациях, хранящихся в ГИС;
- Необходимость внесения изменений в законодательство для закрепления схемы тарификации и оплаты для коммерческого доступа к государственным данным.
Для организации коммерческого доступа к государственным данным возможно использование инфраструктуры Госуслуг, как единого окна для получения сведений из ГИС в рамках государственной услуги на доступ к инфраструктуре по регламентированному уровню технологического обслуживания. Кроме того, для организации взаимодействия по коммерческому доступу и формированию наборов данных, в том числе путем обогащения датасетов коммерческих компаний государственными данными, могут использоваться сервисные платформы – посредники. Такие платформы, созданные в рамках отраслевых ассоциаций, могли бы взять на себя задачи взаимодействия между владельцами и потребителями данных путем создания доверенной среды для обработки данных. Механизм коммерческого доступа может быть отработан в формате «песочниц данных» для разработки лучших технических, юридических и административных практик по обмену данными между государством и частным сектором.
Обмен коммерческими данными между компаниями
В сегменте B2B основными барьерами для обмена данными между компаниями являются:
- Недостаточность экономических стимулов;
- Отсутствие доверия между компаниями для использования данных в рамках договорных отношений и неравенство в переговорных позициях;
- Риск утечки данных к третьей стороне;
- Отсутствие ясной юридической процедуры и порядка в отношении обработки данных и использования результатов.
В целях преодоления указанных барьеров и создания конкурентных рыночных условий следует стимулировать создание доверенной среды, основанной на следующих принципах:
a) прозрачность процедур и доступность данных для всех участвующих сторон
b) юридические, организационные и технические стандарты
c) подотчетность и соответствие регуляторным требованиям
d) обеспечение безопасности данных и среды обмена данными
e) этика в использовании данных
Для реализации обмена коммерческими данными могут использоваться такие механизмы, как:
- Доверенные посредники: бизнес передает определенные данные цифровым посредникам (как правило, отраслевым НКО), которые затем организуют взаимодействие между различными стейкхолдерами и контролируют использование данных.
- Пулы данных: бизнес (и другие стейкхолдеры) собирают однородные данные для получения возможности анализа БД в масштабах, невозможных при частном применении
- Научно-исследовательское партнерство: бизнес и государство передает датасеты научному (академическому) сообществу для анализа на основе отдельных соглашений, данные при этом не становятся публичными.
Реализация вышеперечисленных принципов требует участия всех сторон. Так этические принципы могут быть реализованы посредством деятельности отраслевых ассоциаций и академического сообщества.
В то же время со стороны государства необходима ведущая роль в ряде действий нормативно-правового характера, в том числе:
- Принятие стандартов в области обработки данных, в том числе стандартизация форматов, протоколов сбора, обработки и обмена данными;
- Принятие поправок в законодательство о персональных данных, позволяющих реализацию обмена данными, в том числе с участием дата-посредников, и установление требований к таким организациям;
- внесение юридической ясности относительно ответственности сторон за использование данных, в том числе с точки зрения интеллектуальной собственности, а также целей и границ (ограничений) их использования;
- Уточнение порядка обработки данных в научных, статистических или иных целях для полноценной реализации принципов дата-альтруизма.
Доступ государства к данным коммерческих компаний
В сегменте B2G существует четыре основных способа обмена данными государства с коммерческими компаниями:
- Регуляторные требования. Среди таких требований можно выделить три категории:
- Раскрытие отчетности или предоставления статистической информации государственному агентству.
- Раскрытие данных как условие государственного финансирования проектов или закупок.
- Раскрытие данных как условие для доступа на рынок (получения лицензии и т. п.). Подобная форма все чаще в последнее время встречается на региональном уровне для транспортных компаний.
- ГЧП в области данных (взаимовыгодные соглашения и проекты по обмену данными и совместному использованию данных).
- Закупка данных у частных игроков (закупка информационных и аналитических услуг).
- Использование общедоступных данных (чаще всего в части анализа контента в сети и социальных медиа).
Посредники и сервисные платформы могут быть созданы на основе отраслевых ассоциаций, организующих взаимодействие между владельцами и потребителями данных путем создания доверенной среды. Такой механизм может быть отработан в формате песочниц данных для разработки лучших технических, юридических и административных практик по обмену данными между государством и частным сектором.
При этом ключевыми составляющими «мягкого» регулирования становятся:
- требования по интероперабельности и качеству данных, в том числе стандартизация форматов, протоколов сбора, обработки и обмена данными;
- внесение юридической ясности относительно ответственности сторон за использование данных, в том числе с точки зрения интеллектуальной собственности, а также целей и границ их использования;
- установление требований по аккредитации организаций и ведение реестра аккредитованных организаций, допущенных к созданию и участию в работе сервисных платформ;
- прозрачный для всех владельцев данных механизм, позволяющий управлять доступом и правилами использования собственных данных потребителями на доверенной платформе; с требованиями по мониторингу, аудиту и отчетности;
Регулирование доступа государства к данным коммерческих компаний целесообразно осуществлять на следующих принципах:
- Пропорциональность в использовании данных: запросы на предоставление и использование данных частного сектора должны быть обоснованы ясными и очевидными общественными интересами. Потенциальные выгоды от преследуемых общественных интересов должны быть разумно сбалансированы с интересами других заинтересованных сторон.
- Ограничение использования данных: соглашение между бизнесом и правительством (государственным органом) или нормативно-правовой акт, которым обусловлено совместное использование данных, должны четко определять предполагаемые цели использования или общественный интерес, а также определять права на использование данных (в том числе срок использования и порядок уничтожения данных). В соглашениях о сотрудничестве должно соблюдаться существующее законодательство, включая законы о конфиденциальности, интеллектуальной собственности и информации, а также договорные обязательства, которыми могут быть связаны частные организации и некоммерческие организации.
- Компенсация. Соглашения о сотрудничестве между бизнесом и правительством должны быть взаимовыгодными, но при этом признавать цель, отвечающую интересам общества, за счет предоставления преференциального режима органам государственного сектора.
- Прозрачность и участие общества: сотрудничество между бизнесом и правительством в области данных должно быть прозрачным в отношении сторон сотрудничества и их целей. Там, где это возможно, государственные органы также должны быть прозрачными в отношении используемых данных и применяемых алгоритмов, а также в отношении результатов сотрудничества, включая перспективы последующих решений, оценку влияния на общество.
- Справедливое и этичное использование данных: данные должны передаваться и использоваться законным, справедливым, этичным и инклюзивным образом, с полным уважением к выбору отдельных лиц в отношении того, как их данные могут быть использованы.
Выводы
Необходимость единой стратегии в области данных
Общим концептуальным выводом, основанном на анализе используемой в обзоре информации, является необходимость скорейшего создания в России комплексной национальной стратегии в области данных, которая на основах стратегического и системного целеполагания, раскрывала бы российские приоритеты, формировала модель и специфику подходов к управлению в области данных. Такой стратегический документ, предусматривающий ясный и структурированный механизм взаимодействия участников внутри страны и на внешнем контуре, позволил бы интенсифицировать экономический рост и инновационное развитие страны, уделить больше внимания социальной сфере.
При развитии конкурентного рынка данных государство может преследовать несколько взаимосвязанных целей:
- Увеличение доступности необходимых датасетов в нужном объеме для бизнеса, в том числе для субъектов МСП.
- Более эффективное использование собираемых данных, повторное использование данных, стимулирование обмена данными между компаниями в целях полезного агрегирования (data aggregation) и совместного использования.
- Создание доверенной среды для обмена данными как между бизнесом, так и другими стейкхолдерами.
- Защита конкуренции, в том числе через применение мер недискриминационного доступа к датасетам (концепция FRAND-«fair, reasonable and non-discriminatory», основанная на балансе интересов правообладателей и пользователей),
требований по интероперабельности и стандартизации данных и информационных систем.
- Согласование правовых и технических аспектов регулирования трансграничного обмена данными. Мониторинг зарубежных практик и при необходимости гармонизация законодательных и организационно-административных требований, касающихся управления данными.
Для реализации указанных целей целесообразно сформировать рамочный стартовый пакет нормативно-правового регулирования (будет совершенствоваться по мере накопления опыта практического использования) и разрабатывать и применять стандарты, касающиеся определений и терминологии, которые позволят классифицировать данные, оперировать в едином понимании, развивать юридические инструменты и т. д.
В зависимости от направления потока данных (B2G, G2B, B2B) и целей организации такого потока (повышение конкуренции, статистика, оптимизация процессов оказания услуг, научно-исследовательские проекты, повышение эффективности расходования бюджетных средств и др.) целесообразно использовать различные комбинации моделей раскрытия и обмена данными – таким образом речь идет о разработке и совершенствовании комплексной гибкой политики управления доступом, исходя из критериев безопасности и оценки ожидаемого эффекта.
При использовании материалов и выводов обзора ссылка на данную публикацию обязательна.
Примечания
- ↑ Data-Driven Innovation: Big Data for Growth and Well-Being // OECD, 2015 www.oecd.org/sti/data-driven-innovation-9789264229358-en.htm
- ↑ World Development Report 2021 Data for Better Lives // World Bank, 2021 https://openknowledge.worldbank.org/handle/10986/35218
- ↑ Digital Economy Report 2019 // United Nations Conference on Trade and Development, 2019 https://unctad.org/system/files/official-document/der2019_en.pdf
- ↑ Федеральный проект «Нормативное регулирование цифровой среды» Национальной программы «Цифровая экономика Российской Федерации» включает мероприятия по обеспечению благоприятных условий для сбора, хранения и обработки данных.
- ↑ Например, Указ Президента РФ от 10.10.2019 № 490 «О развитии искусственного интеллекта в Российской Федерации».
- ↑ Willingness to Share Personal Data in Exchange for Benefits or Rewards