Проблемы защиты персональных данных в рамках экспериментальных правовых режимов
Минэкономразвития России предложило не применять отдельные требования законодательства о персональных данных, если обработка таких данных производится в рамках экспериментальных правовых режимов.
Соответствующий проект федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации" (далее – законопроект) размещен на федеральном портале проектов нормативных правовых актов (ID: 04/13/07-20/00106119). Как говорится в пояснительной записке к законопроекту, такое изъятие коснется только тех норм, которые устанавливают ограничения для деятельности компаний при использовании технологий искусственного интеллекта и больших данных.
Например, в рамках действующего регулирования невозможно получение так называемого бесшовного согласия, то есть согласия на обработку персональных данных, которое дается субъектом один раз для всех последующих случаев обработки. Поэтому применение в медицинских, например, целях технологий искусственного интеллекта, предполагающих анализ информации о тысячах пациентов, в условиях необходимости получения множества согласий на обработку персональных данных является затруднительным.
Напомним, что порядок установления экспериментальных правовых режимов в сфере цифровых инноваций уже урегулирован законодательно: Федеральный закон от 31 июля 2020 г. № 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации" вступит в силу 28 января 2021 года. Согласно закону для реализации экспериментальных правовых режимов может быть установлено специальное регулирование, в том числе предполагающее несоблюдение некоторых норм федеральных законов, но только в случае, когда такая возможность прямо установлена этими законами.
Рассматриваемый законопроект как раз и предусматривает перечень таких изъятий, в том числе из Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). В частности, в рамках реализации экспериментального правового режима предлагается не применять требование, согласно которому обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, но при этом разрешить объединять базы данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой (то есть станет возможным неприменение ч. 2-3 ст. 5 Закона № 152-ФЗ). Такое решение позволит внедрить систему бесшовных согласий.
Отдельно подчеркивается в законопроекте возможность обработки персональных данных в обход установленных ч. 1 и 3 ст. 6 Закона № 152-ФЗ условий.
Целый пласт норм, подлежащих согласно законопроекту извлечению из законодательства о персональных данных при реализации экспериментальных правовых режимов, касается получения согласия на их обработку. Так, необязательными потенциально могут стать следующие требования:
- о возможности поручения обработки персональных данных третьим лицам только при соблюдении определенных условий (в частности, при наличии письменного согласия субъекта персональных данных);
- о том, что согласие на обработку персональных данных может быть отозвано субъектом персональных данных;
- об осуществлении обработки персональных данных только с письменного согласия субъекта персональных данных.
Также предлагается расширить перечень случаев, когда персональные данные могут быть получены от лица, не являющегося субъектом персональных данных – согласно законопроекту можно будет не применять ч. 8 ст. 9 Закона № 152-ФЗ.
Кроме того, предусматривается возможность обработки специальных категорий персональных данных и биометрических персональных данных не только в случаях, прямо предусмотренных законом (ч. 1-2 ст. 10, ч. 1 ст. 11 Закона № 152-ФЗ).
И наконец, предполагается возможность неприменения требования о том, что оператор освобождается от обязанности предоставления субъекту персональных данных следующих сведений, полученных от третьих лиц:
- наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- права субъекта персональных данных;
- источник получения персональных данных.
Напомним, что действующее законодательство освобождает оператора от обязанности предоставить субъекту персональных данных эти сведения в следующих случаях (ч. 4 ст. 18 Закона № 152-ФЗ):
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей;
- предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц.
Предлагаемые нововведения подверглись критике со стороны юридического сообщества, поскольку неисполнение соответствующих законодательных положений может вызвать много вопросов по соблюдению прав субъектов персональных данных в части обеспечения конфиденциальности данных, а также реализации права на отзыв согласия на их обработку. Так, руководитель юридического отдела хостинг-провайдера и регистратора доменов REG.RU Павел Патрикеев подчеркивает: для того, чтобы введение подобной упрощенной обработки персональных данных с целью сокращения издержек разработчиков технологий не привело к нарушению прав граждан, оно обязательно должно сопровождаться подробным описанием требований к порядку использования данных. Также важно предусмотреть понятный механизм отзыва согласия на обработку или отказа от предоставления данных при реализации экспериментальных правовых режимов: граждане в любом случае должны иметь возможность контролировать использование своих персональных данных и оспаривать правомерность этого использования.
Потенциальные нововведения не поддерживает и ряд заинтересованных органов власти, в том числе Минкомсвязь России. Как пояснила заместитель Министра цифрового развития, связи и массовых коммуникаций РФ Людмила Бокова, положения законопроекта, с одной стороны, фактически позволяют ограничивать конституционные права граждан на неприкосновенность частной жизни и запрет сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, а с другой – противоречат международным обязательствам России по ратификации Протокола поправок к Конвенции Совета Европы № 108 о защите физических лиц при автоматизированной обработке персональных данных.
Однако некоторые эксперты утверждают, что прямой взаимосвязи между возможностью несоблюдения некоторых правовых норм в рамках экспериментальных правовых режимов и снижением уровня безопасности субъектов персональных данных нет. Так, на примере внедрения нововведений в сфере медицины генеральный директор Ассоциации разработчиков и пользователей систем искусственного интеллекта в медицине "Национальная база медицинских знаний" Борис Зингерман отмечает, что данные о пациентах будут обрабатываться внутри конкретной "песочницы", где будут пилотироваться в том числе новые подходы к их защите, построенные не на формальных, а на практических мерах безопасности для пациентов. Такие меры будут вырабатываться для каждого проекта на основе анализа конкретных рисков, которые могут возникнуть при его реализации.
Заместитель генерального директора – директор направления "Нормативное регулирование" АНО "Цифровая экономика" Дмитрий Тер-Степанов обращает внимание, что правовые "песочницы" предполагают лишь точечные изъятия из определенных норм законов для тестирования инновационных технологий. Иными словами, экспериментальные правовые режимы не предполагают полной отмены действующего регулирования. Экспериментальный правовой режим вводится на ограниченный период времени для отдельных субъектов, которые проходят определенную проверку на готовность к внедрению инноваций и к которым предъявлены повышенные требования. Эксперт отмечает, что регулирование внутри того или иного экспериментального правового режима для бизнеса будет устанавливать Правительство РФ, и в этом регулировании обязательно будут предусматриваться необходимые нормы безопасности в отношении граждан. В его разработке примут участие все заинтересованные и контролирующие органы власти, в том числе Роскомнадзор.
Напомним, что определенная корректировка Закона № 152-ФЗ уже произошла в связи с проведением пятилетнего эксперимента по внедрению технологий искусственного интеллекта на территории Москвы (Федеральный закон от 24 апреля 2020 г. № 123-ФЗ). Он предусматривает уточнение ст. 6 Закона № 152-ФЗ в части возможности обработки обезличенных персональных данных в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Законом № 123-ФЗ. Важно подчеркнуть, что обрабатываемые при проведении обозначенного эксперимента данные обязательно должны быть обезличены, а значит, нарушения прав на защиту персональных данных в этом случае не происходит.
Источник: garant.ru