Все
Дизайн
Код
Геймдев
Бизнес
Маркетинг
Управление
Кино и музыка
Фотография
Развитие
Здоровье
Деньги
Образование
EdTech
Корп. обучение
Блог Skillbox
Спецпроекты
Профориентация
Спасёт ли российский Кодекс этики использования данных от назойливой рекламы
В 2020 году в сеть утекли 100 млн записей персональных данных пользователей. Разбираемся с экспертами, поможет ли Кодекс этики защитить ваши данные.
Крупные игроки на российском рынке Big Data, такие как «Тинькофф-Банк», «Сбер», «Яндекс», Mail.ru, «Мегафон», МТС и другие, ещё в конце 2019 года составили и подписали Кодекс этики использования данных. Кодекс состоит из правил работы с данными пользователей и носит рекомендательный характер. В случае нарушения компания не получит никаких штрафов по Кодексу, даже если данные клиентов утекут в сеть. Единственное наказание, которое грозит нарушителю, — исключение из «реестра добросовестных участников рынка данных», присутствие в котором не даёт особых привилегий.
Кодекс регламентирует порядок сбора, обработки, хранения и использования этих данных. Так, компании не должны вводить пользователя в заблуждение в своих договорах. При обработке данных они не должны допускать умышленной дискриминации по расовой, национальной или какой-либо другой принадлежности. Компании должны исключить несанкционированный доступ к данным.
Если компания придерживается Кодекса, она не должна собирать информацию о пользователе, прикрываясь исследованием рынка. Например, в анкету для проведения мониторинга рынка труда нельзя включать вопросы, связанные с сексуальной ориентацией или политическими взглядами, если они не отвечают цели исследования.
Станет ли Кодекс государственным законом о регулировании сбора данных пользователей
Ещё в 2006 году в России приняли Закон «О персональных данных». Он касается хранения данных и доступа к ним. Закон обеспечивает гражданам защиту прав и свобод при обработке персональной информации о них.
Но как говорят эксперты, закона недостаточно. По словам руководителя правового комитета Ассоциации больших данных Никиты Данилова, «Кодекс в большей степени регламентирует работу с большими данными, а не с персональными».
Так, например, в начале апреля 2021 года в интернет выставили на продажу данные, включая СНИЛС, ИНН, домашний адрес и место работы людей, которые подали заявки на оформление кредита в банк «Дом.РФ». В компании заявили, что уязвимость обнаружили в механизме дистанционной подачи первичных заявок на получение кредита. На момент публикации Центробанк не закончил проверку.
А 20 апреля пресс-служба Роскомнадзора сообщила, что ведомство проверит утечку данных с сайта «Свободу Навальному», на котором собирали email-адреса сторонников Алексея Навального. Виновным грозит штраф до 100 тысяч рублей.
Преподаватель Moscow Digital School Олег Блинов считает, что первичная цель Кодекса — это возможность убеждать государство, что отрасль обработки данных не требует дополнительного регулирования, поэтому бизнес-сообщество объединяется для создания общих правил.
«Бизнес понимает свою социальную ответственность и добровольно ограничил себя», — говорит Блинов.
В Европе, например, регулирование пользовательских данных на государственном уровне определяется «Общим регламентом по защите данных», или GDPR (General Data Protection Regulation). Один из его принципов — минимизация сбора данных. Нельзя собирать личные данные пользователей в большем объёме, чем это необходимо для целей обработки.
Некоторые эксперты полагают, что российский Кодекс может стать аналогом европейского GDPR.
Что такое GDPR
GDPR заработал в ЕС в 2018 году. Закон даёт пользователям право управлять данными, которые о них собирают организации. Компании нельзя передавать данные клиента третьим лицам без наличия на то законных оснований, а пользователь в любой момент может воспользоваться правом на забвение. Например, в случае отказа от услуг компании он может потребовать удалить из базы всю информацию о нём, и это должно быть выполнено. Одни называют этот закон золотым стандартом безопасности данных, другие — барьером для ведения бизнеса.
Ещё в 2009 году немецкий политик Мальте Шпиц потребовал от своего сотового оператора предоставить ему копии всех данных GPS, которые они хранили о нём. Он предоставил полученную информацию компании по визуализации данных, и те составили интерактивную карту его перемещений, присовокупив к ней открытые данные из его соцсетей. На карте видно, куда он едет, сколько времени проводит в транспорте, доступны данные о входящих и исходящих звонках и сообщениях. Подробная информация о пользователе помогает маркетологам проводить эффективные рекламные кампании.
С принятием GDPR компании должны собирать о пользователе минимально необходимую информацию и предупреждать о передаче его данных третьим лицам. Нарушителям закона грозит штраф до 4% от годового оборота компании.
По данным компании InfoWatch, за 2019 год в России было зафиксировано 395 случаев утечки данных из российских компаний и госорганов. В сеть ушло более 172 млн записей о персональных данных и платёжной информации. При этом в России не ужесточают ответственность за утечку информации, хотя разговоры ведутся уже более шести лет.
Российский Кодекс и европейский GDPR — чем они похожи
Специалист по информационной безопасности Сергей Вакулин полагает, что такое объединение бизнеса при создании Кодекса не поможет избежать государственного регулирования в работе с данными. Будущие изменения в России, связанные с работой данных, могут положить начало внедрению «своего» GDPR.
Аналитики тоже считают, что Кодекс этики работы с данными — это уже и есть GDPR по-русски.
«Кодекс не принят „для галочки“ один раз, он обновляется, живёт и развиваётся. Растёт список подписавшихся под документом компаний. И надеюсь, что в перспективе он действительно станет нашим аналогом GDPR», — рассказал директор по работе с ключевыми клиентами Qlik России и СНГ Владимир Иткин.
В Qlik подчеркнули, что в настоящий момент вводятся инициативы, направленные на то, чтобы компании собирали минимум информации о клиентах для проведения рекламной кампании, но соблазн получить как можно больше данных велик. Иткин считает, что компании перестанут собирать подробную информацию о клиентах только тогда, когда государство на законодательном уровне это запретит и штрафы за нарушение будут огромными.
Директор по управлению данными ПАО «Мегафон» Леонид Чёрный считает, что сейчас этика работы с данными и GDPR — это принципиально разные вещи. GDPR — регуляторная норма, которая закрепляет за владельцем данных право решать, как информация будет использована, и явным образом требует от него согласиться с этим. А Кодекс этики — это декларация от участников рынка, которые принимают на себя добровольные обязательства. Он базируется на принципах, которые существуют в DMBOK.
Сможет ли Кодекс защитить интересы пользователей
Может показаться, что с помощью Кодекса, который призван этично работать с данными пользователей, рекламы в интернете станет меньше. А преподаватель Moscow Digital School Олег Блинов считает наоборот — рекламы будет больше, и она станет назойливее.
Глава, посвящённая рекламе и маркетингу, содержит одну хитрость: в ней указано, что добросовестной практикой считается «предоставление потенциальному приобретателю возможности отказаться от получения персонифицированных предложений». То есть Кодекс закрепил, что для персонификации рекламы в любом масштабе не требуется согласие людей — нужно только дать возможность отказаться.
Ситуация с Кодексом свидетельствует больше о том, что бизнес хочет принять более мягкие обязательства и тем самым защититься от государства: «мы всё контролируем сами, и нам не нужно вмешательство власти». Как говорят сами эксперты, кодекс имеет размытые формулировки, и непонятно, что пользователи получат от этого документа. Сам документ направлен на то, чтобы компании добросовестно подходили к работе с данными.
«Раздел „Принципы“ содержит шесть подпунктов, которые подчёркивают необходимость соблюдать кодекс, но без серьёзных дополнительных обременений. По факту — ничего в обработке данных не изменится», — завершает Блинов.
