Защита персональных данных: борьба с культом согласия и доступы для «тупой железяки»
Первое слово досталось представителю индустрии. Марина Юфа, руководитель практики правовой поддержки защиты данных «Авито», открыла панель заглавным докладом о том, как изменилось восприятие персональных данных за два десятилетия. Юфа отметила, что субъекты персональных данных стали профессиональнее: они научились реализовывать право на отзыв согласия, не толкуют свои данные ограничительно и не считают, что часть данных можно защищать попроще. Пользователь хочет видеть в операторе партнера, который объяснит его права и проконсультирует о рисках, особенно если случился инцидент.
За 20 лет, по словам Юфы, путь прошли все — регулятор, профессиональное сообщество и сами компании. Крупный бизнес понял, что работа с персональными данными — это не выложить политику конфиденциальности в уведомительном порядке, а выстроить прямую коммуникацию с человеком. «Авито» в прошлом году запустило для этого кампанию «Дом для данных» и постаралось неформально объяснить, где нужно согласие, а где нет и как реализовать свои права.
Главную методологическую проблему Юфа сформулировала так: за годы сложился подход, при котором согласие воспринимается как пререквизит всего. Регулятор и экспертное сообщество призывают отказаться от этой логики, но на уровне большинства операторов установка не меняется.
Регуляторы нас поддерживают в том, что надо уже перестать относиться к комплаенсу в этой сфере как к наличию согласия, которого надо каким-то путем — либо прозрачным, либо непрозрачным — добиться.
Проблему Юфа проиллюстрировала свежей практикой. Суды, по ее наблюдениям, методологически не готовы опираться на иные правовые основания, помимо согласия. В трудовых спорах они встают на сторону работодателя, но обосновывают это тем, что согласие было, потому что работник при приеме ознакомился с локальным нормативным актом. Хотя такой акт согласием не считается.
Отдельный тренд эксперт увидела в делах, где сотрудник берет данные коллег, чтобы защитить свои трудовые права. В одном из таких споров сотрудница использовала приказ с персональными данными, чтобы оспорить увольнение по сокращению штата. Нижестоящие суды сочли, что согласия коллег у нее не было, и привлекли ее к ответственности как оператора. Но Верховный суд отправил дело на пересмотр и указал, что закон «О персональных данных» здесь неприменим, поскольку данные собирались для личных нужд. В этом году появились еще два дела с похожей логикой. Подход вызывает у Юфы вопросы. Ведь вместо того чтобы признать другое правовое основание — защиту законных интересов, суды уходят в конструкцию личных и семейных нужд.
Изменившим правила фактором Юфа назвала уголовную ответственность по ст. 272 УК. Раньше слов «персональные данные» в кодексе не было, теперь по новой статье уже сотни возбужденных дел и больше десятка приговоров. Типичная фабула — недобросовестный инсайдер, который использует базу не по назначению. Риск спикер видит в том, что у судей по уголовным делам меньше компетенций в приватности и они тоже могут потребовать согласие как универсальное решение.
Тему правовых оснований подхватил Артем Дмитриев, управляющий партнер Comply Он согласился с диагнозом культа согласия, но уточнил: недоразвитость законного интереса — это проблема не закона, а практики его применения, в худшем случае — смежных законов вроде Трудового кодекса. В отличие от Юфы, Дмитриев привел два позитивных примера. Первый — рабочая группа при Главном радиочастотном центре при Роскомнадзоре, которая валидирует конкретные случаи применения законного интереса. Работа идет медленно, но какие-то дела должны стать публичными в обозримом будущем, и тогда другие компании смогут перенимать практику без существенных рисков. Второй пример нагляднее: Роскомнадзор при мониторинге сайтов перестал автоматически требовать согласие под каждой формой сбора данных.
Прогресс есть. Он, безусловно, медленный, но осязаемый. И поэтому нам всем только остается пожелать какой-то большей уверенности, динамичности для Роскомнадзора, силы воли в принятии решений.
Второй и третий тезисы Дмитриев посвятил разрыву между регулированием и технологиями. Бизнесу, по его словам, неинтересно обезличивать данные: выгоды почти нет, поскольку к обезличенному массиву применяется тот же набор требований и рисков, что и к персональным данным. Рискориентированной модели нет — есть примитивная бинарная система, где даже остаточный риск реидентификации в 0,01% заставляет регулятора признать датасет персональным. Не приживается и концепция относительности данных, при которой один и тот же набор для одного оператора персональный, а для контрагента без доступа к исходным данным — уже нет. В Европе такой подход постепенно закрепляется, в России же любое его обсуждение вызывает сопротивление госорганов.
Прогноз Александра Савельева, академического руководителя программы «Цифровое право» НИУ ВШЭ, оказался мрачнее. Он напомнил, что закон построен на принципе информационного самоопределения: субъект сам определяет, кто и зачем обрабатывает его данные. Этот фундамент, по мнению Савельева, будет разрушен. Согласие превратилось в ритуал, а чем больше его убирают из правового поля, тем сильнее законодательство о персональных данных сливается с регулированием информационной безопасности. Но добьет конструкцию не реформа, а технология.
Искусственный интеллект Савельев назвал идеальной машинкой для сшивания данных: он создает производные, вычисляемые данные — inferred data, которые субъект не предоставлял и которые полностью выходят за рамки его контроля. Но искусственный интеллект «тем эффективнее, чем больше о нас знает». Особенно проблема видна на набирающих популярность ИИ-агентах, которые могут делать многие вещи за человека, например что-то оплачивать или разбирать почту.
Чтобы мы могли полноценно использовать агента, чтобы он мог отправлять почту или совершать какие-то транзакции, мы должны дать доступ к нашим данным. Соответственно, если мы этого не дадим, это будет тупая железяка.
Модератор сессии Владислав Архипов, завкафедрой теории государства и права СПбГУ, в ответ предложил аудитории не пугаться прогноза. Он заметил, что у искусственного интеллекта есть шанс повторить судьбу рынка доменных имен, NFT и виртуальной реальности.
Еще один участник дискуссии, заведующий кафедрой информационного права и цифровых технологий МГЮА Алексей Минбалеев, стоял у истоков закона еще в 2005 году. Главную беду отрасли он видит в несформированной культуре персональных данных. Закон в свое время вступил в силу слишком рано: специалисты предлагали отложить его до 2011 года, чтобы общество и профессия успели адаптироваться, но законодатель не послушал. В результате требования упали на граждан как снег на голову, а вокруг согласия закрепились негативные коннотации. Минбалеев вместе с Роскомнадзором добивается, чтобы основы защиты данных попали в школьные учебники, и связывает пробелы в правоприменении с тем же дефицитом знаний.
Дискуссию завершила Нина Дягилева, руководитель юридической практики «Т Плюс». Она призналась, что бизнес стремится отказаться от согласия, но при переборе оснований не остается ничего, кроме законного интереса, а у него нет четких ориентиров. После реформы 2025 года штрафы выросли, а правовой определенности не прибавилось. Выход Дягилева видит не в новых поправках, а в обобщении практики и единых разъяснениях с реальным весом.