Правовой режим регулирования информационных отношений

В основе такого различия лежит сама суть сети Интернет и технологий, поддерживающих её функционирование и обеспечивающих существование виртуальных хозяйственных и общественных отношений на основе этой инфраструктуры. Если большие данные в широком смысле могут характеризоваться наличием в массивах информации разного характера, то большие пользовательские данные оперируют такими данными, которые появляются в результате взаимодействия пользователя с тем или иным технологическим инструментом, а также непосредственно информацией о субъектах, при этом не только лишь сугубо «биографическими» данными о личностях, а данными о поведении, мнении и потребностях.

3.2 Персональные данные

Подходя к анализу возможного регулирования такого сложного объекта как большие пользовательские данные трудно представить его в отрыве от уже существующего правового регулирования данных о личностях и отдельного правового режима такой информации, выделенной в качестве персональных данных.

На настоящий момент в Российской Федерации правовой режим персональных данных устанавливается в первую очередь законом «О персональных данных» Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных». Собрание законодательства РФ. 31.07.2006. N 31 (1 ч.). С. 3451. Так, под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Важной частью данного режима также являются конституционные нормы, содержащиеся в статьях 23, 24 Основного Закона. Нормативными правовыми актами, лежащими в основе регулирования персональных данных также установлены основные принципы сбора и обработки персональных данных, субъектный состав данного режима, а также порядок осуществления государственного контроля за деятельностью по обработке персональных данных.

Особое внимание стоит обратить на широту определения понятия «персональные данные», особенно, с учетом разнообразия информации, попадающей в массивы «больших пользовательских данных, а также с учетом наличия в Законе о персональных данных указания на косвенное определение лица. То есть, использование слова «косвенно» в дефиниции персональных данных указывает на то, что для квалификации информации в качестве персональных данных не обязательно, чтобы её самой по себе было достаточно для идентификации индивида.

Так, проблемные моменты возникают относительно сугубо технической информации, которую, в целом можно было бы отнести и к массиву больших пользовательских данных, так как такие данные возникают в результате взаимодействия пользователя с информационной системой или с каким-либо иным технологическим инструментом, оборудованным необходимыми сенсорами или программными компонентами. В правоприменительной практике этому находится множество примеров Речь идет о судебных актах:

Постановление 13ААС от 1 июля 2016 г. по делу N А56-6698/2016;

Постановление 9ААС от 23 мая 2016 г. по делу N А40-14902/2016;

Решение АСГМ от 25 мая 2016 г. по делу N А40-51869/2016. . При этом, однозначного подхода к определению персональных данных в настоящей правоприменительной практике не находится, что также свидетельствует о волатильном характере трактовки положений Закона регулятором, а вследствие этого и судами.

Стоит также отметить, что более качественная проработка положений GDPR (General Data Protection Regulation), нашедшая отражение в множестве документов, подготовленных по результатам обсуждений «Рабочей группы статьи 29», а также и в самом GDPR, являет нам более четкие границы персональных данных.

3.3 Большие пользовательские данные

Подходя к определению правовой природы больших пользовательских данных, с учетом приведенных выше обстоятельств существования определенных объектов, в том числе с установленным законами правовым режимом, необходимо найти точки соприкосновения данных объектов.

По сути, большие пользовательские данные являются подкатегорией больших данных. Однако характеризуясь наличием данных о действиях пользователей, личных данных пользователей, результатов поведенческого анализа пользователей, большие пользовательские данные попадают в серую, неурегулированную, зону: с одной стороны, в широком смысле, под персональными данными может пониматься любая информация, с другой, в отсутствие четкого определения персональных данных невозможно предсказать риски.

Так или иначе, данные о пользователях, собираемые при помощи различных сервисов, устройств, приложений в сети, не всегда будут являться персональными данными. Для того, чтобы выстроить логическую структуру того, когда и как большие пользовательские данные могут быть признаны персональными, необходимо учесть те процессы и цели, для которых ведется сбор данных о пользовании сервисами.

Если попытаться классифицировать такие собираемые данные, то в первую очередь в глаза бросается их разрозненность: такие данные являются «сырыми данными» и без инструментов технологической обработки мало для чего пригодны. Это значит, что польза от этих данных появится, по аналогии с большими данными, только после их обработки с применением аналитических методов. Представляется, что именно после этого большие пользовательские данные могут получить свой идентифицирующий потенциал и быть использованы для идентификации пользователя путем сопоставления его «сетевого следа» с реальной личностью.

Однако так ли важно для владельца сервиса иметь информацию о реальной личности пользователя: его имени, фамилии, месте жительства? Такие «биографические» данные уже давно отошли на второй план, уступив место поведенческим данным, психологическим портретам и картам предпочтений. «Идентификация» пользователя в смысле содержания больших пользовательских данных направлена не на установление соответствия «сетевого следа» определенному физическому лицу, а на определение наиболее подходящего метода взаимодействия с пользователем, основанного на анализе его предпочтений и поведения.

Побочным продуктом такого анализа, особенно, в том случае, если данные собираются на основе использования не одного сервиса, а множества, в том числе, объединенных одной инфраструктурой (к примеру, почтовый клиент + социальная сеть + торговая площадка + развлекательный сервис), является именно возможность сопоставления «сетевого портрета» с определенной реальной личностью. При этом, как отмечают некоторые исследователи, люди, пользующиеся интернет-сервисами, в том числе и социальными сетями, склонны менее серьезно относиться к защите конфиденциальной информации, чем в реальной жизни Донг Ш., Ли Кс. Защита личной пользовательской информации в социальных сетях: дилеммы правоохранительной практики Китая // Юридическая наука и правоохранительная практика. 2015. N 4.. В основе такого поведения может лежать мотивация самопрезентации, либо недооценка угроз собственной безопасности. В результате значительные массивы пользовательских данных, в том числе личная информация, изображения, аудио- и видеоматериалы, попадают в руки властей, посторонних, рекрутеров и даже общественности Ai, H., Maiga, A., Aimeur, E. Privacy Protection Issues in Social Networking Sites // The 7^th IEEE/AICCSA Conference. 2009..

Естественно, неосмотрительность пользователей часто используется злоумышленниками и недобросовестными предпринимателями, но в связи со спецификой организации сети Интернет, жертвами таких злоупотреблений могут стать не только обычные пользователи, но также и крупные интернет-площадки, правительственные информационные системы и практически любые другие субъекты сети.

Таким образом, в настоящее время можно говорить об отсутствии комплексного регулирования больших пользовательских данных. Действительно, на какую-то часть, представленную уже в виде результатов анализа таких данных, может распространяться режим персональных данных. Однако в этой связи возникает еще больше вопросов, связанных с требованиями Закона о персональных данных.

Правовая же природа больших пользовательских данных также оставляет много вопросов: являются ли все данные, составляющие массивы больших пользовательских данных персональными данными? На каком этапе такие массивы становятся объектами прав и могут ли они являться собственностью? Если могут, то в чьей собственности они находятся и каким образом возможна защита таких прав? Каким образом возможно осуществить соблюдение законных прав и интересов граждан, в отношении которых собираются и используются массивы больших пользовательских данных?

Все эти и многие другие вопросы проистекают из двойственной натуры больших пользовательских данных: с одной стороны, это достаточно обозримые и объективные данные о гражданах, о значимости которых известно уже достаточно давно, с другой - именно благодаря их информационно-технологической природе мы можем говорить о пользовательских данных в современном контексте.

Исследование данных вопросов выделено в отдельную главу, также как и вопросы правового регулирования больших пользовательских данных.

Глава IV. Правовое регулирование «Больших пользовательских данных»

Как появляются пользовательские данные

При определении наиболее подходящего подхода к регулированию больших пользовательских данных, и их правовой природы, важно иметь в виду непосредственно технологическую природу этих данных.

В основе современных методов сбора и анализа данных на настоящий момент лежат давно известные технологии «Data Mining», буквально - «добыча данных», «глубинный анализ данных». С появлением новых технологий, новых устройств, обладающих по истине безграничными возможностями для сбора данных об их использовании, эволюционируют и технологии сбора, хранения и обработки таких данных.

Изначально, концепция сбора данных о функционировании тех или иных устройств или сервисов была направлена на отслеживание и исправление ошибок, улучшение качества, увеличение потребительской ценности и опыта взаимодействия. Увеличение вычислительных мощностей и повышение их доступности и представленности на рынке привело к тому, что время, затрачиваемое на анализ больших массивов данных сократилось, а сами инструменты стали доступны практически любому. Pru?fer J., Schottmuller C. Competing with Big Data // CentER Discussion Paper. 2017.Vol. 7. Вместе с этим, у таких данных начал формироваться новый критерий ценности: возможность обнаружения в них ранее неизвестных, нетривиальных и практически полезных знаний, необходимых для принятия решений как в коммерческой деятельности, так и в любой другой.

Кроме того, увеличение количества пользовательских данных связано в том числе с появлением новой концепции организации интернет-сервисов, Web 2.0, и, как результат, облачных технологий. К примеру, вместо того, чтобы хранить электронную почту на жестком диске компьютера, эти данные стало возможным хранить с помощью облачных сервисов, в случае с Google это Gmail. Так, сообщения электронной почты не будут находится на устройстве, вместо этого Google будет предоставлять к ним доступ посредством браузера или приложения. Эти сдвиги имеют один ключевой момент: возможность создавать огромные объемы данных о конечных пользователях. Такие посредники в итоге имеют доступ к чрезвычайно подробной информации о своих пользователях. Randal C. P. Online Advertising, Identity and Privacy. 2009.

Итак, необходимо структурировать и классифицировать пользовательские данные, составляющие массивы больших пользовательских данных. Для начала, можно разделить такие данные на:

1) Техническую информацию, получаемую от устройства без непосредственного взаимодействия с ним пользователя: «пассивные данные»;

2) Данные, получаемые в результате непосредственного взаимодействия пользователя с устройством: «данные пользовательской активности».

В свою очередь, «пассивные данные» или «метаданные» могут включать в себя:

1) Данные о геолокации, температуре, скорости, движении - наблюдаемые динамичные «пассивные данные», для фиксирования которых необходимо иметь соответствующие программно-технические компоненты, такие как сенсоры, датчики и т. п.

2) Данные о самом устройстве: производитель, модель, типы и версии программного обеспечения, технические данные оборудования (к примеру, MAC-адрес сетевой карты) - объективные статичные «пассивные данные», наличие которых связано с функционированием устройства и программной архитектурой.

Хорошим наглядным примером динамичных «пассивных данных» являются данные, собираемые фитнес-трекерами. На основе собранных геопозиционных данных, данных о сердечном ритме, данных акселерометра, делаются выводы о потраченных калориях или физической подготовке. Tim J., Marc D. “Step into “The Circle”--A Close Look at Wearables and Quantified Self // Big Data in Context (reds.: Thomas H., Barbara K.-R.). 2018.

Данная категория, как метаданные, включает в себя также данные, которые в целом не зависят от устройства, но их наличие опосредовано архитектурой информационно-коммуникационных сетей и программно-технического оборудования, необходимого для их функционирования. Это в первую очередь данные о соединении, к примеру, IP-адрес устройства пользователя в сети Интернет, время соединения, интенсивность соединений, количество переданных данных (пакетов) и тому подобная информация.

Пользовательская активность, как другой источник пользовательских данных, имеет гораздо большую ценность, чем «метаданные», хотя эти категории тесно связаны. При этом, из-за большого количества программно-технических «прослоек», данные о пользовательской активности могут собираться одновременно на нескольких уровнях. Стоит, опять же, выделить основные категории данных о пользовательской активности:

1) Данные, получаемые непосредственно при взаимодействии с устройством: логи нажатия клавиш, положения курсора. Такие данные, в первую очередь необходимы и для самого функционирования устройства, однако могут быть использованы для создания моделей пользователей. Так, к примеру, не так давно был разработан способ идентификации пользователей, основанный лишь на манере их печати на клавиатуре J. Morris C., Sun-Yuan K. et al. Capturing cognitive fingerprints from keystroke dynamics // IT Professional. 2013. N 4.;

2) Данные веб-трекинга, основанные на взаимодействиях пользователей с интернет-сайтами;

3) Данные о пользовательском взаимодействии с веб-сайтами и программными приложениями (в отрыве от коммуникационных данных).

Наиболее важными категориями данных о пользовательской активности являются две последние. При этом, при осуществлении веб-трекинга пользователей используются как метаданные, так и данные непосредственной активности.

На настоящий момент существует множество стратегий отслеживания действий пользователей. Некоторые исследователи выделяют как минимум четыре Charlotte R. Like or Dislike - Web Tracking // Big Data in Context (reds.: Thomas H., Barbara K.-R.). 2018., другие же куда шире подходят к проблеме и выделяют больше стратегий отслеживания Markus S., Matthias E., Martin S. Web-Tracking Report 2014 // SIT Technical Reports. 2014.. Так или иначе, все эти стратегии сводятся к применению следующих инструментов:

1) Cookie («куки») - являются одним из классических инструментов отслеживания: небольшие текстовые файлы, хранящиеся в браузере пользователя, которые содержат информацию о сайте частоте посещений, поведении пользователя на веб-сайте или о веб-сайте, с которого был осуществлен переход (например, после нажатия на рекламный баннер). При этом, не все «куки» являются именно инструментами отслеживания:

a. Так, «куки», создаваемые непосредственно администратором веб-сервиса, направлены как раз на улучшение опыта пользовательского взаимодействия с таким сервисом: такие «куки» улучшают скорость загрузки сайтов, используются для сохранения активных сессий на сайтах с аутентификацией пользователей.

b. Сторонние же «куки» (“third-party cookies”), собирают информацию об поведении пользователей на различных веб-сайтах. Такое отслеживание называют “Cross-domain tracking”, так как благодаря информации, собираемой сторонними «куки» можно отследить историю перемещения пользователя между веб-сайтами. Обычно, сторонние «куки» интегрируются в браузер пользователя и взаимодействуют со встроенными элементами на различных веб-сайтах: такими инструментами пользуются многие рекламные посредники, счетчики переходов и посещений.

2) Встраиваемый контент социальных сетей - этот инструмент отслеживания появился в недавнее время благодаря возросшей популярности социальных сетей среди пользователей сети Интернет. Многие платформы социальных сетей предоставляют сторонним сайтам возможность интегрирования тех или иных элементов социальной сети непосредственно в веб-страницу. Примером может служить кнопка «Like» для Facebook. При этом, такой плагин создает отдельный «куки» (именуемый в европейской практике «Datr-cookie») в браузере пользователя, вне зависимости от того является ли он пользователем социальной сети или нет. Эта проблема была адресована Бельгийским надзорным ведомством в сфере защиты информации. Facebook Belgium v. Belgian Privacy Commission (Court of First Instance of Brussels, 16.02.2018)

3) Формирование «отпечатка» пользователя - такое отслеживание основано на использовании метаданных, таких как сведения об устройстве пользователя, сведения о браузере и операционной системе, разрешении экрана, и многих других, казалось бы, незначительных свойствах, совокупность которых позволяет с высокой точностью различать пользователей по таким сетевым «отпечаткам». Thomas M. Web Privacy // Seminar Future Internet. Network Architectures and Services. 2015

4) Отслеживание на основе «контента», в основном, текстового, но в последнее время активно собираются и данные в форме аудиозаписей (сообщения пользователя, его разговоры) - используя определенные слова-маркеры и анализируя пользовательские сообщения на их предмет, возможно обнаруживать интересы и потребности пользователей. Это также касается и поисковых запросов - наиболее простой формы такого отслеживания, когда пользователь получает не только информацию, релевантную поисковому запросу, но также и тематическую рекламу, основанную на ключевых словах из запроса. При этом, случай с контекстной рекламой в поисковом сервисе является частным и вполне безобидным, так как зачастую подобный инструмент получения данных о взаимодействии потребителя с сервисом использует всю вводимую информацию, которая может нести и. конфиденциальный характер.

5) Метаданные о соединениях, собираемые на ключевых узлах - к таким данным зачастую имеют доступ только поставщики услуг связи. По сути, эти данные представляют собой историю пользовательской активности, в которую включаются: время обращения, сетевой адрес ресурса, которому был направлен запрос и тому подобная техническая информация, которая, как оказалось, также обладает определенной ценностью.

6) В отдельную категорию необходимо выделить такой инструмент, как социальные сети. Социальные сервисы позволяют пользователям публично устанавливать и демонстрировать свои связи с людьми, организациями и группами. Социальную сеть определяют как «набор людей (или организаций или других социальных субъектов), связанных набором социальных отношений, таких как дружба, совместная работа или обмен информацией.» Garton, L., Haythornthwaite, C., Wellman, B. Studying online social networks // Journal of Computer-Mediated Communication. 1997. N 1. Согласно позиции ФБР США, социальными сетями признаются сервисы, позволяющие людям общаться и обмениваться информацией с группой. FBI (The Federal Bureau of Investigation). Internet Social Networking Risks. 2015. Регистрируя профиль в социальной сети, пользователи создают свою «виртуальную личность» Курносов И. Н. Информационное общество и глобальные информационные сети: вопросы государственной политики // Информационное общество. 1998. N 6., которая, в то же время может обладать теми же характеристиками, что и реальная личность. Действительно, постепенно граница между реальной личностью и виртуальной стирается - профили в социальных сетях ассоциируются с реальной личностью, а люди, регистрирующие профили, мотивированы сообщать как можно более точную информацию о себе для того, чтобы быть узнанными друзьями и коллегами. При создании профиля в социальной сети, пользователи на стадии регистрации предоставляют свои реквизиты: фамилию, имя, номер телефона. Смирнова Е., Шишанова А. Законность обработки персональных данных, полученных из социальных сетей // Legal Insight. 2018. N 1. Многие сервисы расширяют возможности само-презентации личности и позволяют указывать интересы, хобби, мировоззренческие взгляды. При этом, в зависимости от сервиса, у третьих лиц существует возможность получить доступ к подобной информации, характеризующей личность. Существует давно подтвержденное мнение о том, что как только вы размещаете информацию в социальной сети [и в интернете в целом], она перестает быть личной. С другой стороны, пользователи могут изымать подобные данные из общего доступа, регулируя уровень конфиденциальности своего профиля. Смирнова Е., Шишанова А. Указ соч. Однако подобный шаг ограничивает доступ к личной информации только для третьих лиц, но никак не для самой социальной сети. Так или иначе, главной мерой ценности социальных сетей, как участников оборота больших пользовательских данных, является наличие в их базах данных информации о личностях, которая наиболее соответствует действительности, является полной и актуальной.

Таким образом, структурировав виды данных и методы их сбора, можно прийти к выводу, что пользовательские данные включают в себя огромный массив информации, связанной не только непосредственно с личностью, но также и с технической стороной использования коммуникационных услуг и устройств, которая корреспондирует некоторые качества и характеристики пользователя и основываясь на которой возможно делать выводы о поведении, предпочтениях и психологических характеристиках.

Кто собирает пользовательские данные?

Исходя из описания методов сбора пользовательских данных, их разнообразия, а также технологий, лежащих в основе регулирования потоков информации в информационно-коммуникационных сетях, можно выделить следующих субъектов пользовательских данных:

В первую очередь стоит отметить телекоммуникационные компании и провайдеров коммуникационных услуг, которые собирают метаданные о соединениях пользователя. Естественно, такие данные используются в том числе для улучшения сервиса или для проведения расчетов с клиентами и в основном содержат информацию только о факте соединения и объеме переданной информации. При этом, нередко такие подобные данные становятся предметом договоров о предоставлении информации, как в примерах с ООО «Сумма Телеком», ПАО «Ростелеком» и «МГТС» Решение АСГМ от 22.07.2016 по делу N A40-111059/2016. Так, согласно подобным договорам предоставляется статистическая информация, а именно, совокупность сведений о просматриваемых Активными пользователями веб-страницах. Кроме того, согласно Приказу Министерства информационных технологий и связи Российской Федерации от 16.01.2008 N 6 «Об утверждении требований к сетям электросвязи для проведения оперативно-розыскных мероприятий» Зарегистрировано в Минюсте РФ 31.01.2008 N 11057. Бюллетень нормативных актов федеральных органов исполнительной власти. 03.03.2008. N 9., предусмотрено размещение в сетях связи технических средств ОРМ (СОРМ-2), через подключение к которым обеспечивается возможность получения информации об абоненте и оказанных абоненту услугах связи. Таким образом, государственные органы охраны правопорядка могут получать доступ к метаданным о соединениях абонента.

Следующим субъектом, имеющим доступ к пользовательским данным являются технологические компании, агрегирующие данные об использовании устройств. К примеру, пользователь устройства производства компании HTC Данные отчетности об использовании. Режим доступа - по ссылке (дата обращения: 10.05.18): https://www.htc.com/ru/terms/learn-more/ по умолчанию предоставляет компании доступ к данным об использовании устройства, включая, но не ограничиваясь идентификаторами устройства, местонахождением устройства, информацией о количестве и длительности сделанных и принятых звонков, количестве полученных и отправленных сообщений, количестве контактов на устройстве. Такие данные собираются как для улучшения продуктов и услуг, так и для статистического анализа в маркетинговых целях. Пользователь, естественно, может отказаться от предоставления подобных данных, однако это требует от него совершения дополнительных действий.

Отдельным видом субъектов - технологических компаний представляются ИТ-гиганты, формирующие информационно-технологическую экосистему, включающую не только пользовательские устройства, но и сетевые сервисы. Очевидным примером являются экосистемы Google, Microsoft, Apple, Amazon, построенные на основе огромного количества веб-сервисов и приложений и использующих облачные платформы как основу для предоставления доступа к своим услугам. Облачные сервисы, лежащие в основе бизнес-моделей подобных компаний, позволяют не только обеспечить необходимый для клиентов уровень комфорта использования инфраструктуры, но также «привязывают» пользователей к своим продуктам, делая затруднительной смену одной экосистемы на другую. Commission Staff Working Document Impact Assessment, Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on a framework for the free flow of non-personal data in the European Union. SWD/2017/0304 final - 2017/0228 (COD) // European Commission. 2017.

Режим доступа - по ссылке (дата обращения: 10.05.18):

https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52017SC0305&from=EN^, Lundqvist B. Standardization for the Digital Economy: The Issue of Interoperability and Access Under Competition Law // Antitrust Bulletin. 2017. N 4. Вместе с этим, по сути, централизуется сбор информации об использовании этих сервисов, а также пользовательских данных, которые в дальнейшем используются не только для улучшения качества предоставляемых услуг, но также передаются третьим сторонам, в том числе для оказания услуг таргетированной рекламы.

Следующей категорией субъектов, осуществляющих сбор пользовательских данных выступают владельцы различных сетевых ресурсов и приложений. В данной категории в основном выделяются такие субъекты, деятельность которых связана с хозяйственными операциями в сфере электронной коммерции: это онлайн-магазины и торговые площадки, поставщики развлекательного и информационного контента, файлообменные сети. Обычно, любая пользовательская активность на подобных сервисах является отражением его интересов, характера и предпочтений: при чтении интернет-газеты пользователи выбирают статьи по наиболее интересным для них заголовкам, при выборе товара в онлайн-магазине кто-то обращает внимание на низкие цены, а кто-то на наличие положительных оценок со стороны других пользователей. Так, анализируя пользовательскую активность, эта категория субъектов использует эти данные для улучшения пользовательского опыта путем предложения им наиболее релевантной информации, товаров или услуг, а также предсказывая возможные интересы на основе существующих данных. Jeble S., Kumari S., Patil Y. Role of Big Data and Predictive Analytics // International Journal of Automation and Logistics. 2016. N 4.

Кроме перечисленных, стоит также выделить такую категорию субъектов как информационные брокеры. Применительно к отношениям, возникающим в сети Интернет, информационных брокеров выделяется несколько видов. В первую очередь, это непосредственно поставщики данных (от англ. Data supplier), которыми выступают агрегаторы информации о пользовательской активности, основными методами сбора которой является использование сторонних «куки» и других элементов веб-трекинга. Среди известных компаний в этой области можно назвать DoubleClick (компания куплена Google в 2008 году за $3.1 млрд), Яндекст.Диркет, My.com. После сбора данных, они передаются платформам управления данными (от англ. Data-management Platform), которые либо интегрированы в уже существующий сервис, либо являются сторонними организациями. В России среди таких компаний можно выделить AmberData Доступ по ссылке: https://amberdata.ru/ и CleverData Доступ по ссылке: http://cleverdata.ru/. Последней из перечисленных компаний недавно была организована и запущена платформа «1DMC» - биржа данных, объединяющая поставщиков данных и потребителей данных (то есть, компании, использующие данные о пользователях для принятия тех или иных решений). Доступ по ссылке: https://1dmc.io/ Кроме того, существуют и международные маркетинговые компании, такие как Acxiom, использующие пользовательские данные конечных клиентов. На стороне платформы управления данными осуществляется анализ и проводится необходимая стратификация и сопоставление данных, которые могут быть получены в том числе от нескольких поставщиков. После этого, данные о пользователях в более структурированной форме передаются как непосредственно потребителям этих данных, так и медиа-платформам, рекламным платформам.

Еще одним субъектом, имеющим возможность для сбора пользовательских данных является «Система доставки контента» (от англ. Content Delivery Network (CDN)). Появление таких систем во многом опосредовано развитием облачной инфраструктуры и в целом архитектурой сети Интернет. Суть операций, выполняемых такими системами проста: благодаря размещению контента (в контексте понятия CDN контент стоит трактовать в наиболее широком смысле - любые данные, сервисы и приложения) на серверах по территориальному принципу пользователям обеспечивается более высокая скорость доступа. Для ясности стоит привести простой пример: пользователь из России обращается к интернет-сервису из США, но вместо того, чтобы получать трафик напрямую из дата-центра в США, он получает его от территориально более близкого сервера, расположенного, к примеру, в Люксембурге, что позволяет снизить скорость ожидания. Системы доставки контента, функционирующие подобным образом, не только позволяют улучшить пользовательский опыт взаимодействия с сервисами и приложениями, но также участвуют в сборе пользовательских данных. Существует множество CDN, таких как Akamai, Limelight Networks, Krux (приобретена Salesforce Доступ по ссылке: https://www.salesforce.com/blog/2017/05/krux-is-now-salesforce-dmp.html), которые выполняют также функции платформ управления данными. Подобные системы имеют множество клиентов с общей аудиторией примерно в 80% пользователей сети Интернет, и используя методики отслеживания «цифровых отпечатков» способны собирать данные о посещаемых пользователями сайтов. К примеру, если несколько веб-сайтов используют одну CDN для хранения содержимого, о перемещении пользователя между этими веб-сайтами будет известно системе.

В качестве отдельного субъекта стоит упомянуть администраторов социальных сетей. Как уже говорилось, наиболее важным фактором, влияющим на высокую ценность аудитории социальных сетей является тот факт, что пользователи социальных сетей мотивированы к само-презентации и, тем самым, сообщению как можно большего количества релевантной информации о себе. Кроме того, социальные сети в последнее время приобретают значимость как медиа-ресурс, позволяющий пользователям выступать не только потребителями, но и создателями медиа-контента. Роль социальных сетей, как посредника в выражении мнений и настроений как социальных групп, так и отдельных индивидуумов, позволяет социальным сетям собирать огромное количество поведенческих данных о своих пользователях.

Приведенная категоризация субъектов сбора пользовательских данных приведена для понимания масштабов этого сбора. Зачастую, в сборе пользовательских данных участвуют практически все субъекты, приведенные в данном подразделе, а сами данные на определенных этапах сбора являются ничем иным, как «информационным мусором». Так или иначе, когда пользовательские данные, пройдя через огромное количество посредников, попадают к основным субъектам анализа и обработки пользовательских данных - платформам управления данным, они приобретают качества больших данных, так как анализируются по истине огромные массивы таких данных, а методы анализа основаны на процессах, требующих больших вычислительных мощностей. При этом, в результате анализа таких массивов есть возможность найти некоторые нетривиальные соотношения и зависимости, имеющие практическую полезность для принятяе бизнес-решений. Кроме того, большое количество пользовательских данных делает более эффективным и профайлинг пользовательской аудитории, который также важен для хозяйственных операций в «Экономике 4.0».

Для чего используются пользовательские данные?

Пользовательские данные, как уже было описано выше, являются ценным ресурсом и движущим фактором в электронной коммерции. К примеру, в некоторых работах отечественных исследователей выделяются следующие функции пользовательских данных при работе с интернет-магазинами Царев А.Г. О сборе пользовательских данных в системе персонализации интернет-магазина // Лесной вестник. 2009. N 3.:

1) Идентификация пользователей;

2) Идентификация сеансов;

3) Анализ потребностей пользователей;

4) Анализ поведенческих характеристик пользователей.

В свою очередь, пользовательские данные из социальных сетей используются для моделирования социальных, экономических, политических и других процессов от персонального до государственного уровня с целью разработки механизмов воздействия на эти процессы, а также создания инновационных аналитических и бизнес-приложений и сервисов. Коршунов А., Белобородов И. и др. Анализ социальных сетей: методы и приложения // Труды Института системного программирования РАН. 2014. N 1. К примеру, популярностью среди исследователей пользуется анализ «твитов» методом «анализа настроений» (поиск в текстовых данных социальной сети “Twitter” определенных слов-маркеров), чтобы собрать совокупные отзывы клиентов или оценить эффективность маркетинговых кампаний. Майер-Шенбергер В., Кеннет К. Большие данные: Революция, которая изменит то, как мы живем, работаем и мыслим. М.: «Манн, Иванов и Фербер», 2014.

Как верно указывает Скорочкина Т.С., любая активность в сети, хотим мы того или нет, фиксируется и запоминается. Поисковые запросы, просмотры интересующих товаров в интернет-магазине или просто «лайк» интересной ссылки или забавной картинки моментально сохраняются на различных виртуальных серверах. Скорочкина Т.С. Big Data - новый подход формирования бизнес-знаний // Стратегии бизнеса. 2017. N 5. Такие пользовательские [большие] данные теперь сопровождают практически каждый наш шаг в Интернете, и их умелое применение, является серьёзным конкурентным преимуществом.

В то же время, наиболее распространенным является использование пользовательских данных для профайлинга, то есть метода автоматической обработки персональных данных и иных данных в целях создания профилей и последующего прогнозирования информации, которая может быть использована в качестве основы принятия решений Ларионова В.А. Информационный брокер как новый субъект информационного права в эпоху Big Data // Право в сфере интернета (ред.: Рожкова М.А.). 2018..

Кроме того, посредством использования полученных профилей формируются возможности управления общественным сознанием в мировом масштабе путём формирования персонализированной информационной картины мира для отдельных групп пользователей медиа-сервисов, а также отслеживания на основе огромного массива информации политических трендов на любой территории для последующего их использования в интересах политического управления. Володенков С.В. Total Data как феномен формирования политической постреальности // Вестник Омского университета. Серия «Исторические науки». 2017. N 3.

Примером этого может служить недавний скандал, связывающий президентскую гонку 2016 года в США, Facebook и аналитическую компанию Cambridge Analytica. Согласно

При этом такая цифровая фиксация психотипа и различных особенностей личности на основе его цифрового следа не требует согласия и может осуществляться в скрытом режиме, и использоваться для формирования новых общественных норм, ценностей, смыслов, представлений и ожиданий. Kosinski M., Stillwella D., Graepel T. Private Traits and Attributes are Predictable from Digital Records of Human Behavior // Proceedings of the National Academy of Sciences of the United States of America. 2013. N 15.^, Kreiss, D. Yes We Can (Profile You) A Brief Primer on Campaigns and Political Data // Stanford Law Review Online. 2012. Vol. 64.

Формулировка понятия профайлинга, включающая в себя «персональные данные» и «иные данные» показывает, что в массивах больших пользовательских данных не все данные являются персональными. К такому же выводу приходят и отечественные исследователи, называя в целом пользовательские данные «гетерогенными» данными, которые в том числе могут включать в себя персональные данные. Тимонин А.Ю. Использование технологий Big Data для построения социального профиля человека на основе открытых источников информации // Вестник Пензенского государственного университета. 2015. N 2.

Какие данные используются?

Некоторые из упомянутых гетерогенных данных находятся в открытом доступе, к примеру, публичные сообщения пользователя на форумах и в социальных сетях, данные профилей социальных сетей и иные данные сделанные пользователем общедоступными самостоятельно. Кроме этого, существуют данные, сбор которых является неочевидным для пользователя - речь идет о веб-трекинге. И в конце концов - используются и персональные данные: местоположение, IP-адреса и др.

Хотя целью профайлинга не является именно идентификация пользователя - для принятия решений относительно пользователей и клиентов не обязательно связывать «сетевой профиль» с определенной реальной личностью. Зачастую идентифицируется не конкретное лицо, а устройство, которым пользуется физическое лицо. Однако такая идентификация может иметь место ввиду того, что очень часто результаты анализа пользовательских данных могут включать также и профили в социальных сетях, что делает возможность сопоставления «сетевого профиля» с реальной персоной очень простой.

Однако большие пользовательские данные - это не метод идентификации пользователей. В первую очередь это механизм выстраивания бизнес-процессов, который оперирует куда большим числом потребителей, их характеристик, потребностей и психологических особенностей, чем привычные нам методы клиент-менеджмента. Инструменты анализа и возможности прикладного применения больших пользовательских данных жизненно важны для новой экономической модели.

Таким образом, большие пользовательские данные - это сложный объект, включающий в себя огромные массивы информации с различными правовыми режимами. Кроме того, субъекты, занимающиеся сбором, обработкой, хранением и участием в хозяйственном обороте больших пользовательских данных, обретают различные, а, зачастую, смешанные, правовые статусы в зависимости от этапа «жизненного цикла» больших пользовательских данных. В следующем разделе представляется логичным рассмотреть такой цикл применительно к действующему законодательству в сфере информации и персональных данных.

Правовое регулирование больших пользовательских данных с учетом существующего законодательства

Пунктом 2 статьи 5 Закона «Об информации» предусмотрено, что информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами. Пунктом 3 той же статьи информация подразделена на (1) информацию, свободно распространяемую, (2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях, (3) информацию которая в соответствии с федеральными законами подлежит предоставлению или распространению и (4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Важной составляющей режима информации также является её обладатель - субъект информационного права. Таким обладателем, согласно статье 6 Закона «Об информации» может являться гражданин, юридическое лицо, Российская Федерация, её субъект или муниципальное образование.

Статьей 7 указанного Закона закрепляется порядок доступа к общедоступной информации - это первый, основной и самый всеобъемлющий режим информации в российском законодательстве. Так, общедоступная информация представляет собой общеизвестные сведения и иную информацию, доступ к которой не ограничен. Общедоступная информация, размещаемая в сети Интернет имеет наименование «открытые данные». Зачастую это понятие употребляют в контексте «государственных открытых данных», то есть общедоступной информации о деятельности государственных органов, размещаемой в открытом доступе в сети Интернет и в государственных информационных системах. Марков А.С. Правоприменение открытых данных с учетом требований по информационной безопасности // Мониторинг правоприменения. 2017. N 3.^, Мартынов А.В. Размещение открытых данных органами исполнительной власти и органами местного самоуправления как необходимое условие прозрачности и эффективности публичного управления // Административное право и процесс. 2015. N 6. Однако подобная информация вряд ли лежит в сфере интересов субъектов электронной коммерции и новой Интернет-экономики. Комментируя указанную статью, Савельев А.И. приходит к выводу, что законодатель устанавливает презумпцию открытости информации: общедоступной является любая информация кроме той, к которой ограничен доступ. Савельев А. И. Комментарий к Федеральному закону от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» (постатейный). М.: Статут, 2015.

Вместе с тем, пунктом 6 указанной статьи установлено, что в случае, если размещение информации в форме открытых данных осуществляется с нарушением требований Закона «О персональных данных», такое размещение должно быть приостановлено или прекращено по требованию уполномоченного органа по защите прав субъектов персональных данных. Более того, пунктом 8 статьи 9 Закона установлено, что запрещается требовать от гражданина предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, а также получать такую информацию помимо воли гражданина, если иное не предусмотрено федеральными законами.

Таким образом, для определения режимов информации, попадающей в массивы больших пользовательских данных, нам следует обратиться к понятию тайны частной жизни. Анализируя развитие концепции права на частную жизнь, отражающееся в постановлениях Конституционного Суда Российской Федерации, Кротов А.В. Кротов А.В. Толкование права на частную жизнь в решениях Конституционного Суда РФ // Российская юстиция. 2018. N 2. отмечает, что такое развитие тождественно вектору развития права на частную жизнь за рубежом: от негативной трактовки к более широкой, основанной на позитивных нормативных началах и включающей в себя элементы семейных правоотношений и различных тайн, таких как врачебная, банковская и налоговая.

Между тем, согласно Закону «О персональных данных», обработка персональных данных производится только при условии соблюдения основных принципов и правил, таких как наличие согласия, соответствие целям, указание перечней данных и действий с ними осуществляемых. При этом, из-за уже указанной проблема широты толкования понятия «персональные данные», трудно достоверно определить границы режимов информации в массивах больших персональных данных. С другой стороны, целью данного Закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, путем правового регулирования взаимоотношений между субъектами и операторами персональных данных. Полещук А.В. Основы защиты персональных данных // T-comm. 2009. N 5.

Следовательно, понятие тайны частной жизни, или её неприкосновенности и конфиденциальности, что в принципе, имеет равнозначные толкования, практические отождествляется с понятием конфиденциальности персональных данных, при этом включая в данный режим и другие тайны. В действительности же, установление режима персональных данных для отдельных категорий данных о частной жизни гражданина представляется ни чем иным, как дополнительным средством защиты. Так, Малеина М.Н. приходит к выводу, что тайна частной жизни является общей родовой категорией, которая включает в себя профессиональные и непрофессиональные тайны, одной из которых является тайна персональных данных. Таким образом, законодатель рассматривает действия по обработке персональных данных в режиме права на неприкосновенность частной жизни. Малеина М.Н. Право на тайну и неприкосновенность персональных данных // Журнал российского права. 2010. N 11.

Итак, становится ясно, что информация, находящаяся в массивах больших пользовательских данных подразделяется на общедоступную информацию и информацию о частной жизни гражданина, которая включает в том числе персональные данные различных категорий, как простых, так и специализированных. При этом, как уже было указано, большие пользовательские данные включают такую информацию, которая сама по себе не позволяет идентифицировать физических лиц, то есть не является персональными данными, но в результате обработки которой (в том числе автоматизированной) возможно получить персональные данные.

Важно также отметить, что после сбор информации в сети Интернет всегда связан с определенными затратами со стороны субъектов, которые этот сбор организуют: будь то настройка программных компонентов, будь то создание алгоритма и автоматизация сортировки. Таким образом, собранная информация переходит в качественно иное состояние - на неё начинает распространяться исключительное право изготовителя базы данных - так как обычно средством закрепления и хранения больших пользовательских данных являются именно базы данных, в том числе состоящие из неструктурированной информации. Так, согласно статье 1334 ГК РФ, изготовителю базы данных, создание которой требует существенных финансовых, материальных, организационных или иных затрат, принадлежит исключительное право извлекать из базы данных материал и осуществлять их последующее использование в любой форме и любым способом.

После проведения анализа больших пользовательских данных как с использованием методов машинного обучения, так и путем стандартных статистических обработок, полученная в результате этого информация также приобретает другое качественное состояние - во-первых, такая информация может приобретать идентифицирующий потенциал, что приравнивает её к персональным данным. Во-вторых, так как анализ производится только определенным субъектом (даже при условии автоматизированной обработки) - то результат такого анализа представляет собой результат интеллектуальной деятельности. Такая информация несомненно будет нести практическую ценность и, следовательно, на неё может быть распространен режим коммерческой тайны. Таким образом, в результате действий над массивами больших пользовательских данных, появляется коммерчески значимая информация, которую, в целях улучшения конкурентного положения, необходимо защищать. При этом, при осуществлении профайлинга, в качестве ноу-хау может быть защищен метод использования полученных профилей для маркетинговых целей, сами профили будут расцениваться как персональные данные, даже в случае полного обезличивание.

Более того, любые действия с информацией, обладающей идентифицирующим потенциалом, должны будут осуществляться с соблюдением условий и принципов обработки персональных данных. Подобные требования создают большие сложности при организации сбора и анализа данных, так как такие данные нередко собираются без оповещения пользователей об этом, не говоря уже и об отсутствии согласия. Кроме того, учитывая современное состояние развития облачных технологий, подобным субъектам выгодно собирать все, что возможно собрать, даже если в дальнейшем какая-то часть информации не пригодится. В свою очередь, анализ таких массивов не всегда будет иметь определенную контекстом данных цель, как уже говорилось, результаты анализа больших пользовательских данных могут обнаруживать совершенно неочевидные корреляции. Таким образом, для соглашения с пользователем как законного основания сбора таких данных отсутствует цель и перечень данных. Обработка в статистических или иных исследовательских целях, также не подходит, так как из данного пункта намеренно исключена обработка в целях продвижения товаров, работ и услуг, для чего косвенно могут применяться данные профилей пользователей. Однако, формулировка статьи 15 Закона «О персональных данных» предполагает осуществление непосредственного прямого контакта с потенциальным потребителем с помощью средств связи.

Статьей же 16 указанного Закона как раз установлены ограничения использования инструментов автоматизированной обработки персональных данных для принятия юридически значимых решений. Положения данной статьи, как отмечает Савельев А.И. Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных». М.: Статут. 2017., в большей степени относится именно к «потребителям данных», которые принимают юридические значимые решения на основе профайлов пользователей и клиентов, приобретенных у информационных брокеров. Выходит, что деятельность поставщиков данных, платформ управления данными как информационных брокеров отчасти находится в серой и неурегулированной правовой зоне.

Правовые статусы субъектов «жизненного цикла» больших пользовательских данных

Во время «жизненного цикла» больших пользовательских данных правовой режим информации, составляющей массивы этих данных, как было отмечено в предыдущем подразделе, способен изменяться. Вместе с этим, у субъектов так или иначе возникают соответствующие права и обязанности, составляющие их правовой статус. Представляется важным рассмотреть некоторые из них с учетом законодательства об информации и персональных данных.

...