Рынок аудиторных данных сегмента Интернет-рекламы и маркетинга. Часть. 1. Изменения законодательства

Данные сейчас в моде, но рынок данных только зарождается: нет общей терминологии, не зафиксировалась структура рынка данных и больших данных, аналитики. В любом случае, данные – важнейший актив и понятие, прочно вошедшее в нашу жизнь. Они используются во всех сферах бизнеса и индустриях, новые примеры использования появляются каждый день.

Наша компания CleverDATA и Ассоциация развития финансовых технологий подготовили обзор рынка аудиторных данных в сегменте интернет-рекламы и маркетинга за 2019 год. Сейчас в этом сегменте ощущается очень сильный недостаток объективной информации и статистических данных о текущем положении вещей и динамике, поэтому мы решили поделиться результатами нашей работы с читателями Хабра. 

В этой статье мы расскажем, как изменилось законодательство в сфере аудиторных данных в России и за рубежом, а во второй ее части — представим статистику рынка.

Источник

Рынку аудиторных данных уже больше пяти лет, однако он до сих пор на стадии развития. Анализ информационного фона показывает сильную кластеризацию игроков на рынке, конкуренция только зарождается. Большинство потоков обмена данными идет в режиме один к одному, что вызывает необходимость интеграции вида «каждый с каждым» и соответствующих кратных денежных и трудовых затрат, что опять же является причиной высокой стоимости входа в такие бизнес-модели для участников и низких темпов развития рынка.

Различия в законодательстве разных стран приводят к сегментации глобального рынка на ряд локальных. Международные игроки на российском рынке практически не присутствуют, и наоборот. Тем не менее, за 2019 год можно отметить высокую динамику развития, переход от «исследования» к нормальной ежедневной работе, активный рост поставщиков данных и выход новых игроков.

Изменения российского законодательства

Проект «Цифровая экономика РФ»

План создания цифрового профиля

Принятие правок о цифровом профиле в 149-ФЗ «Об информации, информационных технологиях и о защите информации»	IV кв. 2019 года	Не приняты, есть проекты
Проведение эксперимента по  Национальной системе управления данными (НСУД) и цифровому профилю	II кв. 2019 года – II кв. 2020 года	В процессе
Доработка  Единой системы идентификации и аутентификации (ЕСИА) в части создания цифрового профиля	II кв. 2019 года – IV кв. 2019 года	В процессе
Опытная эксплуатация цифрового профиля, пилотный проект с банками – участниками эксперимента	IV кв. 2019 года – I кв. 2020 года	В процессе
Ввод в промышленную эксплуатацию цифрового профиля	IV кв. 2020 года

Что сделано

Проект Федерального закона № 747513-7

Проект о цифровом профиле граждан и юридических лиц: внесение изменений в ФЗ «Об информации, информационных технологиях и о защите информации» (понятие цифрового профиля, порядок идентификации граждан).

• Внесли в Госдуму 05.07.2019.
• Критика от ФСБ: повышение риска утечек данных граждан.
• Текущий статус: не дошел до 1 чтения.

Постановление Правительства РФ от 03.06.2019 № 710

• С 1 июля 2019 года по 31 марта 2020 года проходит эксперимент по апробации основных подходов к созданию НСУД на основе данных, предоставляемых органами государственной власти.
• Есть проект Постановления Правительства о продлении сроков до 31 декабря 2020 года.

Проект от Минэкономразвития России – изменения в ФЗ «Об информации, информационных технологиях и о защите информации» и другие акты (ID проекта 04/13/10-19/00096018)

• Закрепление понятий: государственные и муниципальные данные, обезличивание информации, национальная система управления данными, гармонизация государственных данных.
• Не внесен в Госдуму.

Проект Приказа Минкомсвязи России «Об утверждении порядка и критериев определения качества сведений, содержащихся в государственных информационных ресурсах, их связанности, включая требования к документированию и разрешению инцидентов при передаче сведений» (ID проекта 01/02/10-19/00096522)

• В качестве критериев определения качества данных предлагаются полнота, достоверность, актуальность, уникальность, согласованность.

Безопасность данных

Постановление Правительства РФ от 21.12.2019 № 1746

• Вводится запрет на два года на допуск к закупкам для госнужд (44-ФЗ) иностранных программно-аппаратных комплексов систем хранения данных.
• Запрет распространяется на товары, относящиеся к коду ОКВЭД 26.20.2 «Устройства запоминающие и прочие устройства хранения данных», являющиеся предметом закупки, аренды и (или) лизинга.

Новость от 13.01.2020: «Государственная транспортная лизинговая компания» (ГТЛК) сообщила о получении 3 млрд рублей бюджетных средств в рамках федерального проекта «Цифровые технологии» национальной программы «Цифровая экономика». Средства выделены на поддержку «Программы льготного лизинга цифровых активов» ГТЛК, направленной на лизинг цифровой техники и софта по льготным условиям для предприятий ключевых направлений экономики, социальной сферы и госучреждений.

Постановление Правительства РФ от 27.10.2018 № 1279

• С 5 мая операторы связи обязаны помогать мессенджерам идентифицировать пользователей.
• Введены правила идентификации пользователей интернет-мессенджеров (в течение 20 минут операторы связи обязаны отвечать на запросы о наличии у них сведений о пользователе номера).

Федеральный закон от 01.05.2019 № 90-ФЗ; Постановление Правительства РФ от 13.11.2019 № 1443; Приказ Роскомнадзора от 29.07.2019 № 216 – о суверенном Интернете.

• Операторы связи теперь обязаны незамедлительно ограничивать доступ к сайтам, на которых информация обрабатывается с нарушением законодательства в области персональных данных, после получения соответствующих сведений.
• Средства связи, используемые операторами государственных систем, должны размещаться на территории РФ.
•  Создается национальная система доменных имен.
• Проведены первые учения.

Федеральный закон от 02.12.2019 № 405-ФЗ

• 2 декабря вступили в силу поправки к КоАП РФ: ввели отдельное наказание за несоблюдение правил хранения персональных данных российских граждан на территории РФ. Размер административного штрафа для юридических лиц – от 1 млн до 6 млн рублей. Ранее за подобные нарушения наказывали по ст. 19.7 КоАП РФ, штраф для компаний составлял от 3 тыс. до 5 тыс. рублей.
• Одновременно вводятся повышенные штрафы в случае совершения повторных нарушений по ряду действующих составов правонарушений в области связи и информатики.

ГОСТ Р 58776-2019 «Средства мониторинга поведения и прогнозирования намерений людей. Термины и определения».

• Устанавливает термины и определения основных понятий в области средств мониторинга поведения и прогнозирования намерений людей (средства мониторинга поведения людей, средства прогнозирования намерений людей, мониторинг поведения и т. п.).
• Утвержден Росстандартом, вступит в силу 1 сентября 2020 г.

Регулирование больших данных

Статья 783.1. ГК РФ. Особенности договора об оказании услуг по предоставлению информации 

Договором, в силу которого исполнитель обязуется совершить действия по предоставлению определенной информации заказчику (договор об оказании услуг по предоставлению информации), может быть предусмотрена обязанность одной из сторон или обеих сторон не совершать в течение определенного периода действий, в результате которых информация может быть раскрыта третьим лицам.

• С 1 октября 2019 года вступила в силу ст. 783.1. ГК РФ «Особенности договора об оказании услуг по предоставлению информации» из Главы 39 «Возмездное оказание услуг».
• Пояснительная записка к законопроекту: «Для решения вопроса о легализации сбора и обработки значительных массивов обезличенной информации (в обиходе – big data) вводится конструкция договора об оказании услуг по предоставлению информации (новая статья 783.1 ГК). Задача новой статьи 783.1 ГК состоит не в том, чтобы просто закрепить в ГК наименование договора (сделать его поименованным). Необходимо прямо решить экономическую задачу, стоящую перед сторонами сделки, отразить их интерес в том, чтобы передаваемая заказчику информация не использовалась третьими лицами».
• По факту на практике никаких изменений не произошло, договор стал поименованным.

Проект Минкомсвязи России о внесении изменений в Федеральный закон «О персональных данных» (ID проекта 04/13/09-19/00095069)

• Проект не был внесен в Госдуму.
• В законопроекте предлагается ввести в 152-ФЗ дополнительно два понятия:
  
  1) «обезличенные персональные данные» – информация, которая в результате обезличивания персональных данных не позволяет без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных = персональные данные, которые подверглись процедуре обезличивания. Регулирование предлагают оставить такое же, как было в 152-ФЗ;
  
  2) «обезличенные данные» – информация, которая в результате обезличивания не позволяет даже при использовании дополнительной информации определить ее принадлежность конкретному субъекту персональных данных = по прямому толкованию вообще не персональные данные, появившиеся в результате обезличивания. Некая информация, которая не позволяет идентифицировать субъекта.
• Законопроект не решает проблему, что же такое персональные данные по российскому праву и какая именно информация позволяет идентифицировать субъекта. В результате нет ясности, какие данные являются обезличенными персональными данными, а какие – обезличенными данными.
• По тексту законопроекта обезличивать персональные данные (т. е. получать обезличенные персональные данные) можно только с согласия субъекта данных, но можно не получать согласие для аналитических целей (что такое аналитические цели, не разъяснено). Затем обезличенные персональные данные можно свободно продавать (при условии сохранности обезличивания). Получать же обезличенные данные можно без согласия субъекта и использовать, продавать их свободно в предпринимательской деятельности.
• По аналогии с GDPR, если в результате обработки массива обезличенных данных или обезличенных персональных данных становится возможным идентифицировать лицо, включается регулирование о персональных данных.

X Международная конференция «Защита персональных данных»

• Заявление в ходе выступления главы Роскомнадзора А. Жарова (на тот момент занимавшего эту должность): планируется разработать проект о введении ответственности за покупку и дальнейшее использование похищенных персональных данных.

Кодекс этики использования данных

• Документ был подписан на неделе российского интернета (RIW 2019) в Москве. Кодекс разработали Институт развития интернета (ИРИ) и Ассоциация больших данных.
• Исходя из новостных сводок, к кодексу присоединились компании «Газпром-медиа холдинг», «Яндекс», «МегаФон», «Тинькофф Банк», Сбербанк, Газпромбанк, oneFactor, QIWI, Mail.ru Group, ВТБ, «ВымпелКом», «Ростелеком», МТС.
• Во многом транслирует общие принципы и нормы GDPR.
• Распространяется на отношения по поводу всех разновидностей данных, включая пользовательские, промышленные данные, данные межмашинного взаимодействия и др.
• Может быть использован в качестве делового обыкновения.
• Создается Совет по совершенствованию практик работы с данными, который формирует и ведет Реестр добросовестных участников рынка данных, формирует, ведет и актуализирует Белую книгу – свод лучших практик в сфере добросовестного использования данных.
• Приоритетным провозглашается оборот продуктов аналитики данных вместо оборота «сырых» данных.
• Недопустим сбор данных с нарушением общих принципов Кодекса, либо с использованием противоправных методов, в том числе с применением технологий, направленных на преодоление правомерно функционирующих средств защиты данных, а также без наличия законных оснований на их обработку.
• Сбор данных для целей аналитики не должен наносить вред или ущерб пользователям, чьи данные были использованы в аналитических продуктах.
• Если для аналитики в коммерческих целях используется общедоступная информация, размещенная в форме открытых данных, то участники Кодекса считают добросовестной практикой проверку возможности использования таких данных. Сам по себе факт, что некоторые данные являются открытыми, не означает, что их использование не ограничено.
• Признается добросовестной практикой использование данных для прямого (таргетированного) маркетинга, если персонифицированные предложения позволяют потенциальному приобретателю обеспечить оптимальный выбор товаров (работ, услуг), а также при условии предоставления потенциальному приобретателю возможности отказаться от получения таких персонифицированных предложений.

Судебная практика

Кому должны принадлежать данные пользователей?

• Иск «ВКонтакте» против Double Data (ООО «Дабл»), которое использовало данные пользователей соцсети для оказания услуг – судебное разбирательство продолжается.
• HeadHunter (ООО «Хэдхантер») против «Стафори» («Робот Вера») – отказано в рассмотрении кассационной жалобы 26.03.2019, т. к. использование ООО «Стафори» открытой части базы данных ООО «Хэдхантер» не противоречит нормальному использованию базы данных. Пользователи сайта hh.ru самостоятельно размещают свое резюме с целью поиска вакансий, просмотра их резюме другими пользователями сайта, поэтому получение информации о них третьими лицами не свидетельствует о неправомерном использовании базы данных. Пункт 2.8 Соглашения об оказании услуг по содействию в трудоустройстве «Хэдхантера» предусматривает общедоступность размещаемых соискателем на сайте персональных данных в форме резюме, а hh.ru не несет ответственности за сохранение их конфиденциальности и/или использование третьими лицами.
• ООО «Стафори» обратилось в ФАС РФ с жалобой на действия ООО «Хэдхантер», ООО «Суперджоб», ООО «РДВ-Софт», полагая, что они занимают доминирующее положение на рынке услуг и ограничивают конкуренцию. Решение о прекращении дела от 10 октября 2019 г.: ООО «Суперджоб» и ООО «РДВ-Софт» заявили, что их правила не препятствуют использованию стороннего программного обеспечения по автоматизированному подбору персонала и они не блокируют данное ПО.
• По ООО «Хэдхантер» вынесено предписание от 23 января 2020 г. по делу № 11/01/10-9/2019 устранить препятствия к доступу для ООО «Стафори» на товарный рынок услуг по обеспечению информационного взаимодействия соискателей, работодателей и кадровых агентств. Решение ФАС опирается на признание HeadHunter одним из доминирующих участников рынка.
• Решение Савёловского районного суда № 02а-0577/2019, отказавшего в иске против московского Департамента информационных технологий (ДИТ) и ГУ МВД из-за незаконного применения системы распознавания лиц. Суд постановил, что «использование системы видеонаблюдения связано с обеспечением безопасности, в силу чего не является источником получения персональных данных по смыслу Федерального закона № 152-ФЗ «О персональных данных»».

Изменения международного законодательства

Европа

Статистика штрафов GDPR

• По данным Statista на январь 2020 года, за период действия GDPR (с мая 2018 года) сумма штрафов достигла 114 млн евро. Регуляторы зафиксировали 160 тыс. нарушений.
• Наибольшее количество нарушений приходилось на Нидерланды (40,6 тыс.), Германию (37,6 тыс.), Великобританию (22,2 тыс.), Ирландию (10,5 тыс.), Данию (9,8 тыс.), а наибольшее количество штрафов – на Венгрию, Испанию, Чехию, Болгарию, Румынию. По некоторым оценкам, только 0,25% самостоятельно представляемых данных об утечках привели к денежным штрафам (Источник). Самым крупным стал штраф в 50 млн евро, который французский регулятор наложил на Google. Еще более крупные штрафы грозят компаниям в Великобритании – British Airways (183,4 млн фунтов стерлингов, или 214 млн евро, за хищение личных данных вследствие слабых мер безопасности) и Marriott (99 млн фунтов стерлингов, или 116 млн евро, за несанкционированный доступ в систему бронирования). Размеры штрафов устанавливаются пропорционально нарушению, что соответствует нормам GDPR. Наиболее крупные штрафы предусмотрены за утечку паспортных данных, в области здравоохранения и т. п.
• 25 мая 2018 года консультативный орган WP29 (Article 29 Data Protection Working Party) был заменен на общеевропейский независимый надзорный орган European Data Protection Board (EDPB). Он отвечает, в частности, за выпуск гайдлайнов, разъяснений и рекомендаций по GDPR, разрешение споров. Отдельные регулирующие органы стран ЕС также выпускают различные разъяснения, хотя являются при этом членами EDPB.
• Собственные законопроекты о защите данных, похожие на GDPR, рассматриваются в Индии, в Китае и ряде других стран.

США

В Калифорнии с 1 января 2020 года вступил в силу California Consumer Privacy Act (CCPA)

• Акт регулирует отношения по поводу продажи данных пользователей из Калифорнии.
• Не требуются основания для обработки таких данных.
• Классический набор прав пользователя:
  
  ○ Право доступа. У пользователя есть право (не более двух раз в год) потребовать у компании информацию, которую она о нем собрала и список третьих лиц, которым та стала известна.
  
  ○ Необходимо сразу иметь возможность предоставить пользователям данные, собранные о них за последние 12 месяцев, т. е. с 1 января 2019 года. Ответ на запрос дается в течение 45 дней, в исключительных случаях максимум 90 дней.
  
  ○ Право на забвение. Пользователь может потребовать удалить информацию о себе с серверов компании и серверов третьих лиц.
  
  ○ Право знать. По запросу компания должна раскрыть цели сбора персональных данных и их источники.
  
  ○ Право на отказ. Пользователи могут отказаться от передачи своих данных третьим лицам (opt out – только для продажи, не сбора). Минимальный срок отказа – 1 год.
• Нельзя продавать данные о детях до 16 лет. Если компания специально игнорирует возраст потребителя, то считается, что она обладает информацией о возрасте.
• Интересное новшество: CCPA запрещает компаниям как-либо дискриминировать пользователей, отказавшихся предоставить свои персональные данные. Но при этом предоставляет возможность введения системы поощрений для тех, кто согласился (будучи проинформированным), в качестве компенсации за продажу личной информации.
• Критерии распространения CCPA:
  
  ○ информация о потребителях из Калифорнии.
  
  ○ любой из следующих факторов для компании:
  
  1. Имеет годовой доход более 25 млн долларов США.
  
  2. Собирает/продает/передает в коммерческих целях информацию о более чем 50 тыс. потребителей/домохозяйств/устройств.
  
  3. Получает 50% и более дохода от продажи данных потребителей.
  
  4. Контролирует любое из лиц, названных выше.
• Персональными данными считается любая информация, которая позволяет идентифицировать, относится, описывает, может быть связана прямо или косвенно с конкретным потребителем или домохозяйством. Персональным данными считаются любые идентификаторы, биометрические данные, геолокация, история активности в интернете и информация о трудоустройстве или образовании, а также любая информация, которая позволяет составить профили пользователей: психологические, поведенческие характеристики, предпочтения пользователя.
• Компания обязана иметь:
  
  ○ Явную ссылку на своей веб-странице Do Not Sell My Personal Information, после нажатия которой происходит opt out.
  
  ○ Описание прав пользователя.
  
  ○ Политику конфиденциальности.
  
  ○ Информирование всех сотрудников компании, как нужно обращаться с данными о пользователе.
• Можно сделать специальную веб-страницу для потребителей из Калифорнии с целью соблюдения CCPA.
• Если данные пользователя были потеряны или украдены, компания должна будет заплатить от 100 до 750 долларов каждому пострадавшему + принять другие меры, которые суд посчитает необходимыми.
• Если пользователь направил компании жалобу о нарушении, связанном с его персональными данными, та обязана разрешить проблему в течение 30 дней.
• При этом по ССРА компании не обязаны раскрывать какие-либо факты нарушений, если они не получили от пользователей соответствующий запрос.

Бразилия

В 2018 году Бразилия одобрила законопроект, который всесторонне регулирует защиту данных – The General Data Protection Law, federal law 13.709/2018 (LGPD). Он вступает в силу в 2020 году.

Закон распространяется на любую обработку персональных данных, которая:

• осуществляется в Бразилии;
• происходит с целью предложить товары или услуги в Бразилии;
• относится к лицам, которые находились в Бразилии, когда данные были собраны.

Таким образом, закон будет применяться независимо от гражданства субъекта данных, средств, используемых для обработки данных, юрисдикции, в которой находится штаб-квартира компании, или места хранения данных (Источник).

В отличие от GDPR, LGPD не проводит различия между анонимными данными и псевдонимными данными (Источник).

Выводы

Проанализировав изменения в российском и зарубежном законодательстве, регулирующим тему данных, мы пришли к следующим выводам.

• Наблюдается тенденция к появлению новых иностранных трансграничных актов. Так, США отказались от единого закона о защите персональных данных в пользу федеральных законов, касающихся отдельных индустрий, либо законов штатов. 
• В России наблюдаются точечные бессистемные попытки урегулировать Big Data. Пока лучше всего удается регулировать оборот государственных данных.
• Собственники данных до сих пор не определены.
• Отечественное программное обеспечение и системы хранения данных находятся в приоритете.
• В отсутствие законодательного регулирования игроки рынка смотрят в сторону саморегулирования.
• Появилось больше информации об утечках данных как на международной арене, так и в России (например, со стороны банков).

Источник: https://habr.com/ru/company/lanit/blog/493042/