Доступ к данным в цифровой экономике: рекомендации, инициативы, перспективы

Размещено на http://allbest.ru

18

Доступ к данным в цифровой экономике: рекомендации, инициативы, перспективы

Ольга Сергеевна Магомедова

Александра Александровна Ковал

Антонина Давидовна Левашенко

Аннотация

Цель настоящей статьи -- дать оценку правовому режиму данных в России с точки зрения возможности имплементации международных стандартов и лучших зарубежных практик. Для развития цифровой экономики данные являются ключевым ресурсом, поэтому условия доступа к ним и обмена ими становятся факторами благосостояния современного информационного общества и качественного развития конкурентных цифровых рынков. В статье проводится правовой анализ Рекомендации ОЭСР по улучшению доступа к данным и обмену ими 2021 года. Базовая рекомендация по развитию доступности данных заключается в установлении доверия среди участников оборота данных.

Основой для доверия служат надежные правовые режимы защиты соответствующих данных. Поэтому международные эксперты поддерживают государства в обеспечении сбалансированных мер развития доступа к данным и обмену ими, которые давали бы больше свободы для оборота данных при сохранении правовых гарантий соответствующих режимов данных. В качестве примера зарубежных практик по регулированию данных для содействия цифровой экономике исследователи приводят положения Регламента ЕС об управлении данными.

Опыт ЕС включает разработку трех механизмов улучшения доступа к данным: механизма повторного использования защищаемых данных в публичном секторе, института посредника в передаче данных и института альтруистичного управления данными (data-альтруизма).

Для выявления препятствий к имплементации исследованных стандартов и практик рассматриваются основные пробелы и недостатки российского законодательства в области персональных данных. В результате анализа формулируются выводы о необходимости внесения определенных изменений в ФЗ-152 «О персональных данных» в части расширения возможностей субъектов персональных данных управлять ими как непременного условия для становления надежного оборота данных.

Ключевые слова: обмен данными, персональные данные, управление данными, передача данных, ОЭСР, ЕС, data-альтруизм, владельцы данных, пользователи данных.

Abstract

Access to Data in the Digital Economy: Recommendations, Initiatives, Prospects

Alexandra A. Koval

Olga S. Magomedova

Antonina D. Levashenko

This article assesses how compatible Russia's legal regime for digital data is with the implementation of international standards and best practices.

Data is a key resource for developing a digital economy, and therefore the conditions provided for access to data and data sharing become factors in the well-being of an information society and in the qualitative development of competitive digital markets.

As an illustration of the applicable international standards, the article provides legal analysis of the OECD Recommendation on Enhancing Access to and Sharing of Data from 2021, which is concerned primarily with ensuring the trustworthiness of the data ecosystem; and the essential element for that is a reliable legal regime protecting data. Governments should therefore provide balanced measures for facilitating both access to and sharing of data in order to allow more freedom for data to circulate while maintaining the legal guarantees of the data regimes.

As an illustration of the best international regulatory practices, the article analyzes the recently adopted EU Data Governance Act, which addresses three main topics: the reuse of protected data in the public sector, the configuration of providers of data sharing services, and the introduction of what is termed data altruism.

The authors examine the main gaps and shortcomings in Russian legislation pertaining to personal data in order to identify ways in which implementation of international standards and practices might be hindered. The article concludes with the authors' argument that amendments to Federal Law No. 152 “On Personal Data” are necessary to improve the ability of personal data subjects to manage their data, as this is an essential condition for the development of a trustworthy data ecosystem in Russia.

Keywords: data sharing, personal data, data management, data transfer, OECD, EU, data altruism, data owners, data users.

Введение

На новом витке развития цифровых прав больше внимания необходимо уделять правам на доступ к информации и обмену данными. Прежде всего это обусловлено тенденцией датафикации (datafication) многих областей жизни, когда деятельность человека, его личностные характеристики и позиции преобразуются в данные, которые получают экономическую ценность в условиях цифровой экономики. Например, реализация гражданских прав стала зависеть от возможности доступа к инструментам открытого правительства (open government), передачи своих данных, обмена информацией [Graef, Prufer, 2021].

В цифровой экономике право на доступ к информации получает новую коннотацию: речь идет уже о доступе не столько к сведениям, сколько к возможностям и преимуществам цифровой экономики, связанным с данными, к технологиям, основанным на данных (технологиям алгоритмической обработки данных, таким как искусственный интеллект, интернет вещей (IoT), большие данные, блокчейн и др.), к публичным услугам в режиме онлайн и т. д.

В этом отношении стимулирование доступа к информации и создание условий для обмена данными находятся в общей парадигме инклюзивного устойчивого развития. По оценкам международных экспертов, доступ к данным и обмен способны генерировать добавочную стоимость в размере от 0,1 до 1,5% внутреннего валового продукта какого-либо государства для публичного сектора и от 1 до 2,5% -- для частного сектора Enhancing Access to and Sharing of Data: Reconciling Risks and Benefits for Data Re-use across Societies. 2019. https://www.oecd.org/publications/enhancing-access-to-and-sharing-of-data-276aaca8- en.htm.. Еще до бума цифровизации многих областей мировой экономики на фоне пандемии аналитики International Data Corporation (IDC) прогнозировали ежегодный рост объема данных до 61% с достижением к 2025 году объема в 175 зеттабайт [Reinsel et al., 2018]. Несмотря на рост оборота данных в мире, публичные институты, компании и физические лица по-прежнему сталкиваются с барьерами в доступе к данным и обмену данными. Эксперты Организации экономического сотрудничества и развития (ОЭСР) выделяют три группы проблем в этой области.

Во-первых, повышение открытости данных сопряжено с рисками нарушения прав, связанных с соответствующей информацией (например, сведения о производственных операциях хотя и представляют интерес для бизнеса, но подпадают под режим коммерческой тайны). Это значит, что расширение доступа к данным со специальными режимами защиты ограничено правовыми гарантиями сохранения соответствующего режима. Тем не менее такая задача решаема, если пользователи и владельцы данных смогут определить оптимальные условия оборота данных на основе риск- ориентированного подхода.

Во-вторых, для оборота данных необходимо выстраивать доверие между его участниками, прежде всего со стороны носителей данных (применительно к персональным данным) и владельцев данных (применительно к данным, связанным с правами интеллектуальной собственности, данным в режиме коммерческой тайны и т. д.). Поэтому эксперты отмечают необходимость поддержки активного участия заинтересованных лиц в вопросах управления данными, включая создание партнерств владельцев и пользователей данных. Вместе с тем следует учитывать, что партнерства между пользователями и владельцами данных не должны ограничивать доступ к обороту для новых лиц или для лиц из других юрисдикций, чтобы не создавать антиконкурентные эффекты на глобальных рынках цифровых услуг.

В-третьих, доступ к данным должен обеспечиваться посредством специальных механизмов и устойчивых бизнес-моделей, которые учитывают необходимые правовые гарантии. Важно сокращать правовые пробелы и неопределенности режима владения данными, а также содействовать укреплению в цифровой экономике принципа свободы договора в B2B-отношениях (в деловых отношениях между коммерческими организациями) с учетом характера данных, составляющих объект сделок. В решении обозначенных групп задач неприемлемы управленческие шаблоны (то, что зарубежные эксперты называют one-size- fits-all solutions). Каждый цифровой сегмент уникален, каждый тип данных имеет свои особенности, главное же в том, что рынки цифровых услуг развиваются на базе различных законодательных и регуляторных подходов в отношении данных.

В настоящей статье проводится детальный разбор Рекомендации ОЭСР по улучшению доступа к данным и обмену ими, которая представляет собой уникальную систему международных стандартов, применимых при формировании государствами национальных подходов к управлению данными. Авторы настоящей статьи принимали непосредственное участие в качестве экспертов в составе российской делегации в разработке Рекомендации в рамках деятельности Комитета ОЭСР по политике в области цифровой экономики (Committee on Digital Economy Policy, CDEP) в 2019-2021 годах. Ярким примером имплементации международных стандартов служит Регламент ЕС об управлении данными, предлагающий несколько новых механизмов. Авторы проводят обзор пробелов российского законодательства, препятствующих имплементации международных рекомендаций или заимствованию успешного зарубежного опыта. В заключение представлены правовые рекомендации для улучшения доступа к данным и оборота данных в России.

Правовой анализ Рекомендации ОЭСР по улучшению доступа к данным и обмену ими

На международных площадках разрабатываются рекомендации и стандарты для повышения доступности данных. В разработку вопросов этой области и цифровой экономики в целом большой вклад вносит ОЭСР.

В октябре 2021 года советом министров ОЭСР была утверждена Рекомендация ОЭСР по улучшению доступа к данным и обмену ими (OECD Recommendation on Enhancing Access to and Sharing of Data, далее -- Рекомендация EASD)https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0463.. Этот документ стал первым согласованным на международном уровне многоотраслевым инструментом повышения доступности данных для национальных правительств. Следует отметить, что разработка Рекомендации основывалась на опыте принятия организацией секторальных инструментов улучшения доступа к данным, таких как Рекомендация по управлению данными о здоровье 2016 годаhttps://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0433.. Рекомендация EASD включает принципы и указания для регуляторных решений по максимизации преимуществ использования всех типов данных (персональных, неперсональных, открытых, служебных, публичных и частных) в различных отраслях. Таким образом, положения Рекомендации разработаны для универсального применения по отраслям и типам данных. Следует проанализировать содержание и правовое значение каждой из рекомендаций в отдельности.

1. Первая и базовая рекомендация заключается в укреплении надежности систем данных (trustworthiness of the data ecosystem). Вопрос обеспечения надежности систем данных является основным для развития цифровой экономики и информационного общества в целом. Надежность подразумевает не только (и не столько) кибербезопасность, сколько готовность управлять рисками, с которыми сопряжено повышение открытости данных. Так, эксперты Комитета ОЭСР по политике в области цифровой экономики выделяют такие риски открытости данных, как нарушение безопасности персональных данных, этические нарушения их обработки, нарушение правового режима данных, связанных с правами интеллектуальной собственности, нарушение режима конфиденциальности данных (включая утечку и несанкционированный доступ к ним), утрата контроля обработки данных их носителями или законными владельцами, низкий уровень доверия к институтам публичного и частного секторов https://www.oecd-ilibrary.org/science-and-technology/mapping-data-portability-initiatives- opportunities-and-chaUenges_a6edfab2-en..

Для повышения надежности экосистем данных рекомендуется прежде всего обеспечить участие заинтересованных лиц в открытом и инклюзивном процессе консультаций при разработке, имплементации и мониторинге политик управления данными в части повышения доступа к ним. Такая мера необходима для повышения доверия к экосистемам данных и современным информационным технологиям их обработки [Hansen, 2016]. В частности, рекомендуется создавать публично-частные партнерства по обмену данными. Как указывает ОЭСР, обмен между публичным и частным секторами может иметь социально ценные эффекты (additional value for society), включая конкретные экономические выгоды http://theodi.org/wp-content/uploads/2021/03/RPT_Trust-in-data-ecosystems-23.02.21-STC-final- report.pdf.. Основным условием для публично-частного взаимодействия является приверженность системе открытого правительства и публичным интересам.

Следует отметить, что, как и другие рекомендации ОЭСР, Рекомендация EASD строится на принципе инклюзивного управления, поэтому многие положения мотивируют национальных управленцев к большему вовлечению в регуляторные процессы заинтересованных лиц. Практики вовлечения заинтересованных лиц в регуляторный процесс пользуются большой популярностью в странах ОЭСР и поддержкой международных организаций ввиду легитимирующего эффекта. Речь идет об общественном восприятии регуляторных решений как справедливых и правомерных. Однако, как уточняют зарубежные исследователи, выполнение процедуры привлечения заинтересованных лиц само по себе не легитимирует принятые в результате регуляторные решения [Busuioc, Jeynaker, 2022]. Легитимирующий эффект возникает только с учетом таких факторов, как условия участия заинтересованных лиц в процедурах взаимодействия (консультациях, сборе мнений), порядок организации процедур взаимодействия с точки зрения прозрачности и равного доступа [Braun, Busuioc, 2020]. Поэтому формальное включение процедур взаимодействия с заинтересованными лицами без действительного использования этих ресурсов (наблюдений, рекомендаций, замечаний) не решает задачи инклюзивного управления данными. Важно, что международные практики вовлечения заинтересованных лиц не ограничиваются опытом стран с классической моделью гражданского общества, проявляющего активность в вопросах публичного управления. Например, канадские юристы, разрабатывающие предложения для Национальной стратегии по данным Канады, апеллируют к успешному опыту Бразилии в проведении публичных консультаций по закону о правах в интернете, известному как Marco Civil da Internet [Tusikov, Haggart, 2020]. Для установления доверия к цифровым решениям правительствам рекомендовано также повышать транспарентность условий доступа к данным и обмена информацией, имплементируя практики ответственного управления данными на всех циклах работы с ними (data value cycle). Подчеркивается, что практики управления данными должны соответствовать применимым, признанным и широко принятым техническим, организационным и правовым стандартам, включая кодексы поведения, этические принципы Кодексы поведения в обработке данных могут разрабатываться профильными ведомствами или экспертными организациями в области управления данными, например: European Commission. Ethics and Data Protection, 2021. https://ec.europa.eu/info/funding-tenders/opportunities/docs/2021- 2027/horizon/guidance/ethics-and-data-protection_he_en.pdf; European Data Protection Board. Codes of Conduct, 2019-2022. https://edpb.europa.eu/our-work-tools/our-documents/topic/code-conduct_en. Кроме того, кодексы поведения в обработке данных принимаются на отраслевом уровне, на-пример: Asociacion para la Autorregulacion de la Comunicacion Comercial. Code of Conduct in Data Processing in Advertising Activities. https://edpb.europa.eu/system/files/2021-04/code_of_conduct_data_ processing_in_advertising_activities_en.pdf.. Отдельно оговаривается, что для баз персональных данных условия их обработки должны охватывать регулирование субъектов, которым обеспечивается доступ, субъектов, которым передаются данные, условий, на которых возможен обмен ими.

2. Вторая рекомендация касается принятия правительствами единого подхода к вопросу обеспечения доступа к данным на всех уровнях и областях управления, так называемого strategic whole-of- government approach. На практике такой подход включает несколько компонентов. Во-первых, необходимо сделать вопросы доступа к данным и обмена ими приоритетными при принятии решений. Это значит, что решения принимаются только с учетом их преимуществ и недостатков относительно цели обеспечения доступа к данным. Во-вторых, регуляторные решения могут приниматься на основе единых правил, применимых для различных уровней управления (scalable data governance frameworks). Формат масштабируемых основ (scalable frameworks) отличается от привычных инструментов работы, применяемых в иерархической структуре органов, когда, например, вышестоящий орган формирует рекомендации для подведомственных институтов. Такой формат предполагает горизонтальное применение единых рамок работы независимо от уровня компетенций [Lovelock, 2018]. Единый вектор в регуляторной политике может задаваться и путем принятия национальных стратегий по управлению данными (national data strategies), которые охватывали бы экономические, социальные, культурные, технические и правовые аспекты. Например, проект такой стратегии рассматривается в Канаде в контексте инициатив по трансформации публичных сервисов Centre for International Governance Innovation. A National Data Strategy for Canada. Key Elements and Policy Considerations. https://www.cigionline.org/static/documents/documents/Paper%20no.160_3.pdf.. Проект пользуется значительной поддержкой гражданского общества и независимых специалистов Scassa T. Canada's Data Plan: We Need a Data Strategy that Supports Our Values and Encourages Innovation. 2019. https://apo.org.au/sites/default/files/resource-files/2019-01/apo-nid216561.pdf.. Хотя универсальная стратегия не была принята, Канада в октябре 2019 года успешно представила Стратегию по данным о здоровье как наиболее чувствительной категории. В-третьих, необходимо обеспечить возможность координации институтов при принятии решений. В-четвертых, следует создать правовой режим доступа к данным, не связанный с конкретными технологическими решениями и способный применяться одинаково для всех информационных технологий и технологических операций (technology-neutral regulatory environment) [Koops, 2006].

3. Третья рекомендация касается чувствительной темы соблюдения баланса между стремлением к облегчению доступа к данным и необходимостью соблюдения связанных с ними публичных и частных прав. Такая сложная юридическая задача была дословно зафиксирована в рекомендации: «Обеспечивать условия доступа к данным и обмена ими, гарантируя, что данные настолько открыты, насколько возможно для того, чтобы максимизировать извлекаемые из них преимущества, и что данные настолько закрыты, насколько это необходимо для защиты публичных и частных интересов» Recommendation of the Council on Enhancing Access to and Sharing of Data. 6 October 2021. Item V (a). https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0463.. Речь идет о конкретных интересах, включая национальную безопасность, правоприменение, защиту неприкосновенности частной жизни (защиту персональных данных), прав интеллектуальной собственности, а также о таких этических ценностях, как добросовестность, человеческое достоинство, защита от предвзятых решений и дискриминации в отношении отдельных лиц или социальных групп. В связи со сложностью вопроса стоит обратить внимание на юридическую технику формулирования рекомендаций. Для защиты публичных и частных интересов как условия доступа к данным и обмена ими рекомендуется принимать именно «соразмерные шаги» (proportionate steps), то есть шаги, сбалансированные с шагами по обеспечению доступа к данным. Кроме того, сами участники оборота должны нести ответственность за качество данных, которые они предоставляют, и за имплементацию мер управления рисками на протяжении всего цикла обработки данных, включая меры, необходимые для защиты их конфиденциальности и безопасности. В связи с этим государствам рекомендуется содействовать в имплементации оценки воздействия и проведения аудита в операциях управления данными. Безусловно, такие меры требуют строгой организации, поэтому компании, работающие с данными, также нуждаются в грамотной кадровой политике в части распределения функций, зон ответственности при принятии решений, в использовании консультационных механизмов, в предотвращении рисков. Баланс между доступностью данных и соблюдением публичных и частных интересов достигается путем взаимных ограничений в каждой области: если меры для защиты прав -- то соразмерные, если доступ к данным -- то при определенных условиях (conditioned data access). Специалисты международной организации прямо рекомендуют стимулировать имплементацию механизмов контроля доступа к данным и технологиям их повышенной защиты.

4. Развитие доступа к данным происходит в рамках цифровой экономики. Поэтому следующая, четвертая рекомендация касается развития рыночных аспектов доступа к данным, прежде всего поддержки конкурентных условий их получения. При должном соблюдении прав потребителей, прав интеллектуальной собственности и прав на защиту персональных данных субъекты должны иметь возможность контролировать свои данные и управлять ими. Злоупотребление со стороны компаний законно полученными данными недопустимо, включая практики их использования для расширения влияния на рынке. Возможные гибкие решения в обеспечении здоровой конкурентной среды в цифровой экономике -- это кодексы поведения, руководства, соглашения по доступу к данным и обмену ими. Для этой цели также немаловажное значение имеет и доступ к капиталу. Поэтому для государств важно поддерживать долгосрочные инвестиции в технические решения для доступа к данным и обмену ими, в том числе путем поддержки новых бизнес-моделей, инноваций, проектов масштабирования бизнеса.

5. Доступ к данным должен обеспечиваться независимо от юрисдикции расположения пользователя, владельца информационной системы, серверов облачного провайдера и т. д., то есть должен быть трансграничным. Однако многие государства, включая Россию, связывают вопрос трансграничной передачи данных с проблемами национальной информационной безопасности. Международный документ ОЭСР не стимулирует государства к пересмотру своих позиций, но рекомендует «оценивать и по мере возможного минимизировать ограничения на трансграничный доступ к данным и трансграничный обмен данными» Recommendation of the Council on Enhancing Access to and Sharing of Data. https://legalinstruments. oecd.org/en/instruments/OECD-LEGAL-0463.. Те ограничения, которые государства всё же устанавливают на свое усмотрение, должны применяться на недискриминационной основе, быть транспарентными, необходимыми и соразмерными уровню рисков. Необходимость мер, ограничивающих доступ к данным, целесообразно оценивать по таким критериям, как чувствительность данных, цель и контекст доступа, обмена и использования [Бембеева, 2018].

6. Доступ к данным определяется также техническими характеристиками их формата и выполняемых с ними операций. Поэтому Рекомендация EASD ОЭСР направлена на поддержку поисковой доступности, интероперабельности данных, а также возможности их многократного использования организациями как публичного, так и частного секторов. На техническом уровне доступность данных обеспечивается, если они передаются со всеми необходимыми метаданными (сведениями о технических характеристиках информации или о содержании, например IP- адрес владельца информации, формат данных и др.), в том числе с помощью Application Programming Interface, программных интерфейсов приложений.

7. Наконец, доступ к данным зависит от способностей самих субъектов их использовать. Поэтому государствам рекомендовано принимать меры по повышению сознательности субъектов в использовании данных, в том числе в части понимания преимуществ и рисков их использования, по развитию компетенций и навыков для работы с ними. Государствам следует обеспечивать доступ к устойчивым, открытым, безопасным, масштабируемым объектам информационной инфраструктуры для сбора, обработки и хранения данных.

Таким образом, семь рекомендаций в международном документе ОЭСР задают для государства ключевые направления работы и принципы развития в этих направлениях. Обозначенные направления составляют необходимые аспекты полноценного режима обеспечения доступа к данным. Государства могут в различной мере прилагать усилия по имплементации отдельных направлений, однако асимметрия усилий препятствует получению положительных результатов. Например, если государство не способно обеспечить технические условия защиты персональных данных от их несанкционированного использования, то ему будет сложно справиться с базовой задачей установления доверия пользователей. Следовательно, оно не может эффективно реализовывать политику обеспечения открытых публичных данных или другие мероприятия по развитию доступа к данным и обмена ими. Поэтому Рекомендация ОЭСР должна имплементироваться планомерно.

Пример зарубежного опыта совершенствования доступа к данным: Регламент ЕС об управлении данными

Международные рекомендации формируются в ответ на реальные вызовы и трудности, с которыми сталкиваются государства. Нередко рекомендации основываются на уже полученном удачном опыте решения тех или иных задач или на интересных проектах в соответствующей области. В этом отношении большой исследовательский и практический интерес представляет Регламент ЕС об управлении данными, принятый Европейским парламентом в апреле 2022 года (Data Governance Act, далее -- регламент, DGA) https://europarl.europa.eu/doceo/document/TA-9-2022-0111_EN.html.. Проект регламента был представлен Еврокомиссией в ноябре 2020 года и получил преимущественно положительные оценки на публичных консультациях, завершившихся в сентябре 2021-го https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0767.. Регламент вступит в силу спустя пятнадцать месяцев с момента принятия, в июле 2023 года https://ec.europa.eu/commission/presscorner/detail/en/ip_21_6428.. Основная задача регламента -- обеспечить надежные механизмы для многократного использования некоторых категорий защищенных данных как в публичном, так и в частном секторе с помощью создания института посредников информационных услуг и стимулирования практик добровольного предоставления данных для многократного пользования. Появление регламента не спонтанно: содействие обороту данных в ЕС входит в число задач Стратегии ЕС. Ранее в ЕС были приняты Регламент о свободной передаче неперсональных данных 2018 года (Regulation on the Free Flow of Non-Personal Data, FFD) https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32018R1807., Акт ЕС о кибербезопасности (Cybersecurity Act) https://eur-lex.europa.eu/eli/reg/2019/881/oj., Директива об открытых данных (Open Data Directive) https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32019L1024.. Кроме того, в ЕС уже приняты отраслевые акты регулирования доступа к данным и их передачи, например в сфере платежных услуг, электрических систем, умных транспортных систем, систем учета ресурсов.

Теперь юристы ЕС приступили к реализации проекта универсального значения Horjak S. Promoting Data Sharing: Presidency Reaches deal with Parliament on Data Governance Act. 2021. December 1. https://slovenian-presidency.consilium.europa.eu/en/news/promoting-data-sharing- presidency-reaches-deal-with-parliament-on-data-governance-act/.. Регламент представляет три значительные инициативы.

Во-первых, он создает механизм для безопасного многократного использования некоторых категорий данных в публичном секторе (глава II: «Повторное использование некоторых категорий защищенных данных органами в публичном секторе», ст. 3-8). Речь идет о таких категориях собранных для целей ведения статистики данных, как персональные, составляющие коммерческую тайну, защищающие право интеллектуальной собственности. В этом отношении Регламент DGA дополняет Директиву по открытым данным 2019 года, которая не касалась перечисленных видов данных Baloup J., Lalova-Spinks T. CiTiP White Paper on the Data Governance Act. 2021. August 3. https:// www.law.kuleuven.be/citip/blog/citip-white-paper-on-the-data-governance-act/.. Регламент прямо устанавливает запрет предоставления исключительных прав на повторное использование защищаемых данных в публичном пользовании или иных практик, ограничивающих доступ к таким правам (п. 1 ст. 4). Публичные органы должны определить условия доступа к неоднократному использованию защищенных данных: условия должны быть недискриминационными, пропорциональными, объективно обоснованными и публично доступными для ознакомления (п. 1, 2 ст. 5). Публичные органы должны иметь надлежащие технические условия, для того чтобы обеспечить сохранение режима защиты данных (п. 5 ст. 5). В требованиях беспрепятственного доступа к повторному использованию данных существуют исключения, связанные с выполнением цели общественного интереса. Если достижение общественной цели невозможно без предоставления исключительного права на повторное использование данных ограниченному кругу лиц, то такое предоставление осуществляется на основе принципов транспарентности, равного обращения и недискриминации (п. 4 ст. 4). Это значит, что сам факт предоставления исключительных прав конкретным лицам должен быть открытым. Однако период пользования исключительными правами не может превышать трех лет (п. 5 ст. 4). Еврокомиссия планирует установить единую точку доступа с электронной поисковой системой по данным в публичном секторе (п. 1 ст. 8). Предоставление доступа для повторного использования данных не означает, что они выкладываются в открытый доступ или предоставляются по любому запросу. Доступ может быть платным, но плата устанавливается исключительно для того, чтобы покрывать затраты на обработку данных и администрирование запросов (п. 5 ст. 6).

Во-вторых, регламент создает условия для осуществления новой бизнес-модели в посредничестве данных -- data sharing services (глава III: «Требования, применимые для услуг передачи данных», ст. 9-14). Главная задача механизма -- обеспечить безопасную среду для обмена данными среди компаний и частных лиц. Примечательно, что механизмом могут пользоваться как компании, так и физические лица. Так, согласно п. 1 ст. 9 под услугами передачи данных понимаются услуги посредничества между владельцами данных (data holders), являющимися юридическими лицами, и потенциальными пользователями (data users), между субъектами, намеренными обеспечить доступ к своим персональным данным, и потенциальными пользователями. Причем такие посреднические услуги сопровождаются предоставлением соответствующих технических средств. Обмен данными может осуществляться с помощью цифровых платформ, которые обеспечивают условия для выполнения обязательств по их обмену. С использованием этих сервисов становится возможным делиться своими данными, не опасаясь их неправомерного использования или утраты. Ведь в случае компаний данные -- это не только операционный ресурс для деятельности, но и ресурс с экономической ценностью, обеспечивающий конкурентное преимущество в цифровой экономике Morgan Ch. S., Langlois Fr., Lan J. A Canadian Perspective on the EU's Proposed Data Governance Act. 2022. February 8. https://www.mccarthy.ca/en/insights/blogs/techlex/canadian-perspective-eus- proposed-data-governance-act.. Специальные сервисы для обмена данными актуальны и для частных лиц, которым необходима поддержка в реализации своих прав как субъектов персональных данных. Использование посреднических услуг для обмена данными обеспечивает их носителям полный контроль над своими данными и позволяет делиться ими с теми компаниями, которым носители доверяют. Контроль может осуществляться с помощью таких инструментов управления личной информацией, как цифровое пространство личных данных (data spaces / data wallets). Эти инструменты представляют собой приложения, через которые носители данных могут обмениваться ими на основании согласия на их обработку и хранение.

Поставщики посреднических услуг в передаче данных должны задекларировать свою деятельность через национальный компетентный орган по управлению данными, что служит гарантией добросовестности посредника (цифровой платформы) для пользователей. Регистрация осуществляется в уведомительном порядке, путем направления уведомления о намерении предоставлять услуги обмена данными в компетентный орган (п. 1 ст. 10). Требования к содержанию уведомления также фиксируются в п. 6 ст. 10. Компетентный орган в течение недели издает декларацию о факте получения надлежащего уведомления об оказании посреднических услуг (п. 7 ст. 10). Основное правило в деятельности посредников заключается в ограничении использования данных, попадающих в распоряжение посредника, в иных целях, чем те, для которых данные были переданы (п. 1 ст. 11). Посредники не могут извлекать из полученных данных собственную выгоду, например путем их продажи. Посредник может извлекать выгоду, только взимая плату за транзакции, которые он выполняет. Задачи посредника заключаются в обеспечении обмена данными, включая их прием от владельца в определенном формате и конвертацию в иной формат по запросу пользователя для повышения межотраслевой интероперабельности данных (п. 4 ст. 11). Посредник обеспечивает безопасность данных, принимая меры для предотвращения злоупотребления доступом к ним со стороны потенциальных пользователей, технические, правовые, организационные меры для недопущения незаконного доступа к данным, меры для повышения уровня безопасности их хранения и передачи (п. 5, 7, 8 ст. 11).

В-третьих, Регламент ЕС вводит институт альтруизма в управлении данными (глава IV: “Data Altruism”). Понятие data-альтруизм означает добровольное обеспечение носителем данных доступа к ним для общего блага или общих интересов. Практики data- альтруизма доступны как физическим, так и юридическим лицам. Например, компании, намеренные собирать данные для целей, представляющих общий интерес, могут быть включены в национальный реестр организаций, официально занимающихся альтруизмом в управлении данными (п. 2 ст. 15). Стоит обратить внимание, что статус организации-альтруиста в управлении данными (data altruism organization) доступен только юридическим лицам, которые учреждены для достижения общих интересов и функционируют на некоммерческой основе, причем независимо от какой- либо коммерческой компании. Правило позволяет разграничить управление данными в коммерческих целях и данными, собранными для некоммерческих целей, а главное -- предотвращает риски использования данных, предназначенных для data-альтруизма, в коммерческих целях, в том числе риски самовольного утверждения исключительных прав на обработку таких данных. Однако некоторые исследователи полагают, что проведение подобного различия, напротив, ограничивает юридические лица, которые уже практикуют альтруистичное управление данными с соблюдением всех требований европейского права в области персональных данных. В таком случае результат может быть противоположным: не деятельность выходит из серой зоны, а лица перестают осуществлять урегулированную деятельность [Veil, 2022].

Статус data altruism organization является общеевропейским: зарегистрированные в одной стране организации могут законно заниматься альтруистичным управлением данными в остальных юрисдикциях ЕС. Такой статус доступен и для зарубежных компаний: постоянное представительство иностранной организации, намеренной собирать в ЕС данные на основе процедур, предусмотренных для data-альтруизма, может зарегистрироваться в одном из государств -- членов ЕС (п. 3 ст. 17). Регистрацию должен осуществлять специально уполномоченный для этих целей национальный орган (п. 1 ст. 15). Главное правило в осуществлении альтруистичного управления данными -- это обеспечение полной транспарентности деятельности. Поэтому зарегистрированные организации обязуются вести полные и точные записи сведений о том, какие физические и юридические лица осуществляют обработку данных во владении организации, даты и длительность обработки, декларируемые цели обработки и сведения о расходах на нее (п. 1 ст. 18). Кроме того, зарегистрированные организации несут обязательство ежегодно отчитываться о своей деятельности (п. 2 ст. 18). Раскрытию подлежат сведения о порядке сбора данных для целей общего интереса, перечень лиц, получивших к ним доступ, информация о результатах их использования, об источниках доходов и расходах компании, связанных с управлением данными. Во взаимодействии с владельцами данных зарегистрированная организация должна обязательно информировать о целях общественного значения, для которых она допускает обработку данных, а также о любых условиях их обработки за пределами стран ЕС (п. 1 ст. 19). Раскрытие сведений о территориальных условиях сопряжено с необходимостью обеспечения обработки и передачи данных в соответствии с правом ЕС. персональный защита цифровой экономика

Создание института альтруистичного управления поощряет частных лиц и компании передавать данные таким организациям, которые будут их использовать для общественного блага. В особенности такую инициативу поддерживают научные европейские сообщества [Shabani, 2021]. Участие в альтруистичных практиках доступно физическим лицам. Субъекты персональных данных могут предоставлять их с помощью специальной формы согласия на обработку, где вместо привычных положений о целях обработки приводятся указания, что согласие предоставляется на многократное использование данных для общезначимых целей (п. 1 ст. 22). Форма будет разрабатываться Еврокомиссией. Положения формы должны быть модульными; предполагается, что они будут легко адаптироваться к специфике отдельных отраслей и целей (п. 2 ст. 22). Следует подчеркнуть, что предоставление персональных данных для альтруистичных целей не лишает субъектов данных права управления ими, поэтому субъекты персональных данных могут отзывать свое согласие, предоставленное по специальной форме, в соответствии с общей процедурой отзыва согласия, установленной положениями Регламента ЕС о защите персональных данных.

Введение нового формата практики управления данными требует определенного уровня контроля развития новых практик. Поэтому в отношении соблюдения зарегистрированными организациями обязательств по альтруистичному управлению данными компетентные национальные органы проводят мониторинг (п. 1 ст. 21). Каких-либо материальных санкций за выявленные нарушения регламент не предусматривает, преследуя цель поддержать интерес организаций к новой практике. Предложенные механизмы пользуются значительным вниманием компаний и организаций в области управления данными -- ведь такие механизмы затрагивают сразу множество аспектов, таких как использование данных, защищаемых частными правами, в публичном секторе, обеспечение доступа к ним и их использование в B2B-отношениях, создание условий развития более конкурентных рынков облачных технологий и минимальных гарантий безопасности для оборота неперсональных данных в трансграничном контексте https://privacylaws.com/media/3506/inception-impact-assessment.pdf..

Развитие доступа к данным в России

В России тематика доступа к данным также стоит в повестке профильных государственных ведомств. Например, с 2014 года разрабатывается концепция открытых данных, в частности идея создания государственной информационной системы сбора, хранения и управления публичными данными, размещаемыми в интернете государственными органами власти и местного самоуправления (www.data.gov.ru) Министерство экономического сотрудничества и развития. Открытый дайджест PRO данные. 2021. Июль. https://economy.gov.ru/material/file/f8e7n9514ee3e6c1dc13c35aa29ff37/open_data.pdf.. Но реализация проекта открытых данных в России пока малорезультативна ввиду низкого качества самих данных, как отмечают специалисты Минэкономразвития Там же.. Представители отрасли также указывают на проблему дисбаланса между доступностью данных по экономическим показателям и открытостью данных по качеству жизни, например данных о преступности, уровне образования, успешных медицинских операциях, заболевших определенным вирусом Министерство экономического сотрудничества и развития. Открытый дайджест.... Для развития бизнеса наиболее значимы именно данные по качеству жизни, поскольку они позволяют правильно оценивать потребительский рынок и другие факторы Количество открытых данных в России растет, а их качество -- нет // CNEWS. 2021. 14 июля. https://cnews.ru/news/top/2021-07-14_kolichestvo_otkrytyh_dannyh.. Следует отметить, что вопрос открытости данных, интересных для частного сектора, а тем более генерируемых внутри него, остается проблематичным не только в России. По оценкам экспертов ОЭСР, только 15% публичных инициатив по управлению данными в странах ОЭСР направлены на содействие обороту в частном секторе Enhancing Access to and Sharing of Data... https://www.oecd.org/publications/enhancing-access- to-and-sharing-of-data-276aaca8-en.htm..

В правовом режиме данных имеются и другие пробелы, препятствующие эффективной имплементации в России международных рекомендаций и лучших практик. Так, выполнение базовой рекомендации надежности и доверия ограничено тем, что положения ФЗ-152 «О персональных данных» не обеспечивают субъектов персональных данных правом в полной мере распоряжаться ими [Мамыкина, 2020]. Прежде всего можно видеть ряд пробелов в порядке получения согласия на обработку персональных данных. В условиях не закреплено требование об их обработке для цели, строго определенной в форме получения такого согласия (ст. 6 ФЗ-152). Кроме того, в условиях действительности согласия устанавливается, что «согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом» (п. 1 ст. 9 ФЗ-152) http://www.consultant.ru/document/cons_doc_LAW_61801/6c94959bc017ac80140621762d2ac59 f6006b08c/.. Такая формулировка в российском законодательстве допускает возможность выводить наличие согласия субъекта персональных данных на сбор и обработку его данных из его конклюдентных действий. Например, когда интернет- пользователь регулярно совершает какие-либо операции на цифровой платформе, его действия могут негласно фиксироваться на платформе. Собранные таким образом данные потенциально подвержены анализу с помощью алгоритмических технологий для формирования теневого цифрового профиля пользователя [Гадельшин, Степанов, 2021]. Проблема несанкционированного формирования цифровых профилей пользователей (как совокупности данных о предпочтениях, алгоритмах действий и иных характеристик пользователей) заключается в потенциальном риске использования данных против интересов пользователя вплоть до цифровой дискриминации, например демонстрации товаров на маркетплейсе в зависимости от предпочитаемой потребителем ценовой категории товаров. В результате в России субъекты персональных данных не пользуются теми необходимыми гарантиями соблюдения их свободного целевого согласия на обработку данных, которые обеспечивали бы доверие носителей данных к возможностям их оборота, согласно рекомендации I в документе ОЭСР (Рекомендации EASD).

Проблема неясного режима прав субъектов персональных данных отражается и на определении прав и обязательств операторов данных. Так, в российском законодательстве не закреплено обязательство последних уведомлять субъектов персональных данных о нарушении безопасности данных. Ввиду интенсификации оборота данных, увеличения числа лиц, способных получить доступ к ним, и иных факторов цифровизации, повышающих вероятность рисков нарушения персональных данных, субъектам данных нужны гарантии, что они будут уведомлены о любых инцидентах, которые нарушают доступность, целостность или конфиденциальность данных и информационных систем [Петренко, Суховей, 2012]. Обязательство уведомления о нарушении уже закреплено в Регламенте ЕС о защите персональных данных (ст. 33), в Гражданском кодексе штата Калифорния (ст. 1798.29) и других документах. Пробелы в правовом режиме базовых участников оборота данных, носителя данных и оператора данных препятствуют введению новых категорий участников, таких как хранилища или банки данных (data repositories), брокеры данных (data brokers), рынки данных (data marketplaces), и других, оказывающих посреднические и сопроводительные услуги владельцам и носителям данных. К этой категории относятся и поставщики посреднических услуг по смыслу Регламента ЕС об управлении данными (providers of data sharing services). Ясное разграничение прав и обязательств участников оборота данных, включая посредников, составляет необходимое условие для реализации Рекомендации ОЭСР о развитии рыночных аспектов доступа к данным.

В российском законе о персональных данных прямо не закреплено право субъекта персональных данных на их перенос, рекомендуемое к закреплению в национальном праве в Рекомендации EASD. Переносимость данных (data portability) означает возможность передачи данных, собранных и обрабатываемых одним оператором, другому оператору по воле субъекта этих персональных данных. Право на перенос данных представляет один из элементов контроля субъекта персональных данных над своими данными, предоставленными для обработки [Абрамова, 2020]. Такое право имеет большое экономическое значение. Для субъекта это право означает облегчение доступа к получению цифровых услуг от различных поставщиков. Для поставщиков цифровых услуг -- доступ к данным большего числа пользователей. В этом отношении право на перенос данных рассматривается как фактор развития более конкурентного рынка цифровых услуг. По мнению международных экспертов, отсутствие законодательного регулирования такого права может тормозить развитие цифровой экономики Enhancing Access to and Sharing of Data... https://www.oecd.org/publications/enhancing-access- to-and-sharing-of-data-276aaca8-en.htm.. Поэтому страны ОЭСР, в которых еще не установлено такое право, стремятся вносить в национальное законодательство необходимые поправки. Например, в 2021 году Южная Корея внесла поправки в закон о персональной информации 2011 года, закрепившие ряд дополнительных прав и гарантий субъектам персональных данных, включая право на перенос данных [Park, Kang, 2021].

От качества регулирования зависит развитие практик ответственного и осознанного управления данными на уровне частных лиц, а соответственно, и возможность для организаций более эффективно взаимодействовать с субъектами данных по вопросам их передачи или предоставления к ним доступа для конкретных целей, в том числе общественно значимых (научных, журналистских, статистических). Сегодня в России регулирование доступа к персональным данным для научных и иных значимых целей не дает ясного понимания, каким образом упрощается доступ к данным и упрощается ли вообще. Дело в том, что Федеральным законом «О персональных данных» (ФЗ-152) устанавливается, что «обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных» (п. 9 ст. 9).

Однако в зависимости от цели исследования может быть необходим полный комплекс данных о человеке. Кроме того, согласно п. 8 ст. 9 ФЗ-152 обработка персональных данных для профессиональной деятельности журналиста, научной, литературной или иной творческой деятельности возможна «при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных». На практике это значит, что институты, собирающие данные для научных и других названных целей, не освобождаются от традиционного обязательства получения полноценного согласия на обработку персональных данных. В связи с этим для научных институтов и других организаций в России тем более была бы ценна имплементация практик альтруистичного управления данными, когда сами носители данных предоставляют возможность использовать их на законных основаниях для публично значимых целей.

Реализации Рекомендации ОЭСР о беспрепятственном доступе к данным независимо от юрисдикции в российском праве может препятствовать требование локализации данных Mapping Approaches to Data and Data Flows. Report for the G20 Digital Economy Task Force. 2020. https://www.oecd.org/sti/mapping-approaches-to-data-and-data-flows.pdf.. Хотя международные эксперты допускают необходимость применения государством требования локализации данных из соображений информационной безопасности страны или отдельных секторов экономики, подчеркиваются негативные экономические эффекты такой меры, например ограничение доступа на рынок обработки данных иностранных поставщиков и как следствие -- снижение конкуренции и высокие тарифы [Ursic et al., 2018].