Персональні дані як актив ІТ компанії

Персональні дані були фактично заново відкриті у 2018 році, коли Регламент 2016/679 (GDPR) нарешті вступив в силу. Чому?

 

Попри те, що світ уже довго дискутує щодо етичності діяльності великих технологічних компаній на кшталт Google та Facebook, питання про власне персональні дані зазвичай не стоїть. Однак чим вважати персональні дані – частиною права на приватність чи просто ще одним економічним благом, яке слід досліджувати як, скажімо, свою робочу силу, чисте повітря або внутрішні органи? Та і чи залишилась взагалі приватність у сучасному житті?

 

Комерціалізація роботи з персональними даними може відбуватися у кількох напрямках:

  • Продаж або аренда (надання доступу) до баз даних або інших об’єктів інтелектуальної власності, що містять персональні дані;
  • Аналіз великих масивів персональних даних з метою досліджень або інсайтів, що здійснюються на замовлення або в рамках R&D всередині компанії;
  • Продаж додаткового функціоналу всередині продукту, що спрямований на підвищення рівня приватності (додаткове шифрування, VPN-доступ) тощо.

 

Персональні дані як великі (big data) та відкриті (open data) дані

 

Найбільш ілюстративним зразком використання персональних даних є поведінкова реклама. Поведінкова реклама – надзвичайно прибуткова галузь бізнесу, яка надає перевагу обробці величезних масивів даних з метою пошуку корисних для підприємця висновків чи шматочків інформації, які можна згодом класифікувати та багаторазово використовувати. Завдяки цифровій формі пошук і використання цієї інформації вимагають в рази менше витрат часу та ресурсів, а форма квазішерингу результатів цієї обробки (інсайтів або створених кластерів чи середньостатистичних профілів) за відносно невелику плату і призводить до отримання прибутків, що дозволяють розробляти ще більш вишукані інструменти і методи пошуку та обробки даних.

 

Вилучення інформації про особу з величезного масиву Big Data та деталізація її профілю за допомогою неперсональної інформації та даних з відкритих джерел (державних реєстрів, сайтів шкіл або університетів тощо) дозволяє зі страхітливою точністю відтворити звички та смаки якщо не конкретної людини, то принаймні частини населення. Це може призвести (і, як правило, призводить) до маніпулювання ними – наприклад, через рекламу, деталізовані комерційні пропозиції або прийняття автоматизованих рішень щодо розширення чи обмеження кредитних ліній.

Більше того – на практиці використання публічних реєстрів (зокрема, реєстрів заявок на реєстрацію знаків для товарів та послуг) призводить до того, що заявник може отримати декілька «холодних дзвінків» з пропозицією послуг патентних повірених або іншого представництва, пропозицій відслідковувати статус заявки або розмістити її у певній базі даних або на біржах інтелектуальної власності. Інколи такий спам є схожим на реальні приклади інвойсів або офіційних листів з органів реєстрації і може вводити в оману, навіть незважаючи на дрібні літери внизу паперу. Більше того – якщо у такий «холодний імейл» вкласти, наприклад, піксель – можна зібрати додаткові дані про цю ж особу щодо того, як саме вона користується поштою і як реагує на цей лист, що призводить до багаторазового використання все більшого масиву персональних даних. У майбутньому ці дані, хоча зібрані з допомогою досить дискусійних методів, використовуються або для розробки нових продуктів і рішень, або для покращення цього ж методу комерціалізації, або ж передаються за плату іншим зацікавленим особам (або ж у всіх трьох напрямках водночас).

 

Приватність як додаткова (оплатна) функція

 

Серед способів використання персональних даних про користувача можна згадати модель, коли дані виступають як оплата (data-as-payment) та data freemium, які пропонують готовий продукт без обмежень у функціоналі у обмін на те, що компанія буде через цей продукт збирати дані про його користувачів та використовувати ці дані для перепродажу – наприклад, таргетованої реклами. 

 

Інший спосіб – надання умовно безоплатного продукту з доплатою за деякі додаткові можливості, які не є головною функцією, на кшталт відключення реклами у Dropbox або YouTube або доступу до можливості дізнатися про відвідувачів у профілі користувача на LinkedIn.

 

Іншим способом монетизувати персональні дані своїх користувачів є модель плати за приватність (pay-for-privacy), які пропонують приватність і безпеку даних як додаткове благо, за яке треба доплатити, у той час як дешевша модель цього ж продукту буде завідомо менш безпечна та відкрита для передавання даних про користувача. Прикладом може слугувати Protonmail, що пропонує додаткові оплачувані налаштування конфіденційності і безпеки.

 

Можливо виділити моделі “приватність як розкіш” (privacy-as-a-luxury-model), коли товар промотується як дорожчий, тому що більш сфокусований на приватності і безпеці, аніж його конкуренти, та “приватність замість знижки” (privacy-discount), коли користувачі заохочуються знижувати свої вимоги до приватності в обмін на знижку у вартості підписки або ціні продукту.

 

Окрім формально законних способів використання персональних даних як оплати (деякі економісти, наприклад, вважають модель оплати “дані як оплата” такими, що вводять у оману споживачів, оскільки ті у силу відносної новизни цієї моделі і слабкого уявлення про важливість і важкість отримання даних про них та прибутковість використання для перепродажу), розробляються і більш соціально прийнятні та “прозорі” способи використання персональних даних як засобу платежу.

 

Персональна інформація як складова списків клієнтів, бюро кредитних історій і HR-баз

 

Персональні дані використовуються як економічне благо і при скоєнні багатьох видів злочинів. Наприклад, широко відоме викрадення і продаж номерів кредитних карт (“кардинг”), номерів соціального страхування, комерційний взлом облікових записів у соцмережах і кабінетах користувача у банках і державних реєстрах, викрадення клієнтських баз і списків постачальників, для підробки документів, видавання себе за іншу особу, шантажу, купівлі зброї, наркотичних речовин і дитячої порнографії з рахунків іншої особи, перепродажу інформаційним банкам і брокерам та інших способів використати ці дані або як товар, або як засіб отримати інші економічні блага.

 

Слід відразу зауважити, що продаж великих баз з персональними даними доступний на чорному ринку, часто за безцінь з огляду на їхній потенціал. Однак зважаючи на те, що вони були зібрані з порушенням законодавства про захист персональних даних та невтручання у комп’ютерні системи інших осіб (а також часто з допомогою незаконних дій, що можуть бути злочинними), використання цих даних при веденні бізнесу та їх перепродаж «білим» компаніям – величезний ризик (як у рамках закону, так і для репутації компаній).

 

Разом з тим, у деяких юрисдикціях цілком законним може бути створення компаній-кластеризаторів та датабанків, які за певну плату надають доступ до зібраних ними списків, кластерів і профілів, або ж на замовлення компаній збирають інформацію та розподіляють її по таких кластерах відповідно до потреб замовника, що становить відчутну частину ринку маркетингових послуг.

 

З іншої сторони, слід розглядати персональні дані в контексті продажу внутрішніх баз клієнтів, постачальників чи колишніх/імовірних працівників. Наприклад, такі дані цілком природньо вважаються частиною інтелектуальної власності компанії при її продажу або ліквідації як частина її комерційної таємниці, і за певних обставин можуть бути дуже вагомим чинником прийняття рішень про злиття або приєднання.

 

Незважаючи на це, слід звернути увагу на приписи законодавства, які обмежують вільне використання даних: контролер даних у більшості випадків де-юре пов’язує себе зобов’язаннями та обіцянками, які надає суб’єктам даних у політиках конфіденційності продукту чи компанії. Ці обіцянки залишаються дійсними і у випадку ліквідації або зміни власності; більше того, закон може зобов’язувати контролера попереджати фізичних осіб про критично важливі для компанії події (порушення безпеки даних, продаж або злиття чи поглинання даних, банкрутство, ліквідацію, поділ тощо), які дають змогу відкликати свої дані, обмежити їх обробку або запросити видалення з баз, які згодом підлягатимуть продажу чи передачі новому контролеру, у випадку неактуальності такої подальшої обробки чи небажання стати об’єктом нагляду зі сторони нового контролера.

 

З іншої сторони, компанія може зобов’язуватися видалити персональні дані у випадку зміни власності або банкрутства (і право США підтримує виконання банкрутом цього обов’язку). У низці ж інших юрисдикцій такого питання може навіть і не виникати – наприклад, з огляду на скорочений в силу закону термін зберігання і обробки певних даних (які забезпечують видалення вже неактуальних даних та необхідність передачі даних вже наявних клієнтів попередньої компанії для надання послуг в порядку правонаступництва) або напряму забороняють передавати дані без прямої згоди суб’єктів даних.

 

Обмеження комерціалізації персональних даних

 

Незважаючи на те, що інколи встановити порушення захисту персональних даних вдається лише завдяки скаргам користувачів застосунків (оскільки самі компанії у більшості випадків все ж намагаються оминути увагою порушення у своїх системах безпеки), існують об’єктивні обмеження комерціалізації даних, які слід враховувати при побудові приватності всередині компанії. Зокрема, до них можна віднести наступні:

 

  • Норми профільних законів та присвоєні даним правові режими (відносини щодо збирання і обробки персональних даних, зокрема, часто можуть бути об’єктом регулювання декількох законів або навіть законів кількох юрисдикцій, що викликає великий попит на юристів зі спеціалізацією у міжнародному праві);
  • Розрахунок потенційних витрат у випадку порушення безпеки даних (зокрема, сюди можуть входити витрати на юридичну допомогу при повідомленні державних органів про гакерську атаку чи витік даних внаслідок помилки, а також репутаційні втрати, виплати постраждалим, витрати на відновлення та покращення систем безпеки та інші втрати);
  • Географічна доцільність (дані осіб, що проживають в конкретному регіоні, можуть бути обтяжені не лише додатковим правовим регулюванням – наприклад, щодо вартості їх переміщення між юрисдикціями, — а і цілком економічними розрахунками щодо імовірності монетизації);
  • Вартість структурування даних та нерозуміння природи і реальної кількості персональних даних, до яких компанія має доступ (зокрема, з огляду на різницю у форматах чи формах);
  • Дискусійність права власності на масиви даних (фактично вони не перебувають у власності контролера: контролер користується ними на завідомо тимчасовій основі, і мусить дослухатися до інструкцій суб’єкта даних – наприклад, він змушений виконати вимогу видалити дані або не обробляти їх для певних цілей) та ін.

 

Отже, при роботі з персональними даними важливо не лише запобігти порушенням законодавства та взятих на себе обіцянок, але, при нагоді, передбачити і запобігти ризикам зловживання даними іншими особами. Продукт чи компанія може завдяки підвищенню власних стандартів поведінки з персональними даними не тільки уникнути відповідальності, але і запровадити нові галузеві стандарти; прозорість же компанії щодо її цінностей і намірів при роботі з даними підвищує довіру серед користувачів і, в перспективі, заохочує поінформованість населення, що може обернутися і більш відповідальним ставленням до власних даних і навіть меншим законодавчим обтяженням в межах захисту прав споживачів (або навіть подоланню «чорних» та «сірих» ринків, заснованих на торгівлі даними).

Безкоштовна первинна консультація по ІТ праву у твоєму кейсі. Не зволікай ;)Твоє запитання ІТ юристам


Отримуй сповіщення про нові статті :)