В середине декабря прошлого года в России был принят Кодекс этики использования данных. В Центре международной торговли (ЦМТ) в рамках Недели российского Интернета (RIW-2019) его подписали крупнейшие игроки рынка данных: «Газпром-медиа холдинг», «Яндекс», «Мегафон», Тинькофф Банк, Сбербанк, Газпромбанк, oneFactor, группа QIWI, Mail.ru Group, группа ВТБ, «Вымпелком», «Ростелеком», МТС, а также Аналитический центр при Правительстве РФ. Разработкой документа занимались Институт развития Интернета (ИРИ) и Ассоциация больших данных. Корреспондент «Совершенно секретно» проанализировал документ.
Как заявила президент Ассоциации больших данных Анна Серебряникова, бизнес впервые сам выступил с инициативой ввести саморегулирование и взять на себя дополнительные обязательства. Председатель правления ИРИ Сергей Петров в свою очередь отметил, что создание Кодекса этики «важная веха для отечественной индустрии данных. Как показывает практика, лучше всего применяются и соблюдаются те нормы и принципы, которые выработаны самими участниками отношений».
РЕЕСТР ДОБРОСОВЕСТНЫХ УЧАСТНИКОВ
Текст документа выложен на сайте Аналитического центра при Правительстве РФ. Мы ознакомились с ним и увидели там задекларированные принципы обработки данных: о том, что они должны быть предоставлены на принципах свободы и отсутствия дискриминации, что им должны быть обеспечены приватность и конфиденциальность (конечно, без противоречий законодательству). Кроме того, в Кодексе предусмотрено создание совета, который «формирует и ведет Реестр добросовестных участников рынка данных». К Реестру вправе присоединиться любой участник, предоставив в совет заявление, подписанное уполномоченным представителем. Казалось бы, все очень естественно и было бы глупостью возражать против каких-то положений данного документа. Но вопросы все-таки у нас возникли и именно этического характера: как (и, главное, кем) все эти пункты будут регулироваться? Получается, что все, кто вступил в эту игру, закрепили за собой жесткое право регулирования всех без исключения «кодексных» пунктов. Но если следовать букве закона, не наводит ли вся эта история на мысль о начале очередной партии в монополию?
За ответами на эти и другие вопросы мы приехали в Национальный исследовательский университет МИЭТ, на кафедру «Телекоммуникационные системы» к специалисту по информационной безопасности, доценту и кандидату технических наук Александру Шарамку.
А СУДЬИ КТО?
«Механизм присоединения к Кодексу подразумевает, что состав совета формируется инициаторами Кодекса. И в рамках этого совета могут выполняться различные действия за исключением: внесения изменений в Кодекс, внесения изменений в положения совета. И все это регулируют инициаторы. То есть, фактически мы имеем некоторую некоммерческую организацию или ассоциацию, у которой исполнительным органом является совет, а высшим органом принятия решений является «набор» инициаторов. И в этой связи мы не можем утверждать, что эта организация является независимой: она, по факту отражает не мнение ее участников, а мнение этих самых инициаторов. Идея, безусловно, хорошая, но к ее реализации есть масса вопросов, потому что она создает подконтрольную структуру для инициаторов, и эти игроки через этот совет будут решать, кто добросовестный участник, а кто недобросовестный. Во-вторых, обратите внимание на название: «Реестр добросовестных участников». Получается, что те, кто не входит в состав этого Реестра, автоматически попадают под определение «недобросовестные». Здесь нарушен фундаментальный принцип Российского гражданского права (статья 10 ГК РФ) и той правовой системы, которая у нас существует в области бизнеса: о том, что всегда есть презумпция добросовестности. В нашей стране она, возможно, и не всегда работает, конечно. Возможно, когда-нибудь найдется какой-то участник рынка, который оспорит законность публикации подобных реестров, но наша судебная система, согласитесь, не всегда готова пойти против участников типа Сбербанк, ВТБ, «Яндекс» и т.д. Этим Кодексом нарушаются Гражданский кодекс и, возможно, положения Конституции: не могут инициаторы этого Кодекса и совет решать, кто добросовестный, а кто нет», – говорит Александр Шарамок.
Сам бизнес к документу относится тоже неоднозначно. Например, руководитель направлений «Комплаенс» и «Аудит» департамента информационной безопасности группы компаний Softline Илья Тихонов в беседе с корреспондентом «Совершенно секретно», отметил, что в дальнейшем Кодекс может стать основой для создания новых положений и законов. «За несоблюдение Кодекса пока предусмотрена условная ответственность – предостережение или исключение из Реестра добросовестных участников рынка, то есть, риски для нарушителей в основном репутационные. Но факт участия Администрации президента в работе над документом наводит на мысль, что для серьезного бизнеса соблюдение Кодекса может стать обязательным. На данный момент сложно сказать, как отразится на рынке появление данного соглашения». Тихонов акцентирует внимание на том, что пока неясно, можно ли будет ссылаться на Кодекс в судах при возникновении спорных вопросов, «ведь юридический статус данного документа под сомнением. Но для общественности это однозначно положительный факт. Рынок уже много лет готовится к появлению больших данных, и меняется, в том числе, законодательная база».
ОГРАНИЧЕНИЕ КОНКУРЕНЦИИ
И все-таки, несмотря на все положительные моменты, которые есть, документ имеет явно двоякий характер: с одной стороны, задекларированы некоторые права и свободы. С другой же, мы имеем положения, касаемые персональных данных, которые уже прописаны в законодательных нормах. К примеру, там декларируется, что обработка должна быть законной. Или что этичность заключается в обработке в соответствии с некоторыми целями. Например, в Кодексе говорится о том, что таргетированная реклама не считается неэтичной: «признается добросовестной практикой использование данных для прямого (таргетированного) маркетинга, если персонифицированные предложения позволяют потенциальному приобретателю обеспечить оптимальный выбор товаров (работ, услуг), а также при условии предоставлении потенциальному приобретателю возможности отказаться от получения таких персонифицированных предложений».
«Фактически, – говорит Александр Шарамок, – все правильно. Но отрицательная часть заключается в том, что этот документ ограничивает конкуренцию. Страдать от этого будем мы. Потому что уровень монополизма в нашей стране и так зашкаливает. А этот Кодекс этики – еще один шаг, чтобы монополизировать пока еще достаточно свободную отрасль, связанную с Интернетом и информационными технологиями. Я нормально отношусь к регулированию этой области со стороны государства: когда оно защищает свои интересы. Но когда собирается группа крупных игроков и начинает защищать свои интересы, по моему мнению, это ненормально. Вообще, мы имеем странную ситуацию: те, кто наиболее подвержен потерям персональных данных, те, кто больше всех рискует нарушить существующее законодательство об обработке персональных данных, являются инициаторами этого документа. То есть, представьте ситуацию: кто-то может обратиться в этот совет, заявив о том, что, допустим, у Сбербанка произошла утечка. И он попросит исключить его из Реестра добросовестных игроков рынка обработки данных. Но ведь конечные решения на этот счет примет не совет, а инициаторы. То есть, сам Сбербанк. И, естественно, Сбербанк сам себя сечь не будет – он не будет исключать себя из этого списка. В лучшем случае, он ограничится предупреждением к самому себе, что в Кодексе предусмотрено. А, скорее всего, подобному обращению никакого хода и не дадут».
Одним словом, мы имеем совет, подконтрольный некоторым игрокам рынка, которые являются контролерами для самого Кодекса. Рынок этот вполне определен, вполне конкретен, но список игроков в полной мере неизвестен. Возможно, было бы прозрачнее, если бы инициаторы прописали механизм включения-исключения участников, которые могут влиять на совет. Но здесь и этого нет. Тут история: мы сами подписали, и мы сами будем все регулировать. Мы будем высшим органом, который руководит этим образованием.
САМ СЕБЕ ЭКСПЕРТ
В тексте, который выложен в Интернете, среди организаций, присоединяющихся к Кодексу этики и положению о совете, значатся подписи трех участников (для остальных – пустые графы): президента Ассоциации участников рынка больших данных – инициатора разработки Кодекса А.А. Серебряниковой, председателя правления АНО «Институт развития интернета» – инициатора разработки Кодекса С.В. Петрова, руководителя АНО «Аналитический центр при Правительстве РФ» В.В. Онищенко. Все эти люди активно выступают в СМИ в качестве экспертов по Кодексу. ТАСС, например, приводит цитату Петрова: «Все желающие присоединиться к Кодексу получат специальный значок, который они смогут разместить на собственном сайте: этот знак отличия показывает честные намерения фирмы соблюдать этику данных, подобно знакам «добросовестный работодатель» на HR-порталах и звездах классности для отельеров или рестораторов». Петров акцентирует внимание общественности и на Реестре, с которым мы уже попытались разобраться: «Это часть корпоративного кредо и цифровой культуры компании, подчеркивающая прозрачность деятельности и открытость бизнеса рынку, партнерам и потребителям, – говорит он. – Присоединение к Кодексу подтвердит честные намерения фирмы, желание работать лучше во имя своих клиентов». Но тут опять резонный вопрос: может ли инициатор документа быть по нему же экспертом? Статус эксперта предполагает независимое мнение. Может ли мнение того же Петрова быть объективным? Нам кажется, что нет.
ИНИЦИАТОР РАЗРАБОТКИ КОДЕКСА С. В. ПЕТРОВ. ФОТО: TWITTER.COM
«Насколько мне известно, мы имеем дело с «Яндексом», Сбербанком, ВТБ, InfoWatch и еще какими-то крупными компаниями. Ко всем этим организациям я отношусь с уважением, – поясняет доцент кафедры «Телекоммуникационные системы» Александр Шарамок. – Тот же InfoWatch или «Яндекс» – это бизнес, созданный с нуля и в рамках Российской Федерации. Это выдающийся бизнес. Но, когда они собираются вместе и создают вот такие вещи, мне кажется, это несколько портит их имидж. Учитывая негативные моменты этого документа, сейчас в нашей стране с этикой использования данных будет еще хуже, чем было. Монополия – это основная проблема, из которой можно вырастить целый букет проблем. Например, мы сегодня уже знаем более-менее значимые стартапы, которые очень быстро были скуплены «Яндексом», Mail.ru и Сбербанком (Кинопоиск, Delivery Club, Okko и другие). Государство сейчас как-то пытается регулировать этот вопрос, но у него это не очень хорошо получается. Теперь же эти компании будут не только деньгами, но и моральными требованиями воздействовать на рынок: говорить, кому с кем “дружить” и какие дела иметь. И мотивировать свою позицию тем, что кто-то входит в перечень добросовестных игроков, а кто-то нет. Мелкие компании будут вынуждены приходить на поклон к более крупным. Они и сейчас вынуждены к ним за деньгами ходить, а тут еще и их добросовестность будут оценивать».
АЛЕКСАНДР ШАРАМОК, ДОЦЕНТ КАФЕДРЫ «ТЕЛЕКОММУНИКАЦИОННЫЕ СИСТЕМЫ». ФОТО: MIET.RU
УТЕКАЙ….
Ну, хорошо: теперь у нас есть закон – Кодекс, – который ведет Реестр добросовестных участников рынка, фиксирует важные положения об использовании данных, а где самое главное: понятный механизм, как заставить этот документ работать? Мы можем написать кучу замечательных бумаг по защите персональных данных, но, если, например, Сбербанк, у которого на сегодня тысячи случаев утечки персональных данных клиентов, не получает никакого наказания за это, о каких документах мы вообще говорим?
О СТРОГОСТИ РОССИЙСКИХ ЗАКОНОВ
Собеседник «Совершенно секретно» Александр Шарамок несколько лет работал специалистом по безопасности в одной из крупных российских компаний в Объединенных Арабских Эмиратах (ОАЭ) и был свидетелем ряда случаев, когда у сотрудников возникали споры с работодателем. «В России мне приходилось решать вопросы, связанные с трудовыми отношениями, доходя до прокуратуры. Наш работодатель всегда занимает позицию – иди и попробуй доказать что-нибудь через суд, понимая, что наша судебно-правовая система работает недостаточно эффективно. И это при том, что у нас есть Трудовой кодекс – книга больше 100 страниц. В Законе о труде ОАЭ около 60 страниц формата А4. Текст написан в 2 колонки: на английском и арабском языках. По размерам это – около 30 страниц: в несколько раз меньше, чем российское трудовое законодательство. Но там этот закон работает очень четко. При мне был случай, когда работодатель хотел при сокращении штата уволить сотрудников без положенных выплат, но ему объяснили, что в ОАЭ такие фокусы не проходят. И все решилось очень быстро и согласно закону. Сколько таких случаев у нас? Обычно с работодателем предпочитают не связываться. То есть, законов можно писать много: замечательных, объемных, но, если они не работают, то грош им цена. С защитой персональных данных абсолютно такая же ситуация».
Не секрет, что многие государства сейчас активно обмениваются информацией. Но с Россией не все хотят в этом плане работать: высказывают претензии о том, что у нас персональные данные не защищаются надлежащим образом. По сути, эти претензии обоснованы: у нас нет полноценной системы, которая бы надежно защищала персональные данные. Александр Шарамок советует, если пришла информация, что банк потерпел утечку данных, обращаться с жалобой в Роскомнадзор. «Он является надзорным органом по защите персональных данных – у них на сайте эти процедуры расписаны. Но дальше наступает очень простая ситуация – совершенно нелогичная, но совершенно российская… Чтобы ее понять, надо задать себе вопрос: кто такой Роскомнадзор и, кто такой, например, Сбербанк».
В международном сообществе подобные новому Кодексу этические документы есть. В частности, наш эксперт Александр Шарамок является сертифицированным аудитором информационных систем в организации ISACA (Information Systems Audit and Control Association), где тоже есть этический Кодекс. «Я с этим Кодексом ознакомился и при сдаче экзаменов подтверждал, что согласен с ним. Также я проходил тестирование на знание этого Кодекса. И, в принципе, большинство специализированных на какой-то отрасли организаций имеют такие Кодексы. Но они не декларируют, что те, кто с нами – добросовестные, а кто нет – недобросовестные. И это основное отличие. Они декларируют Кодекс этики, и, если ты к ним присоединяешься, ты соглашаешься с этим Кодексом, принимаешь все его пункты. Но никто не называет себя какими-то особенными, они просто заявляют, что живут по этим правилам. Хотите – присоединяйтесь».
СОМНЕНИЯ…. СОМНЕНИЯ….
Со дня принятия Кодекса этики использования данных прошло больше месяца. Теперь нам остается только ждать, когда и каким образом начнет работать новоиспеченный документ. Но одно мы можем сказать уже сейчас: наличие такого Реестра и наличие таких полупрозрачных, регламентируемых конкретной группой юридических лиц механизмов управлений Кодексом, который явно требует юридической экспертизы на соответствие законодательству РФ, пока ставит под сомнение благие намерения участников этой игры.
Ирина ДОРОНИНА
