Geekly articles weekly

الأعمال التجارية على البيانات الشخصية: كيف تنجح ولا تخرق القانون؟

الصورة

"البيانات هي زيت الاقتصاد الرقمي" هو تعبير أصبح بالفعل قولاً مأثورًا. في الواقع ، في عالم اليوم ، أصبحت بيانات المستخدم واحدة من أكثر الموارد قيمة ومطلوبة. وبالتالي ، وفقًا لشركة PwC ، في عام 2018 ، ستصل الإيرادات العالمية من استخدام بيانات المستخدم إلى 300 مليار دولار. أما بالنسبة لروسيا ، وفقًا لمجلة RBC في عام 2017 ، فقد وصل حجم مبيعات السوق لبيع وشراء البيانات الشخصية في روسيا إلى 3.3 مليار روبل على الأقل. علاوة على ذلك ، يتوقع الخبراء المزيد من النمو المكثف لهذا السوق.

ومع ذلك ، فإن استخدام البيانات الشخصية في الأعمال التجارية ليس لديه حتى الآن التنظيم القانوني المناسب. التشريع الحالي يترك الباب مفتوحا لمسألة دوران البيانات وإمكانية تحقيق الدخل منها. أيضا ، في الممارسة القضائية ، لم يتم حتى الآن وضع معايير عالمية تسمح بإيجاد توازن بين الحاجة إلى حماية خصوصية المستخدمين واحتياجات مجتمع الأعمال في الاقتصاد الرقمي.

البيانات: شخصي أم كبير أم مخصص؟
  • البيانات الشخصية

إن حجر الزاوية لفهم مصطلح "بيانات المستخدم" هو المفهوم الثابت المعياري "للبيانات الشخصية" (المشار إليه فيما بعد - PD). مفهوم PD هو "مطاط" في الطبيعة ، والذي لا يسمح لنا بتحديد أي بيانات محددة تشير إلى البيانات الشخصية بشكل لا لبس فيه. في الوقت نفسه ، الاتجاه العام الآن هو نهج واسع للغاية لمفهوم PD - أي معلومات تتعلق بشخص محدد أو يمكن تحديده. يمكن أن يكون هذا عنوان IP أو معرف أو رقم هاتف محمول أو رقم بطاقة ائتمان.

في الوقت نفسه ، ليس سراً على أي شخص أن هذه المعلومات تتم معالجتها بنشاط على شبكة الويب العالمية وتصبح الأساس لنجاح العديد من المشاريع التجارية (الإعلان والتسويق والتسويق وسجل). ولا توجد معايير لا لبس فيها تسمح برسم خط بين PD والبيانات الضخمة.

  • البيانات الضخمة

في المقابل ، فإن مفهوم "البيانات الضخمة" (البيانات الضخمة) أكثر قابلية للنقاش في طبيعته وعادة ما يتم الكشف عنه من خلال خصائصه:

  • حجم كبير (حجم) ؛
  • مجموعة واسعة (متنوعة) ؛
  • سرعة عالية في التراكم والمعالجة (السرعة) ؛
  • الدقة (الصدق) ؛
  • التباين (التباين) ؛
  • القيمة
  • التصور
  • حيوية (الجدوى).

يكتب المحامي والأستاذ الشهير أ.ي.سافيليف أن "البيانات الضخمة يمكن تعريفها على أنها مجموعة معلومات متغيرة ديناميكيًا ، وهي ذات قيمة نظرًا لكمياتها الكبيرة وإمكانية المعالجة الفعالة والسريعة بالوسائل الآلية ، والتي بدورها توفر إمكانية ذلك استخدامها للتحليلات والتنبؤ وأتمتة العمليات التجارية ".

يشرح سركيس داربانيان ، الشريك الإداري لمركز الحقوق الرقمية ، متحدثًا في منتدى BIG DATA 2018 ، طبيعتها: "البيانات الضخمة هي تدفق ضخم للمعلومات من البيانات غير المتجانسة التي يتم إنشاؤها باستمرار من قبل مستخدمي الأجهزة الإلكترونية والخدمات عبر الإنترنت أو الأجهزة التقنية ، وتتم معالجتها أيضًا في الوضع الوقت الحقيقي ".

في روسيا حتى الآن لا يوجد فهم ونهج واحد لتنظيم البيانات الضخمة. بالإضافة إلى ذلك ، تستمر المناقشات حول من يجب أن يمتلك البيانات الضخمة وكيف ، باستخدامها ، لا ينتهك الحقوق في فئات مختلفة من البيانات المحمية بموجب القانون (PD ، سر تجاري ، معلومات سرية ، حقوق الطبع والنشر لقاعدة البيانات).

  • بيانات المستخدم الضخمة

أحيانًا ما يسمى "تقاطع" PDs و Big Data ببيانات المستخدم الضخمة. هذا المصطلح ليس له أي تثبيت قانوني ، ومع ذلك ، قام رئيس Roskomnadzor Alexander Zharov بتعريف بيانات المستخدم الكبير على أنها "جميع بيانات المستخدم التي تم جمعها بواسطة أنظمة المعلومات والأجهزة ، وملفات تعريف المستخدمين على موارد الإنترنت ، وبيانات الموقع الجغرافي ، وبيانات عن سلوك المستخدم على المواقع".

مقاضاة المشاريع التجارية على البيانات الشخصية

تواجه المشاريع التجارية التي تستخدم بيانات المستخدمين الضخمة حتماً مشكلة الامتثال للتشريعات المتعلقة بحماية البيانات الشخصية. لذا ، فإن القضايا القضائية التالية هي أمثلة حية: Roskomnadzor vs. NBCH ، Roskomnadzor vs. MGTS ، "HeadHunter" مقابل. روبوت فيرا ، هيد هانتر مقابل. FriendWork و VKontakte vs. "بيانات مزدوجة" .

لم يتم بعد تطوير نهج واحد لاستخدام بيانات المستخدمين الكبار ، بما في ذلك تلك التي نشرها المستخدمون على الشبكات الاجتماعية ، ولا تزال مواقف المحاكم المختلفة فوضوية. بالإضافة إلى ذلك ، لا تعمل الأطراف دائمًا على التشريعات المتعلقة بحماية البيانات الشخصية ، ولكنها تشير إلى الحقوق الفكرية لقاعدة البيانات. على سبيل المثال ، تم استخدام القواعد المتعلقة بحماية الحقوق الفكرية لقاعدة البيانات في الحالات في مطالبات شركة HeadHunter ، وكذلك في حالة الرنين لفكونتاكتي ضد البيانات المزدوجة.

قامت شركة Double Data بجمع واستخدام بيانات المستخدمين المنشورة على شبكة اجتماعية لأغراض تجارية (الأسماء الأخيرة والأسماء الأولى وأماكن العمل والدراسات). لم تتلق الشركة أي أذونات إضافية. تحتفظ فكونتاكتي بموقف أن مثل هذه الإجراءات تنتهك الحق المجاور الحصري لقاعدة البيانات التي نشأت في فكونتاكتي كمصنع لقاعدة البيانات هذه مع بيانات المستخدم. من ناحية أخرى ، تصر البيانات المزدوجة على انفتاح البيانات وعدم القدرة على منع إعادة استخدام المعلومات ونقص حقوق فكونتاكتي في قاعدة البيانات التي أنشأها المستخدمون أنفسهم. حتى الآن (أكتوبر 2018) ، وصلت القضية إلى SIP (مثيل النقض). وافق SIP مع استنتاج محكمة الاستئناف أن "مواد القضية تظهر كلاً من وجود كائن من الحقوق ذات الصلة (قاعدة بيانات لمستخدمي شبكة اجتماعية) ووجود الحق الحصري لمجتمع فكونتاكتي في هذا الكائن". لم تعترف المحكمة بأن حجة المدعى عليهم بشأن قاعدة البيانات باعتبارها "منتج ثانوي" لنشاط فكونتاكتي معقولة. ومع ذلك ، أرسل SIP القضية لمحاكمة جديدة إلى المحكمة الابتدائية (تاريخ الاجتماع هو 19 ديسمبر 2018) ، وبالتالي فإن المعركة بين فكونتاكتي و Double Data لا تزال مستمرة. يبدو أنه بعد الحل النهائي لهذه الحالة سيصبح عمليا وسيكون معلما حاسما لتطوير الأعمال التجارية على بيانات المستخدم في روسيا.

بالإضافة إلى ذلك ، فإن قضية Roskomnadzor vs. مهم بالنسبة للمصير المستقبلي لمشاريع الأعمال على بيانات المستخدم. MGTS ، حيث حاولت المحكمة إيجاد توازن بين حق المستخدمين ومصالح الأعمال. جلبت المحكمة MGTS إلى المسؤولية الإدارية ، بعد أن أثبتت أن معاملات "إعادة بيع" البيانات حول المشتركين دون موافقتهم تنتهك الحق في الخصوصية.

ومن المثير للاهتمام أيضًا حالة Roskomnadzor vs. NBCH ، التي ، على الرغم من أنها انتهت بتسوية ، ولكن في إطارها خلصت القوات المسلحة RF إلى أن البيانات بعد نشرها من قبل المستخدمين على شبكة اجتماعية لا تصبح متاحة للجمهور وفقًا لمعنى الفن. 8 القانون الاتحادي "بشأن البيانات الشخصية".

كيف يتم تنفيذ الأعمال على أساس البيانات الشخصية التي يتم تنفيذها عمليًا؟

بسبب الافتقار إلى مناهج قانونية واضحة لا لبس فيها ("قواعد اللعبة") بشأن استخدام البيانات الضخمة ، هناك لسنوات عديدة خدمات "رمادية" لبيع البيانات الشخصية. على سبيل المثال ، الويب المظلم ، الذي يبيع مجموعة متنوعة من أنواع البيانات الشخصية: من بيانات جواز السفر إلى المعلومات الطبية وكلمات المرور من بطاقات الائتمان. وفقًا لنتائج دراسة "Black Database Market" لمركز MFI Soft التحليلي لعام 2016 ، فإن سوق قواعد البيانات غير القانونية في روسيا أكثر من 30 مليون روبل. وهذا الرقم ينمو فقط.

ومع ذلك ، لا ينبغي للمرء أن يفترض أن الأعمال التجارية القائمة على البيانات الشخصية بداهة غير قانونية. تتطور المشاريع القانونية التي تهدف إلى تحقيق الدخل من البيانات الشخصية للمستخدمين بسرعة: Opiria و Handshake و Datacoup و GoodData و Pillar Project و Personal وغيرها من الخدمات.

علاوة على ذلك ، فإن الأمثلة على المشاريع غير المتصلة بالإنترنت التي تستخدم البيانات الشخصية كدفعات معروفة في الممارسة العالمية. على سبيل المثال ، في المقهى الأمريكي Shiru يمكنك دفع الفاتورة ببياناتك الشخصية (الأسماء وأرقام الهاتف وعناوين البريد الإلكتروني وتواريخ الميلاد ومعلومات عن الاهتمامات).

ومع ذلك ، فإن العديد من الشركات لا تهتم كثيرًا بالحصول على PD لموضوع معين مثل الحصول على مجموعة من البيانات التي تعكس علامات معينة لعدد من الموضوعات. لذلك ، تم الحصول على القيمة من قواعد بيانات الشركات الأخرى PD ، بيانات المستخدم الكبيرة.

غالبًا ما تتضمن الشركات بنود نقل البيانات في عقود الخدمة أو ما شابه ذلك. بالإضافة إلى ذلك ، تعتبر مشاريع تبادل PD التي يتم تنفيذها من خلال اتفاقيات بين الشركات حول تفاعل المعلومات في مجال نقل البيانات الشخصية أو غيرها من المحتويات المماثلة مثيرة للاهتمام. على سبيل المثال ، مثل هذه الاتفاقات شائعة في المجال الطبي.

يصف أيضًا المشاريع التي تعمل مع بيانات المستخدم الكبيرة ، لا يمكن للمرء إلا ذكر مشروع البيانات المزدوجة والمشاريع المماثلة (Clever Data ، Scorista ، Scorto ، FICO ، Equifax Credit Bureau ، National Credit Bureau). تستخدم هذه المشاريع ، في الغالب ، البيانات لإعادة بيعها لاحقًا ، وكذلك لتسجيل الإعلانات وتخصيصها. يضعون أنفسهم على أنهم يعملون مع البيانات المفتوحة ، ويؤكدون في مواجهة NBCH و Double Data في المحكمة حقوقهم في معالجة بيانات المستخدم الكبير دون إذن إضافي من كل من المستخدمين والشركات التي تعالج PDs في البداية.

بشكل منفصل ، تجدر الإشارة إلى شركة Cambridge Analytica سيئة السمعة ، التي جمعت مستخدمي PD لتحليل التفضيلات السياسية للناخبين دون موافقتهم ، بما في ذلك مستخدمي PD لشبكة Facebook الاجتماعية. نتيجة لهذه الأعمال ، لم تنفجر فضيحة سياسية فحسب ، بل كانت هناك حتمًا عواقب قانونية لكل من Cambridge Analytica و Facebook. أعلنت كامبريدج أناليتيكا ، فيسبوك عن الإفلاس ، وتم تغريم الفيسبوك 500 ألف جنيه إسترليني (حوالي 600 ألف دولار) لعدم احترام حقوق مواضيع البيانات الشخصية: نقص الحماية المناسبة للبيانات الشخصية للمستخدمين وعدم كفاية الشفافية في معالجتها.

بشكل عام ، فضيحة كامبريدج أناليتيكا-فيسبوك لها نتائج بعيدة المدى ، بما في ذلك بالنسبة لروسيا. لذا ، بدأ Facebook في حظر الوصول إلى الخدمات "المشبوهة" ، التي تسمح أنشطتها بمخاطر انتهاك تشريعات التطوير المهني. على سبيل المثال ، مؤخرًا (في أوائل أكتوبر 2018) ، حظر Facebook أكثر من 66 حسابًا وملفًا شخصيًا وصفحة وتطبيقاتًا لشركة ناشئة روسية ، Social Data Hub ، والتي كانت تستخدم لمقارنة نفسها مع Cambridge Analytica ، والآن أصبحت نفسها "متخصصة في تطوير أنظمة الذكاء الاصطناعي" . ومع ذلك ، وفقًا لتقارير وسائل الإعلام ، يشارك المشروع أيضًا في التحليل التجاري لبيانات المستخدم الخاصة بالدولة.

من المثير للاهتمام ، على موقع Social Data Hub يمكنك العثور على استجابة Roskomnadzor حول قانونية تشغيل مثل هذه الخدمة. ومع ذلك ، لم يمنع هذا Facebook من رؤية انتهاك اتفاقية مستخدم Facebook وعلامات الاستخدام غير القانوني لل PD في نشاط مركز البيانات الاجتماعية. قام Facebook بحذف حسابات الشركة الناشئة وموظفيها ، كما أرسل خطابًا بالمتطلبات:

  • التوقف فورًا عن معالجة بيانات مستخدمي Facebook وتدمير هذه البيانات ؛
  • تزويد Facebook بقائمة كاملة بجميع البيانات التي تستخدمها الشركة والمنظمات التي يمكنها الوصول إليها ؛
  • امنح ممثلي Facebook إمكانية الوصول إلى مستودعات البيانات للتحقق من حذفها حقًا.

كما أشار ممثل فكونتاكتي إلى أن الشركة أرسلت خطاب مطالبة إلى Social Data Hub. في المقابل ، ينفي مديرو المشروع أي انتهاك لقوانين التطوير المهني ، مدعين أنهم "يطورون البرامج ، وليس بيع البيانات".

الأساس القانوني لممارسة الأعمال التجارية على البيانات الشخصية

من وجهة نظر قانونية ، يتم تنفيذ مشاريع الأعمال القائمة على بيانات المستخدم باستخدام أدوات قانونية مختلفة. من نواح عديدة ، يتم تفسير هذا الوضع من خلال عدم وجود تنظيم تنظيمي لعمليات تسييل بيانات المستخدم. ينص القانون فقط على المتطلبات والشروط الإلزامية التي يمكن بموجبها جمع PD ومعالجته.

الأساس الأكثر شيوعًا لمعالجة PD هو وجود موافقة الموضوع. الحصول على هذه الموافقة ، "الشراء" ، هو على وجه التحديد أساس معظم مشاريع الأعمال القانونية القائمة على بيانات المستخدم. من المهم أن نفهم أن تنفيذ مثل هذا الشراء بعيد كل البعد عن فهم القانون المدني الكلاسيكي لعقد البيع. بالإضافة إلى الحصول مباشرة على الموافقة على تعويض معين عن الملكية ، يمكن معالجة PD في تنفيذ الاتفاقات المبرمة مع المستخدمين المرتبطة بتوفير أي سلع وخدمات (في معظم الحالات ، توفير الوصول إلى المحتوى على الإنترنت).

بالإضافة إلى ذلك ، اكتسبت المشاريع ، بما في ذلك مشروعات ICO ، التي يتمثل هدفها الرئيسي في ضمان تحقيق الدخل القانوني للبيانات الشخصية ، شعبية مؤخرًا. على سبيل المثال ، منصة أوبيريا . يسمح هذا المشروع للمستخدمين بتقديم الموافقة على معالجة بياناتهم الشخصية مقابل رموز PDATA المميزة. وفقًا للمطورين ، هذه المنصة هي "سوق لامركزي عالمي حيث يمكن للشركات شراء البيانات الشخصية مباشرة من المستهلكين بدون وسطاء." في الوقت نفسه ، تضمن أوبيريا للمستخدمين القدرة على التحكم في بياناتهم الشخصية وإدارتها وفقًا لمتطلبات التشريعات الخاصة بالبيانات الشخصية.

في الوقت نفسه ، لا تفقد الوساطة في العمل على البيانات الشخصية أهميتها. تحاول العديد من الشركات إعادة بيع PDs أو تبادلها. لكن مثل هذه المشاريع ستمتثل للقانون فقط عندما يتم الحصول على الموافقة ذات الصلة لنقل PD إلى أطراف ثالثة ومعالجتها اللاحقة.

إن حالة خدمة DeepMind ، التي أبرمت اتفاقية لتبادل البيانات الشخصية مع الخدمة الصحية الوطنية لبريطانيا العظمى ، هي حالة إرشادية. ومع ذلك ، لم ينص الطرفان على الموافقة على نقل ومعالجة بيانات المرضى عن طريق خدمة DeepMind ، وبالتالي تم العثور على انتهاك للتشريع المتعلق بـ PD. على الرغم من أن هذه القضية تستند إلى قواعد القانون الأجنبي ، فإن نتائجها قابلة للتطبيق في الحقائق الروسية. لاحظنا موقفًا مشابهًا ، على سبيل المثال ، في الحالة المذكورة سابقًا لبيع بيانات MGTS حول المشتركين فيها.

بشكل عام ، في روسيا بالنسبة لجميع المشاريع التجارية على PD ، من المهم للغاية الامتثال للمتطلبات العامة للتشريع على PD. على وجه الخصوص ، من الضروري:

  • قصر معالجة PD على أهداف محددة ومحددة سلفًا ؛
  • الحد من كمية البيانات المعالجة إلى الحد الأدنى الضروري لتنفيذ الأهداف المعلنة لمعالجتها ؛
  • عدم الجمع بين قواعد البيانات التي تحتوي على PDs ، والتي تتم معالجتها لأغراض غير متوافقة مع بعضها البعض ؛
  • تدمير أو نزع شخصية PD عند تحقيق أهداف المعالجة أو في حالة فقدان الحاجة إلى تحقيق هذه الأهداف (باستثناء ما ينص عليه القانون صراحة) ؛
  • تحديد الأساس القانوني لمعالجة البيانات الشخصية (في معظم الحالات سيكون هذا موافقة لموضوع البيانات الشخصية ، ولكن قد يكون هناك أيضًا عقد ، ومعيار تشريعي ، وتوافر عام للبيانات الشخصية ، وغير ذلك ) ؛
  • الامتثال لمتطلبات استمارة الموافقة لمعالجة PD ؛
  • التوقف عن المعالجة أو ضمان إنهاء المعالجة من قبل شخص آخر للبيانات الشخصية في حالة الانسحاب من قبل موضوع الموافقة على معالجة البيانات الشخصية.

أما بالنسبة للمشاريع في مجال بيانات المستخدمين الضخمة ، فهناك قضايا قانونية أكثر إثارة للجدل.

  • أولاً ، لا يوجد نهج واحد لفهم البيانات الضخمة.
  • ثانياً ، ينظم التشريع معالجة البيانات الضخمة بشكل جزئي فقط.
  • ثالثا ، لم يتم تطوير موقف لا لبس فيه بشأن مسألة استخدام PDs الموجودة في المجال العام و PDs مجهولة الهوية.
  • رابعاً ، من الصعب تحديد القيمة الحقيقية لبيانات المستخدمين الضخمة.
  • خامساً ، يمكن لتجميع بيانات المستخدمين الكبار من قبل أي شركة أن يولد الحقوق الفكرية لهذه الشركة في قاعدة البيانات. ونتيجة لذلك ، ينشأ تضارب في الحقوق. وأصبحت العلاقات التجارية في هذا المجال غير متوقعة مثل اليانصيب.

من الممكن أن يتغير الوضع في السوق الروسية بعد الحل النهائي لنزاع فكونتاكتي ضد البيانات المزدوجة و / أو اعتماد أي من المبادرات التي تتم مناقشتها حاليًا (على سبيل المثال ، مشروع قانون تنظيم البيانات الضخمة ، مشروع قانون استخدام البيانات الشخصية المجهولة ونقلها إلى الآخرين لإنشاء منصة خاصة لإدارة الموافقة على معالجة PD).

أيضًا ، يوجد مشروع قانون حاليًا في دوما الدولة يهدف إلى تحديد قواعد موضوع جديد للحقوق المدنية مثل الحقوق الرقمية. يقترح مشروع القانون لتنظيم استخدام البيانات الضخمة في العلاقات التعاقدية ، أي تحديد القانون المدني للاتحاد الروسي تصميم العقد لتقديم خدمات المعلومات (المادة 783.1). قد تنص هذه الاتفاقية على عدم الكشف عن المعلومات لأطراف ثالثة لفترة محددة. بالإضافة إلى ذلك ، يقترح مشروع القانون توسيع مفهوم "قاعدة البيانات" على أساس الحاجة إلى حماية قواعد البيانات على أساس البيانات الضخمة.

التوصيات النهائية

وبالتالي ، من الواضح أنه في كل عام هناك المزيد والمزيد من المشاريع التجارية التي تلعب فيها بيانات المستخدم دورًا أساسيًا. يمكن أن تكون بيانات المستخدم الضخمة من الأصول غير الملموسة القيمة ، أو يمكن أن تصبح مسؤولية سامة للشركة إذا لم يكن من المناسب الاقتراب من تداول هذه البيانات وحمايتها. وفقًا للاقتصاديين ، فإن مثل هذه المشاريع جزء لا يتجزأ من الاقتصاد الرقمي ، وسوف ينمو عددهم فقط. نعم ، والآن ، على الرغم من الحواجز القانونية التي تنشأ ، فمن الممكن تمامًا بناء نشاط تجاري على بيانات المستخدم ، إذا كنت تتعامل مع البيانات بشكل مسؤول واتبعت توصيات بسيطة:

  • الامتثال لمتطلبات القانون المعمول به ؛
  • ;
  • ;
  • .

الصورة

Source: https://habr.com/ru/post/ar427233/

More articles:


All Articles