Geekly articles weekly

Bisnis tentang data pribadi: bagaimana cara berhasil dan tidak melanggar hukum?

gambar

"Data adalah minyak dari ekonomi digital" adalah ungkapan yang sudah menjadi pepatah. Memang, di dunia saat ini, data pengguna telah menjadi salah satu sumber daya yang paling berharga dan dicari. Dengan demikian, menurut PwC, pada tahun 2018, pendapatan global dari penggunaan data pengguna akan mencapai $ 300 miliar. Adapun Rusia, menurut majalah RBC pada 2017, omset pasar untuk penjualan dan pembelian data pribadi di Rusia berjumlah setidaknya 3,3 miliar rubel. Selain itu, para ahli memprediksi pertumbuhan intensif lebih lanjut dari pasar ini.

Namun, penggunaan data pribadi dalam bisnis belum memiliki peraturan hukum yang tepat. Undang-undang saat ini meninggalkan pertanyaan tentang pergantian data dan kemungkinan monetisasi. Juga, dalam praktik peradilan, kriteria universal belum dibentuk yang memungkinkan menemukan keseimbangan antara kebutuhan untuk melindungi privasi pengguna dan kebutuhan komunitas bisnis dalam ekonomi digital.

Data: Personal, Kustom Besar atau Besar?
  • Data pribadi

Landasan untuk memahami istilah "data pengguna" adalah konsep tetap yang tetap dari "data pribadi" (selanjutnya - PD). Konsep PD adalah "karet" di alam, yang tidak memungkinkan kita untuk secara jelas menentukan data spesifik mana yang merujuk pada data pribadi. Pada saat yang sama, tren umum sekarang adalah pendekatan yang sangat luas untuk konsep PD - informasi apa pun yang berkaitan dengan orang yang diidentifikasi atau diidentifikasi. Ini bisa berupa alamat IP, ID, nomor ponsel atau nomor kartu kredit.

Pada saat yang sama, bukanlah rahasia bagi siapa pun bahwa informasi tersebut diproses secara aktif di World Wide Web dan menjadi dasar bagi keberhasilan banyak proyek bisnis (periklanan, pemasaran, penilaian). Dan tidak ada kriteria yang jelas yang memungkinkan untuk menarik garis antara PD dan Big Data.

  • Data besar

Pada gilirannya, konsep "data besar" (Big data) bahkan lebih bisa diperdebatkan dan biasanya diungkapkan melalui karakteristiknya:

  • volume besar (Volume);
  • berbagai macam (Variety);
  • kecepatan tinggi akumulasi dan pemrosesan (Velocity);
  • akurasi (Veracity);
  • variabilitas (Variabilitas);
  • nilai
  • visualisasi
  • vitalitas (Viabilitas).

Pengacara dan profesor terkenal A. I. Savelyev menulis bahwa “data besar dapat didefinisikan sebagai susunan informasi yang berubah secara dinamis, yang berharga karena volume yang besar dan kemungkinan pemrosesan yang efisien dan cepat dengan cara otomatis, yang, pada gilirannya, memberikan kemungkinan untuk itu gunakan untuk analisis, peramalan, dan otomatisasi proses bisnis. "

Sarkis Darbinyan, mitra pengelola Center for Digital Rights, berbicara di forum BIG DATA 2018 , menjelaskan sifat mereka: “Data besar adalah aliran besar informasi data heterogen yang terus-menerus dihasilkan oleh pengguna perangkat elektronik dan layanan online atau perangkat teknis, dan juga diproses dalam mode waktu nyata. "

Di Rusia sejauh ini tidak ada pemahaman dan pendekatan tunggal terhadap regulasi Big Data. Selain itu, diskusi berlanjut tentang siapa yang harus memiliki Big Data dan bagaimana, menggunakannya, tidak melanggar hak untuk berbagai kategori data yang dilindungi oleh hukum (PD, rahasia komersial, informasi rahasia, hak cipta ke database).

  • Data pengguna besar

"Persimpangan" PD dan Data Besar terkadang disebut Data Pengguna Besar. Istilah ini tidak memiliki fiksasi hukum, namun, kepala Roskomnadzor Alexander Zharov mendefinisikan Data Pengguna Besar sebagai “semua data pengguna yang dikumpulkan oleh sistem dan perangkat informasi, profil pengguna pada sumber daya Internet, data geolokasi, data tentang perilaku pengguna di situs”.

Litigasi proyek bisnis tentang data pribadi

Proyek bisnis yang menggunakan data pengguna besar mau tidak mau menghadapi masalah kepatuhan dengan undang-undang tentang perlindungan data pribadi. Jadi, kasus-kasus pengadilan berikut adalah contoh nyata: Roskomnadzor vs. NBCH , Roskomnadzor vs. MGTS , "HeadHunter" vs. Robot Vera , HeadHunter vs. FriendWork dan VKontakte vs. "Data Ganda" .

Pendekatan tunggal untuk penggunaan data pengguna besar, termasuk yang diposting oleh pengguna di jejaring sosial, belum dikembangkan, dan posisi berbagai pengadilan masih kacau. Selain itu, para pihak tidak selalu beroperasi berdasarkan undang-undang tentang perlindungan data pribadi, tetapi merujuk pada hak intelektual ke database. Misalnya, aturan tentang perlindungan hak intelektual ke database digunakan dalam kasus-kasus dalam klaim perusahaan HeadHunter, serta dalam kasus resonansi VKontakte terhadap Double Data.

Perusahaan Double Data mengumpulkan dan menggunakan data pengguna untuk keperluan komersial yang diposting di jejaring sosial (nama belakang, nama depan, tempat kerja dan studi). Perusahaan belum menerima izin tambahan. Vkontakte mempertahankan posisi bahwa tindakan tersebut melanggar hak tetangga eksklusif untuk database yang muncul di Vkontakte sebagai pembuat database seperti itu dengan data pengguna. Double Data, di sisi lain, menekankan keterbukaan data, ketidakmampuan untuk melarang penggunaan kembali informasi dan kurangnya hak Vkontakte terhadap database yang dibuat oleh pengguna sendiri. Sampai saat ini (Oktober 2018), kasus ini telah sampai ke SIP (contoh kasasi). SIP setuju dengan kesimpulan pengadilan banding bahwa "materi kasus menunjukkan keberadaan objek hak terkait (database pengguna jaringan sosial) dan keberadaan hak eksklusif masyarakat Vkontakte untuk objek ini." Argumen terdakwa tentang database sebagai “produk sampingan” dari aktivitas Vkontakte tidak diakui oleh pengadilan sebagai hal yang wajar. Namun, SIP mengirim kasus untuk persidangan baru ke pengadilan tingkat pertama (tanggal pertemuan adalah 19 Desember 2018), dan oleh karena itu pertempuran antara VKontakte dan Double Data masih berlangsung. Tampaknya setelah penyelesaian akhir dari kasus ini akan menjadi praktis dan akan menjadi tonggak yang menentukan untuk pengembangan bisnis pada data pengguna di Rusia.

Selain itu, kasus Roskomnadzor vs penting untuk nasib masa depan proyek bisnis pada data pengguna. MGTS, di mana pengadilan mencoba menemukan keseimbangan antara hak pengguna dan kepentingan bisnis. Pengadilan membawa perusahaan MGTS ke tanggung jawab administratif, setelah menetapkan bahwa transaksi pada "penjualan kembali" data tentang pelanggan tanpa persetujuan mereka melanggar hak privasi.

Juga menarik adalah kasus Roskomnadzor vs NBCH, yang, meskipun berakhir dengan penyelesaian, tetapi dalam kerangka kerja yang mana Angkatan Bersenjata RF menyimpulkan bahwa data setelah mereka diposting oleh pengguna di jejaring sosial tidak tersedia untuk umum sesuai dengan makna Seni. 8 Hukum Federal "Tentang Data Pribadi".

Bagaimana bisnis berdasarkan data pribadi diimplementasikan dalam praktik?

Karena kurangnya pendekatan hukum yang jelas dan tidak ambigu ("aturan main") tentang penggunaan data besar, selama bertahun-tahun sekarang ada layanan "abu-abu" untuk menjual data pribadi. Misalnya, Web Gelap, yang menjual berbagai jenis data pribadi: dari data paspor ke informasi medis dan kata sandi dari kartu kredit. Menurut hasil penelitian "Pasar Basis Data Hitam" dari pusat analitik MFI Soft untuk 2016, pasar untuk basis data ilegal di Rusia lebih dari 30 juta rubel. Dan angka ini hanya bertambah.

Namun demikian, seseorang tidak boleh berasumsi bahwa bisnis berdasarkan data pribadi adalah apriori ilegal. Proyek hukum yang bertujuan untuk memonetisasi pengguna PD berkembang pesat: Opiria, Handshake, Datacoup, GoodData, Proyek Pilar, Layanan pribadi dan lainnya.

Selain itu, contoh proyek offline menggunakan data pribadi sebagai pembayaran dikenal dalam praktik dunia. Misalnya, di kafe Amerika Shiru Anda dapat membayar tagihan dengan data pribadi Anda (nama, nomor telepon, alamat email, tanggal lahir, dan informasi tentang minat).

Namun, banyak perusahaan yang tertarik untuk tidak mendapatkan PD dari subjek tertentu seperti dalam memperoleh serangkaian data yang mencerminkan tanda-tanda tertentu dari sejumlah subjek. Oleh karena itu, nilai yang diperoleh dari perusahaan lain database PD, data pengguna besar.

Seringkali, perusahaan memasukkan klausa transfer data dalam kontrak layanan atau sejenisnya. Selain itu, proyek pertukaran PD yang dilaksanakan melalui perjanjian antara perusahaan tentang interaksi informasi di bidang transfer data pribadi atau konten serupa lainnya dipandang menarik. Misalnya, perjanjian seperti itu biasa di bidang medis.

Juga menggambarkan proyek yang bekerja dengan Data Pengguna Besar, orang tidak dapat tidak menyebut proyek Data Ganda dan yang serupa (Data Pintar, Scorista, Scorto, FICO, Biro Kredit Equifax, Biro Kredit Nasional). Proyek-proyek ini, sebagian besar, menggunakan data untuk dijual kembali berikutnya, serta untuk mencetak dan mempersonalisasikan iklan. Mereka memposisikan diri sebagai bekerja dengan data terbuka, menyatakan dalam menghadapi NBCH dan Double Data di pengadilan hak mereka untuk memproses data pengguna besar tanpa izin tambahan dari pengguna dan perusahaan yang memproses PD pada awalnya.

Secara terpisah, perlu dicatat perusahaan terkenal Cambridge Analytica, yang mengumpulkan pengguna PD untuk menganalisis preferensi politik pemilih tanpa persetujuan mereka, termasuk pengguna PD dari jejaring sosial Facebook. Sebagai akibat dari tindakan tersebut, tidak hanya skandal politik meletus, tetapi mau tidak mau ada konsekuensi hukum bagi Cambridge Analytica dan Facebook. Cambridge Analytica, Facebook menyatakan kebangkrutan, dan Facebook didenda £ 500 ribu (sekitar $ 600 ribu) karena tidak mematuhi hak-hak subjek data pribadi: kurangnya perlindungan yang tepat terhadap data pribadi pengguna dan kurangnya transparansi pemrosesan mereka.

Secara umum, skandal Cambridge Analytica-Facebook memiliki konsekuensi yang luas, termasuk untuk Rusia. Jadi, Facebook mulai memblokir akses ke layanan "mencurigakan", kegiatan yang memungkinkan risiko pelanggaran undang-undang PD. Misalnya, baru-baru ini (pada awal Oktober 2018), Facebook memblokir lebih dari 66 akun, profil, halaman, dan aplikasi dari startup Rusia, Social Data Hub, yang dulu membandingkan dirinya dengan Cambridge Analytica, dan sekarang memposisikan dirinya sebagai "mengkhususkan diri dalam pengembangan sistem kecerdasan buatan" . Namun, menurut laporan media, proyek ini juga terlibat dalam analisis komersial data pengguna untuk negara.

Menariknya, di situs web Social Data Hub Anda dapat menemukan respons Roskomnadzor tentang legalitas pengoperasian layanan semacam itu. Namun, ini tidak mencegah Facebook melihat pelanggaran perjanjian pengguna Facebook dan tanda-tanda penggunaan ilegal PD dalam aktivitas Hub Data Sosial. Facebook menghapus akun startup dan karyawannya, dan juga mengirim surat dengan persyaratan:

  • segera hentikan pemrosesan data pengguna Facebook dan hancurkan data ini;
  • Berikan Facebook daftar lengkap semua data yang digunakan oleh perusahaan dan organisasi yang memiliki akses ke data tersebut;
  • Berikan perwakilan Facebook akses ke gudang data untuk memverifikasi bahwa mereka benar-benar dihapus.

Perwakilan Vkontakte juga mencatat bahwa perusahaan mengirim surat klaim ke Social Data Hub. Pada gilirannya, manajer proyek menyangkal adanya pelanggaran undang-undang PD, mengklaim bahwa mereka "mengembangkan perangkat lunak, bukan menjual data."

Dasar hukum untuk melakukan bisnis pada data pribadi

Dari sudut pandang hukum, proyek bisnis berdasarkan data pengguna diimplementasikan menggunakan berbagai alat hukum. Dalam banyak hal, keadaan ini dijelaskan oleh kurangnya peraturan regulasi tentang proses monetisasi data pengguna. Undang-undang hanya mengatur persyaratan dan ketentuan wajib di mana PD dapat dikumpulkan dan diproses.

Dasar paling umum untuk memproses PD adalah adanya persetujuan subjek. Memperoleh persetujuan semacam itu, "pembelian" -nya, justru menjadi dasar dari sebagian besar proyek bisnis legal berdasarkan data pengguna. Penting untuk dipahami bahwa implementasi pembelian semacam itu jauh dari pemahaman hukum perdata klasik tentang kontrak penjualan. Selain secara langsung mendapatkan persetujuan untuk hadiah properti tertentu, pemrosesan PD dimungkinkan dalam pelaksanaan perjanjian yang disimpulkan dengan pengguna yang terkait dengan penyediaan barang dan jasa (dalam banyak kasus, menyediakan akses ke konten di Internet).

Selain itu, proyek, termasuk proyek ICO, yang tujuan utamanya adalah untuk memastikan monetisasi legal data pribadi, baru-baru ini mendapatkan popularitas. Misalnya, platform Opiria . Proyek ini memungkinkan pengguna untuk memberikan persetujuan pada pemrosesan data pribadi mereka dengan imbalan token PDATA. Menurut pengembang, platform ini adalah "pasar desentralisasi global di mana perusahaan dapat membeli data pribadi langsung dari konsumen tanpa perantara." Pada saat yang sama, Opiria menjamin pengguna kemampuan untuk mengontrol dan mengelola data pribadi mereka sesuai dengan persyaratan undang-undang tentang data pribadi.

Pada saat yang sama, intermediasi dalam bisnis pada data pribadi tidak kehilangan relevansinya. Banyak perusahaan mencoba untuk menjual kembali PD atau melakukan pertukaran mereka. Tetapi proyek-proyek tersebut akan mematuhi hukum hanya ketika persetujuan yang relevan telah diperoleh untuk transfer PD ke pihak ketiga dan proses selanjutnya.

Kasus layanan DeepMind , yang menyimpulkan kesepakatan pertukaran data pribadi dengan Layanan Kesehatan Nasional Inggris Raya, merupakan indikasi. Namun, para pihak tidak memberikan persetujuan untuk transfer dan pemrosesan data pasien oleh layanan DeepMind, dan karena itu pelanggaran undang-undang tentang PD ditemukan. Meskipun kasus ini didasarkan pada norma-norma hukum asing, temuannya berlaku dalam realitas Rusia. Kami mengamati posisi yang sama, misalnya, dalam kasus penjualan data MGTS yang disebutkan sebelumnya tentang pelanggannya.

Secara umum, di Rusia untuk semua proyek bisnis tentang PD, sangat penting untuk mematuhi persyaratan umum undang-undang tentang PD. Secara khusus, perlu:

  • untuk membatasi pemrosesan PD hanya untuk tujuan spesifik yang telah ditentukan;
  • membatasi jumlah data yang diolah hingga jumlah minimum yang diperlukan untuk implementasi tujuan yang dinyatakan dari pemrosesan mereka;
  • tidak untuk menggabungkan basis data yang mengandung PD, pemrosesan yang dilakukan untuk tujuan yang tidak kompatibel satu sama lain;
  • Hancurkan atau depersonalisasikan PD pada pencapaian tujuan pemrosesan atau dalam kasus kehilangan kebutuhan untuk mencapai tujuan-tujuan ini (kecuali sebagaimana ditentukan oleh undang-undang);
  • menentukan dasar hukum untuk pemrosesan data pribadi (dalam banyak kasus ini akan menjadi persetujuan subjek data pribadi, tetapi mungkin juga ada kontrak, norma legislatif, ketersediaan umum data pribadi, lainnya );
  • mematuhi persyaratan untuk formulir persetujuan untuk memproses PD;
  • berhenti memproses atau memastikan penghentian pemrosesan oleh orang lain dari data pribadi dalam kasus penarikan oleh subjek persetujuan untuk pemrosesan data pribadi.

Adapun proyek-proyek di bidang Data Pengguna Besar, bahkan ada masalah hukum yang lebih kontroversial.

  • Pertama, tidak ada pendekatan tunggal untuk memahami Big Data.
  • Kedua, undang-undang mengatur pemrosesan Big Data hanya sebagian.
  • Ketiga, posisi tegas belum dikembangkan pada masalah menggunakan PD yang ada di domain publik dan PD anonim.
  • Keempat, sulit untuk menentukan nilai nyata dari data pengguna besar.
  • Kelima, agregasi data pengguna besar oleh perusahaan mana pun dapat menghasilkan hak intelektual perusahaan ini ke dalam basis data. Akibatnya, timbul konflik hak. Dan hubungan komersial di bidang ini menjadi tidak terduga seperti lotre.

Ada kemungkinan bahwa situasi di pasar Rusia akan berubah setelah resolusi akhir dari perselisihan Vkontakte terhadap data ganda dan / atau adopsi inisiatif yang saat ini sedang dibahas (misalnya, RUU tentang regulasi data besar, RUU tentang penggunaan dan transfer ke orang lain dari data pribadi yang dianonimkan, inisiatif untuk membuat platform khusus untuk mengelola persetujuan untuk pemrosesan PD).

Ada juga undang - undang di Duma Negara yang bertujuan untuk menentukan aturan untuk subjek baru seperti hak-hak sipil seperti hak digital. RUU tersebut mengusulkan untuk mengatur penggunaan Big Data dalam hubungan kontraktual, yaitu, untuk memperbaiki dalam Kode Sipil Federasi Rusia desain perjanjian tentang penyediaan layanan untuk penyediaan informasi (Pasal 783.1). Perjanjian ini dapat menyediakan informasi yang tidak diungkapkan kepada pihak ketiga untuk periode tertentu. Selain itu, RUU tersebut mengusulkan untuk memperluas konsep "database" berdasarkan kebutuhan untuk melindungi basis data berdasarkan Big Data.

Rekomendasi akhir

Dengan demikian, jelas bahwa setiap tahun ada semakin banyak proyek bisnis di mana data pengguna memainkan peran mendasar. Data pengguna yang besar dapat menjadi aset tidak berwujud yang berharga, atau dapat menjadi tanggung jawab toksik bagi perusahaan jika tidak tepat untuk mendekati sirkulasi dan perlindungan data tersebut. Menurut para ekonom, proyek-proyek semacam itu merupakan bagian integral dari ekonomi digital, dan jumlah mereka hanya akan bertambah. Dan sekarang, terlepas dari hambatan hukum yang muncul, sangat mungkin untuk membangun bisnis berdasarkan data pengguna jika Anda mendekati data secara bertanggung jawab dan mengikuti rekomendasi sederhana:

  • mematuhi persyaratan hukum yang berlaku;
  • ;
  • ;
  • .

gambar

Source: https://habr.com/ru/post/id427233/

More articles:


All Articles