“数据是数字经济的源泉”已经成为一种格言。 实际上,在当今世界中,用户数据已成为最有价值和最受欢迎的资源之一。 因此,根据普华永道,到2018年,全球来自用户数据使用的收入将达到3000亿美元;至于俄罗斯,根据2017年的RBC杂志,俄罗斯个人数据买卖市场的营业额至少为33亿卢布。 此外,专家预测该市场将进一步密集增长。
但是,在业务中使用个人数据尚无适当的法律法规。 当前的立法悬而未决的问题是数据周转率及其货币化的可能性。 而且,在司法实践中,尚未形成通用标准,该通用标准允许在数字经济中在保护用户隐私的需求与商业社区的需求之间找到平衡。
数据:个人,大型还是大型定制?理解术语“用户数据”的基石是“个人数据”(以下简称PD)的规范固定概念。 PD的概念本质上是“橡胶”,这不允许我们明确确定哪些特定数据是指个人数据。 同时,现在的总体趋势是PD概念的一种极其广泛的方法,即与已识别或可识别人员有关的任何信息。 这可以是IP地址,ID,手机号码或信用卡号。
同时,在万维网上积极地处理此类信息并成为许多业务项目(广告,营销,计分)成功的基础对任何人来说都不是秘密。 没有明确的标准可以在PD和大数据之间划清界限。
反过来,“大数据”(Big data)的概念在本质上更具争议性,通常通过其特征来公开:
- 大体积(体积);
- 种类繁多(品种);
- 高速积累和处理(速度);
- 准确性(准确性);
- 可变性(Variability);
- 价值
- 可视化
- 活力(生存力)。
著名的律师兼教授A. I. Savelyev
写道 :“大数据可以定义为动态变化的信息数组,这是有价值的,因为它的数据量很大,并且有可能通过自动化方式进行高效,快速的处理,从而提供了可能性。用于业务流程的分析,预测和自动化。”
数字权利中心的执行合伙人Sarkis Darbinyan在
BIG DATA 2018论坛上发言时解释了其本质:“大数据是异构数据的大量信息流,它由电子设备和在线服务或技术设备的用户不断生成,并以这种方式进行处理实时的。”
到目前为止,在俄罗斯,对大数据的监管还没有统一的认识和方法。 此外,关于谁应该拥有大数据以及如何使用它们如何不侵犯受法律保护的各类数据(PD,商业机密,机密信息,数据库版权)的权利的讨论仍在继续。
PD和大数据的“交集”有时也称为大用户数据。 这个术语没有法律依据,但是,Roskomnadzor Alexander Zharov的负责人
将大用户数据
定义为“信息系统和设备收集的所有用户数据,Internet资源上的用户配置文件,地理位置数据,站点上用户行为的数据”。
关于个人数据的业务项目诉讼使用大用户数据的业务项目不可避免地面临遵守有关保护个人数据的法律的问题。 因此,以下法院案件是生动的例子:
Roskomnadzor与 NBCH ,
Roskomnadzor对阵 MGTS ,
“ HeadHunter” vs。 机器人Vera ,
HeadHunter与 FriendWork和
VKontakte对决 “双重数据” 。
尚未开发使用大用户数据(包括用户在社交网络上发布的数据)的单一方法,而且各个法院的立场仍然混乱。 此外,当事方并非总是根据有关个人数据保护的立法来运作,而是参考数据库的知识产权。 例如,在HeadHunter公司的主张中以及在VKontakte针对Double Data的共鸣案件中,都使用了有关数据库知识产权保护的规则。
Double Data公司收集并使用了在社交网络上发布的用户数据(姓,名,工作地点和学习),用于商业目的。 该公司尚未获得任何其他权限。 Vkontakte维持这样的立场,即这些行为违反了Vkontakte中作为具有用户数据的数据库的制造商而产生的对该数据库的专有邻接权。 另一方面,Double Data坚持数据的开放性,无法禁止信息的重用以及用户自己创建的Vkontakte对数据库的权利的缺乏。 迄今为止(2018年10月),此案已经提交给SIP(撤销案件)。 SIP同意上诉法院的结论,即“案件材料既表明存在相关权利客体(社交网络用户数据库),也存在Vkontakte社会对此客体的专有权”。 法院没有认为被告关于数据库是Vkontakte活动的“副产品”的说法是合理的。 但是,SIP已将一案重新审理到一审法院(会议日期为2018年12月19日),因此VKontakte与Double Data之间的斗争仍在进行中。 看来,此案的最终解决方案将成为现实,并将成为俄罗斯用户数据业务发展的决定性里程碑。
此外,Roskomnadzor案对用户数据业务项目的未来命运至关重要。 MGTS,法院试图在用户权利和商业利益之间寻求平衡。 法院确定MGTS承担行政责任,并确定未经其同意即“转售”有关订户数据的交易侵犯了隐私权。
Roskomnadzor对决的案例也很有趣。 NBCH,尽管它以和解结尾,但在RF武装部队的框架内得出结论,根据Art的含义,用户在社交网络上发布之后的数据不会公开可用。 8联邦法律“关于个人数据”。
在实践中如何基于个人数据开展业务?由于在使用大数据方面缺乏清晰明确的法律方法(“游戏规则”),因此多年来,存在着用于销售个人数据的“灰色”服务。 例如,Dark Web出售各种类型的个人数据:从护照数据到医疗信息以及信用卡密码。 根据MFI Soft分析中心2016年“黑色数据库市场”的
研究结果,俄罗斯的非法数据库市场超过3000万卢布。 而且这个数字还在增长。
但是,不应认为基于个人数据的业务是先验非法的。 旨在通过用户的个人数据货币化的法律项目正在迅速发展:Opiria,Handshake,Datacoup,GoodData,Pillar Project,Personal和其他服务。
此外,在世界惯例中,使用个人数据作为支付的离线项目的示例是已知的。 例如,在美国咖啡馆Shiru中,您可以使用个人数据(姓名,电话号码,电子邮件地址,出生日期和兴趣信息)来支付账单。
但是,许多公司对获取特定主题的PD的兴趣不如对获取反映多个主题的某些征兆的数据数组感兴趣。 因此,从其他公司的数据库获得的价值PD,大用户数据。
通常,公司在服务合同或类似合同中包含数据传输条款。 此外,通过公司之间就个人数据传输或其他类似内容领域中的信息交互协议达成的PD交换项目也被认为很有趣。 例如,这样的协议在医学领域很常见。
在描述使用大用户数据的项目时,不能不提及Double Data项目和类似项目(Clever Data,Scorista,Scorto,FICO,Equifax信用局,国家信用局)。 这些项目大部分使用数据进行后续转售,以及对广告进行评分和个性化。 他们将自己定位为使用开放数据,面对NBCH和Double Data,他们在未经最初处理PD的用户和公司的额外许可的情况下,拥有处理大用户数据的权利。
另外,值得注意的是臭名昭著的剑桥分析公司(Cambridge Analytica),该公司收集了PD用户以分析未经选民(包括Facebook社交网络的PD用户)未经他们同意的政治偏好。 由于采取了这些行动,不仅爆发了政治丑闻,而且不可避免地对Cambridge Analytica和Facebook产生了法律后果。 Cambridge Analytica,Facebook宣布破产,Facebook因未遵守个人数据主体的权利而被罚款50万英镑(约合60万美元):缺乏对用户个人数据的适当保护,以及其处理的透明度不足。
一般来说,Cambridge Analytica-Facebook丑闻具有深远的影响,包括对俄罗斯的影响。 因此,Facebook开始阻止对“可疑”服务的访问,这些服务的活动存在违反PD立法的风险。 例如,最近(在2018年10月上旬),Facebook阻止了俄罗斯初创公司Social Data Hub的66个以上的帐户,个人资料,页面和应用程序,该应用程序过去曾与Cambridge Analytica进行比较,现在定位为“专门从事人工智能系统开发” 。 但是,
根据媒体报道,该项目还针对该州的用户数据进行了商业分析。
有趣的是,在Social Data Hub
网站上,您可以找到Roskomnadzor对此类服务的合法性的回应。 但是,这并没有阻止Facebook在社交数据中心的活动中看到违反Facebook用户协议的迹象和非法使用PD的迹象。 Facebook删除了初创公司及其员工的帐户,并发送了一封要求如下的信:
- 立即停止处理Facebook用户的数据并销毁这些数据;
- 向Facebook提供公司和有权访问它们的组织使用的所有数据的完整列表;
- 为Facebook代表提供访问数据仓库的权限,以验证它们是否确实被删除。
Vkontakte的代表还指出,该公司向社交数据中心发送了索赔信。 反过来,项目经理否认任何违反PD立法的行为,
声称他们是“开发软件,而不是销售数据”。
处理个人数据的法律依据从法律的角度来看,使用各种法律工具实施基于用户数据的业务项目。 在许多方面,这种状况是由于缺乏对用户数据货币化过程的监管规定而解释的。 法律仅规定了可以收集和处理PD的强制性要求和条件。
处理PD的最常见基础是受试者的同意。 获得此类同意(即其“购买”)正是基于用户数据的大多数合法业务项目的基础。 重要的是要理解,这种购买的实现与古典民法对销售合同的理解相去甚远。 除了直接获得对某些财产奖励的同意外,PD处理还可以在执行与与任何商品和服务的提供相关的用户缔结的协议(大多数情况下,提供对Internet内容的访问)时执行PD处理。
此外,包括ICO项目在内的一些项目的主要目标是确保个人数据的合法货币化,这些项目最近已广受欢迎。 例如,
Opiria平台。 该项目允许用户同意处理其个人数据,以换取PDATA令牌。 根据开发商的说法,该平台是“全球分散市场,公司可以直接从消费者那里购买个人数据,而无需中介”。 同时,Opiria保证用户能够根据有关个人数据的法规要求控制和管理其个人数据。
同时,对个人数据进行业务中介也不会失去其相关性。 许多公司正在尝试转售PD或进行交换。 但是,只有在获得将PD转让给第三方并进行后续处理的相关同意后,此类项目才符合法律。
DeepMind服务的案例是具有
代表性的 ,该案例与英国国家卫生局(National Health Service)达成了交换个人数据的协议。 但是,双方均未同意DeepMind服务同意传输和处理患者数据,因此发现违反了PD立法。 尽管此案基于外国法律规范,但其调查结果适用于俄罗斯现实。 例如,在前面提到的MGTS出售其订户数据的情况下,我们观察到了类似的情况。
总体而言,在俄罗斯,所有有关PD的业务项目都必须遵守PD法规的一般要求。 特别是,有必要:
- 将PD处理限制在特定的预定目标上;
- 将处理的数据量限制为实现其规定的处理目标所需的最小数量;
- 不合并包含PD的数据库,出于彼此不兼容的目的而对其进行处理;
- 在达到处理目标时或在失去实现这些目标的需要的情况下销毁PD或使其失去个性(法律明确规定的除外);
- 确定处理个人数据的法律依据(在大多数情况下,这将是个人数据主体的同意,但也可能有合同,法律规范,个人数据的一般可用性, 否则 );
- 遵守处理PD的同意书的要求;
- 在同意处理个人数据的主体撤回的情况下,停止处理或确保其他人终止对个人数据的处理。
对于大用户数据领域的项目,还有更多有争议的法律问题。
- 首先,没有唯一的方法来理解大数据。
- 其次,法律仅部分规管大数据的处理。
- 第三,在使用公共领域的PD和匿名PD的问题上,还没有明确的立场。
- 第四,很难确定大用户数据的真实价值。
- 第五,任何公司对大用户数据的聚合都可以产生该公司对数据库的知识产权。 结果,出现了权利冲突。 在这方面的商业关系变得像彩票一样不可预测。
在Vkontakte关于Double Data的争议的最终解决和/或采用当前正在讨论的任何举措之后,俄罗斯市场的情况可能会发生变化(例如,关于大数据的法规,关于使用匿名个人数据并将其转让给他人的
法案 ,创建一个特殊平台来管理对PD处理的同意)。
国家杜马还有一项
法案 ,旨在确定诸如数字权利之类的新民权主题的规则。 该法案提议规范合同关系中大数据的使用,即在俄罗斯联邦民法典中确定有关提供信息服务的协议的设计(第783.1条)。 本协议可以规定在特定时期内不向第三方披露信息。 此外,该法案建议根据保护基于大数据的数据库的需求来扩展“数据库”的概念。
最终建议因此,很明显,每年都有越来越多的业务项目在其中用户数据起着基本作用。大用户数据可能是宝贵的无形资产,或者如果它不适合处理此类数据的流通和保护,则可能成为公司的有毒责任。根据经济学家的说法,这样的项目是数字经济不可或缺的一部分,并且数量只会不断增加。现在,尽管存在法律上的障碍,但如果您负责任地处理数据并遵循简单的建议,就有可能在用户数据上建立业务: