Internet of Things — это круто. Взять хотя бы авто­мобили, «общаю­щиеся» между собой, «умные» лампы с подсветкой в тон просматривае­мому фильму. Хотя направление IоТ/Connected devices развивается уже добрый десяток лет, рынок таких устройств еще далек от своего пика. Если сами техноло­гии до конца не утвердились, то говорить о юридических механизмах их работы как о свершившемся факте нельзя. Предлагаю заглянуть в день завтрашний и оценить, с чем нам придется столкнуться, когда IоТ- рынок разогреется.

Кейс пользователя

Представьте себе поход в ТРЦ на выход­ные — обычный досуг жителя Киева (иначе как объяснить такое количество «моллов»). Вход на территорию ТРЦ сопровождается приветствием от администрации на вашем смартфоне и актуальным гидом по скид­кам, хотя вы и не устанавливали каких-то специальных приложений — Google Now/Siri передали ваши GPS-координаты на сервер ТРЦ, а он автоматически отправил сообщение.

Проходя мимо магазинов, у вас появля­ется возможность сделать «чекин» (потому что смартфон считал информацию с RFID- меток магазина) или получить подарок за количество пройденных в этот день шагов от магазина спорттоваров (ваши кроссовки передали данные со встроенных в них тре­керов активности). В итоге вы можете как получить удовольствие от похода, сделав выгодные покупки, так и сбежать оттуда (от уведомлений) побыстрее.

Но и это не скроет вас от прелестей IоТ — троллейбус может сообщать всем подключенным к WiFi-сети о том, что он идетв депо еще до своего прибытия, а холо­дильник напомнит по пути домой, что пора купить яйца. Как вы, возможно, заметили, все эти сервисы могут как облегчить жизнь, так и стать обузой.

И здесь мы уже подбираемся к юриди­ческой стороне вопроса. Не буду первоот­крывателем, если скажу, что персональные данные — это «нефть» digital-экономики и IоТ в частности. От возможности соби­рать пользовательские данные уже сейчас зависят такие привычные сервисы, как те же социальные сети, поисковики, сервисы вроде Siri. Впрочем, их попытки использо­вать наши данные в коммерческих целях выглядят более безобидно в сравнении с описанным выше кейсом, где предметы смогут напрямую, без нашего непосред­ственного участия, передавать массивы информации о нас и нашем поведении.

Персональные данные — это…

Что же является персональными дан­ными в контексте IoT-устройств? «Пер­сональные данные — сведения или их совокупность о физическом лице, кото­рое идентифицировано или может быть конкретно идентифицировано», — гласит Закон Украины «О персональных данных». По факту же в отсутствие судебной прак­тики в этой сфере персональными дан­ными у нас могут быть (а могут и не быть) совершенно разные виды информации.

Взять хотя бы МАС-адрес устройства. Это уникальный идентификатор сетевой карты устройства. С большой вероятно­стью МАС-адрес можно соотнести с уст­ройством, использующим сетевую карту, а устройство — с его владельцем. Известна практика использования МАС-адресов для привязки к ним лицензий на ПО. Правда, в некоторых случаях это приводило к про­блемам у пользователей — замена сетевой карты или другие сбои в работе устройства приводили к тому, что пользователи не могли пройти проверку на подлинность лицензии. Стало быть, на Украине МАС- адрес (это личное мнение автора, практики ведь еще нет) может быть персональными данными.

В других странах все понятнее. Напри­мер, в Италии такие идентификаторы —персональные данные. Googleдаже запла­тил 1 млн евро штрафа за несанкциониро­ванный сбор информации о WiFi-точках доступа, их МАС-адресах и других данных.

Персональными данными МАС-адреса также считаются в Бельгии, Дании, Люк­сембурге (исследование World IT Lawyers о защите персональных данных за 2015 год). В то же время Нидерланды, Великобри­тания, Польша считают, что персональ­ными данными такая информация сама по себе не является, но может стать таковой в определенных условиях — например, вместе с данными геолокации. При этом в некоторых странах сейчас либо происхо­дит переоценка вопроса МАС-адресов (во Франции также идут разбирательства про­тив Google), либо отсутствует однозначная судебная практика, на которую можно было бы ссылаться (Германия).

Если говорить о заокеанском опыте, то в США есть понимание того, что МАС- адреса носимых устройств должны быть персональными данными, а Канада в своей позиции ближе к Великобритании.

Аналогичная история и с IР-адресами устройств — подходы разнятся от страны к стране. Например, в Нидерландах IР-адрес является персональными данными даже без трех последних цифр, а в Великобрита­нии подход таков, что только статические IP-адреса могут действительно идентифи­цировать личность.

Если мы говорим об IоТ, то обычно это устройства, использующие те или иные технологии мобильной связи, то есть наверняка имеют свой IMEI или другой уникальный номер вроде UDID. На ум приходят также Android ID и IDFA— иден­тификаторы устройств, использующиеся для таргетирования рекламы на устройства. Западные страны в своем большинстве признают такие идентификаторы персо­нальными данными, что логично.

В нашем кейсе я также упомянул дан­ные о локации. Как и в случае с МАС- адресами, необходимо учитывать связь этих данных с устройством, положение которого отслеживается, — от этого зависит возможность идентифицировать владельца. Хотя есть примеры и зако­нодательного регулирования вопроса — в Великобритании Privacy & Electronic Communications Regulations прямо преду­сматривают запрет на сбор локационных данных в случае, если это приводит к идентификации пользователя. При этом исключением из правила является пре­доставление по согласию пользователя «услуг с добавленной стоимостью».

Отдельно, конечно, стоит вспомнить о том, что биометрические данные (новинка для нас) во многих странах относятся к «чувствительным» персональным данным, то есть их сбор и разглашение/использо- вание защищаются более жестко (в част­ности, требования к согласию на исполь­зование таких данных обычно выше), но спрятанный в недрах Terms of Use пункт о сборе биометрических данных не всегда гарантирует соответствие закону. При этом под биометрическими данными могут понимать также поведенческие особен­ности человека — то есть данные трекеров активности могут попасть в категорию биометрии. И это тоже оправданно, учи­тывая то, что данные фитнес-браслетов успешно используются в бракоразводных и уголовных процессах в США.

Что дальше?

Уже сейчас защита персональных дан­ных проходит новый виток эволюции, к которому ее подталкивают современные технологии — ведь еще 20 лет назад о каких-то IDFAвообще не знали, а МАС- адреса не могли быть персональными данными, потому что портативные ком­пьютеры только начали появляться на рынке. Когда мы шагнем в дивный мир «умных троллейбусов» и «приветливых шопинг-моллов», нужно быть готовыми к тому, что данные с наших устройств и окру­жающих объектов смогут рассказать о нас гораздо больше, чем мы можем предста­вить. Поэтому в понятном регулировании таких вопросов должны быть равноценно заинтересованы как бизнес, так и пользо­ватели этих технологий — благо есть опыт других стран.

БЕРЕГОВОЙ Денис — соучредитель, партнер ЮКАхоп Partners, г. Киев

 

 

---

Мнение

Соблюсти баланс

ЮлияСЕМЕНИЙ,

партнер ЮФ Asters

В современных условиях сверх­быстрого прогресса технологий законо­дательство не может полностью и безо­говорочно успевать за таким развитием. Поэтому многое зависит от правоприме­нительной практики. А задача законода­теля — избегать излишне узких рамок, которые могут ускорять утрату законом актуальности. С портативными устрой­ствами ситуация осложняется тем, чтоони могут служить средством сбора и хранения персональных данных в самых различных ситуациях и с участием широ­кого круга лиц.

Примером довольно удачной адапта­ции законодательства может быть эволю­ция понятия «согласие субъекта персо­нальных данных на обработку данных», которая в результате фактически закрепила возможность давать согласие в электрон­ной форме. При этом нужно учитывать, что проблематика защиты персональных данных связана непосредственно с расши­рением пользовательских возможностей, поэтому и в нормативном регулировании, и в правоприменении необходимо соблю­дать баланс интересов пользователей и обязательств провайдеров.