Internet of Things — это круто. Взять хотя бы автомобили, «общающиеся» между собой, «умные» лампы с подсветкой в тон просматриваемому фильму. Хотя направление IоТ/Connected devices развивается уже добрый десяток лет, рынок таких устройств еще далек от своего пика. Если сами технологии до конца не утвердились, то говорить о юридических механизмах их работы как о свершившемся факте нельзя. Предлагаю заглянуть в день завтрашний и оценить, с чем нам придется столкнуться, когда IоТ- рынок разогреется.
Кейс пользователя
Представьте себе поход в ТРЦ на выходные — обычный досуг жителя Киева (иначе как объяснить такое количество «моллов»). Вход на территорию ТРЦ сопровождается приветствием от администрации на вашем смартфоне и актуальным гидом по скидкам, хотя вы и не устанавливали каких-то специальных приложений — Google Now/Siri передали ваши GPS-координаты на сервер ТРЦ, а он автоматически отправил сообщение.
Проходя мимо магазинов, у вас появляется возможность сделать «чекин» (потому что смартфон считал информацию с RFID- меток магазина) или получить подарок за количество пройденных в этот день шагов от магазина спорттоваров (ваши кроссовки передали данные со встроенных в них трекеров активности). В итоге вы можете как получить удовольствие от похода, сделав выгодные покупки, так и сбежать оттуда (от уведомлений) побыстрее.
Но и это не скроет вас от прелестей IоТ — троллейбус может сообщать всем подключенным к WiFi-сети о том, что он идетв депо еще до своего прибытия, а холодильник напомнит по пути домой, что пора купить яйца. Как вы, возможно, заметили, все эти сервисы могут как облегчить жизнь, так и стать обузой.
И здесь мы уже подбираемся к юридической стороне вопроса. Не буду первооткрывателем, если скажу, что персональные данные — это «нефть» digital-экономики и IоТ в частности. От возможности собирать пользовательские данные уже сейчас зависят такие привычные сервисы, как те же социальные сети, поисковики, сервисы вроде Siri. Впрочем, их попытки использовать наши данные в коммерческих целях выглядят более безобидно в сравнении с описанным выше кейсом, где предметы смогут напрямую, без нашего непосредственного участия, передавать массивы информации о нас и нашем поведении.
Персональные данные — это…
Что же является персональными данными в контексте IoT-устройств? «Персональные данные — сведения или их совокупность о физическом лице, которое идентифицировано или может быть конкретно идентифицировано», — гласит Закон Украины «О персональных данных». По факту же в отсутствие судебной практики в этой сфере персональными данными у нас могут быть (а могут и не быть) совершенно разные виды информации.
Взять хотя бы МАС-адрес устройства. Это уникальный идентификатор сетевой карты устройства. С большой вероятностью МАС-адрес можно соотнести с устройством, использующим сетевую карту, а устройство — с его владельцем. Известна практика использования МАС-адресов для привязки к ним лицензий на ПО. Правда, в некоторых случаях это приводило к проблемам у пользователей — замена сетевой карты или другие сбои в работе устройства приводили к тому, что пользователи не могли пройти проверку на подлинность лицензии. Стало быть, на Украине МАС- адрес (это личное мнение автора, практики ведь еще нет) может быть персональными данными.
В других странах все понятнее. Например, в Италии такие идентификаторы —персональные данные. Googleдаже заплатил 1 млн евро штрафа за несанкционированный сбор информации о WiFi-точках доступа, их МАС-адресах и других данных.
Персональными данными МАС-адреса также считаются в Бельгии, Дании, Люксембурге (исследование World IT Lawyers о защите персональных данных за 2015 год). В то же время Нидерланды, Великобритания, Польша считают, что персональными данными такая информация сама по себе не является, но может стать таковой в определенных условиях — например, вместе с данными геолокации. При этом в некоторых странах сейчас либо происходит переоценка вопроса МАС-адресов (во Франции также идут разбирательства против Google), либо отсутствует однозначная судебная практика, на которую можно было бы ссылаться (Германия).
Если говорить о заокеанском опыте, то в США есть понимание того, что МАС- адреса носимых устройств должны быть персональными данными, а Канада в своей позиции ближе к Великобритании.
Аналогичная история и с IР-адресами устройств — подходы разнятся от страны к стране. Например, в Нидерландах IР-адрес является персональными данными даже без трех последних цифр, а в Великобритании подход таков, что только статические IP-адреса могут действительно идентифицировать личность.
Если мы говорим об IоТ, то обычно это устройства, использующие те или иные технологии мобильной связи, то есть наверняка имеют свой IMEI или другой уникальный номер вроде UDID. На ум приходят также Android ID и IDFA— идентификаторы устройств, использующиеся для таргетирования рекламы на устройства. Западные страны в своем большинстве признают такие идентификаторы персональными данными, что логично.
В нашем кейсе я также упомянул данные о локации. Как и в случае с МАС- адресами, необходимо учитывать связь этих данных с устройством, положение которого отслеживается, — от этого зависит возможность идентифицировать владельца. Хотя есть примеры и законодательного регулирования вопроса — в Великобритании Privacy & Electronic Communications Regulations прямо предусматривают запрет на сбор локационных данных в случае, если это приводит к идентификации пользователя. При этом исключением из правила является предоставление по согласию пользователя «услуг с добавленной стоимостью».
Отдельно, конечно, стоит вспомнить о том, что биометрические данные (новинка для нас) во многих странах относятся к «чувствительным» персональным данным, то есть их сбор и разглашение/использо- вание защищаются более жестко (в частности, требования к согласию на использование таких данных обычно выше), но спрятанный в недрах Terms of Use пункт о сборе биометрических данных не всегда гарантирует соответствие закону. При этом под биометрическими данными могут понимать также поведенческие особенности человека — то есть данные трекеров активности могут попасть в категорию биометрии. И это тоже оправданно, учитывая то, что данные фитнес-браслетов успешно используются в бракоразводных и уголовных процессах в США.
Что дальше?
Уже сейчас защита персональных данных проходит новый виток эволюции, к которому ее подталкивают современные технологии — ведь еще 20 лет назад о каких-то IDFAвообще не знали, а МАС- адреса не могли быть персональными данными, потому что портативные компьютеры только начали появляться на рынке. Когда мы шагнем в дивный мир «умных троллейбусов» и «приветливых шопинг-моллов», нужно быть готовыми к тому, что данные с наших устройств и окружающих объектов смогут рассказать о нас гораздо больше, чем мы можем представить. Поэтому в понятном регулировании таких вопросов должны быть равноценно заинтересованы как бизнес, так и пользователи этих технологий — благо есть опыт других стран.
БЕРЕГОВОЙ Денис — соучредитель, партнер ЮКАхоп Partners, г. Киев
Соблюсти баланс
ЮлияСЕМЕНИЙ,
партнер ЮФ Asters
В современных условиях сверхбыстрого прогресса технологий законодательство не может полностью и безоговорочно успевать за таким развитием. Поэтому многое зависит от правоприменительной практики. А задача законодателя — избегать излишне узких рамок, которые могут ускорять утрату законом актуальности. С портативными устройствами ситуация осложняется тем, чтоони могут служить средством сбора и хранения персональных данных в самых различных ситуациях и с участием широкого круга лиц.
Примером довольно удачной адаптации законодательства может быть эволюция понятия «согласие субъекта персональных данных на обработку данных», которая в результате фактически закрепила возможность давать согласие в электронной форме. При этом нужно учитывать, что проблематика защиты персональных данных связана непосредственно с расширением пользовательских возможностей, поэтому и в нормативном регулировании, и в правоприменении необходимо соблюдать баланс интересов пользователей и обязательств провайдеров.
© Юридична практика, 1997-2024. Всі права захищені
Кількість адвокатських балів | Вартість |
---|---|
Відеокурс з адвокатської етики | 650 грн |
10 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 2200 грн |
16 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 3500 грн |
8 адвокатських балів (без адвокатської етики) | 1800 грн |
Щодо додаткової інформації
Email: [email protected]
Тел. +38 (050) 449-01-09
Пожалуйста, подождите…