Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по гособоронзаказу.

12/08/2019 

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Реклама





Партнеры





«Закон о персональных данных заточен на бумагу; это сдерживает развитие цифровой экономики»

"Business guide Экономика региона". Приложение №220 от

Операторы больших данных заявляют о растущей потребности в обмене ими в обезличенном виде. Создание такого механизма упирается в законодательство, регулирующее оборот персональных данных. Директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович считает, что российская нормативно-правовая база в сфере оборота данных требует слишком больших объемов бумажного документооборота

BUSINESS GUIDE: В одном из интервью вы говорили, что термин «большие данные» не имеет четкого определения в законодательстве ни одной из стран мира, включая Россию. Как в таком случае они могут быть одной из базовых технологий для принятых на федеральном уровне национальных проектов: «Цифровая экономика», «Наука» и др.?

Александра Орехович: Большие данные — это очень сложный составной термин. Речь о сквозной технологии, которая используется во множестве решений в самых разных сферах. Это и промышленные данные, и статистические, и персональные (ПДн.— «ЭР»).

Что касается нацпроектов, я хоть и юрист, но не сторонник избыточного формализма и не склонна настаивать на том, чтобы под каждый чих в рамках национальных стратегий было подведено нормативно-правовое определение любого слова.

BG: Вы также говорили, что персональные данные есть в распоряжении у всех, кто работает с ними, даже у тех, кто не имеет соответствующего статуса оператора. Почему эта коллизия не урегулирована законодательно?

А. О.: Главная сложность здесь — в разграничении типов данных. Например, в Краснодаре есть проект Magrotech, получивший поддержку ФРИИ. Это сервис для оптимизации питания растений — полива, удобрения и т. д. Понятно, что для его работы необходимо собирать данные об урожайности и других параметрах. По идее, такая сводка с полей — это промышленные данные. Но в некоторых случаях, добавив к ним информацию, скажем о времени и местоположении, можно вычислить персональные данные конкретного механизатора. То есть большие данные объединяют в себе огромное количество разной информации, в том числе той, использование которой уже урегулировано тем же федеральным законом «О персональных данных» №152-ФЗ. Поэтому невозможно урегулировать использование больших данных в целом. Регулировать нужно каждый тип данных в частности.

BG: Защиту промышленных данных может регулировать закон «О коммерческой тайне», персональных — упомянутый выше 152-ФЗ. Чего же не хватает?

А. О.: Четких правил игры. Предположим, есть некий массив обезличенных данных, например статистических. Закон «О персональных данных» гласит, что сбор обезличенных данных в целях статистики никаких согласий не требует. Но с точки зрения правоприменительной практики совершенно непонятно, что такое исследовательские статистические цели.

Кроме того, Роскомнадзор ввел дополнительные ограничения на использование данных, выпустив разъяснение, согласно которому даже для решения исследовательских задач данные могут брать только научно-исследовательские учреждения. Но если вы получили персональные данные, зашифровали их, чтобы обезличить, и передали другому оператору, то без ключа шифрования он никогда не доберется до конкретных персоналий. Так почему он не может в дальнейшем использовать их в своих целях? В законе говорится, что даже обезличенные персональные данные остаются персональными и что оператор обязан запрашивать разрешение владельца на их использование. И это при том, что владелец обезличенных данных обычно не стремится к тому, чтобы становиться оператором ПДн.

в России никто не понимает, как обмениваться данными: куда ни ткни, требуется согласие субъекта ПДн, причем, как правило, в бумажном виде. XXI век на дворе, блокчейн и криптовалюты шагают по планете, а мы все еще собираем бумажные согласия»



BG: Почему обладать подобным статусом невыгодно?

А. О.: Приведу пример. Допустим, владелец обезличенных данных разрабатывает задание на закупку лекарств для какого-нибудь региона России. Есть данные о том, сколько жителей региона заболевает в течение одного месяца, сколько — в другом месяце. На их основе можно понять, сколько и каких лекарств необходимо региональному рынку в конкретном периоде, как сформировать задание на закупку медикаментов, чтобы не было дефицита лекарств. И, если я этим занимаюсь, то мне совершенно не интересны имена и фамилии конкретных заболевших. У того, кто собрал и передал мне данные о заболеваемости, эта информация есть. Но я ее получаю в зашифрованном виде и искать этих людей мне незачем. Однако закон, напомню, требует обратимости обезличенных данных. Поэтому у меня два пути. Первый — запрашивать все ключи шифрования и становиться оператором персональных данных. А выполнение таких требований 152-ФЗ процесс сильно усложняет и удорожает. В нашем случае это отразится на ценах на лекарства. Второй вариант — формировать задание по наитию, без опоры на статистику, что, конечно не будет способствовать развитию экономики.

Данные необходимо разграничить и разработать методики их обезличивания. Именно этим путем пошли в Европейском Союзе, приняв в 2018 году Общий регламент по защите данных (GDPR). Он налагает ряд довольно жестких ограничений на операторов персональных данных. Они касаются их целевого использования, сроков хранения, точности данных и т. д. Количество данных, которые получает оператор, ограничены минимально необходимым для решения той или иной задачи объемом. Также регламент предоставляет субъектам ПДн широкие права в плане контроля использования своих данных и устанавливает жесткие требования к форме согласия на обработку персональных данных.

BG: После его принятия рынок обработки данных в ЕС упал на 20%.

А. О.: Тогда, в мае 2018 года, рынок обвалился потому, что еще не было правоприменительной практики. Тогда многие в одночасье перестали обрабатывать ПДн, но только на время. Сейчас все выстроили свои бизнес-процессы и рынок выровнялся; его участники поняли, что следовать новым правилам не уж так дорого. Скажем, Google потратил на создание интерактивного сервиса для получения согласия на обработку данных в соответствии с регламентом 25 центов на пользователя из ЕС. В общей сложности затраты корпорации составили миллиарды долларов, но Google точно извлекает из данных одного пользователя гораздо больше, чем 25 центов. Возможности для заработка на данных очень разнообразны. В равной с Евросоюзом степени это относится и к России. Компании готовы покупать друг у друга информацию о платежеспособности клиентов, что особенно интересно банкам, об их предыдущих покупках — для формирования специальных предложений, о перемещениях людей, чтобы предлагать им конкретные кафе и рестораны и т. п. Это хорошие инструменты для увеличения выручки.

BG: Может быть, России стоит просто позаимствовать европейский опыт?

А. О.: У нас уже есть национальное законодательство: 152-ФЗ очень похож на GDPR. Просто наш закон — вообще не цифровой. Он заточен на бумагу. Чтобы получить какую-то информацию у оператора, который обрабатывает твои персональные данные, ты должен ему подать собственноручно подписанный бумажный запрос. Бизнес хочет обогащать свои данные, например банки заинтересованы в данных абонентов операторов мобильной связи и наоборот. Но никто не понимает, как обмениваться данными, потому что, куда ни ткни, требуется согласие субъекта ПДн, причем, как правило, в бумажном виде. XXI век на дворе, блокчейн и криптовалюты шагают по планете, а мы все еще собираем бумажные согласия. Это сильно сдерживает развитие цифровой экономики.

BG: Если принять нормы GDPR, собирать и использовать данные станет проще?

А. О.: Наш рынок к драконовским требованиям GDPR не готов. По статистике, 54% пользователей вообще не хотят никому передавать свои персональные данные. Поэтому если операторы ПДн начнут на каждом шагу запрашивать согласие, они будут очень часто получать отказы. Нам нужно свое сбалансированное решение, которое обеспечит защиту ПДн пользователей и при этом не создаст избыточного давления на бизнес.

BG: Для каких сфер в России сегодня особенно актуально формирование больших данных на основе персональных?

А. О.: Я бы назвала среди них «умный город» и медицину. Что касается «умного города», то при управлении транспортом встает большой вопрос: как обрабатывать и передавать данные о том, где и сколько находится людей, насколько загружена транспортная система. Здесь возникают те же сложности — как использовать данные с камер видеонаблюдения, которые, несомненно, являются персональными?

Медицинские данные — так и вовсе боль и слезы. Данные о состоянии здоровья человека относятся к специальным категориям ПДн, их обработка допускается законом только в ограниченном количестве случаев — при оказании медицинских услуг, обеспечении безопасности и т. п. При этом за нарушение закона в этой части может наступать даже уголовная ответственность. Как использовать эти данные для создания полноценного искусственного интеллекта в медицинской сфере, который, очевидно, необходим, ведь уже доказано, что такие самообучающиеся системы выдают на основании анализа симптомов более точные диагнозы и реже ошибаются, чем даже светила в области диагностики.

Еще одна важная с точки зрения обработки данных отрасль — обеспечение безопасности в разных ее проявлениях. Я недавно пересела за руль немецкого автомобиля, которым до этого управлял более спокойный водитель, и бортовой компьютер на мой русский стиль вождения отреагировал сообщениями: «Вам срочно нужно отдохнуть!» (смеется). Представляете, сколько эта машина накопила информации о технике вождения предыдущего владельца? Эту технологию применяют сейчас каршеринговые компании: они рейтингуют клиентов по стилю вождения и в зависимости от этого выбирают для него машины. Водителям система отправляет сообщения «Ты ездишь неаккуратно, поэтому Toyota тебе сегодня не положена, езжай на KIA». С точки зрения безопасности на дорогах это хорошо.

BG: Если ориентироваться на нынешние законотворческие планы властей, то каких изменений законодательства, регулирующего оборот данных, стоит ожидать в ближайшие годы — оно ужесточится или смягчится?

А. О.: Я не жду ужесточения законодательства, регулирующего использование данных бизнесом. Возможно, в ближайшие годы ужесточатся требования к их обработке персональных данных в государственных информационных системах, в том числе за счет введения цифрового профиля гражданина, объединяющего информацию о его паспортных данных, ИНН и других документах, а также месте жительства, работы и т. д. (работа над этим проектом началась в мае нынешнего года, запустить институт цифрового профиля в эксплуатацию правительство планирует в мае 2020 года.— «ЭР»).

Беседовал Павел Лысенко https://www.kommersant.ru/doc/4173559


Ваши комментарии:

Вернуться к списку новостей