Во второй пакет мер по борьбе с дистанционным мошенничеством включена поправка к закону «О персональных данных», запрещающая формировать клиентские профили без их явного согласия.
Профилирование — это автоматизированный сбор информации из различных источников с целью анализа личности и прогнозирования интересов. Такой подход активно используют телеком-операторы, банки, маркетплейсы и другие компании для маркетинговых целей.
Однако, как выяснили «Ведомости», новая поправка прямо запрещает анализировать и предсказывать экономическое положение, состояние здоровья, личные предпочтения, поведение и местоположение субъекта персональных данных без его явного согласия с применением автоматизированных алгоритмов.
Подлинность документа изданию подтвердили источники в правительстве и телеком-компаниях.
Согласие на обработку персональных данных можно будет предоставить или отозвать двумя способами: напрямую у оператора или через Единую систему идентификации и аутентификации (ЕСИА). Кроме того, оператор будет обязан передавать в ЕСИА сведения о факте обработки данных.
В Минцифры заявили «Ведомостям», что новая мера направлена на защиту прав граждан и ограничение избыточного сбора персональных данных: «Любые исследования массивов данных проводились и будут проводиться при строгом соблюдении требований безопасности, а сама информация надёжно защищена».
В то же время источник в одной из телеком-компаний отметил, что инициатива усложнит работу бизнеса из-за усиления контроля и роста административных затрат. Особенно пострадают крупные ИТ-компании, банки, страховые и рекламные платформы, уже вложившие значительные средства в разработку систем скоринга и аналитики.
По словам представителя другой телеком-компании, у части рынка нормы вызвали резкое неприятие. Дополнительное напряжение связано с тем, что иностранные конкуренты, действующие на российском рынке, соблюдать подобные требования не обязаны.
В Ассоциации больших данных считают меру избыточной: действующая редакция закона уже запрещает объединение персональных данных из разных баз для несовместимых целей. Кроме того, новые правила создают правовую неопределённость, вводя термины, не закреплённые в законодательстве.
Руководитель проектов компании «Интеллектуальная аналитика» Тимофей Воронин полагает, что инициатива негативно скажется на качестве клиентского обслуживания и приведёт к отказу от персонализированной рекламы в пользу массовых рассылок. Также возможны торможение развития ИИ-технологий, снижение конкурентоспособности российских компаний и отток инвестиций за рубеж.
Генеральный директор юридической компании Enterprise Legal Solutions Анна Барабаш подчеркнула, что данные, используемые для профайлинга, при утечке действительно могут стать инструментом таргетированных атак с элементами социальной инженерии. По её словам, защита информации, используемой для машинного обучения, до сих пор остаётся слабо урегулированной.
По оценке Барабаш, за нарушение новых требований к составу обрабатываемых персональных данных предусмотрены штрафы: от 10 до 30 тысяч рублей для физических лиц, от 20 до 40 тысяч — для должностных и от 30 до 150 тысяч — для юридических лиц.
