Клиент — не досье: бизнесу могут запретить собирать «портреты» людей
Минцифры против «анализа по умолчанию». Операторам персональных данных могут запретить автоматизированную обработку информации о клиентах с целью анализа их личности и прогнозирования поведения без отдельного согласия. Это коснётся коммерческих банков, операторов связи, маркетплейсов и других организаций, которые сейчас могут объединять данные из разных источников без уведомления пользователей.
Такая мера предусмотрена в законопроекте, подготовленном Минцифры во исполнение поручения вице-премьера Дмитрия Григоренко. Документ находится в распоряжении «Ведомостей». При этом ответственность за нарушение этих требований пока не прописана.
Законопроект предлагает внести в статью 5 закона № 152-ФЗ «О персональных данных» запрет на анализ и прогнозирование характеристик, связанных с финансовым положением, здоровьем, интересами, предпочтениями, поведением и местоположением субъекта ПД при помощи любых автоматизированных алгоритмов.
Согласно документу, согласие на обработку персональных данных можно будет выдать или отозвать только двумя способами — напрямую оператору или через ЕСИА. Кроме того, при сборе данных через любые каналы оператор будет обязан зафиксировать факт обработки в ЕСИА.
В пояснительной записке указано, что меры направлены на борьбу с IT-мошенничеством . По данным МВД, в 2024 году было зарегистрировано 380 300 преступлений по статьям 159, 159.3 и 159.6 УК РФ — на 6,8% больше, чем в 2023-м. Суммарный ущерб составил 188,7 млрд рублей, что на 38,2% больше, чем годом ранее.
Во «второй пакет» антимошеннических мер законопроект входит как часть более широких инициатив. Сейчас он проходит межведомственное согласование, и его положения могут измениться, уточнил представитель аппарата Григоренко.
В Минцифры подчеркнули, что цель инициативы — минимизация объёма собираемых данных и защита прав граждан. Любые исследования будут проводиться строго с соблюдением требований безопасности, заверили в министерстве. Подробности документа до его принятия в Минцифре раскрывать не стали.
Новая инициатива может серьёзно затруднить работу бизнеса. Компании, вложившие ресурсы в технологии анализа клиентов — от систем скоринга до персонализированного маркетинга — рискуют утратить ключевые инструменты, поскольку предлагаемые изменения фактически вводят запрет на автоматизированный профайлинг без отдельного согласия пользователя. При этом ожидается, что международные платформы, не подпадающие под российскую юрисдикцию, соблюдать такие ограничения не будут.
Особенно остро ситуация скажется на небольших организациях: им предстоит пройти интеграцию с ЕСИА, обеспечить регистрацию и фиксацию каждого факта обработки персональных данных, а также внедрить процессы получения и отзыва согласий. Это потребует дополнительных затрат, штатных специалистов и юридической проработки, что критично для стартапов и малого бизнеса.
При этом в профессиональном сообществе уже звучат опасения по поводу избыточности новых формулировок. В действующей редакции закона уже предусмотрен запрет на объединение баз персональных данных, если они обрабатываются в целях, несовместимых между собой. Введение дополнительного ограничения, касающегося обработки информации из разных источников, может породить неопределённость: законопроект оперирует терминами, которые не имеют чёткого определения в законодательстве — такими как «различные источники», «личные характеристики» и «прогнозирование характеристик».
С юридической точки зрения документ в большей степени конкретизирует уже существующие нормы, уточняя допустимые цели обработки и подчёркивая необходимость их соответствия изначально заявленным задачам — например, оформлению кредита или заключению договора. Однако изменения отражают и технологический сдвиг: в условиях развития ИИ и машинного обучения становится актуальным пересмотр регулирования использования данных, особенно когда речь идёт об автоматическом выявлении поведенческих моделей.
Такой подход имеет и оборотную сторону: сведения, извлечённые алгоритмами из поведенческих паттернов, в случае компрометации могут быть использованы в целях социальной инженерии и мошенничества. Поэтому требования к согласиям и ограничениям на профилирование приобретают значение как элемент кибербезопасности.
На текущем этапе в проекте не предусмотрены отдельные статьи об ответственности за нарушение запрета на профайлинг. Однако в случае выявленных нарушений может применяться уже существующий порядок административных взысканий за несоблюдение требований к работе с персональными данными. Размеры штрафов в таких случаях варьируются от 6 тыс. до 10 тыс. рублей для граждан, от 20 тыс. до 40 тыс. — для должностных лиц и от 30 тыс. до 150 тыс. — для юридических лиц.
Тем не менее, эксперты в сфере защиты информации и цифровой экономики отмечают: любые жёсткие запреты, особенно плохо определённые, склонны провоцировать обходные пути. Вариантом регулирования могло бы стать более гибкое разграничение по целям и категориям потребителей — когда данные предоставляются под конкретные сценарии использования, с учётом согласия и степени чувствительности информации.
Также звучит мнение, что отказ от механизмов персонализации приведёт к снижению эффективности клиентского сервиса, росту маркетинговых затрат и переходу к неадресным коммуникациям. В долгосрочной перспективе ограничения могут затормозить развитие решений на базе ИИ, вынудить проекты и команды с чувствительными разработками искать юрисдикции с менее жёстким режимом или действовать в серой зоне.
