Законопроект-спутник к закону о «регуляторных песочницах»: «за» и «против» текущей редакции. Часть 2 (2)

Законопроект-спутник к закону о «регуляторных песочницах»: «за» и «против» текущей редакции. Часть 2 (2)
Источник: Zakon.ru
Время чтения: 23 минуты

В данной части обзора мы продолжим обсуждение Законопроекта (часть 1 здесь). В частности, мы обсудим одну из альтернатив текущей редакции, а также рассмотрим аргументы в поддержку текущей версии поправок.

3. Какая есть альтернатива?

Здесь мы рассмотрим один из множества альтернативных вариантов статьи 2 Законопроекта, а также причины, почему такой вариант может быть лучше текущей редакции.

3.1. Альтернативный текст

Среди прочих вариантов предлагается заменить комментируемую статью 2 следующими положениями (изменения выделены ниже):

«Статья 2

Статью 4 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2011, № 31, ст. 4701) дополнить частью 5 следующего содержания:

«5. Положения частей 2, 3 статьи 5, частей 1, 3 статьи 6, частей 2, 4, 6, 8 статьи 9, частей 1, 2 статьи 10, части 1 статьи 11, части 4 статьи 18 настоящего Федерального закона не применяются к предварительно обезличенным персональным данным участников экспериментальных правовых режимов, если это прямо установлено программой соответствующего экспериментального правового режима, утвержденной в соответствии с Федеральным законом «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации». Становясь участником экспериментального правового режима, субъект персональных данных даёт согласие на сбор и обезличивание его персональных данных, включая его специальных и биометрических персональных данных, субъектом соответствующего экспериментального правового режима. Статус участника экспериментального правового режима определяется в соответствии с Федеральным законом «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации».

На не обезличенные персональные данные участника экспериментального правового режима распространяются положения настоящего Федерального закона».

3.2. Чем альтернативная формулировка лучше?

Оба проекта, на которые ориентировались авторы, применению ИИ подразумевают, прежде всего, работу с массивами больших данных («big data»). В обоих случаях субъект ПДн представляет из себя ценность не как личность, а как представитель определённых групп, которые можно отделить от других групп по:

  • биофизиологическим (возраст, пол, состояние здоровья и т.п.); и/или
  • социоэкономическим (доход, место проживания и/или работы и т.п.) критериям.

Поэтому такие сведения о личности, как ФИО, ИНН, СНИЛС, конкретный адрес регистрации/проживания, контактные номера и т.п. значения не имеют.

Предлагаемая альтернативная формулировка:

  • обеспечивает «бесшовность» согласия Участника ЭПР на обработку его ПДн;
  • минимизирует правовые риски, рассмотренные в части 2 данной статьи;
  • не сказывается на работе ИИ в обоих рассматриваемых проектах;
  • гармонизируется по смыслу с положениями п. 6 ч. 1 ст. 4ч. 67 ст. 4ст. 7, Федерального закона от 24.04.2020 № 123-ФЗ и п. 9.1. ч. 1 ст. 6, ч. 2.1. ст. 10 Закона о ПДн (указанные нормы уже предусматривают, что в ряде случаев обработка обезличенных ПДн не требует согласия субъекта ПДн).

Это своеобразная «золотая середина», которая позволила бы работать в упрощённых условиях проектам с использованием ИИ, либерализовала бы требования к согласию на обработку ПДн.

4. Какие аргументы могут заявить сторонники текущей редакции?

Аргументацию «за» сохранение поправок в таком виде, в каком они есть сейчас, можно разделить на две части.

Аргумент 1: «Изъятия из законов предусматриваются не Законопроектом, а Программой Эксперимента, которую будет детально прорабатывать Правительство»

Аргумент условно «вывод из-под огня» критику в отношении Законопроекта и «переводит огонь» в сторону будущих Программ Эксперимента. Наш случай – не исключение. Развивая этот аргумент, сторонники Законопроекта могут утверждать, что любая критика, указанная в части 2 обзора, касается вовсе не Законопроекта, а будущих Программ Экспериментов.

Данный аргумент достаточно интересный. Надо признать, что в какой-то степени он достаточно эффективно работает против доводов, заявленных в части 2.1. обзора. Однако в таком аргументе всё равно достаточно много недостатков.

Во-первых,  довод основан на логической ошибке. В частности – на «подмене понятий».

Как мы видим из части 2.2. обзора, критика текущей версии Законопроекта фокусируется вовсе не на Программах Эксперимента.

В части 2 прямо продемонстрировано, что и сами правки в Закон о ПДн будут прямо противоречить Закону об ЭПР. Закон об ЭПР устанавливает определённые требования в отношении Программ Эксперимента; а правки в Закон о ПДн, предусмотренные комментируемой статьёй Законопроекта, прямо противоречат этим требованиям.

Во-вторых, аргумент основывается на презумпции, что:

  • Программы Эксперимента никогда не будут предусматривать полный отказ от защиты ПДн, врачебной тайны и тайны связи;
  • Программы Эксперимента будут всегда проработаны на таком безупречно высоком уровне и что они всегда будут предусматривать адекватные меры защиты ПДн.

То есть с одной стороны у нас есть законодательный карт-бланш на практически полную отмену защиты ПДн, врачебной тайны и тайны связи. С другой стороны у нас есть абстрактное заверение, что таким карт-бланшем никто никогда не воспользуется.

Даже если мы будем рассматривать подобное «честное слово» в качестве правового аргумента, этот аргумент не выдерживает испытание реальностью. Он основывается на том, что в работе государства никогда не возникает ошибок. Однако даже совсем недавние новости показывают, что ошибки могут быть и что их масштаб может быть колоссальным. Например, буквально на днях в сеть Интернет оказались выложены персональные данные граждан РФ, голосовавших онлайн по поправкам к Конституции: https://www.kommersant.ru/doc/4442021.

То есть этот довод неоправданно идеалистичен.

В-третьих, по мнению автора обзора, для грамотной работы законодателя недостаточно написать «красивый» закон. Желательно, что такой закон будет работать и не завалит суды исками, которые можно было бы избежать без принятия закона.

В части 2.3. Обзора рассмотрено, почему текущая редакция Законопроекта не выполняет свои задачи и почему, в случае её принятия, Законопроект потенциально приведёт к волне исков против ИТ компаний. Как видится, Законопроект в текущем виде принесёт больше вреда, чем пользы. И это обстоятельство тоже не следует снимать со счетов, анализируя Законопроект.

Аргумент 2: «Риск – неотъемлемое свойство ЭПР»

Суть аргументации «против» текущей редакции Законопроекта сводится к защите интересов личности.

Парирование доводов о защите прав человека ссылкой на неизбежность рисков фактически равносильно высказыванию:

«Когда физическое лицо становится Участником ЭПР, оно принимает на себя риск».

Во-первых, такой довод прямо допускает вероятность причинения вреда личности.

В этой ситуации логика идёт вразрез с Законом об ЭПР, под нужды которого разрабатывается Законопроект. Нас будут интересовать следующие нормы:

  • п. 2 ст. 4, ч. 3 ст. 5 Закона об ЭПР;
  • ч. 4 ст. 5 Закона об ЭПР

Указанные нормы предусматривают, что:

  • ЭПР не может приводить к причинению вреда или иному покушению на безопасность личности;
  • в случае если при реализации ЭПР человеку был причинён вред, такой вред должен быть возмещён лицом, причинившим вред, в соответствии с ГК РФ.

Если бы довод про принятие риска был верен, указанных норм не было в Законе об ЭПР, так как предполагалось бы, что человек, становясь Участником Эксперимента, принимает на себя риски такой вред получить и тем самым отказывается от права требовать возмещения причинённому ему вреда.

Во-вторых, согласие на принятие этих рисков во многих случаях будет недействительным.

Это продемонстрировано в части 2 данного обзора.

Констатация факта, что «риск существует», никак не опровергает довода, что практически всегда такой риск будет принят с существенным пороком воли. И в этой связи в перспективе суды будут завалены исками об оспаривании.

В-третьих, а за что именно физическое лицо должно брать на себя такие риски?

Законопроект разрабатывается в контексте двух конкретных проектов по использованию ИИ.

В контексте проекта по консультированию бизнеса физическое лицо от принятия на себя таких рисков ничего не получает – он выступает только в качестве «информационного донора».

От участия во втором проекте (диагностирование с использованием ИИ) физические лица – пациенты, в сущности, тоже практически ничего не получают.

Текущая редакция Законопроекта оставляет без изменения ст. 16 Закона о ПДн. В соответствии с данной статьёй:

  • запрещается принятие какого-либо решения в отношении лица на основании исключительно автоматизированной обработки его ПДн. То есть по умолчанию ИИ не может поставить диагноз сам. Конечный диагноз может поставить только человек;
  • допустимо получить письменное согласие физического лица на «автоматизацию» решения в отношении него. Но такое согласие обязательно должно быть оформлено в письменном виде. То есть Законопроект не только не выполняет одну из своих целей – избавить бизнес от бумажной волокиты с получением согласий на обработку ПДн. Напротив, Законопроект подразумевает ещё бОльшее увеличение бумажных документов;
  • пациент вправе возразить против своего же согласия, а оператор обязан рассмотреть и обсудить такое возражение с пациентом.

Получается, что в рамках проекта по диагностике с помощью ИИ пациент тоже выступает в качестве «информационного донора». Во время лечения:

  • либо пациент даёт письменное согласие на сугубо автоматизированный диагноз – тогда теряется сам смысл Законопроекта;
  • либо конечный диагноз ставит человек – тогда участие в ЭПР не даёт пациенту ровным счётом никакой пользы.

В-четвёртых, такой аргумент «за» текущую редакцию прямо противоречит Аргументу «за» под номером 1 выше.

Сторонники текущей редакции утверждают, что риска нарушений прав граждан не будет, так как Правительство будет очень внимательно прорабатывать Программы Эксперимента и никогда не реализует карт-бланш по полной отмене защиты ПДн, врачебной тайне и тайны связи.

Однако почти сразу же заявляется диаметрально противоположный аргумент: «ну, а если всё-таки они этого не сделают, виноват окажется сам гражданин, ведь он же стал Участником ЭПР, а значит, принял на себя риск того, что его права будут существенным образом нарушены».

Промежуточный итог:

Необходимость создания благоприятных условий для развития бизнеса в «регуляторных песочницах» - задача, над которой надо работать. Однако при работе над такой задачей следует искать баланс между интересами бизнеса и интересами граждан, так как не учёт мнения последних может свести на нет любые хорошие инициативы. Текущая версия во многом презюмирует отсутствие каких-либо ошибок при работе над Программами Экспериментов. Однако такой подход ведёт к существенным рискам. С другой стороны, гиперактивная критика поправок не должна приводить к «цифровому луддизму». Представляется, что включение в ст. 2 Законопроекта обязанности обезличить персональные будет компромиссным вариантом между двумя сторонами спора.