Минцифры предлагает запретить автоматизированный профайлинг без согласия граждан
Операторам персональных данных — от банков и телеком-компаний до маркетплейсов — могут запретить автоматизированный сбор и анализ информации о клиентах без их прямого согласия. Речь идёт о так называемом профайлинге — технологии, позволяющей прогнозировать интересы, предпочтения и поведение человека на основе анализа персональных данных. Такой запрет предусмотрен в новом законопроекте Минцифры, направленном на борьбу с IT-мошенничеством. Документ был подготовлен во исполнение поручения вице-премьера Дмитрия Григоренко, пишет газета «Ведомости».
Согласно тексту законопроекта, обработка данных для целей анализа экономического положения, здоровья, поведения, местоположения и других характеристик граждан будет запрещена без отдельного согласия. Причём направить или отозвать такое согласие можно будет только через два канала — напрямую оператору или через ЕСИА («Госуслуги»). При этом оператор будет обязан передавать сведения о факте обработки данных в ЕСИА. Поправки вносятся в статью 5 закона №152-ФЗ «О персональных данных».
Документ пока не предусматривает конкретного наказания за нарушение нового запрета, а сам законопроект ещё не поступил на рассмотрение в правительство. Сейчас он находится на межведомственном согласовании и может быть изменён с учётом предложений от министерств и отраслевых участников.
Как указано в пояснительной записке, мера направлена на ограничение использования ПД, особенно в контексте роста мошенничества: в 2024 году, по данным МВД, в России было зарегистрировано более 380 тысяч преступлений, связанных с электронными платежами и компьютерной информацией. Ущерб превысил 188,7 млрд рублей — на 38% больше, чем годом ранее.
В Минцифры утверждают, что запрет автоматического анализа данных необходим для защиты граждан. Однако участники рынка и эксперты предупреждают: такие меры значительно усложнят работу ИТ-сервисов и ударят по бизнесу, особенно по стартапам и малым компаниям. Источники «Ведомостей» в телеком-отрасли отмечают, что это может затормозить развитие систем персонализации, кредитного скоринга и маркетинговой аналитики, в которые уже вложены значительные средства.
Кроме того, компании указывают на потенциальные юридические риски. Ассоциация больших данных (куда входят «Сбер», VK, «Яндекс» и другие) отмечает, что действующий закон уже запрещает объединение ПД, если цели обработки несовместимы. Новый запрет может создать правовую неопределённость, поскольку в тексте не объясняются ключевые понятия, такие как «различные источники» или «прогнозирование характеристик».
Юристы считают, что поправки частично дублируют уже существующие нормы, но отражают стремление государства адаптировать законодательство к технологическим реалиям — в частности, к использованию ПД в алгоритмах машинного обучения и ИИ. По мнению гендиректора Enterprise Legal Solutions Анны Барабаш, такие данные могут быть не только полезны для бизнеса, но и опасны при утечке — поскольку становятся инструментом социальной инженерии.
Предположительно, в случае нарушений операторы ПД могут быть привлечены по действующим статьям КоАП, с возможными штрафами: от 6 до 10 тысяч рублей для физлиц, от 20 до 40 тысяч для должностных лиц и до 150 тысяч рублей — для юридических.
Источник: Frank Media