Мудрый Юрист

Rtb-аукционы и защита персональных данных

Надежда Кудряшова, ведущий специалист, г. Москва.

Развитие сферы IT-технологий идет опережающими темпами по отношению к инструментам правового регулирования данной отрасли. Законотворцы вынуждены быть в арьергарде современных технологий, лишь постфактум реагируя на новые вызовы. Пробелы в законодательстве, возникающие в ходе этого своеобразного соревнования, грозят серьезными рисками пользователям разного рода интернет-сервисов в части конфиденциальности персональных данных. Одной из потенциальных угроз является новая технология онлайн-рекламы, позволяющая полностью восстановить вроде бы обезличенные персональные данные.

Термины, определения и сокращения

Real-Time Bidding (RTB) - "торг в реальном времени" - относительно новая технология в индустрии онлайн-рекламы, которая представляет собой аукцион рекламных объявлений в реальном времени <1>. Пока пользователь загружает веб-страницу, RTB-система успевает провести торги на показ рекламы: запрос на показ рекламы рассылается всем участникам аукциона. DSP-системы должны за доли секунды определить, насколько ценным является этот показ, и сделать ставку.

<1> https://ru.wikipedia.org

Победитель аукциона получает право показать свою рекламу конкретному пользователю. При этом для повышения точности таргетирования и увеличения эффективности рекламного сообщения DSP собирает информацию о пользователях из всех доступных источников, в том числе запрашивает ее у Data Management Platform.

Demand Side Platfrom - специализированная технологическая платформа, организующая аукционы для рекламодателей <2>.

<2> http://www.cossa.ru/articles/152/57721/

Data Management Platforms (DMP) - многофункциональные системы, являющиеся поставщиками профилей пользователей и систем управления этими данными, которые позволяют рекламодателям и иным субъектам хранить и систематизировать имеющиеся у них данные о пользователях <3>.

<3> Там же.

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) <4>.

<4> Термины и определения приведены в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" с незначительными сокращениями.

С юридической точки зрения RTB-аукционы содержат целый комплекс отношений, каждые из которых требуют отдельной квалификации для целей выявления рисков и возможных нарушений законодательства. Рассмотрим схему по этапам.

Сбор данных DMP

Фактически владельцами DMP являются специализированные компании, обладающие необходимыми техническими и организационными ресурсами для сбора, анализа, обработки и хранения данных различных категорий пользователей. Данные о пользователях (абонентах) поступают на платформу DMP от различных субъектов (операторов мобильной связи, интернет-провайдеров и иных), как правило, на основании договоров. Обладая необходимыми ресурсами, владельцы DMP в качестве основного вида деятельности осуществляют предоставление широкого спектра IT-услуг: разработку и предоставление доступа к различного рода программным продуктам, мобильному контенту, подпискам и иным интерактивным сервисам. При этом деятельность по сбору, обработке и хранению ПДн является для таких компаний побочной, осуществляемой в связи с иными задачами.

В конечном счете на технологических площадках аналитической платформы DMP аккумулируются следующие типы сведений.

  1. Собственные данные, источником которых стал собственный ресурс, так называемые first-party data <5>. Указанные сведения, содержащие персональные данные, несут наибольшее число рисков для компании - владельца DMP, которая в данном случае выступает в роли оператора ПДн. Для обработки такой категории данных необходимо согласие пользователей в отношении не только конкретного объема информации, но и способов и целей обработки ПДн.
<5> http://www.cossa.ru/articles/152/57721/

Более того, по достижении цели обработки (то есть после получения пользователем услуги) данные должны уничтожаться или обезличиваться. Нарушение указанных требований может обернуться привлечением оператора ПДн к ответственности.

  1. Косвенные данные, такие как результаты предыдущих рекламных кампаний - клики, просмотры, активность в рамках онлайн-ресурсов, принадлежащих компании - владельцу DMP, составляют second-party data <6>. Такие данные сами по себе не содержат сведений об определенном лице, но в силу закона могут быть признаны ПДн.
<6> http://www.cossa.ru/articles/152/57721/

Например, если IP-адреса из логов сервера привязаны к физическим лицам (скажем, через базу провайдера), то информация о запросах с этих IP-адресов представляет собой персональные данные. В любом случае для определения субъекта, к которому относятся те или иные характеристики пользовательского профиля, необходимо воспользоваться дополнительной информацией, поэтому представляется, что такие данные могут считаться обезличенными <7>.

<7> Обезличенные данные - это данные, хранимые в информационных системах в электронном виде, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации (Методические рекомендации по применению Приказа Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных").

Очевидно, что совместная обработка second-party data с данными из первой группы, позволяющими сопоставить характеристики профиля с конкретными лицом, лишает эти данные статуса обезличенных.

  1. Сторонние данные, полученные из источника, к которым компания - владелец DMP не имеет прямого отношения (third-party data <8>). Как правило, это данные, приобретаемые у специализированных сервисов (DMP) либо у других поставщиков (сайтов, e-mail-рассылок), которые получают информацию о пользователях напрямую, как операторы ПДн, либо опосредованно через операторов, выступая как обработчики ПДн.
<8> http://www.cossa.ru/articles/152/57721/

В рассматриваемом случае к указанной категории относятся данные, получаемые от партнеров компании - владельца DMP в рамках осуществления своей основной деятельности (например, разработки и представления контента абонентам мобильных операторов) на основании гражданско-правовых договоров. В частности, договоров о предоставлении информационно-аналитических услуг, соглашений о представлении данных с целью исследований предпочтений абонентов и пр. Как показывает практика, в рамках указанных договоров партнеры передают сведения о возрасте, поле, номере мобильного телефона, тарифном плане, роуминге и пр.

Как правило, данные из рассматриваемой группы обрабатываются самим партнером как ПДн. Вместе с тем указанные данные поступают на аналитическую платформу DMP заведомо обезличенными. Оператор, предоставляя данные абонента, не определяет его самого. В рамках платформы данные привязываются к определенному профилю (или ID).

На этом этапе проявляются определенные пробелы в правовом регулировании. В силу требований законодательства обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных, при этом методы обезличивания не исключают возможности их деобезличивания.

Таким образом, данные, переданные для аналитических целей в DMP, не исключают возможности их последующего восстановления до ПДн с устранением анонимности. Указанное обстоятельство связано с возникновением дополнительных рисков для субъектов рассматриваемых отношений в рамках следующего этапа.

Обработка и хранение данных в рамках DMP

Законодательством не урегулированы случаи, при которых обезличенные данные, переданные надлежащим образом для хранения и/или обработки стороннему субъекту, могут быть деобезличены в процессе такой обработки. Это может произойти на этапе обработки данных в DMP, когда данные из всех трех подгрупп (среди которых, как было отмечено ранее, есть и ПДн со сведениями о конкретном субъекте) аккумулируются и анализируются сообща.

В процессе указанной обработки не исключено, что сегментированные и обезличенные данные будут автоматически сопоставлены с данными иных подгрупп (содержащих в числе прочего IP-адреса, Ф.И.О. и иные сведения), в результате чего частично или полностью обогащены и восстановлены.

С формальной точки зрения в рамках рассмотренной схемы компания - владелец DMP, не являясь оператором ПДн в отношении большинства обрабатываемых данных, не обладает согласием субъектов соответствующих ПДн на обработку для целей последующего обогащения RTB-площадок. В случае же, если деобезличивание не происходит, подобные вопросы не возникают. Таким образом, трудность при определении рисков для компании - владельца DMP состоит именно в том, что процесс непреднамеренного деобезличивания данных третьим лицом, не имеющим на это согласия субъекта ПДн, не раскрыт ни в законодательстве, ни в судебной практике.

Исходя из общих положений законодательства, компании - владельцы DMP могут снизить риски автоматического деобезличивания и несанкционированного раскрытия ПДн путем применения необходимых мероприятий (раздельное хранение ПДн, цели обработки которых различаются; раздельная обработка ПДн и обезличенных данных; применение надлежащих способов обезличивания и пр.). Указанные меры не могут рассматриваться как обеспечивающие полную защиту интересов пользователей, однако позволят существенно снизить имеющиеся риски.

Обогащение RTB-площадок

Согласно распространенному мнению обогащение площадок происходит за счет обезличенных данных группового и статистического характера, что исключает риск несанкционированного распространения ПДн.

Вместе с тем подлинную ценность для целей адресной рекламы представляет информация о конкретном пользователе, который в настоящий момент посещает определенный сайт.

Вопрос состоит в том, каким образом DSP направляет запрос в отношении конкретного пользователя для выявления присущих ему предпочтений. Очевидно, что для получения таких данных запрос должен быть направлен в отношении конкретного ID. Для того чтобы DSP-система могла определять цену показа рекламного сообщения конкретному человеку, она должна обладать наиболее обширной информацией о потребительских интересах посетителя, который увидит рекламу. Данный механизм реализуется на базе cookie ID <9>, в том числе с привлечением данных из систем DMP.

<9> Хранящаяся в системе информация о запросах, посещениях и предпочтениях конкретного пользователя.

Таким образом, система анализирует соответствие ID-данных, предоставленных из DMP, и собственных cookie ID на данного пользователя <10>.

<10> http://compress.ru/article.aspx?id=23226

Следовательно, предоставляемые DMP данные в любом случае привязаны к определенному ID, в отношении которого собирается информация. До тех пор, пока такой ID не ассоциирован с профилем конкретного пользователя, предоставляемая информация может рассматриваться как обезличенные данные. Однако, как было указано, система автоматически может связать характеристики профиля, полученные из DPP (и сохраненные ID cookies), с данными, внесенными пользователем при регистрации на одном из партнерских ресурсов. Таким образом, первоначально переданные в качестве обезличенных данные о маркетинговом профиле могут быть автоматически деобезличены системой и сохранены в качестве персональных данных, что фактически означает бесконтрольное распространение сведений о пользователе в рамках Интернета.

Ответственность владельца DMP

Неоднозначным является вопрос об ответственности указанных субъектов. Представляется, что хранение и передача сведений, в том числе обезличенных (но привязанных к ID), которые осуществляются DMP без согласия пользователей и не подпадают ни под один из перечисленных в Законе о ПДн случаев, когда такое согласие не требуется <11>, должны признаваться нарушением законодательства по рассмотренным выше причинам.

<11> Указанный случай не может быть отнесен к передаче сведений для статистических и иных исследовательских целей.

В связи с наличием у данного субъекта нескольких статусов по отношению к обрабатываемым ПДн степень его ответственности должна определяться применительно к каждому конкретному случаю.

Выполнение или невыполнение обязанностей, определенных законом для каждого из статусов, и будет определять риски наступления ответственности в каждом конкретном случае.

Ответственность владельцев RTB-площадки

Анализ содержания одного из сайтов, выполняющих функцию RTB <12>, позволяет сделать вывод о том, что владельцы RTB-площадок не только не гарантируют конфиденциальность сведений, но и прямо заявляют об обратном. В частности, на сайте указано следующее: пользователь соглашается на разглашение любой информации о нем, размещенной в рамках системы; система вправе использовать любые размещенные пользователем данные, "не идентифицирующие личность", и обрабатывать их по своему усмотрению; при этом пользователь может влиять на ситуацию лишь с помощью настроек на сайте, установления пароля либо путем удаления аккаунта.

<12> http://rtbsystem.com/ru/site/page/view/privacy-policy

С учетом технических возможностей современных аналитических платформ пробел правового регулирования рассматриваемых отношений может обернуться полной утратой конфиденциальности персональных данных в пространстве Интернета. При этом ввиду сложности доказывания фактов правонарушения возможность реального привлечения к ответственности указанных лиц очень мала.

Таким образом, в условиях стремительного развития информационных технологий следует констатировать серьезное отставание правового регулирования от реально существующих отношений. Подобные ситуации создают серьезные риски для обычных пользователей, информация о которых фактически становится достоянием специализированных аналитических компаний, при этом возможность контроля деятельности последних с применением существующих правовых механизмов незначительна. Риски наступления правовой ответственности за несанкционированную передачу и распространение данных о пользователях через технологии DMP и RTB маловероятны ввиду отсутствия адекватного правового отражения и применимой судебной практики.