Privacy-мнение: ЭПР без «барьера» или где ЭПР в сфере данных Что произошло? 24 февраля в Думу внесен законопроект № 1158700-8 с поправками в Федеральный закон № 258-ФЗ «Об экспериментальных правовых режимах…». Да, речь об ЭПР. Законопроект предлагает: 🔵исключить требование о наличии «нормативного барьера» для установления ЭПР; 🔵увеличить максимальный срок действия ЭПР с 3 до 5 лет; 🔵разрешить прекращать статус субъекта ЭПР по его мотивированному обращению. Издалека предлагаемые правки не будоражат воображение. Это вам не оборотные штрафы и не 272.1 УК. Поэтому и нет должной огласки столь прекрасной инициативы. Между тем, на практике это потенциально чувствительная перенастройка конструкции ЭПР. Ведь идея ЭПР почти священна для развития, но реализация оставляет желать лучшего. В чем проблема сейчас? Формально ЭПР можно установить только там, где есть прямой нормативный запрет или ограничение. Нет барьера – нет режима. И вот тут начинается парадокс, с которым ваши покорные слуги уже не раз столкнулись. На рынке может существовать перспективная технология – например, безопасная модель совместного использования данных для богоугодных целей (развития ИИ, конечно же). Причем речь идет не о «давайте обрабатывать побольше ПД», а наоборот – о моделях, где используются privacy-enhancing technologies (PETs), реализуется риск-ориентированный подход, архитектура выстроена так, что прямого доступа к ПД может не быть вовсе, а риски для субъектов минимальны или исключены. И вот здесь наступает ключевой момент. ЭПР нам нужен не потому, что «сложно собрать согласия». ЭПР нужен, дабы в контролируемом режиме проверить действительно ли в такой модели нет обработки / доступа к ПД? Нужны ли согласия как правовое основание? Или же технология объективно выводит такую обработку данных из-под требований отраслевого регулирования, потому что доступа к данным нет и рисков для субъектов не возникает? Пока эксперимент не проведен, мы этого не знаем. Есть правовая неопределенность и регуляторный риск. Но формального «барьера» в законе нет. Закон не запрещает – он просто не отвечает однозначно на эти вопросы. А отсутствие ясности не считается «барьером» для целей 258-ФЗ. В результате инициативы в сфере данных застревают: запустить ЭПР нельзя, потому что нет прямого запрета, запускать модель рискованно, ибо неясно, как регулятор ее оценит, а значит, инвестиции и время под риском. Именно поэтому нам известно о нескольких проектах в сфере данных, которые так и не стартовали. Вспомните хотя бы симпатичную инициативу АБД для доверенных посредников. Напомним, что ее целью было тестирование механизмов безопасного использования данных для создания технологий ИИ посредством создания «песочницы данных». А в итоге что? Да, есть 19 ЭПР в РФ, НО есть ли хоть один в сфере данных? Такая вот экономика данных. Зачем здесь ЭПР? Именно для таких случаев режим и задумывался как инструмент аккуратной апробации: 🔵ограниченный периметр; 🔵специальные правила; 🔵усиленные меры защиты; 🔵присмотр регуляторов; … и многое другое, что позволяет пробовать без или с контролируемым риском нарушения чьих-либо прав и охраняемых интересов. А дальше – если технология доказывает свою состоятельность, то возможно точечное обновление регулирования. Например, если в рамках ЭПР будет подтверждена эффективность PETs, логично обсуждать адресные изъятия из требований к правовому основанию при использовании таких инструментов. Что меняют поправки? Отмена обязательного «барьера» делает ЭПР ближе к классической регуляторной песочнице. Режим можно будет запускать не только там, где есть прямой запрет, но и там, где требуется в отсутствие прямых запретов: 🔵протестировать новые модели обработки данных; 🔵обкатать организационные конструкции; 🔵выстроить механизмы распределения ответственности; 🔵проверить архитектуры совместного доступа к данным. В контексте развития ИИ – это более чем актуально. В итоге выиграют все: бизнес, государство и пользователи. Заживаем наконец-то! Осталось приня