В конце 2019 года была опубликована информация об «Интернет-скоринг бюро» — совместном проекте Яндекса и нескольких бюро кредитных историй. Интернет-скоринг призван помочь банкам в оценке кредитоспособности физических лиц. Предлагаю посмотреть на проект через призму Федеральных законов «О персональных данных» и «О кредитных историях», а также General Data Protection Regulation (GDPR).
Федеральный закон «О персональных данных»
Как сообщается, скоринг будет строиться на основе «аналитических признаков», при этом «в компании не раскрывают, какие именно данные о своих пользователях используют для построения своей скоринговой модели».
Несмотря на то, что категории данных не названы, построение скоринга вряд ли не обойдется без использования персональных данных. Это связано с тем, что определение персональных данных в законе достаточно широкое. Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Суды уже отнесли к персональным данным поисковые запросы абонентов, интернет — адреса веб-страниц, посещаемых абонентами, тематику информации, размещенной на посещаемых абонентами Интернет-ресурсах, IP-адрес абонента (см. Постановление Девятого арбитражного апелляционного суда от 23.05.2016 N 09АП-17574/2016 по делу N А40‑14902/16, Апелляционное определение Московского городского суда от 16.09.2015 по делу N33‑30344/2015).
По закону для использования персональных данных необходимо получить согласие лица, чьи персональные данные используются. Согласие пользователи предоставляют, когда принимают пользовательское соглашение. Важно, чтобы в нем была указана конкретная цель обработки данных (широкие формулировки согласия могут быть оспорены). Также следует помнить, что закон предусматривает важные права пользователям, уже предоставившим согласие:
• право узнать, какие персональные данные обрабатываются, и получить информацию об их источнике;
• право отозвать свое согласие на обработку данных;
• право потребовать уточнения, блокирования, уничтожения персональных данных, если данные являются неполными, устаревшими, неточными или не являются необходимыми для заявленной цели обработки.
Перечисленные права могут стать основой защиты интересов лица, в отношении которого проводится интернет -скоринг.
Федеральный закон «О кредитных историях»
Как сообщил представитель Объединенного кредитного бюро, оценка Яндекса «добавляется к скоринговой оценке» бюро кредитных историй и «общий балл предоставляется в банк».
Закон не предусматривает, что бюро кредитных историй формирует скоринговую оценку. Однако в соответствии с законом бюро может рассчитывать кредитный рейтинг на основе утвержденных им методик. Узнать свой кредитный рейтинг можно в том случае, если он включен в кредитную историю, так как кредитную историю бюро обязано предоставить лицу по его требованию. Информацию, содержащуюся в кредитной истории, можно оспорить. При оспаривании бюро кредитных историй должно провести проверку информации, включенной в кредитную историю.
Принимая во внимание информацию о том, что Яндекс и бюро кредитных историй скоринг «смешивают», можно будет попытаться воспользоваться положениями закона для получения информации о рейтинге, присвоенном бюро кредитных историй и Яндексом совместно. Интересно, как в случае оспаривания бюро сможет выполнить свое обязательство по проверке рейтинга как информации, включенной в кредитную историю, учитывая, что для получения оценки Яндекса «более 1тыс. разноплановых факторов» будут обрабатываться «алгоритмами автоматически».
Европейский Общий регламент по защите данных (GDPR)
В GDPR содержится определение «профайлинга» - это любая форма автоматизированной обработки информации, состоящая из использования персональных данных для оценки определенных аспектов, относящихся к физическому лицу, в частности с целью проанализировать или предсказать его экономическую ситуацию, здоровье, личные предпочтения и интересы, работоспособность, надежность, поведение, местонахождение, перемещения.
По доступной об «Интернет-скоринг бюро» информации можно сделать вывод, что в рамках проекта осуществляется профайлинг.
На профайлинг как на способ обработки персональных данных распространяются все правила и принципы обработки информации, установленные GDPR (законность использования данных, ограничение цели использования, обеспечение точности данных и т.п.).
Кроме этого, в GDPR содержатся специфические требования в отношении такого способа обработки данных:
1. Лицо должно быть проинформировано о проведении в отношении него профайлинга и о его последствиях. Также лицу должна быть предоставлена информация о том, обязан ли он/она передавать свои персональные данные для профайлинга, и каковы последствия отказа их предоставлять. Для выполнения этих требований компании могут использовать стандартизированные знаки, которые будут сигнализировать о проведении профайлинга.
2. В случае если персональные данные обрабатываются для принятия решений в отношении конкретных лиц по итогам системной оценки информации на основе профайлинга, оператор должен провести «оценку воздействия на защиту персональных данных» (data protection impact assessment). Такая оценка должна включать в себя как минимум следующее: системное описание операций по обработке данных и их целей; анализ пропорциональности и необходимости обработки данных; анализ рисков, которые могут возникнуть в отношении прав и свобод субъектов персональных данных; перечень мер по смягчению таких рисков. Когда это уместно, оператор должен собрать мнения субъектов персональных данных или их представителей в отношении такой обработки персональных данных.
Описанные GDPR требования к профайлингу направлены на защиту интересов обладателей персональных данных. Недостаточно получить согласие на обработку данных - необходимо активно информировать пользователей о целях и последствиях масштабной оценки персональных данных. Участники рынка должны ответственно относиться к системной обработке персональных данных и анализировать возможные риски.