Анализ методик оценки стоимости персональных данных

Более ста лет экономику и общественно-политическую жизнь России во многом определяли нефть и развитие технологий ее добычи, хранения и переработки в продукцию, потребляемую каждым жителем планеты. Сегодня возможность переработки персональных данных в продукты и услуги привносит в жизнь человечества изменения, сопоставимые с эффектом промышленной революции.

В целом, объем данных растет в геометрической прогрессии – удваивается каждые 18 месяцев. Международная исследовательская и консалтинговая компания IDC, занимающаяся изучением мирового рынка информационных технологий и телекоммуникаций, подсчитала, что с 2009 по 2020 год объем мировых данных увеличился в 55 раз (до 44 зеттабайт). Другими словами, в 2022 году за один час фиксировалось столько же данных, сколько в течение всего 2000 года (см. [1]).

Сегодня одно из важных явлений, определяющих конкурентную ситуацию на большинстве рынков, – увеличение рыночной власти доминирующих игроков за счет контроля ключевых массивов данных и технологий (см. [2]). Такой контроль достигается при помощи целого спектра приемов и практик, не всегда прозрачных для регуляторов.

В Федеральном законе от 27 июля 2006 года № 152-ФЗ «О персональных данных» раскрыто понятие «персональные данные», к которым относится любая информация, имеющая отношение к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Сложившаяся система регулирования делит персональные данные на две категории:

• 1)    общедоступная информация;

• 2)    информация ограниченного доступа.

В таблице 1 представлен сравнительный анализ классов персональных данных по степени их защиты и регулирования, возможностям их обработки.

Классификация персональных данных в аналитических материалах приводится в зависимости от их типа и способа их получения:

• •    персональные данные, предоставленные пользователями, которые вводятся в систему при регистрации, запросах, совершении сделок и т. д.;

• •    перехваченные персональные данные, записанные в реальных или программных событиях на сайтах, серверах, платформах и т. д.;

• •    производные данные, которые генерируются посредством объединения, агрегирования, обработки данных в базах данных, серверах и т. д.

Обработка персональных данных включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (см. [3]).

Таблица 1

Класс персональных данных	Защита	Возможности обработки	Основные регулирующие нормативные правовые акты
Информация физического лица, не ограниченная в доступе	Собственные усилия физического лица – пассивные (например не делать данные общедоступными) и активные (соглашение о неразглашении, запросы на удаление информации по «праву быть забытым» и т. д.)	Нет ограничений при наличии доступа к информации	Гражданский кодекс Российской Федерации (часть первая) [4] Федеральный закон «Об информации, информационных технологиях и защите информации» [5] Федеральный закон «О персональных данных» [3]
Информация физического лица, не являющаяся тайной, доступ к которой ограничен (например персональные данные, сведения об абоненте)	Режим охраны указанных сведений и меры ответственности за его нарушение (как правило, административная) устанавливаются федеральными законами	С согласия субъекта и в некоторых иных случаях, когда имеет место публичный интерес	Федеральный закон «Об информации, информационных технологиях и защите информации» [5] Федеральный закон «О персональных данных» [3] Федеральный закон «О связи» [6]
Тайны, неприкосновенность которых прямо предусмотрена федеральным законом (например банковская и налоговая тайны)	Режим охраны указанных сведений и меры ответственности (уголовная и административная) за его нарушение устанавливаются регулирующими федеральными законами	В большинстве случаев – с согласия субъекта	Гражданский кодекс Российской Федерации (часть первая) [4] Налоговый кодекс Российской Федерации (часть первая) [7] Основы законодательства Российской Федерации о нотариате [8] Федеральный закон «О банках и банковской деятельности» [9]
Тайны, неприкосновенность которых прямо предусмотрена Конституцией Российской Федерации (например тайна связи, тайна семейной жизни)	Режим охраны указанных сведений и меры ответственности (уголовная и административная) за его нарушение устанавливаются непосредственно Конституцией Российской Федерации (в части определения режима) и федеральными законами	В большинстве случаев – с согласия субъекта, но процедура получения такого согласия не всегда предусмотрена законом	Конституция Российской Федерации Федеральный закон «О связи» [6]
Государственная тайна	Режим охраны указанных сведений и меры ответственности (уголовная) за его нарушение устанавливаются федеральными законами	Запрещена всем, кроме уполномоченных ведомств	Федеральный закон «О государственной тайне» [11]

В таблице 2 показаны основные действия с персональными данными на основании положений статьи 3 Федерального закона «О персональных данных».

Таблица 2

	Основные действия с персональными данными
Действие с персональными данными	Содержание действия
Обработка	Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Автоматизированная обработка	Обработка персональных данных с помощью средств вычислительной техники
Распространение	Действия, направленные на раскрытие персональных данных неопределенному кругу лиц
Предоставление	Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
Блокирование	Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
Уничтожение	Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
Обезличивание	Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
Трансграничная передача	Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

Персональные данные, продаваемые незаконно на «черном» и «сером» рынках, не всегда требуются именно злоумышленникам, чаще приобретением баз имен и телефонов граждан, относящихся к целевой аудитории организации, интересуются продавцы различного рода товаров и услуг с целью последующего предложения им собственной продукции. Согласно исследованию, проведенному компанией Metric Labs, большой пакет персональных данных, включающий сведения о кредитной карте, может стоить около 1 170 долларов США. В полный пакет, помимо сведений о карте, может входить информация, полученная при помощи анкет, заполняемых пользователями интернет-сервисов, социальных сетей, интернет-магазинов. При этом номер только полиса медицинского страхования стоит не более 1 доллара, а учетная запись пользователя Uber будет стоить покупателю уже 10 долларов (см. [1]).

Действия, производимые с персональными данными, связаны с основными этапами жизненного цикла таких данных:

• •    создание (приобретение);

• •    хранение;

• •    администрирование;

• •    использование, повторное использование;

• •    архивирование;

• •    удаление (см. [12]).

Проведенный автором настоящей статьи анализ аналитических источники [1, 13–17] позволил составить обобщенный список характеристик персональных данных:

• •    класс данных;

• •    содержание данных;

• •    дата получения (создания) данных;

• •    автор данных (его репутация);

• •    история использования данных;

• •    стоимость создания;

• •    потенциальный доход;

• •    требования к защите и безопасности данных.

Стоимость персональных данных определяется следующими критериями:

• •    эксклюзивность;

• •    своевременность;

• •    точность;

• •    полнота;

• •    согласованность;

• •    ограничения использования;

• •    совместимость;

• •    обязательства по защите;

• •    риск утраты.

Оценить стоимость персональных данных достаточно сложно, так как нужно сначала идентифицировать такие данные как объект оценки (как объект интеллектуальной собственности и нематериальный актив), установив указанные характеристики и оценив их по соответствующим критериям.

Ценность данных достигается за счет инвестиций в цифровые инфраструктуры, организационный и человеческий капитал, позволяющий собирать, обрабатывать, агрегировать и анализировать данные. Данные приобретают ценность только в их комбинации с другими данными. Персональные данные сами по себе могут иметь почти нулевую ценность, которую они приобретают только тогда, когда они агрегированы с другими данными. Так, когда данные пользователей социальных сетей передаются и объединяются с миллионами других данных со всего мира, они становятся базой для анализа данных и, таким образом, для создания ценности (см. [13]).

В оценочной практике используют три подхода к оценке стоимости данных: доходный, затратный и сравнительный. Использование сравнительного подхода в силу специфики нематериальных активов существенно ограничено (см. [14]). Особенности применения доходного и затратного подходов к оценке стоимости персональных данных представлены в таблице 3.

При анализе информационных источников [1, 12, 13, 16] было обнаружено, что в большинстве из них рассматривается экспериментальная методика оценки стоимости персональных данных [16].

Предположение № 1 экспериментальной методики

По этой методике универсальная величина (усредненная стоимость) персональных

Таблица 3

Особенности применения подходов к оценке стоимости персональных данных

	Доходный подход	Затратный подход
Базовые положения подхода	Стоимость объекта базируется на оценке будущих денежных потоков, которые будут получены от нематериального актива (объекта оценки)	Стоимость объекта основывается на затратах на их получение с учетом его износа и устаревания
Особенности применения подхода для оценки стоимости персональных данных	Прогноз денежных потоков: 1)    по выявленным возможностям использования в бизнесе (в том числе Business Intelligence); 2)    продажа данных – некоторые организации упаковывают данные как продукт или продают идеи, полученные из данных. Оценка монетизации выгод, связанных с информационным продуктом; 3)    доля в рыночной цене эквивалентной продукции – значение как биз-нес-актива на момент приобретения или слияния	Анализ затрат: 1)    затраты на замену – стоимость замены или восстановления данных, потерянных при аварии или нарушении данных, включая транзакции, домены, каталоги, документы и показатели внутри организации; 2)    затраты на эксплуатацию (негативный сценарий) – оценка, основанная на возможных штрафах, полученных от юридических лиц или регуляторов, судебных расходах, затратах на восстановление; 3)    снижение стоимости риска компенсируется затратами на операционное вмешательство для улучшения и сертификации данных

данных одного гражданина составляет 10 процентов от удельного ВВП конкретной страны, соотнесенного на душу.

Если привязка к ВВП понятна, то вызывает вопрос, откуда было взято значение 10 процентов от ВВП. В 2001 году (еще до появления социальных сетей) авторы методики в рамках проекта «Электронная Москва» провели расчет стоимости 1 МБ информации в структуре информационных систем, что позволило им создать из информационного массива (bigdata) материальный актив. На базе этого исследования было выпущено постановление правительства Москвы об обороте информационных систем и ресурсов как объекта гражданско-правовых сделок [18]. С помощью теории о факторах производства авторы методики устанавливают долю «цифрового интеллекта» или баз данных на уровне 10 процентов от чистого дохода бизнеса на уровне доли стоимости «земли» как фактора производства (согласно исследованию авторов – от 10 до 20 процентов от чистого дохода любого бизнеса). Таким образом, базы данных как фактор производства в цифровой экономике становится виртуальным пространственным базисом. В таблице 4 представлены данные об удельном ВВП на душу населения в России и США в 2020–2021 годах.

По мнению авторов экспериментальной

Таблица 4 методики, универсальная величина (усредненная стоимость) персональных данных ВВП на душу населений [19]         одного гражданина составляет 10 процен-
Страна	ВВП на душу населения по годам, дол. США		тов от удельного, соотнесенного на душу населения ВВП конкретной страны. В частности, авторы методики предполагали, что в 2020 году стоимость персональных данных ( V 1) одного гражданина Российской Федерации составит около 3 000 долларов США, а гражданина США – 6 300 долларов.
	2020	2021
США	63 028	69 288
Россия	29 916	32 803

Расчет 1

• V 1 = ВВП 1 х к,

где V ₁ – универсальная величина (усредненная стоимость) персональных данных одного гражданина;

ВВП ₁ – удельный, соотнесенный на душу населения ВВП страны;

К – коэффициент перехода от ВВП на душу населения к стоимости персональных данных (в методике по предположению № 1 равен 0,1, или 10 процентам).

В дополнение к усредненной стоимости персональных данных одного человека конкретной страны авторы предложили внести корректировку на его индивидуальность. Для этого необходимо воспользоваться декларацией о совокупном доходе человека и взять на основе предположения № 1 тот же коэффициент перехода 10 процентов от годового дохода к стоимости персональных данных.

Расчет 2

Например, совокупный годовой доход некоего гражданина России Петрова И.И. составил 1 миллион рублей. Тогда:

• V 2 = 1 000 х 0,1 = 100 тыс. р. или около 1 500 долларов США.

В итоге методика расчета рыночной стоимости персональных данных физического лица предполагает расчет среднего значения по двум расчетам:

Vpd = (V1 + V2) / 2, где Vpd – рыночная стоимость персональных данных физического лица.

Стоимость персональных данных Петрова И.И. в рамках экспериментальной методики составляет:

Vpd = (3 000 + 1 500) / 2 или 2 250 долларов США.

В рассматриваемой методике расчеты построены на коэффициенте перехода от ВВП на душу населения к стоимости персональных данных (в методике по предположению № 1 равен 0,1, или 10 процентов). По мнению автора настоящей статьи, они выглядят спорно за счет использования предположения № 1. Анализ рыночных данных показывает существенно более низкий уровень вклада персональных данных в ВВП. Соотношение рыночных цен за базы персональных данных и годового дохода гражданина США показывает не 10 процентов от годового дохода физического лица, а, скорее, 0,2–1 процент. При этом значение в рамках диапазона зависит от критериев оценки персональных данных, систематизированных ранее (эксклюзивность, своевременность, точность, полнота, согласованность и т. д.).

В статье [16] приведена проверочная методика расчета, которая дает результаты расчета стоимости персональных данных, приближенные к рыночным ценам на открытом рынке (в случае продажи баз данных). Для сравнения изучим эту проверочную методику.

Рассмотрим методику в модифицированном виде, так как предложенное в финале авторской методики умножение на 49 лет дублирует, по сути, метод капитализации доходного подхода.

В основе проверочной методики расчета стоимости персональных данных лежит капитализации арендной платы пользователям социальных сетей за санкционированное использование в политических или коммерческих целях их персональных данных.

В таблице 5 приведено описание первого этапа сбора данных для проверочной методики расчета стоимости персональных данных. На первом этапе необходимо получить данные по социальным сетям Вконтакте и Facebook.

На втором этапе проводится расчет удельной ставки арендной платы на одного пользователя одной сети. Расхождение чистой прибыли в пересчете на одного пользователя двух сетей объясняется коэффициентом производительности труда, в США он как раз примерно в несколько раз выше, чем в России (также он увязан с ВВП).

Таблица 5

Анализ удельной чистой прибыли на одного пользователя (по данным 2018 года)

Показатель	Facebook	Вконтакте
Чистая прибыль	22,1 миллиарда долларов США	12,6 миллиарда рублей, или 179,5 миллиона долларов США
Количество пользователей	2,32 миллиарда человек	97 миллионов человек
Чистая прибыль в пересчете на одного пользователя, долл. США	22,1 / 2,32 = 9,50	179,5 / 97 = 1,85
Ставка арендной платы за использование персональных данных пользователя одной социальной сети, долл. США в год	9,50 х 0,1=0,95	1,85 х 0,1 = 0,185

Предположение № 2 экспериментальной методики

Величина ставки арендной платы, которую должны выплатить в качестве дивидендов за капитал в виде персональных данных, рассчитана как 10 процентов от этой удельной прибыли сети. Ведь своим присутствием в качестве персональных данных в социальной сети пользователи вкладывают свой нематериальный продукт – аналог акционерного капитала, а он, в свою очередь, приносит прибыль его собственникам. По статистике блогеры зарабатывают на рекламе 0,5–2 рубля за подписчика.

Предположение № 3 экспериментальной методики

Количество приложений с использованием персональных данных одного физического лица:

• •    11–15 приложений при высокой активности в интернете;

• •    3–9 приложений при низкой активности в интернете.

Совокупная арендная плата за использование персональных данных в год (исходя из предположения № 3) рассчитывается как произведение арендной платы за использование персональных данных пользователя одной социальной сети на количество приложений.

Стоимость персональных данных физического лица будет определяться с учетом стабильного уровня арендной платы по формуле метода капитализации в рамках доходного подхода:

Vpd1 = Isn / R, где Vpd1 – стоимость персональных данных физического лица;

Isn – совокупная арендная плата за использование персональных данных физического лица в год;

R – ставка капитализации (принята авторами методики на уровне 10 процентов).

Пример

Для условного российского гражданина Петрова И.И. с совокупным годовым доходом 1 миллион рублей, с очень высокой активностью в интернете (по данным социальных исследований активность примерно в 13–15 приложениях с использованием персональных данных: социальные сети, Федеральная налоговая служба, банки, система здравоохранения, государственные услуги и т. п.) в расчетах использовано среднее значение 14 приложений.

В таблице 5 была определена ставка арендной платы за использование персональных данных пользователя одной социальной сети в размере 0,185 доллара США в год. Исходя из предположения № 3, совокупная арендная плата за использование персональных данных с учетом среднего количества приложений составит в год:

Is6n = 0,185 x 14 = 2,59 долл. США в год.

Определим стоимость персональных данных физического лица посредством капитализации совокупной арендной платы за использование персональных данных физического лица в год по ставке капитализации 10 прпоцентов:

Vpd ₁ = 2,59 / 0,1 = 25,9 долл. США.

Алгоритм и пример расчета стоимости персональных данных представлены в таблице 6.

Таблица 6

Пример расчета стоимости персональных данных

Этап	Содержание этапа	Данные на примере сети Вконтакте
1. Сбор данных	1.1. Чистая прибыль	12,6 миллиарда рублей, или 179,5 миллиона долларов США (по данным 2018 года)
	1.2. Количество пользователей	97 миллионов человек
2. Расчет удельных показателей	2.1. Чистая прибыль в пересчете на одного пользователя, дол. США	179,5 / 97 = 1,85
	2.2. Ставка арендной платы за использование персональных данных пользователя одной социальной сети, долл. США в год	1,85 x 0,1 = 0,185
3. Расчет стоимости персональных	3.1. Количество приложений с использованием персональных данных одного физического лица (13–15 приложений)	14

Окончание таблицы 6

данных физического лица	3.2. Совокупная арендная плата за использование персональных данных физического лица, дол. США в год	0,185 х 14 = 2,59
	3.3. Стоимость персональных данных физического лица, долл. США	2,59 / 0,1 = 25,9

Оценка стоимости персональных данных и расчет удельной ставки арендной платы за их использование открывает безграничные перспективы их использования в государственном управлении, коммерческой деятельности, обороте на рынке товаров и услуг в реальном и виртуальном пространствах, обеспечении безопасности и конфиденциальности личной жизни человека, а главное, способствует повышению экономического роста.

Выводы

Оценить стоимость персональных данных достаточно сложно, так как сначала нужно идентифицировать такие данные, как объект оценки (как объект интеллектуальной собственности и нематериальный актив), установив определенные характеристики, а также оценив их по соответствующим критериям.

Согласно Федеральному закону от 27 июля 2006 года № 152-ФЗ «О персональных данных» под понятием «персональные данные» понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Сложившаяся система регулирования делит персональные данные на две категории – общедоступную информацию и информацию ограниченного доступа. Однако для оценки персональных данных их необходимо классифицировать в зависимости от их типа и способа получения.

В статье показаны действия с персональными данными, этапы их жизненного цикла, приведен обобщенный список характеристик персональных данных и критерии их оценки.

Рассмотрена экспериментальная методика оценки стоимости персональных данных на основе коэффициента перехода от ВВП на душу населения к стоимости персональных данных, который эмпирически установлен как 0,1, или 10 процентов. По мнению автора настоящей статьи, представленные в методике расчеты выглядят спорно, поскольку анализ рыночных данных показывает существенно более низкий уровень вклада персональных данных в ВВП. Например, соотношение рыночных цен за базы персональных данных и годового дохода гражданина США показывает не 10 процентов от годового дохода физического лица, а, скорее, 0,2–1 процент. При этом значение в рамках диапазона зависит от критериев оценки персональных данных.

Также в теории и на примере рассмотрена проверочная методика расчета стоимости персональных данных, основанная на капитализации арендной платы пользователям социальных сетей. Эту методику предложено использовать в модифицированном виде, так как в расчетах обнаружена логическая ошибка..