Правовой режим персональных данных спортсмена и этика цифровых технологий

Введение. Новые технологии, обработка больших массивов данных, применяемые в самых разных сферах, в том числе в большом спорте, профессиональном спорте, обращают внимание юристов к вопросам этики цифровых технологий при использовании персональных данных спортсмена. Применительно к большому спорту проблематика может быть сформулирована как защита персональных данных спортсмена, уточнение критериев отнесения к персональным данным тех или иных характеристик и показателей спортсмена, возможности использования этих данных без его согласия для усовершенствования тренировочного процесса, выстраивания тактики игры. Современные информационные технологии создают новую этику цифровых технологий, по-новому проводя водораздел между публичным и приватным, создавая новую приватность, когда степень вмешательства в частную жизнь лица становится весьма значительной.

Цель. Выявить особенности защиты персональных данных спортсмена при их использовании и анализе в массиве больших данных для целей индустрии спортивных данных через призму соразмерности, обоснованности и выполнимости. Определить задачи, стоящие перед законодателем при регулировании правового режима спортивных персональных данных.

Материалы и методы. Использовался метод сравнительного правоведения при анализе зарубежного и российского законодательства, регламентирующего требования к режиму правовой защиты персональных данных спортсмена. Также использовались методы системного анализа, анализа и синтеза, анализ российских и зарубежных нормативных правовых актов различного уровня регулирования, закрепляющих требования к обороту и защите персональных данных спортсмена. Исследованы российские и доктринальные источники в сфере правового регулирования использования и анализа персональных данных спортсмена в массиве больших данных.

Сегодня мы наблюдаем, как законодатель формирует концепцию цифровых прав, под которыми понимается совокупность прав на доступ, создание, публикацию и использование результатов интеллектуальной деятельности в цифровой форме, доступ к цифровым технологиям и их использование, а также право общения и выражения мнения в информационно-телекоммуникационной сети Интернет, право на конфиденциальность и анонимность персональной информации [1]. При этом основа такой концепции заложена в Конституции РФ – предусмотренный ч. 1 ст. 24 Конституции РФ запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия рассматривается в литературе как отдельное конституционное право на информационное самоопределение [2].

В декабре 2019 года был разработан российский «Кодекс этики использования данных», который содержит общие принципы использования данных: законность использования данных, уважение прав и свобод, добросовестность, профессиональная ответственность, а также принципы профессиональной этики, касающиеся сбора данных, хранения данных, обработки данных и использования результатов обработки, коммерческого использования данных. К сожалению, вопросам защиты прав пользователей этот Кодекс уделяет не слишком много внимания. Кроме того, специалисты отмечают интересную закономерность – концепция этого Кодекса оказалась близка к американской модели (суть которой отражена, например, в новом законе штата Калифорнии «О защите частной жизни потребителей» (California Consumer Privacy Act, CCPA), Азиломарских принципах ИИ – инициативе Института инженеров электротехники и электроники (Institute of Electrical and Electronics Engineers, IEEE) и достаточно далека от европейской, в то время как российское законодательство о персональных данных находится именно в русле развития европейских принципов работы с информацией (их мы можем обнаружить в Генеральном регламенте о защите персональных данных (General Data Protection Regulation, GDPR), Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера 1981 года, разработанных Советом Европы «Руководящих принципах защиты лиц в связи с обработкой персональных данных в мире больших данных»).

Результаты. Для целей настоящей статьи мы используем определение данных и информации в том значении, которое обнаруживается в стандарте, действующем в сфере информационных технологий – ISO/IEC, – как информации (представление фактов, понятий, конструкций) в форме, приемлемой для общения, интерпретации или обработки человеком или с помощью автоматических средств. И соотносим эти определения с понятийнокатегориальным аппаратом российского законодательства о персональных данных и защите информации.

В правовом регулировании вопросов использования и анализа данных спортсменов значительное место занимает требование этичного использования таких сведений. Развитие этики данных идет по пути согласования законодательства о защите персональных данных и правильных способах применения новых технологий использования и анализа данных, таких как Big Data.

Очевидно, что проблематика этичного использования и анализа данных затрагивает в сфере спорта самых разных субъектов, заинтересованных в получении новых результатов благодаря новым технологиям; здесь тесно переплетаются интересы федераций, спортсменов, государства, медиа, болельщиков. Законодатель решает этическую дилемму, желая, с одной стороны, соблюсти права человека на неприкосновенность в цифровой среде, с другой – оценивая перспективы создания новых знаний и продуктов при анализе больших массивов данных. Кроме того, большие данные и технологии их обработки – это не только коммерциализация большого спорта, но и ресурс для большого количества научноисследовательских проектов, без которых развитие невозможно. Это говорит в пользу как можно большей полноты данных, зачастую этот параметр критичен для успешной обработки и анализа данных. Оборотная сторона – это возможные и ожидаемые риски для приватности данных и права человека на неприкосновенность в цифровой среде, поскольку одной из особенностей анализа больших данных является их ретроспективность и использование каждый раз для совершенно иных целей и решения новых задач, исчерпываю- щий перечень которых не может быть известен нам заранее (это и есть «истинная ценность больших данных» [3]). Другими словами, большие данные оказываются плохо совместимыми с правовым принципом, лежащим в основе обработки персональных данных, – ограничением обработки данных заранее определёнными целями [4]. Перед законодателем стоит задача соблюсти баланс интересов – коммерческих, интересов физического лица, государства и урегулировать объемы обрабатываемой информации и ее правовой режим, чтобы не допустить как «за-урегулированности» общественных отношений, уводя их тем самым в «серую зону», так и не допустить недостаточной анонимизации персональных данных.

Какие именно сведения из числа тех, которые подвергаются использованию и анализу, следует считать персональными данными? С одной стороны – все вроде бы очевидно, поскольку существует закон о персональных данных. И законодательство о персональных данных – одна из гарантий защиты права человека на неприкосновенность частной жизни в цифровой среде. С другой – не менее очевидно, что этот закон довольно однозначно ориентирован на бумажный документооборот и описательную аналитику данных, когда мы заранее знаем цель использования данных, на обработку которых субъект дает согласие. Однако у больших данных совершенно иная концепция и философия, по сути, прямо противоположная (ценность Big Data как средства – в идее повторного использования данных). И основная сложность в том, что стандартные «анкетные» данные, идеально подпадающие под действие закона о персональных данных, не всегда нужны. Чаще обрабатывается так называемый цифровой след. Так, на конференции «Большие данные в большом спорте», проведенной Яндексом в феврале 2018 года, прозвучал пример, что для задач спортивной аналитики количество событий с одного хоккейного матча – до 500 тысяч строк различного рода координат, отражающих различные события в ходе мачта (броски, голы, пасы). Компания спортивной аналитики InStat говорит о примерно 50 уникальных маркерах в футбольном матче и примерно 2,5 тыс. событий за одну игру, которые будут подвергнуты анализу. Причем это может быть как техникотактические данные, так и статистика физической активности.

Очевидно, что такие данные вряд ли можно назвать персональными данными в традиционном понимании (отраженном в том числе в законодательстве о персональных данных) и, скорее, следует вести речь о цифровом следе каждого игрока, на использование, обработку и анализ которого взять согласие заранее довольно проблематично. Для того чтобы информированное согласие выполняло роль главного легитимирующего основания для обработки данных, необходимо, чтобы уже на ранних стадиях обработки данных субъект персональных данных принял ряд дискретных решений [4]. Кроме того, возникает вопрос, являются ли персональными данными спортивная информация, полученная с игры, матча, ведь по сути спортивные соревнования являются публичными мероприятиями и в соответствии с законом об информации, информационных технологиях и о защите информации информация, полученная в этом случае, является общедоступными персональными данными.

Обязанность оператора, который использует и обрабатывает данные, – руководствоваться целями, которые преследовал субъект, размещая информацию, была подтверждена в деле «ВКонтакте» против Double Data». Double Data использовала данные из открытых профилей пользователей «ВКонтакте», считая эту информацию размещенной в общедоступных источниках, анализировала их и продавала результаты бюро кредитных историй и банкам. По мнению «ВКонтакте», база пользовательских данных была их интеллектуальной собственностью, так как информация о пользователях агрегировалась в обособленную автоматизированную систему данных. Девятый арбитражный апелляционный суд удовлетворил требования «ВКонтакте», обязав компанию Double Data прекратить использовать данные пользователей социальной сети, поскольку ни сеть «ВКонтакте», ни ее пользователи не давали разрешения на извлечение таких материалов и их коммерческое использование.

Из зарубежной практики можно привести скандальное дело Facebook и Cambridge Analytica в Federal Trade Commission (Федеральная торговая комиссия США), когда Cambridge Analytica воспользовалась данными около 87 млн пользователей Facebook для продвижения политической агитации, в том числе для президентской кампании Дональда

Трампа. Почти через полтора года после скандала FTC признала, что Cambridge Analytica обманывала пользователей Facebook и осуществляла сбор данных непрозрачно.

Говоря о данных спортсмена, мы расширительно толкуем это понятие и включаем сюда собственно персональные данные, данные медицинского характера (подпадающие в том числе и под действие законодательства о медицинской тайне), а также в ряде случаев биохимические и поведенческие данные. Например, французский стартап в области спортивной робототехники PIQ и Everlast совместно разрабатывали «первое носимое устройство на базе искусственного интеллекта для боевых видов спорта». Компания утверждала, что платформа способна отслеживать и анализировать «микроскопические вариации в боксерских движениях», чтобы помочь максимально повысить эффективность тренировок.

Справедливости ради отметим, что, признавая высокую степень коммерциализации индустрии спортивных данных, мы сознательно не включаем в объект исследования другие сферы спорта, где так или иначе используются данные спортсменов, а их немало: это системы отбора детей в спортивные школы, отслеживание результатов юниоров, вывод спортсменов на пик формы к соревнованиям и целый ряд других сфер, где анализ данных может решать значимые задачи. Следовательно, подвергаться анализу будут самые разные данные – о тренировках, об играх, о процессах восстановления, поведенческих состояниях спортсменов, фармакологическая информация, технико-тактические действия, двигательная активность, травмы, особенности питания, периодичность и особенности тренировочного процесса, медицинские показатели.

Сегодня спортивная индустрия испытывает колоссальную коммерческую аналитическую нагрузку. Можно встретить утверждения, что профессиональный спорт – это «игра с цифрами», и здесь, конечно, имеются в виду возможности, возникающие в результате обработки больших данных, формирование индустрии, поддерживающей анализ данных [6]. Одной из наиболее сложных проблем становится проблема деперсонализации данных.

В России правовое регулирование персональных данных – это Федеральный закон № 152-ФЗ «О персональных данных» и Феде- ральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации», конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Большими данными принято считать большой массив данных, которые могут быть структурированы и неструктурированы, которые меняются, обрабатываются и анализируются с целью выявления новых связей, появления новых метрик для принятия различных решений. В литературе особенности больших данных сформулированы через категории volume (большой объем), variety (разнообразие), velocity (высокая скорость изменения) [5].

ФЗ № 152-ФЗ определяет персональные данные как любую информацию, прямо или косвенно относящуюся к определенному или определяемому физическому лицу, которое в законе обозначено как субъект персональных данных. В больших данных далеко не все данные персональные, более того, это могут быть данные самых разных форматов – поведенческие, социальные, биологические, финансовые, личные и полученные из самых разных источников. Очевидно, что только некоторые из них будут персональными.

В первом приближении проблему можно решить через обезличивание данных спортсмена, но и здесь есть ряд вызовов для законодателя. При обработке первичных персональных данных (даже взятых у лица с соблюдением требований о согласии) происходит их обезличивание, и полученные в результате вторичные данные являются производными от персональных. Буквально персональными не считаются, личность субъекта не раскрывают ни прямо, ни косвенно, однако при объединении этих вторичных агрегированных данных, сопоставлении их с такими же вторичными данными либо связи их с персональными данными вновь появляется возможность идентификации лица.

Кроме того, при использовании технологии обработки данных в отношении спортсменов обработке могут подвергаться самые разные сведения, которые относятся уже не к так называемой анкетной информации (фамилия, имя, отчество, дата рождения и т. д.), а, скорее, к здоровью, физическим параметрам, биометрическим показателям, возможно, медицинским манипуляциям. Законодатель делает в этом случае сложный выбор между возможностью получения наиболее полной картины в результате анализа данных спортсмена, но при этом с риском их использования третьими лицами, если данные не будут обезличены, либо же максимально защищать персональные данные спортсмена (с помощью псевдонимизации или анонимизации), но в ущерб полноте той базы данных, которая подвергается анализу. И хотя псевдонимиза-ция часто рассматривается как своего рода консенсус, поскольку позволяет обеспечить определенную степень защиты, у этого варианта есть и существенные минусы, поскольку риски возможной деанонимизации выше, чем при необратимой анонимизации, и, кроме того, этот вариант сложнее и затратнее технологически, чем необратимая анонимизация. Как один из способов решения этой проблемы называется регулярная оценка рисков реидентификации, что также довольно затратно.

Заключение. Нас ждет дальнейшее развитие индустрии спортивных данных, коммерциализация этой сферы, вовлечение в нее все большего числа субъектов. Если на начальном этапе основными заинтересованными лицами выступали федерации, клубы, сами спортсмены и тренеры, то сейчас в эту сферу вовлекаются судьи, болельщики, фанаты, медиа. Вопрос об этичности использования и анализа данных – это вопрос на стыке права и этики, правовых и морально-этических регуляторов. Важно сбалансированно развивать все составляющие процесса использования персональных данных спортсменов – медицинскую, спортивную, правовую.

Использование персональных данных в массиве больших данных для обработки и анализа рождает такую категорию, как большие персональные данные или большие пользовательские данные. Законодателю предстоит установить правовой режим персональных данных, используемых как большие данные, либо через категорию «большие персональ- ные данные», либо через совершенствование порядка предоставления согласия на использование персональных данных.

Правовой режим данных спортсмена для целей индустрии спортивных данных должен сочетать нормы о защите персональных данных, нормы, регулирующие медицинскую тайну, использование общедоступных данных, полученных в ходе публичных мероприятий, а также опираться на стандарты и принципы этики цифровых технологий, находящейся в поиске грани между ценностью больших объемов данных и защитой неприкосновенности лица в цифровой среде.