Не всё данные, что блестит
Мировые автоконцерны активно собирают поведенческие данные о водителях, но не всегда понимают, являются ли они персональными данными, защищаемые законом. Нет ясности и с передачей данных бизнес-партнерам, конкурентам. Буквально через два месяца в Евросоюзе вступит в силу Закон о данных ЕС. О том, какой эффект это окажет, почему недавнее решение Европейского суда выявило правовые коллизии, – в статье европейской юридической IT–legal компании Shoosmiths.
Время делиться
Действительно ли автопроизводители обязаны делиться данными с конкурентами? В этом постарались разобраться эксперты юридической компании Евросоюза Shoosmiths, специализирующейся на защите информации в цифровом пространстве.
Ответ однозначный: «да» – делиться придется. Суд рассмотрел принудительное предоставление производителем большегрузных автомобилей информации о транспортных средствах независимым операторам, таким как ремонтники, дистрибьюторы запчастей и издатели технической информации. Эти правила совместного использования уже применяются в автомобильной промышленности – в соответствии с регламентом о контроле за транспортом ЕС Motor Regulation, и призваны создать именно то правовое поле, которое законодатели ЕС надеются сформировать для подключенных к интернету продуктов с помощью Закона о данных. Производители по понятным причинам сопротивлялись, но суд не стал их слушать: пришло время делиться.
Все становится личным
При принудительном обмене данными мы можем ожидать значительного увеличения объема данных, которые должны рассматриваться как персональные. Чтобы понять, почему это так, нам нужно вернуться к основам «Общего регламента по защите данных» (General Data Protection Regulation, GDPR) ЕС и понять природу персональных данных.
Что касается вопроса о том, могут ли данные о транспортном средстве использоваться для идентификации личности, ответ можно найти в разделе 26 GDPR. Здесь говорится, что возможность идентификации зависит от «всех средств, которые с разумной вероятностью могут быть использованы контролером или другим лицом для идентификации [физического] лица».
По мере того, как данные переходят из рук в руки, новые участники информационной цепочки могут связать их с другой информацией, к которой у них есть доступ. Иногда таким образом, что даже данные, которые изначально были просто набором цифр, в итоге становятся персональными.
То же самое относится к IP-адресам и VIN-кодам (идентификационным номерам транспортных средств), которые представляют собой числовые идентификационные номера, привязанные к транспортному средству и хранящиеся у производителей. Согласно регламенту Motor Regulation, производители обязаны предоставлять VIN-коды и информацию о транспортных средствах сторонним операторам. Сложность заключается в том, что операторы также хранят информацию об истории владения, включая имена владельцев, а также другие данные, привязанные к VIN-кодам. Таким образом, такие данные внезапно обогащаются новым набором данных, содержащим персональные сведения.
С каких датчиков в машине собираются данные
Стоит отметить, что в 2019 году, благодаря финскому регулятору по защите данных, было подтверждено, что история обслуживания транспортного средства является персональными данными лица, которое владело транспортным средством в то время (но не нового владельца), поскольку она может прямо или косвенно описывать действия этого лица. Однако в центре внимания финского решения был вопрос о том, может ли информация об историческом обслуживании «относиться» к последующему владельцу и, следовательно, быть его персональными данными. Регулятор постановил, что не может, и комментаторы уже отметили возможное противоречие с Законом о данных.
Что сказал суд о VIN-коде
В недавнем деле, рассмотренном Европейским судом, производитель хотел узнать о влиянии персональных данных на цепочку передачи информации. Что по этому поводу сказал суд? Во-первых, это подтвердило, что последовательности цифр, такие как VIN-коды, могут быть персональными данными, если у стороны (в данном случае у оператора) есть разумные основания для их привязки к конкретному лицу (пункт 49 GDPR). Это следует из теста, описанного в примечании 26. «Основания» здесь, можно сказать, — это доступ к данным в регистрационных свидетельствах.
Во-вторых, суд заявил, что VIN-коды не всегда являются персональными данными. Например, если они относятся к транспортному средству, не принадлежащему человеку (пункт 49). Опять же, это неудивительно — иногда цифры — это просто цифры.
В-третьих, суд постановил, что не все соответствующие «средства» идентификации должны находиться в руках одного лица, чтобы соответствовать критерию, указанному в пункте 26 (параграф 45). Тот факт, что разные участники цепочки владеют разными частями головоломки, не отменяет того, что данные являются персональными. Это подтверждает то, что мы уже знаем из истории с IP-адресами (из предыдущего решения Германского федерального суда под названием «Брейер»), и в пункте 26 есть намёк на то, что информация может храниться у контролёра или «у другого лица». Дело «Брайер» — это судебное разбирательство между Патриком Брейером и властями ФРГ по поводу регистрации и хранения последней интернет-адреса («IP-адреса»), присвоенного г-ну Брейеру при доступе к нескольким интернет-сайтам, принадлежащим федеральным учреждениям Германии.
В конце концов, суд подтвердил, что должны существовать средства, которые «с разумной вероятностью могут быть использованы» для объединения элементов. В деле «Брейера» это был правовой механизм, с помощью которого правительство могло обязать интернет-провайдеров раскрывать информацию. В данном случае мы имеем дело с требованиями регламента Motor Regulation, которые предусматривают вероятный механизм идентификации личности.
Таким образом, VIN-коды, по крайней мере, для транспортных средств, находящихся в личной собственности, являются персональными данными. Строго говоря, суд оставил решение этого вопроса на усмотрение национального суда, но логика очевидна.
Тройная угроза для производителей
Означает ли это, что производители, у которых нет регистрационных сертификатов, теперь должны рассматривать все имеющиеся у них VIN-коды как персональные данные со всеми вытекающими из этого требованиями, касающимися передачи, прозрачности и обработки данных?
Согласно действующему руководству Европейского совета по защите данных (European Data Protection Board, EDPB) – в отношении транспортных средств, которые ещё не были проданы (хотя по практическим соображениям это различие может не сильно утешить производителей). Здесь суд, по-видимому, говорит то же самое, хотя и оставляет возможность для VIN-кодов непроданных автомобилей:
«В тех случаях, когда независимые операторы могут разумно располагать средствами, позволяющими им привязать VIN-код к идентифицированному или идентифицируемому физическому лицу, определение которого лежит на передающем суде, что VIN-код представляет собой персданные для них по смыслу статьи 4 (1) GDPR, и, косвенно, для производителей транспортных средств, предоставляющих его, даже если VIN сам по себе не является для них персональными данными, и не является для них персональными данными, в частности, когда транспортное средство, которому был присвоен VIN, не принадлежит физическому лицу».
Мы могли бы назвать это своего рода обратной разработкой: как только один из участников цепочки (даже конечное звено) может связать персональные данные с конкретным человеком, некоторые, если не все, держатели данных в цепочке также хранят персональные данные.
Только в соответствии с GDPR уже довольно давно написано, что VIN, хранящиеся у производителя, являются персональными данными (особенно с учетом позиции EDPB). Однако при более широком применении этих принципов к данным, хранящимся производителями, будь то в автомобильном секторе или за его пределами, дело суда ЕС – Schrems 2 является полезным напоминанием о том, что тест на «идентифицируемость» GDPR может иметь довольно серьезные последствия.
В совокупности с Законом о данных это создаст значительную дополнительную нагрузку по соблюдению требований для сторон, вынужденных начать обмен данными. Владельцы данных могут столкнуться с двойной проблемой: их могут обязать не только делиться информацией, которая потенциально наносит ущерб их коммерческим интересам, но и новое требование о том, что они должны это делать, будет означать, что сама возможность того, что их могут обязать делиться информацией, может потребовать от них внедрения новых средств защиты данных в соответствии с требованиями GDPR. Другими словами, Закон о данных делает данные, которые раньше было сложнее связать, более связанными и превращает их в персональные данные в источнике.
На самом деле это тройной удар: суд также постановил, что при представлении данных производители должны создавать базы данных с информацией, которая поможет пользователям, находящимся ниже по цепочке.
Британский регулятор по защите данных, ICO, без сомнения, ощущая необоснованное дополнительное бремя, говорит о другом. Для него британский GDPR можно интерпретировать как утверждение о том, что одни и те же данные могут быть персональными или нет в зависимости от того, в чьих руках они находятся. Изменения, предложенные в готовящемся законопроекте о защите данных и цифровой информации, укрепят эту позицию, если он вступит в силу. И, конечно, в перспективе нет британского закона о данных, по крайней мере пока.
Возвращаясь к решению суда, важно отметить, что в нем говорится: «VIN представляет собой персональные данные для них по смыслу статьи 4 (1) GDPR». Фраза «для них» повторяется еще дважды. Допускает ли это мысль о том, что данные могут (каким-то пока неустановленным образом) иметь разные идентификаторы в руках разных людей? Эту потенциальную дверь к здравомыслию, возможно, придется открыть шире, как только станет ясно практическое применение Закона о данных.
Но на данный момент, похоже, производители транспортных средств и другие компании, на которых распространяются обязательства по обмену данными в соответствии с Законом о данных, могут столкнуться с более серьёзными последствиями GDPR в будущем.
Материал подготовил: Александр Журавлев
Изображения: Adobe Stock, SBD, Foundation mozilla, CarDataFacts.
