About Teletype
Join
М
Мануковский Даниил
@manukovskii_daniil
June 1, 2025

Профайлинг и регулирование персональных данных в России

Объясняем профайлинг и его правовое регулирование в России простыми словами. Статья актуальная для юристов в сфере персональных данных и всех интересующихся.

1. Что такое профайлинг?

Представьте, что вы собираете информацию о человеке из разных источников, анализируете ее и на основе этого создаете его "профиль" для своих корыстных невинных целей. Этот профиль используется, чтобы сделать выводы о человеке, предсказать его поведение или принять в отношении него какие-либо решения, в зависимости от вашей сферы и ваших потребностей (пробив, продажи, аудит и тд).

Дадим определение в контексте персональных данных:

Профайлинг (профилирование) – это любая форма автоматизированной обработки персональных данных, которая заключается в использовании этих данных для оценки определенных аспектов личности физического лица (как правило).

Целью такой оценки могут быть, например:

  • Анализ или прогнозирование его профессиональных качеств.
  • Оценка его экономического положения (например, кредитоспособности).
  • Анализ его состояния здоровья (хотя здесь очень строгие ограничения).
  • Выявление его предпочтений и интересов.
  • Прогнозирование его поведения.
  • Определение его местоположения или перемещений.

Ключевые моменты – автоматизированная обработка (т.е. с использованием компьютерных программ, алгоритмов) и оценка или прогнозирование аспектов личности.

Аналогия: Это как если бы детектив собирал улики (персональные данные), складывал их в единую картину (профиль) и на основе этого делал выводы о подозреваемом (оценка, предсказание). Только в нашем случае "детектив" – это часто компьютерный алгоритм.

2. Как профайлинг связан с персональными данными?

Профайлинг невозможен без персональных данных. Именно они служат "строительным материалом" для создания профиля. Это могут быть:

  • Прямые идентификаторы: ФИО, номер телефона, email.
  • Косвенные данные: Возраст, пол, образование, профессия, семейное положение.
  • Поведенческие данные: История покупок, посещенные сайты, лайки в соцсетях, геолокация, поисковые запросы.
  • Данные, полученные от третьих лиц: Например, кредитная история из бюро кредитных историй.

Чем больше разнообразных данных собирается и анализируется, тем более детальным и, потенциально, точным (или, наоборот, опасным с точки зрения предвзятости) может быть профиль.

В то же время, чем больше данных, тем больше юридических ограничений и рисков.

3. Как работает профайлинг и где он используется?

Приведем примеры сфер, где используется профайлинг.

Маркетинг и реклама

  • Таргетированная реклама: Вы искали в интернете холодильник, и теперь вам везде показывают рекламу холодильников. Социальные сети показывают рекламу, исходя из ваших интересов, возраста, пола, подписок. 
Это классический пример профайлинга для коммерческих целей.
  • Персонализированные предложения: Интернет-магазин предлагает вам товары, похожие на те, что вы покупали раньше, или которые покупают люди с похожим профилем.
  • Динамическое ценообразование: Цена на товар или услугу может меняться в зависимости от того, как вас видит продавец.
Учитываются истории поиска, модель устройства, с которого вы заходите, тип подключения к интернету, язык браузера и поиска, валюта цены товара.

Финансовая сфера (скоринг)

  • Кредитный скоринг: Банки используют сложные модели для оценки вашей кредитоспособности. Анализируются ваши доходы, расходы, кредитная история, возраст, семейное положение и другие данные, чтобы решить, выдавать ли вам кредит и на каких условиях.
  • Страховой скоринг: Страховые компании могут использовать данные о вашем стиле вождения (если установлена телематика), возрасте, стаже и месте проживания для определения тарифа по КАСКО или ОСАГО.

Кадровая работа (HR)

  • Автоматизированный отбор резюме: Некоторые компании используют системы, которые анализируют резюме кандидатов и «оценивают» их соответствие вакансии на основе ключевых слов, опыта, образования.
  • Оценка рисков увольнения или предсказание производительности сотрудников: На основе анализа данных о работе сотрудника (KPI, активность в корпоративных системах и т. д.).

Безопасность компаний

  • Выявление мошеннических операций: Банки анализируют транзакции, чтобы выявить нетипичные или подозрительные операции, которые могут указывать на мошенничество (115 и 161 ФЗ неплохо вошли в нашу жизнь, не так ли?).
  • Профилирование для предотвращения правонарушений: Анализ данных для выявления лиц, склонных к определенным действиям.
Банки, криптобиржи, маркетплейсы и агрегаторы объявлений уже давно научились превентивно блокировать подозрительные аккаунты ещё до того, как с этих аккаунтов успели что-то натворить.

4. Правовое регулирование профайлинга в России

В российском законе № 152-ФЗ "О персональных данных" термин "профайлинг" (или "профилирование") прямо не используется. Однако это не значит, что такая деятельность не регулируется.

Регулируется ещё как. Но "регулировать" и "регулировать и ловить нарушителей" это разные вещи.

Как говорили у нас на юрфаке "Если всех нарушителей бить балкой, то на всех палочников не хватит." (С)

Статья 16 "Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных"

Эта статья касается ситуаций, когда решение, порождающее юридические последствия для субъекта или иным образом затрагивающее его права и законные интересы, принимается только на основе автоматизированной обработки его ПДн (то есть без участия человека).

Общее правило: Принятие таких решений запрещено.

Но если очень хочется, то можно.

Но ведь в этом и суть профайлинга...

А когда можно так делать? (исключения из ст. 16)

По общему правилу, принятие таких решений запрещено, но так формулирует исключение из этого правила, что становится можно при следующих условиях:

  • При наличии письменного согласия субъекта персональных данных. Это согласие должно быть конкретным и информированным именно на принятие такого автоматизированного решения.
  • В случаях, предусмотренных федеральными законами, которые устанавливают меры по обеспечению прав и законных интересов субъекта ПДн. (Например, некоторые автоматизированные процессы в госуслугах).
Нормы "резиновые", а впрочем...

Обязанности оператора персональных данных при использовании профайлинга

В идеальной картине мира (которую можно достичь с помощью хороших бристов в сфере ПД) всё должны быть так:

  • Оператор обязан разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения.
  • Оператор обязан предоставить субъекту возможность заявить возражение против такого решения.
  • Оператор обязан предоставить субъекту право на человеческое вмешательство, то есть на то, чтобы решение было пересмотрено уполномоченным лицом (человеком), а не только машиной.

Формулировка из закона более скромная (всё та же ст. 16):

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Вывод: Просто ссылки на ст. 16 для защиты своих прав может не хватить и придется детально разъяснять суть регулирования персональных данных и возможные последствия неисполнения требований.

Для меня огромная загадка, почему ещё не появились компании, которые за определенную денежку готовы изничтожить другие компании в сфере персональных данных. Эдакие законные юридические "киллеры". Представьте сайт с таким содержанием: "Устраним ваших конкурентов жалобой в Роскомнадзор" или "Надоели конкуренты? Гарантируем штраф 20 000 000 от Роскомнадзора. Работайте спокойно!" Если знаете таких, закиньте ссылку.

Сравнение с GDPR (Общий регламент по защите данных ЕС)

В GDPR термин "профилирование" (profiling) четко определен в статье 4.

Субъекты данных в ЕС (все люди на территории EC и все иностранцы, чьи данные обрабатываются на территории EC) имеют право не быть объектом решения, основанного исключительно на автоматизированной обработке, включая профилирование, которое порождает для них юридические последствия или аналогичным образом существенно их затрагивает (ст. 22 GDPR).

Требования к согласию и права субъекта схожи с российскими (право на человеческое вмешательство, право представить возражения, оспорить решение). Но в GDPR больше внимания уделяется оценке воздействия на защиту данных (DPIA) для таких операций.

profiling — means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;

Профайлинг общие нормы Закона о персональных данных

Даже если ситуация не подпадает под строгие критерии ст. 16 (например, таргетированная реклама обычно не порождает "юридических последствий"), любая обработка ПД в рамках профайлинга должна соответствовать общим принципам:

  • Нужно согласие на обработку персональных данных;
  • Ограничение конкретными, заранее определенными и законными целями: Нельзя собирать данные "на всякий случай" и профилировать для чего угодно.
  • Минимизация данных: Обрабатывать только те данные, которые необходимы для заявленных целей профилирования.
  • Точность данных: Обеспечивать актуальность и достоверность данных, чтобы профиль был корректным.
  • Прозрачность: Субъект должен понимать, что его данные используются для профайлинга (через Политику обработки ПДн, условия согласия).
Я не рекомендую использовать термин "профайлинг" в документах про персональные данные, если работаем в российском правовом поле.

5. Риски и проблемы, связанные с профайлингом

Профайлинг, несмотря на его пользу в некоторых случаях, несет и серьезные риски:

Дискриминация

Это одна из главных опасностей. На основе профиля людям могут отказывать в услугах, работе, предлагать менее выгодные условия или более высокие цены. Например, если алгоритм решит, что люди из определенного района менее кредитоспособны, они могут столкнуться с отказами в кредитах, даже если их личная ситуация хорошая.

Манипулирование поведением

Персонализированный контент и реклама могут незаметно влиять на наши решения, предпочтения, и даже политические взгляды, ограничивая наш выбор или подталкивая к определенным действиям.

Отсутствие прозрачности и объяснимости

Многие алгоритмы профайлинга (особенно на основе машинного обучения) очень сложны. Людям (и даже операторам) бывает трудно понять, почему система приняла то или иное решение в отношении конкретного человека. Это затрудняет оспаривание.

Ошибки в профилях и неверные выводы

Если исходные данные неточны, устарели или неполны, или если сам алгоритм содержит ошибки или предвзятости (biases), то и профиль будет некорректным. Это может привести к несправедливым или ошибочным решениям.

Чрезмерный сбор данных

Для создания точных профилей часто требуется сбор огромного количества данных о человеке, что само по себе является вторжением в частную жизнь.

Эффект информационного пузыря

Алгоритмы могут показывать нам только ту информацию, которая соответствует нашему профилю и предыдущим интересам, тем самым ограничивая наш кругозор и доступ к альтернативным точкам зрения.

Стигматизация

Присвоение человеку определенного "ярлыка" (например, "ненадежный", "рискованный") на основе профиля может иметь долгосрочные негативные последствия.

6. Что важно знать юристу?

Если ваши компания или клиенты используют профайлинг, и вы хотите соответствовать высоким стандартам в сфере защиты ПД и показать свою правовую культуру, юристу следует обратить внимание на следующее:

  1. Определить, подпадает ли деятельность под ст. 16 152-ФЗ: Если да, то необходимо обеспечить получение письменного согласия и реализацию прав субъекта (на разъяснение, возражение, человеческое вмешательство).
  2. Обеспечить законное основание для обработки ПДн: Чаще всего это будет согласие субъекта, которое должно быть свободным, конкретным, информированным и сознательным. В тексте согласия должно быть четко указано, что данные будут использоваться для анализа/прогнозирования определенных аспектов личности или для принятия решений на основе профиля.
  3. Обеспечить прозрачность: Информация об использовании профайлинга должна быть отражена в Политике обработки персональных данных. Субъекты должны понимать, для каких целей создаются их профили и как это может на них повлиять.
  4. Соблюдать принцип минимизации данных: Собирать и использовать только те данные, которые действительно необходимы для целей профайлинга.
  5. Проводить оценку рисков (аналог DPIA): Хотя 152-ФЗ прямо не требует DPIA для всех случаев профайлинга (как GDPR), оценка вреда, который может быть причинен субъектам (требуется по ст. 18.1 152-ФЗ), должна учитывать риски, связанные с профайлингом, особенно если он может привести к дискриминации или иным негативным последствиям.
  6. Контролировать точность данных и алгоритмов: Принимать меры для обеспечения точности данных и, по возможности, для выявления и устранения предвзятостей в алгоритмах.
  7. Разработать процедуры для реализации прав субъектов: Особенно права на доступ, уточнение, удаление данных, а также права, предусмотренные ст. 16 (возражение, человеческий пересмотр).
  8. Привлекать специалистов по Data Science / ИТ: Юристу сложно разобраться в технических деталях алгоритмов, поэтому важно взаимодействовать с техническими специалистами для понимания того, как работает система профайлинга, и для оценки ее соответствия правовым требованиям.
Мануковский Даниил
June 1, 2025, 08:41
0 views
0 reactions
0 replies
0 reposts