«Персонально для вас» – новый закон о рекомендательных технологиях в Интернете
С 01 октября 2023 г. вступил в силу новый закон о рекомендательных технологиях, направленный на упорядочивание сбора сведений о пользователях в Интернете. Закон устанавливает требования к владельцам сайтов, облачных сервисов и мобильных приложений. Роскомнадзор сможет блокировать доступ к информационным ресурсам – нарушителям. Старший юрист фирмы «Городисский и Партнеры» Станислав Румянцев поясняет, как будет применяться закон и как владельцам сайтов следует исполнять новые требования.
Что такое рекомендательные технологии?
Согласно пояснительной записке к законопроекту о рекомендательных технологиях, его цель изначально состояла в регламентации использования технологий, предназначенных «для продвижения товаров и услуг, вовлечения пользователей сети Интернет и удержания их внимания». ИТ-специалисты обычно называют их «рекомендательными системами». К примеру, в документации сервиса Yandex Cloud указано: «рекомендательные системы — это комплекс сервисов и программ, который анализирует предпочтения пользователей и пытается предсказать, что может их заинтересовать». То есть новые требования могут применяться к: интернет-магазинам, предлагающим пользователю купить со скидкой ранее просмотренные товары; онлайн-кинотеатрам, составляющим подборку фильмов, которые вероятно понравятся именно Вам; музыкальным сервисам, формирующим индивидуальный плей-лист для каждого пользователя; и в других подобных случаях.
Новый закон вносит ст.10.2-2 в Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – «ЗоИ»). В этой статье содержится значительно более емкое определение: рекомендательные технологии – это «информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации». Использует эти технологии «владелец сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин» (далее – «Владелец ресурса»). Стоит отметить, что предложение товаров и услуг и иные виды маркетинга в ст.10.2-2 вообще не упомянуты. Поэтому на деле к рекомендательным технологиям, исходя из буквального толкования закона, можно отнести не только маркетинговые системы, но и любые ИТ-средства, которые вначале запоминают действия и предпочтения пользователей, а затем персонифицируют интерфейсы и наполнение сайтов, онлайн-сервисов или мобильных приложений. Под установленное законом определение вполне попадают случаи, когда пользователь заполнил анкету, например, для бронирования билетов или гостиниц, и при следующем визите система бронирования выдаст этому пользователю уже заранее заполненную анкету. Под действие закона также могут попасть любые сайты и мобильные приложения, где пользовательский интерфейс адаптируется для удобства каждого конкретного пользователя, исходя из его привычек (автомобильные навигаторы, банковские предложения, облачные системы в различных сферах).
В соответствии с разъяснениями Роскомнадзора от 29.09.2023 новые требования «не распространяются на сайты, информационные системы, и (или) программы для электронных вычислительных машин, на которых пользователям предоставляется информация исключительно по итогам обработки заданных пользователем поисковых параметров, в том числе с применением фильтров, настраиваемых самим пользователем». То есть ст.10.2-2 ЗоИ (в указанной интерпретации) не должна применяться к интернет-магазину, который предлагает купить именно те товары, которые пользователь ранее самостоятельно находил на сайте магазина через форму поиска. Если же пользователь нажимал на рекламные баннеры или просматривал тематический контент на сайте интернет-магазина или иных ресурсах, а потом ему предлагают купить именно вызвавшие интерес товары, то это возможно отнести к рекомендательным технологиям.
В ст.10.2-2 ЗоИ не конкретизировано, рассматриваются ли «сведения, относящиеся к предпочтениям пользователей» в качестве персональных данных. Также неизвестно, по каким признакам необходимо определять местонахождение пользователя именно в Российской Федерации, и каким образом иностранные компании, не работающие на российском рынке, должны будут выполнять новый закон.
Информирование пользователей
Согласно ч.1 ст.10.2-2 ЗоИ, владелец ресурса обязан «не допускать предоставление информации с применением рекомендательных технологий без информирования пользователей» о применении рекомендательных технологий. Требования к содержанию информационного сообщения и особенностям его размещения должны быть установлены Роскомнадзором, но соответствующий приказ пока не принят. Скорее всего, на практике будут использоваться аналоги cookie-баннеров.
Правила применения рекомендательных технологий
Владелец ресурса обязан:
-
разместить адрес электронной почты для направления юридически значимых сообщений, свои фамилию и инициалы (для физического лица) или наименование (для юридического лица);
-
разместить документ, устанавливающий правила применения рекомендательных технологий.
Согласно ч.2 и 3 ст.10.2-2 ЗоИ, правила применения рекомендательных технологий должны быть размещены на информационном ресурсе, на котором применяются рекомендательные технологии, на русском языке. К ним должен быть обеспечен беспрепятственный и безвозмездный доступ. Правила должны содержать:
-
описание процессов и методов сбора, систематизации, анализа сведений, относящихся к предпочтениям пользователей, предоставления информации на основе этих сведений, а также способов осуществления таких процессов и методов;
-
виды сведений, относящихся к предпочтениям пользователей которые используются для предоставления информации с применением рекомендательных технологий, источники получения таких сведений.
На усмотрение владельца ресурса остаются структура правил и их юридический статус (справочное сообщение, локальный акт, распорядительный документ и т.п.), поскольку ЗоИ не содержит никаких условий об этом.
Примечательно, что нормы ст.10.2-2 ЗоИ не обязывают разработчиков рекомендательных технологий публиковать указанные выше правила. Неясно, откуда владелец ресурса может получить информацию о процессах и методах, заложенных в основу технологии, созданной сторонней организацией и распространяемой по облачной модели. При этом обычно владельцы ресурсов самостоятельно подобные технологии не разрабатывают. Вполне очевидно, что разработчики рекомендательных технологий могли бы установить единообразные правила применения этих технологий, обязательные для всех владельцев ресурсов. С другой стороны, владелец каждого отдельного ресурса не сможет установить какие-либо правила, обязательные для разработчика.
Ограничение доступа к информационным ресурсам
Роскомнадзор наделен полномочиями по ограничению доступа к ресурсам, на которых:
-
применение рекомендательных технологий влечет нарушение прав и законных интересов граждан и организаций, предоставление информации с нарушением законодательства Российской Федерации (пп.1 ч.1 ст.10.2-2 ЗоИ); либо
-
не выполняются требования по информированию пользователей о применении рекомендательных технологий (пп.2 ч.1 ст.10.2-2 ЗоИ).
При выявлении нарушений Роскомнадзор должен запросить у владельца ресурса «информацию, связанную с применением рекомендательных технологий, а также доступ к программно-техническим средствам рекомендательных технологий для проведения оценки соответствия применения рекомендательных технологий требованиям» ст.10.2-2 ЗоИ. Порядок предоставления доступа не установлен. Поскольку ни ст.10.2-2 ЗоИ, ни иные нормативно-правовые акты не устанавливают требования к устройству рекомендательных технологий и протекающим в них процессам, неясно, каким образом и на предмет чего Роскомнадзор будет проводить оценку и, соответственно, зачем ему может понадобиться доступ.
Если владелец ресурса не выполняет требования Роскомнадзора, то доступ к информационному ресурсу может быть ограничен во внесудебном порядке. При устранении нарушений он возобновляется. Исходя из буквального текста ст.10.2-2 ЗоИ, в случае отсутствия правил применения рекомендательных технологий или их неправильного составления возможность блокирования доступа не предусмотрена.
В настоящее время подготовлен, но пока не утвержден проект Приказа Роскомнадзора «Об утверждении порядка взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с владельцами информационных ресурсов, на которых применяются рекомендательные технологии».
Согласно ч.16 ст.10.2-2 ЗоИ, нарушение требований этой статьи влечет «уголовную, административную и иную ответственность в соответствии с законодательством Российской Федерации», хотя пока соответствующие меры ответственности законодательством не предусмотрены.
Закон о рекомендательных технологиях затрагивает значительное количество сайтов, мобильных приложений и онлайн-сервисов. Пока меры ответственности не сформулированы, владельцы ресурсов имеют возможность обеспечить соблюдение новых правил в спокойном режиме. Эту задачу не следует откладывать в долгий ящик. Существующие пробелы в правовом регулировании со временем будут устранены. Владельцам ресурсов целесообразно в ближайшее время разработать механизм информирования пользователей и составить правила применения рекомендательных технологий, а также отслеживать рекомендации надзорных органов и складывающуюся правоприменительную практику.
Опубликовано 17.10.2023