Наталия Николаевна Литвинова, канд. филол. наук, эксперт Некоммерческого партнерства «Национальный электронно-информационный консорциум» (НЭИКОН); главный библиотекарь Российской государственной библиотеки
ул. Воздвиженка, 3/5, г. Москва, 190019
В статье рассматривается ряд проблем обработки персональных данных (ПД) пользователей, которые возникают у российских библиотек при взаимодействии с внешними контент-провайдерами. Анализируется зарубежный опыт по установлению основных принципов охраны персональных данных, минимизирующих передачу персональных данных пользователей и исключающих такую передачу без получения их информированного согласия. Рассматриваются 12 принципов, зафиксированных в документе NISO (Национальной организации информационных стандартов США) — “NISO consensus principles on users’ digital privacy in library, publisher, and software-provider systems”, и практические рекомендации Американской библиотечной ассоциации. Показано, что существующая практика обработки ПД при взаимодействии библиотек с российскими ЭБС не вполне соответствует положениям Федерального закона 152-ФЗ «О персональных данных». Предлагается несколько путей решения обозначенных проблем: получение юридически обоснованных разъяснений по составу персональных данных, используемых в библиотечной практике, работа с контент-провайдерами по разработке документов, включающих всю информацию, необходимую пользователю для принятия информированного согласия на обработку ПД, и другие.
The article deals with some issues of personal data processing and management in Russian libraries interactions with licensed resources providers. The author analyzes international practice on the libraries’ way to establishing main principles of personal data privacy and security: minimal data transfer and informed patron’s agreement on personal data processing. List of principles set up by “NISO consensus principles on users’ digital privacy in library, publisher, and software-provider systems” are analyzed as well as American Library Association documents. Specific problems of personal data transfer from Russian electronic library systems providers to libraries are analyzed and some solutions are suggested.
Библиотеки столетиями собирали данные о своих читателях, для того чтобы развивать свои фонды и услуги, предлагаемые пользователям с учетом их интересов, возраста, пола и других характеристик, которые раскрывались при регистрации читателей. Для организации взаимодействия с читателями необходимы также их контактные данные: почтовые адреса, номера телефонов, адреса электронной почты и другие. Эти данные относятся к персональным данным в соответствии с определением, данным в российском Федеральном законе № 152-ФЗ «О персональных данных» от 27.07.2006 [
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
В течение длительного периода библиотеки обрабатывали персональные данные (ПД) своих читателей изолированно, внутри своей организации. В условиях сетевого взаимодействия в электронной среде они все шире пользуются услугами внешних контент-провайдеров и сервис-провайдеров. Последние, в свою очередь, заинтересованы в информации о пользователях для целей, сходных с библиотечными, таких как повышение качества своих продуктов и сервисов, и зачастую сами являются операторами персональных данных. Становится возможной ситуация передачи от библиотеки ПД своих пользователей внешним поставщикам информационных продуктов и сервисов и обратно, достаточно новая в библиотечной практике. Эта ситуация и является основным предметом рассмотрения настоящей статьи. Более узко: проблемы обработки персональных данных, возникающие у библиотек при подписке на лицензионные ресурсы внешних контент-провайдеров.
Работа библиотек с персональными данными пользователей регламентируется законодательством страны, группы стран (как в Европейском Союзе) и/или региона. Разумеется, для российских библиотек приоритетно выполнение требований российского закона № 152-ФЗ. Вместе с тем, оформляя доступ к зарубежным лицензионным ресурсам, они должны учитывать законодательные нормы, в рамках которых работают зарубежные контент-провайдеры. Международный масштаб деятельности крупнейших компаний вынуждает их вырабатывать подходы к обработке персональных данных, не противоречащие законодательству нескольких стран, на рынках которых они работают. В этой связи важнейшим законодательным актом является регламент Европейского Союза “General Data Protection Regulation” (GDPR), введенный в действие в 2018 году [
Как российский 152-ФЗ, так и GDPR задают общие положения и правила обработки персональных данных, не детализируя их до уровня применения в отдельных сферах деятельности, например в библиотечном деле. Библиотечные организации ряда стран разработали собственные рекомендации в помощь библиотекам. Среди них наиболее многоаспектные и детальные предложила библиотечная ассоциация США — American Library Association (ALA).
В США нет федерального закона, регламентирующего обработку персональных данных. Сейчас в Сенате США только обсуждается внесенный в 2019 году “Privacy Bill of Rights Act”, который во многом сходен с GDPR. Но в 48 штатах законы о персональных данных есть [
Рис. 1. Страница сайта ALA, посвященная персональным даннымFig. 1. ALA site page on personal data
Отправная точка для всех материалов на этой странице — кодекс этики ALA, в котором прописано, что библиотеки уважают право пользователей на конфиденциальность информации и охраняют информацию об истории их поисков, полученных результатах, консультациях и заказах на выдачу литературы в любой форме. Здесь есть подборка ответов на вопросы по этой чувствительной теме, которая начинается с разъяснения базовых понятий и содержит ряд практических рекомендаций по разработке политики библиотек в сфере персональных данных с образцами лучших текстов таких политик, а также по обеспечению их надежного хранения. Отдельные разделы содержат подробные разъяснения по работе с персональными данными, включая руководства и чек-листы для проверки соответствия организации работы требованиям конфиденциальности и надежности. Специальное руководство посвящено вопросам работы с персональными данными при взаимодействии с поставщиками информации (Library Privacy Guidelines for Vendors), то есть тому, что является основным предметом рассмотрения данной статьи. В нем кратко сформулированы основные принципы и процедуры начиная с оценки поставщика контента с точки зрения его открытости в формулировании политики работы с ПД и заканчивая рекомендациями по раскрытию в лицензионном договоре всех деталей взаимодействия, при котором происходит передача данных о пользователях контента и их действиях с контентом. Эти документы разрабатывались в разное время и постоянно обновляются с учетом меняющихся условий работы библиотек в электронной среде.
Важность учета всех аспектов обработки ПД при взаимодействии библиотек и внешних контент-провайдеров была осознана на уровне Национальной организации по стандартизации США (National Information Standards Organization), которая в 2010-х годах сформировала рабочую группу из представителей библиотек и крупнейших контент- и сервис-провайдеров США и Европы и в 2015 году опубликовала документ “NISO Consensus Principles on Users’ Digital Privacy in Library, Publisher, and Software-Provider Systems (NISO Privacy Principles)” [
По мнению автора, эти принципы универсальны и могут применяться повсеместно. Они вполне согласуются с требованиями российского законодательства, представленными в 152-ФЗ.
Проблемы обработки персональных данных в библиотеках в условиях взаимодействия с внешними контент-провайдерами получили широкое освещение в англоязычной литературе [5–12]. В отличие от русскоязычной литературы, где обработка ПД обычно рассматривается как внутренняя работа библиотеки, в рассмотренных публикациях акцентируются особенности работы с лицензионными ресурсами. Подчеркивается необходимость использования специального языка в лицензиях, потребность в детально разработанных политиках работы с ПД, ясных исчерпывающих текстах информированного согласия для пользователей и обучения пользователей безопасным методам предоставления данных.
Как было сказано выше, российские библиотеки руководствуются требованиями Федерального закона «О персональных данных» (152-ФЗ), принятого в 2006 году. С вводом его в действие российские библиотеки предприняли много усилий для того, чтобы выстроить свою работу с читателями в рамках этого закона. Они регистрируются в реестре операторов персональных данных и разрабатывают пакеты документов, регламентирующих их работу с персональными данными читателей. Имеется достаточно обширная русскоязычная литература [13–19], освещающая движение библиотек в этом направлении и его результаты, вылившиеся в подготовку методических рекомендаций разного уровня: от конкретной библиотеки до сети муниципальных и/или региональных библиотек. Но в этих документах автору не удалось найти специфических рекомендаций относительно работы с персональными данными пользователей при взаимодействии с внешними контент-провайдерами. Между тем подписка на доступ к их ресурсам широко распространяется в российских библиотеках уже третье десятилетие, причем, начавшись с национальных библиотек и библиотек ведущих вузов страны, она дошла и до муниципального уровня: здесь достаточно упомянуть подписку библиотек на ресурсы ЛитРес.
В принципе российский закон «О персональных данных» содержит всю необходимую информацию для того, чтобы очертить рамки работы с ПД при взаимодействии с поставщиками лицензионных ресурсов. Однако его общие формулировки явно нуждаются в специальных толкованиях и пояснениях применительно к библиотечной деятельности. Повторим основное определение. «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Эта формулировка носит достаточно общий характер, поскольку разнообразие данных, по которым можно идентифицировать физическое лицо, велико и постоянно увеличивается. Например, в электронной среде человека в принципе можно идентифицировать по используемому устройству в сочетании со статическим IP-адресом, используемым браузером и файлами куки. Многие сочетания данных вызывают сомнения, можно ли считать их персональными данными, если они в общем случае не позволяют идентифицировать человека, но в некоторых случаях это становится возможным. Например, ФИО человека в сочетании с местом работы может идентифицировать человека, если у него редкие фамилия, имя и отчество, а уникальное название организации делает идентификацию безошибочной. Поэтому многие организации — операторы ПД и суды, рассматривающие дела, связанные с обработкой персональных данных, делают запросы в Роскомнадзор для получения разъяснений о признании персональными данными конкретного сочетания характеристик субъектов. Некоторые типовые случаи рассмотрены в разделе сайта Роскомнадзора «Часто задаваемые вопросы», подраздел «О персональных данных» —
Рассмотрим конкретный пример. В методических рекомендациях областной библиотеки1 по работе библиотекаря в проекте «ЛитРес: Библиотека» в модуле регистрации пользователей рекомендуется заполнить в регистрационной форме только следующие данные читателя: ФИО и дату рождения. Поясняется, что дата необходима ЛитРес для того, чтобы учитывать возрастные ограничения при отборе литературы по запросам читателей. При этом оговаривается, что поля «Электронный адрес» и «Телефон» библиотекарь не заполняет, поскольку они являются персональными данными согласно 152-ФЗ — и их нельзя передавать без разрешения читателя. Но являются ли персональными данными ФИО и год рождения? Автор обратился в Роскомнадзор с запросом об этом, заполнив форму запроса на сайте. Полученный ответ таков: «В соответствии с пунктом 1 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных” (далее — Закон) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Совокупность сведений ФИО и год рождения являются персональными данными». Думается, что библиотечное сообщество России может и должно сформулировать типовые вопросы по использованию персональных данных в библиотеках и получить соответствующие официальные разъяснения Роскомнадзора. Опубликованные на сайте авторитетной библиотечной организации, они помогли бы библиотекам грамотно выстраивать свою работу в этом направлении.
В каких ситуациях возможна передача ПД пользователей от библиотек контент-провайдерам и обратно и каким образом 152-ФЗ регламентирует это? Передача персональных данных между разными операторами ПД возможна в режимах предоставления, распространения или доступа — конкретных видах обработки персональных данных. Ниже приводятся определения, данные в соответствующем разделе 152-ФЗ (Статья 3. Основные понятия, используемые в настоящем Федеральном законе).
«Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц».
«Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц».
Библиотеки как ответственные операторы персональных данных получают согласие на обработку ПД от своих пользователей письменно или в электронной форме; в последнем случае пользователь подтверждает согласие на обработку своих ПД, проставляя отметку в соответствующем поле2. Для получения согласия необходимо ознакомить пользователя с политикой обработки персональных данных, применяющейся в организации-операторе. В политике должен быть раскрыт состав обрабатываемых ПД, цели обработки ПД и применяемые действия (операции) обработки. На сайте Роскомнадзора дается образец согласия на обработку ПД в письменной форме —
Рассмотрим ситуацию возможной передачи ПД на примере взаимодействия российских библиотек с российскими электронно-библиотечными системами (ЭБС), которое широко практикуется уже около двадцати лет. По определению ГОСТ Р 57723-2017 [
Обычно библиотеки вузов рекомендуют своим пользователям, заинтересованным в персонализации взаимодействия с ЭБС, регистрироваться индивидуально на их платформах. Таким образом, пользователь сам берет на себя ответственность за предоставление своих ПД ЭБС, выразив согласие на их обработку в форме регистрации. Регистрация предоставляет им две основные возможности:
Возможность удаленного доступа крайне важна для подписчиков, поэтому регистрация на платформах ЭБС в вузах, которые не используют простые методы удаленного доступа, основанные на идентификации IP-адреса организации, такие как использование прокси-сервера и VPN, широко распространена.
При регистрации пользователя с целью получения удаленного доступа контент-провайдеру необходимо установить его аффилиацию с организацией-подписчиком. Обычно российские вузы применяют два основных способа установления аффилиации:
Анализ форм регистрации на платформах семи российских ЭБС показывает, что состав данных о пользователях, требуемых при регистрации, варьируется, однако всегда включает три-четыре обязательных элемента: фамилию, имя (отчество — в двух случаях из семи, в остальных опционально) и e-mail. Сочетание данных фамилии, имени (отчества — опционально) и e-mail относится к категории персональных данных. Это означает, что пользователи должны дать ЭБС согласие на обработку своих ПД. Из семи рассмотренных ЭБС пять требуют дать согласие, проставив отметку в соответствующем поле, которое является обязательным. В двух случаях после заполнения формы ввода ПД пользователь просто нажимает кнопку «Регистрация». По мнению автора, это не соответствует требованиям 152-ФЗ.
Согласие пользователя должно быть информированным, то есть он должен иметь возможность ознакомиться с документом (документами), описывающими, как и для каких целей будут обрабатываться его персональные данные. Пять ЭБС, которые требуют согласия на обработку ПД, предъявляют такие документы. Обработка персональных данных пользователя во всех пяти случаях описана отдельным разделом в пользовательском (лицензионном) соглашении. В двух случаях для ознакомления предлагается отдельный тест согласия на обработку ПД, в одном случае — текст политики обработки ПД. В четырех случаях из пяти в документах раскрываются цели использования ПД, конкретизированные для ситуации взаимодействия пользователя с ЭБС, в одном случае предлагается ознакомиться с 152-ФЗ, в соответствии с которым действует ЭБС. Последний вариант представляется явно недостаточным для получения информированного согласия пользователя.
Посмотрим, как описывается в упомянутых документах возможность передачи персональных данных третьим сторонам (кроме случаев запросов госорганов, оговоренных в Законе 152-ФЗ). К сожалению, только в одном случае это явным образом описано в согласии на обработку ПД: пользователю предложено согласиться с тем, что его данные, в том числе информация о прочитанных книгах, будут время от времени передаваться «правообладателям, партнерам и (если применимо) вузу, организовавшему доступ». При этом возникает вопрос, не подпадает ли эта формулировка под понятие «раскрытие персональных данных неопределенному кругу лиц», то есть распространение ПД, на которое, напомним, 152-ФЗ требует получить отдельное разрешение субъекта персональных данных.
Почему это важно для библиотек, прежде всего, вузовских? Потому что они заинтересованы в получении данных об использовании материалов ЭБС, приобретенных в доступ, в том числе об использовании их индивидуальными пользователями. И ЭБС, идя навстречу пожеланиям своих основных клиентов, такие данные предоставляют в статистических отчетах. Проблема в том, что в них в ряде случаев включены персональные данные пользователей, на передачу которых, как показано выше, пользователи официального решения не давали. Только в одной из семи рассмотренных ЭБС в наборе стандартных статистических отчетов данные обезличены, то есть не сопоставлены с конкретными пользователями. В остальных случаях в отчеты включаются следующие данные зарегистрированных пользователей:
Здесь сочетание ФИО и e-mail, безусловно, относится к персональным данным. Сочетание ФИО и данных об открытых книгах, по мнению автора, требует получения официальных разъяснений Роскомнадзора: являются ли они персональными данными. Напомним, что документы American Library Association и NISO [
Библиотекам в данной ситуации нужно сделать все, чтобы в диалоге с разработчиками ЭБС обеспечить строгое соблюдение 152-ФЗ, то есть документально закрепить получение информированного согласия пользователей на обработку их персональных данных, в том числе, при необходимости, на передачу их библиотеке в формах статистических отчетов. В инструкциях по работе с ЭБС, опубликованных на сайтах библиотек, необходимо разъяснить, что именно означает предоставление согласия на обработку ПД. Сейчас, к сожалению, в них рекомендуется «поставить галочку» или просто «заполнить все обязательные поля».
Очевидно, что практика применения закона «О персональных данных» (152-ФЗ), в основном успешно освоенная российскими библиотеками, нуждается в конкретизации в контексте взаимодействия с внешними поставщиками информации. Особенно проблемным сейчас является вопрос о передаче ПД пользователей от поставщиков библиотекам и в некоторых случаях — от библиотек поставщикам. Для того чтобы библиотеки-подписчики и контент-провайдеры могли взаимодействовать строго в рамках закона, российскому библиотечному сообществу нужно решить, по крайней мере, четыре взаимосвязанных задачи, перечисленные ниже.
1. Автор статьи не ставит задачу разбора возможных ошибочных действий отдельных библиотек или контент-провайдеров, для него важно проанализировать общую ситуацию. Поэтому здесь и далее конкретные организации не называются. 2. Согласие на обработку ПД в ряде случаев не требуется; эти случаи перечислены в 152-ФЗ, они относятся в основном к запросам государственных органов.
The authors declare that there are no conflicts of interest present.