Парсинг данных: по двум сторонам океана

Мы все активно ведем социальные сети, выкладываем информацию о себе. Но думали ли вы о том, что такая информация может быть использована информационными посредниками, в том числе владельцами социальных сетей или третьими лицами против вас? И речь идет не только о ФИО, текстах, которые вы пишете, но и о фотографиях, подписках на группы, плейлистах, геолокациях.

На рынке множество фирм, которые зарабатывают миллионы на продаже персональных данных (или результатов аналитики таких данных). Как правило, они используются для предоставления рекламных услуг, составления профайлов пользователей или для улучшения качества сервиса. Иногда объявления о продаже персональных данных можно найти на хакерских форумах.

В этом лонгриде речь пойдет о парсинге и о двух противоположных подходах, которые установлены в Соединенных Штатах Америки, где для парсинга персональных данных согласие пользователей социальной сети не требуется, и в России, где оно с марта 2021 года необходимо.

Что такое парсинг
Парсинг это автоматизированный сбор информации, который осуществляется с помощью специального бота (парсера), который, как жучок, перемещается по страницам и собирает нужную для заказчика информацию. Парсинг позволяет снизить издержки, и в этом смысле он более выгоден заказчику, чем механический сбор информации, требующий огромных временных и материальных ресурсов. Вместе с тем парсинг, по сути, «развязывает руки» таким заказчикам, ведь ваши данные не просто просматриваются, но и копируются в память компьютерного устройства, а следовательно, они могут быть свободно использованы.

Кажется, что парсинг это абсолютное зло, и его нужно запретить. Но в условиях современной экономики сделать это фактически невозможно: лица, предлагающие услуги парсинга, просто перейдут в теневой рынок, а граждане останутся без минимальных гарантий защиты своих прав. Представляется вполне реальным установление разумного баланса между такими конституционно-значимыми ценностями, как неприкосновенность частной жизни и свобода поиска, получения, передачи, воспроизводства и распространения информации.

В России этот баланс качнулся в сторону приватности.
Начнем с того, что нецелевая обработка персональных данных прямо запрещена статьей 5 Закона о персональных данных. Так, при ведении социальных сетей пользователи вряд ли публикуют свои данные для кредитных организаций, которые собирают данные с целью составления профиля человека как потенциального заемщика (кредитный скоринг). И тем более вряд ли ожидают столкновения с теми трудностями, которые могут возникнуть при получении кредита в результате изучения банком профайла. Конечно же для банков профиль человека, который посетил 50 стран за год, выглядит более привлекательно, чем полупустой профиль с фотографиями котов в дачной обстановке. Кстати, одно из самых громких дел за последние несколько лет (VK v. Double Data) как раз об этом (подробнее его можно посмотреть по ссылке).


Но если, например, кто-то парсит сайт маркетплейса Авито, где вы продаете свою машину, а потом ваши данные размещают на своем сайте — как бы с целью «помочь» вам ее продать, используется иное обоснование незаконности парсинга.
В марте 2021 года были внесены изменения в ст. 10.1 Закона, их итоги можно представить следующим образом:

для лиц, которые зарегистрировались в социальных сетях

Часто нарушители ссылаются на то, что их действия подпадают под изъятие, предусмотренное судебной практикой для поисковых систем. Такие поисковые системы, как Google и Яндекс, регулярно парсят веб-страницы и не привлекаются к ответственности, так как предоставление услуги поиска информации, размещенной субъектами персональных данных в сети Интернет, при условии, что персональные данные попадают в индекс поисковой системы (таблицу ключевых слов), не является нарушением статьи 10.1 Закона о персональных данных. В частности, на это ссылается ООО «Дабл» в деле против ВКонтакте.
Что делать, если вы столкнулись с парсингом своих персональных данных?

Вы вправе требовать от первоначального оператора (здесь – социальная сеть) прекращения передачи персональных данных третьим лицам и от самих третьих лиц, которые осуществляют обработку персональных данных, ее прекращения. Найти таких нарушителей даже через первоначального оператора бывает непросто, так как при парсинге есть возможность сохранить анонимность, а также обойти установленные меры безопасности, защищающие данные от копирования.

В приведенном примере с кредитным скорингом у вас есть возможность запросить информацию у банка, так как он является «покупателем» ваших персональных данных.

Если юридически значимые решения в отношении вас были приняты исключительно на основе автоматизированной обработки персональных данных без вашего письменного согласия как субъекта персональных данных, правонарушителя можно попробовать привлечь к административной ответственности по ч. 2 ст. 13.11 КОАП, а само решение –  оспорить.
Можете ли вы минимизировать риски возникновения последствий парсинга?

Вряд ли. Однако можно ввести в привычку чтение соответствующих положений политики конфиденциальности социальных сетей, в которых вы регистрируетесь, и делать закрытыми профили.

В европейских странах персональные данные рассматриваются в первую очередь как неимущественное благо, продолжение личности, в США же они рассматриваются как товар, в отношении которого у его владельцев есть законные интересы. Именно поэтому в США баланс качнулся в сторону свободы свободно искать, получать, передавать, производить и распространять информацию.


Американские суды считают, что получения согласия на обработку персональных данных у субъекта, которому эти данные принадлежат, не нужно. Этот подход, в принципе, понятен: не так важно, кто просматривает страницу — парсер-бот или пользователь, — если соблюдаются требования этичного парсинга.

«Минимум нравственности» законного парсинга при этом включает в себя следующие стандарты:

1. Авторские права на материалы сайта и смежные права на базу данных не нарушаются.

2. Технические мер защиты не обходятся. Ряд парсеров может достаточно легко обойти установленные ограничения, при этом оставшись анонимными. Специалисты советуют комплексно подходить к защите сайтов, в частности, использовать:

  • ограничение скорости получения данных посредством установления одного поиска на один IP адрес в секунду
  • отслеживание необычной активности (несколько запросов с одного IP адреса), использование способов распознавания парсеров
  • установление обязательной авторизации для просмотра сайта
  • использование капчи для запросов (обычно выглядят так: «введите код с картинки»)
  • регулярное редактирование HTML-кода
  • использование файлов cookies.

Однако следует понимать, что операторам часто приходится выбирать между защитой данных от парсинга и ухудшением доступности оказываемых услуг для пользователей и поисковиков. В частности, могут возникать сбои в работе сайтов.


3. Отсутствует недобросовестная конкуренция (например, компания агрегирует информацию о товарах с сайтов нескольких интернет-магазинов, но не продает товары сама, а перенаправляет пользователей на сайт интернет-магазина).


4. Отсутствуют убытки от сбоя в работе сайта. Парсеры могут посылать в несколько раз больше запросов в секунду, чем человек, и это вызывает нагрузку на сайты — они перестают работать. Если сайт используется, например, в качестве платформы для коммерческих объявлений, то это может повлечь огромные убытки для владельца сайта.


5. Персональные данные используются в соответствии с целями их предоставления и не влекут негативных последствий для их субъекта.

Вывод:
Нет правильных и неправильных подходов в выборе регулирования, есть только определенные правовые традиции и приоритеты, которые характерны для отдельных государств. Сближение между подходами проходит на политико-правовом уровне. Оно характеризуется стремлением к поиску разумного баланса между правом на информацию, развитием технологий с одной стороны и правом человека на приватность — с другой.

Интересные кейсы:


Российская судебная практика: VK v. Double Data

Зарубежная судебная практика:

1. HIQ Labs, Inc. v. Linkedin Corp (273 F. Supp. 3d 1099 (N.D. Cal.2017)).

2. Linkedln v. Robocog Inc. (Case № 14-00068 (N.D. Cal. 2014)).

3. QVC, Inc. v. Resultly, LLC (99 F. Supp. 3d 525 (2015).

4. EBay v. Bidder's Edge, 100 F. Supp. 2d 1058 (N.D. Cal. 2000).

5. Maximillian Schrems v. Data Protection Commissioner (Case C-362/14).


Полезные интернет- ресурсы:


1. Парсинг сайтов. Россия и мир. Как с точки зрения закона выглядит один из самых полезных инструментов? https://vc.ru/legal/64328-parsing-saytov-rossiya-i-mir-kak-s-tochki-zreniya-zakona-vyglyadit-odin-iz-samyh-poleznyh-instrumentov

2. Как защитить свой сайт от парсинга данных. Практические советы https://vc.ru/services/262190-kak-zashchitit-svoy-sayt-ot-parsinga-dannyh-prakticheskie-sovety

3. Вебинар Deloitte CIS. Парсинг: как не нарушить исключительные права на чужой контент. https://www.youtube.com/watch?v=cra-i4GZ4go

4. Вебинар IP IT BOX Правовые последствия решения по делу ВКонтакте v. Double data https://www.youtube.com/watch?v=28yxT52JuX8

5. Вебинар IP IT BOX 519-ФЗ: новые правила обработки персональных данных https://www.youtube.com/watch?v=cwUKnRr6jhs&t=1012s


Дополнительная литература:


1. Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»

2. Рожкова М.А. Разрешение вопроса о легальности парсинга (скрапинга) в деле вконтакте v. double data

3. Орешин Е.И. Дело ВКонтакте VS Дабл об использовании общедоступных данных пользователей: позиция Дабл в Суде по интеллектуальным правам