Уже несколько недель Великобританию сотрясает скандал, связанный с противоречивыми планами Королевской налогово-таможенной службы по продаже персональных данных налогоплательщиков частным компаниям. Инициативы по продаже персональных данных уже не первый месяц будоражат умы британских политиков: в феврале 2014 г. общественности удалось «заморозить» такую же программу по раскрытию медицинских данных.
Открытие государственных данных, то есть данных, собираемых государственными ведомствами в процессе их работы, является одной из "горячих" тенденций в развитии ИКТ. Целью законодательных инициатив различных государств в области открытых данных является предоставление данных для изучения и использования третьим сторонам. Под ними, в первую очередь, подразумевается общественность, академические круги и частный бизнес.
Какие данные можно считать открытыми
В июне 2013 г. Евросоюз принял Директиву о повторном использовании государственной информации 2013/37/EU, в корне изменившую представление о том, какие правительственные данные можно считать открытыми. Согласно новому закону, допускается использование третьими лицами любой государственной информации, кроме составляющей государственную, коммерческую и персональную тайну, а также данных, защищенных авторским или патентным правом.
По задумке европейских законодателей, госорганизации могут передать данные третьей стороне двумя способами. Первый из них - публичное и бесплатное размещение данных на правительственных порталах Open Data. Второй способ - более традиционный - предоставление данных по запросу от компании, в том числе, за установленную плату.
Какие данные исключаются из программы Open Data, государства-члены ЕС определяют самостоятельно. Доступ к персональным данным граждан регламентируется внутренними законами стран ЕС о хранении и обработке персональных данных. Для Британии это законодательный акт Data Protection Act 1998. Согласно данному закону, персональными данными считаются любые данные, которые «могут быть использованы для идентификации живого человека».
Закон гарантирует, что «подробное досье» на отдельного человека открывать третьим лицам нельзя. Однако он вовсе не запрещает раскрывать данные, очищенные от указаний на личность человека - так называемые анонимизированные и агрегированные данные. Таким образом, управление здравоохранения вполне может выдать некой компании набор медицинских карт, принадлежащих жителям отдельного района, при условии, что из них будут убраны имена и адреса, и взять за это деньги.
Можно ли продавать медицинские данные
Именно этой схемой планировало воспользоваться британское министерство здравоохранения (National Health Service), за которым уже стоит история теневой продажи медицинских данных бизнесу. Как выяснило издание The Telegraph, в 2012 г. британский Минздрав продал страховой индустрии электронные медицинские карты 47 млн. пациентов, содержащие информацию о состоянии их здоровья в среднем за последние 13 лет.
Данные приобрела профессиональная ассоциация актуариев Великобритании, которая затем использовала их для расчета стоимости страховок, покрывающих лечение критически опасных заболеваний. Из медицинских карт были предварительно удалены имена и другие персональные идентификаторы владельцев, а вот данные о болезнях владельца карточки остались нетронутыми.
Активизация сбора и открытия данных на европейском уровне для Минздрава стала поводом легитимизировать такие теневые продажи. Уже весной 2013 г. национальная служба здравоохранения Британии запустила программу под названием care.data, которой предстояло стать самым масштабным проектом по продаже открытых анонимизированных персональных данных.
В рамках программы данные медицинских карт, ведущихся врачами общей практики по всей Британии, предлагалось собирать в единую базу данных, управляемую Национальным информационным центром здравоохранения и социальной защиты (Health and Social Care Information Centre, HSCIC). В базу должны были копироваться все карты, кроме тех, чьи владельцы дали прямой отказ от участия в программе.
Британская медкарта включает в себя, к примеру, такие данные как медицинские диагнозы, осложнения, направления к специалистам, данные о наследственных болезнях, результаты скрининга, анализа крови, индекс массы тела, а также данные о вредных привычках пациента (курение, употребление алкоголя). Все эти данные из базы HSCIC предлагалось за установленную плату выдавать третьим сторонам, например, исследователям, бизнесу и коммерческим организациям, которые «доказали свою заинтересованность в этих данных».
Интересна шкала пошлин на выдачу данных, которая была опубликована в методическом руководстве по программе care.data. Информация, которую может получить третья сторона, разделяется на три категории приватности, каждая из которых имеет свою цену.
«Зеленая» категория включает в себя полностью анонимные данные - например, статистику, извлеченную из большого числа медицинских карт. Запрос на информацию из "зеленой" категории обойдется покупателю в 800-1200 фунтов.
«Желтая» категория стоит 900-1800 фунтов и включает в себя «анонимизированные» медкарты: все медицинские данные в карте остаются нетронутыми, а личные данные владельца заменяются псевдонимами.
Наконец, «красная» категория включает все медицинские данные карты плюс некоторые конфиденциальные данные: номер карты, почтовый индекс региона, в котором живет пациент, а также реальный пол, национальность и дату рождения владельца. Заказать такую информацию стоит от 1700 до 2000 фунтов.
Последние две категории вызвали серьезные волнения среди британской общественности и прессы. В результате скандала, разгоревшегося в феврале 2014 г., руководство Минздрава Великобритании приняло решение приостановить развертывание программы на шесть месяцев.
Несмотря на утверждения Минздрава, что «желтые» данные будут выдаваться только аккредитованным исследователям и компаниям, а «красные» - только в экстренных случаях (например, в случае массовой эпидемии), установка стандартной шкалы цен на такую информацию дала основания для подозрений, что продавать ее будут массово.
Кроме того, опасения британцев вызвал тот факт, что в теории медицинскую карту можно «деанонимизировать», сопоставив минимальное количество персональных данных с данными из других источников. Наконец, большой вопрос вызывают руки, в которые данные могут попасть: к примеру, фармацевтические компании и страховые агентства могут использовать их для того, чтобы «играть» со стоимостью лекарств и страховки.
Данные налогоплательщиков - конец конфиденциальности
Спустя два месяца после заморозки care.data об аналогичной инициативе заявили представители другого агентства - Королевской налогово-таможенной службы Великобритании (HM Revenue & Customs). В конце апреля 2014 г. Дэвид Гок (David Gauke), министр Казначейства Великобритании, внес предложение о продаже заинтересованным лицам анонимизированных финансовых данных британских налогоплательщиков.
Примечательно, что, как и в случае с care.data, инициатива Королевской налогово-таможенной службы продолжает теневую схему по обмену данными с частным бизнесом. Как выяснило издание The Guardian, осенью прошлого года налоговая служба наладила пилотную программу по передаче данных о выплатах НДС трем частным кредитно-рейтинговым организациям: Experian, Equifax b Dun & Bradstreet. Информация об этом была подана вместе с пакетом документов, определяющих бюджет Великобритании на будущий квартал, и прошла незамеченной для СМИ.
Для того чтобы узаконить передачу, агентство заключило с тремя упомянутыми агентствами контракт, дающий им право выступать в качестве его законных представителей. Тем самым частные организации де-факто стали «рассматриваться как часть департамента» и получили доступ к данным о налогоплательщиках, которые в ином случае считались бы конфиденциальными. Кредитные организации теперь имеют возможность легально запрашивать данные якобы «в исследовательских целях».
Согласно информации с официального сайта британской налоговой службы, в число раскрываемых данных может войти информация об оплаченных гражданином налогах, страховых взносах, НДС, алиментах, инвестиционных налоговых кредитах, таможенных сборах, а также о декларируемой заработной плате. В число «заинтересованных лиц» могут попасть исследователи, госорганизации и частные компании. Обсуждается возможность установки фиксированных пошлин, передает The Guardian.
Для стран Евросоюза раскрытие правительственных данных для бизнеса представляет особый экономический интерес. Так, коммюнике Европейской Комиссии от 12 декабря 2011 г. обрисовывает основные цели, преследуемые программой Open Datа в рамках ИКТ-стратегии Евросоюза Digital Agenda for Europe 2020. На первом месте среди них стоит активизация «неиспользованных возможностей для развития экономики и бизнеса». По оценкам Еврокомиссии, суммарный объем рынка продуктов и услуг, созданных с использованием правительственных данных, способен достичь 140 млрд. евро в год.
Любовь Касьянова