Какие требования к владельцам сайтов и приложений предъявляет закон о рекомендательных технологиях
Госдума приняла закон о рекомендательных технологиях. Дата вступления в силу — 1 октября 2023 г.
Зачем нужен закон о рекомендательных технологиях
Для продвижения товаров и услуг, вовлечения пользователей сети Интернет и удержания их внимания владельцы информационных ресурсов применяют рекомендательные технологии, обеспечивающие предоставление информации на основе обработки пользовательских данных.
Депутаты посчитали, что нельзя взять и просто так использовать эти технологии. Поэтому в целях защиты пользователей интернета требуется принятие нового закона:
Итак, в Закон № 149-ФЗ “Об информации…” вносится новая статья 10.2-2 “Особенности предоставления информации с применением рекомендательных технологий» и дается такое понятие:
Рекомендательные технологии — информационные технологии предоставления информации на основе сбора, систематизации и анализа предпочтений пользователей.
В интернете широко употребляют другой термин: “рекомендательная система” — программа, которая пытается предсказать, какие объекты будут интересны пользователю, имея определенную информацию о его профиле.
Чаще всего называют четыре типа таких систем: контентная, коллаборативная, основанная на знании и гибридная. Объединяет их одно — профайлинг пользователей, т.е. тот самый сбор предпочтений.
Так что как алгоритм не назови, хоть ИИ, в смысле нового закона это — рекомендательная технология.
На кого распространяется закон о рекомендательных технологиях
На все информационные системы, использующие рекомендательные технологии. Точнее, на их владельцев. Например, социальные сети, маркетплейсы, интернет-магазины, онлайн-кинотеатры и другие сайты и приложения, которые могут показывать контент, основанный на интересах пользователя.
Исключение сделаны для операторов государственных информационных систем, государственных органов и органов местного самоуправления.
На мессенджеры закон тоже не распространяется. Например, в Телеграм нет никаких рекомендательных алгоритмов.
Блогеры также выдыхают. За них все сделают владельцы соцсетей, где блогер ведет свой аккаунт.
Например, у меня в блоге есть виджет “рекомендуемое”. Но статьи в этом блоке выводятся по определенным тегам, зависящим от темы статьи. То есть если вы читаете статью про персональные данные, то в нижней части страницы отразятся еще 4 статьи про персданные:
Этот раздел одинаково видят все посетители сайта, независимо от предпочтений, пола и возраста. Значит подобные блоки не попадают под понятие “рекомендательные технологии”.
Обязанности владельцев информационных систем
На первый взгляд, ничего сверхъестественного:
- не допускать использование и применение рекомендательных технологий в целях предоставления информации с нарушением законодательства Российской Федерации;
- информировать пользователей о применении рекомендательных технологий. Форму и требования к уведомлению утвердит Роскомнадзор;
- опубликовать на ресурсе правила применения рекомендательных технологий на русском языке;
- опубликовать адрес электронной почты для направления юридически значимых сообщений,
- разместить свои фамилию и инициалы для физического лица, или наименование, если владелец юридическое лицо.
Но есть нюансы.
Уведомить пользователей
Требования к уведомлению установлены Приказом Роскомнадзора. Пока опубликован проект…
Уведомление должно выглядеть так:
«На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)».
Уведомление размещается на главной странице, а также на всех других, если они участвуют в сборе информации. Скрывать его нельзя, накладывать на другой текст нельзя. В приказе ничего не говориться про размер шрифта и фон.
Нюансы раскрываются и дальше
В законе прописаны требования к содержанию Правил применения рекомендательных технологий, которые нужно опубликовать на ресурсе:
- описание процессов и методов сбора, систематизации, анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», предоставления информации на основе этих сведений, а также способов осуществления таких процессов и методов;
- виды сведений, относящихся к предпочтениям пользователей сети «Интернет», которые используются для предоставления информации с применением рекомендательных технологий, источники получения таких сведений.
Какие проблемы ждут операторов рекомендательных технологий
Коммерческая тайна. Процессы систематизации и анализа могут относиться к коммерческой тайне. Со вступлением закона в силу придется свои ноу-хау раскрывать.
Детализация предпочтений. Непонятно, насколько подробно придется перечислять виды предпочтений пользователей. Достаточно ли указать общие формулировки или прямо все-все-все писать?
Источники. Еще интереснее с источниками получения таких сведений. Каждый ли владелец сайта сможет точно указать источник?
Хотя чаще всего информация собирается через фиксирование счетчиками поведения потребителя на сайте: какие страницы/разделы посмотрел, что добавлял в корзину, какие и где оставлял комментарии и т.п. Поэтому источником можно указать самого пользователя и, кукис, например.
Не забываем, что интересы пользователя — это персональные данные. Поэтому возможны сложности с реализацией Закона “О персональных данных”. Как минимум, многим потребуется корректировка согласий на обработку ПД и политик.
Надзор за рекомендательными технологиями
Роскомнадзору отведена роль контролера за соблюдением норм о рекомендательных технологиях. Здесь просматриваются три вида взаимодействия с владельцем ресурса.
Запрос. РКН обнаружил на сайте работу рекомендательных технологий, но не обнаружил уведомления пользователей и правил применения. В этом случае Роскомнадзор вправе:
- запросить у владельца информационного ресурса информацию, связанную с применением рекомендательных технологий;
- запросить доступ к программно-техническим средствам рекомендательных технологий для проведения оценки соответствия применения рекомендательных технологий требованиям Закона.
Владелец ресурса обязан предоставить запрашиваемую информацию и доступ к программно-техническим средствам в течение десяти дней со дня получения запроса.
Уведомление. Роскомнадзор установил факт неисполнения владельцем ресурса требований закона. В этом случае направляется уведомление о необходимости принять меры по устранению выявленного нарушения.
Владелец ресурса обязан принять меры по устранению указанного в требовании нарушения не позднее чем через 10 дней со дня получения уведомления или в иной, установленный в уведомлении срок.
Требование. Если в этот срок владелец не устранит перечисленные нарушения, то получит от РНК другое требование — о незамедлительном прекращении предоставления информации с применением рекомендательных технологий.
На исполнение требования даются сутки. Иначе доступ к ресурсу во внесудебном порядке будет ограничен.
Снять блокировку ресурса получится только после устранения замечаний Роскомнадзора.
Детально правила взаимодействия Роскомнадзора с владельцами ресурсов, применяющих рекомендательные технологии будут установлены позднее.
Выводы и ответственность
Удивительно, но законом не предусмотрен реестр операторов рекомендательных технологий. Можем ведь и без реестров.
Законы следуют за развитием технологий — это нормальный и естественный процесс. Но у меня возник вопрос: как этот закон защитит пользователей?
Ведь по сути наряду с политиками всего и согласиями на все просто появится дополнительный документ и плашка а-ля: “показано и (или) распространено с использованием и (или) применением рекомендательных технологий на основе сбора, систематизации и анализа предпочтений пользователей”. Жуть.
То есть защита понимается только в контексте информирования пользователей? Не спорю, что это важно. Но заменит ли очередная галочка безопасность?
Если на любом ресурсе публикуется информация, запрещенная к распространению, то оснований для ее блокировки уже более чем предостаточно. Все они перечислены в статьях 15.1 — 15.7 Закона № 149-ФЗ “Об информации…”.
В таком случае, имеет ли значение как эту запрещенку показали: с помощью алгоритмов ИИ или вручную? Думаю, нет — важен сам факт распространения информации.
Но важно и то, что весь запрещенный контент отследить сложно и удалить/заблокировать его по отдельности не всегда получается.
Поэтому новый закон о том, как одним ударом заблокировать «вредный» ресурс. Тогда да, цель защиты пользователей достигнута.
Ответственность же пока не предусмотрена кроме общей формулировки “за нарушение владелец несет ответственность, предусмотренную законодательством”. Но она появится, не сомневайтесь.
В заголовке использовано Изображение от vectorjuice на Freepik.