Data Governance Act: будущее маркетплейсов данных в ЕС
Обзор закона Data Governance Act и связанных с ним перспектив маркетплейсов данных, посредников и обработчиков данных.
Экономика данных в настоящее время процветает. Значительные корпоративные, предпринимательские и исследовательские усилия направлены на то, чтобы обеспечить эффективную торговлю таким важным активом и, следовательно, способствовать разгосударствлению данных и раскрытию их комбинаторной экономической ценности, которые на сегодня хранятся в различных корпоративных хранилищах. Однако структурирование экосистем данных всё ещё в стадии разработки. Согласно проведённым нами исследованиям, маркетплейсы данных отходят от традиционных горизонтально интегрированных монолитных поставщиков данных и переходят к распределённым "нишевым" платформам обмена данными за счёт коммерциализации и специализации обмена данными.
Data Governance Act[1] (DGA) устанавливает согласованную основу для развития надёжных услуг передачи данных в Европейском Союзе, чтобы создать конкурентную среду для обмена данными. Этот инструмент требует, чтобы посредники, оказывающие услуги передачи данных были нейтральны по отношению к обмениваемым данным, владельцам данных, субъектам данных и пользователям данных. Он устанавливает обязательство для таких посредников зарегистрироваться в качестве признанного ЕС посредника данных и выполнить ряд условий для этого.
Такие условия не обязательно соответствуют тенденциям, наблюдаемым на рынке, что может создать трудности в применении и обеспечении соблюдения DGA. В этой статье мы осветим некоторые из таких трудностей и обсудим ряд вытекающих из них проблем, с которыми столкнутся компетентные органы (по мнению соавторов закона, ими могут быть органы по защите данных) при работе с посредниками, оказывающими услуги передачи данных, толковании и применении DGA на текущем рынке.
Закон об управлении данными – прим. пер. ↩︎
Бизнес-модели компаний, торгующих данными на рынке B2B
Раскрытие ценности данных как важнейшего производственного фактора экономики стало краеугольным камнем политики в области информационно-коммуникационных и цифровых технологий во всём мире. В ЕС построение Европейской экономики данных и Европейская стратегия в области данных являются ключевыми элементами общей политики Европейского цифрового десятилетия.[1]
Различные субъекты вышли на рынок, чтобы облегчить обмен данными между потенциальными пользователями и владельцами данных. Несмотря на то, что большинство публикаций вскользь называют их маркетплейсами данных, они используют другие бизнес-модели (как показали наши недавние эмпирические исследования в этой области).
В принципе, существует три типа бизнес-моделей, которые можно различать в зависимости от цели и задач обмена данными: i) те бизнес-модели, которые предоставляют данные и услуги своим пользователям (поставщикам данных и/или услуг); ii) те бизнес-модели, которые являются посредниками в операциях с данными между владельцами данных и субъектами данных (маркетплейсы данных); и iii) те бизнес-модели, которые облегчают управление данными для последующего взаимодействия с третьими сторонами (системы управления данными).
Поставщики данных (DPs) и сервис-провайдеры (SPs) – это организации, предоставляющие информационные продукты или цифровые сервисы конечным пользователям, будь то частные лица или предприятия, на основе имеющихся у них данных, которые они собирают из Интернета или выводят из своих источников данных. В то время как поставщики данных напрямую предоставляют данные своим пользователям, сервис-провайдеры предоставляют интегрированные услуги, связанные с использованием этих данных. Оба типа операторов собирают данные из Интернета или получают их от третьих лиц. Собрав данные из Интернета, мы обнаружили, что более 2100 поставщиков данных обслуживают множество различных типов данных, начиная от финансовых и заканчивая маркетинговыми услугами, включая данные о погоде или играх.
BookYourData – это пример поставщика данных, предлагающего списки контактов физических лиц или компаний в США, а Hexagon выступает в той же роли, предлагая доступ к своей базе данных спутниковых снимков.
Clearview.ai – это спорный пример сервис-провайдера, учитывая, что он предоставляет идентификационные данные на основе фотографий людей, общедоступных в Интернете. Не без негативной реакции Европейский парламент осудил в конце 2021 года деятельность этой компании в ЕС, главным образом из-за того, что сервис применялся в ситуациях, когда возникали серьёзные помехи в осуществлении основных прав, а именно при массовой слежке за соблюдением правил поведения и социальной оценки.[2] Недавно предложенный (и всё ещё находящийся на рассмотрении[3] в рамках законодательного процесса) проект закона об использовании искусственного интеллекта (AI Act) может полностью запретить действия по сбору данных с целью биометрической идентификации, если они применяются без разбора.
Этот закон (AI Act) уже действует. По ссылке можно прочесть его обзор
Интересно, что границы между поставщиками данных (DPs) и сервис-провайдерам (SPs) часто размыты. Clearview.ai, в конечном итоге, преобразует существующие связи между фотографиями в биометрические данные, которые сами по себе являются данными, и поэтому компанию можно считать поставщиком данных. Однако эта компания предоставляет не массовые наборы данных, а более сложные услуги по распознаванию лиц, основанные на данных, которыми она владеет и которые обрабатывает, поэтому мы рассматриваем эту компанию как сервис-провайдера.
Маркетплейсы данных (DMs) – это посреднические платформы, которые позволяют провайдерам связываться с потенциальными покупателями и управлять обменом данными между ними. Такие биржи обычно предполагают какую-либо экономическую транзакцию (либо посредством платежей в фиатной валюте, либо в криптовалюте, часто создаваемой и контролируемой платформой). DMs являются либо публичными, то есть открытыми для любого продавца или покупателя данных, либо полузакрытыми, что означает, что любой продавец или покупатель должен получить одобрение платформы, чтобы иметь возможность торговать данными. Кроме того, DMs часто занимаются категоризацией данных, кураторством и управлением метаданными, чтобы помочь покупателям найти соответствующие информационные продукты.
Системы управления данными (DMSs) – это платформы, которые создают каталоги и помогают в управлении данными крупных предприятий и корпораций. Они всё чаще предлагают дополнения для обеспечения безопасного обмена данными внутри организации и обогащения её корпоративной информационной базы за счёт получения данных от сторонних поставщиков.
В рамках более широкой категории DMSs на розничном рынке системы управления персональными данными (PIMSs) позволяют физическим лицам контролировать свои персональные данные и выступать в качестве единого центра управления ими. Они используют последние законы о защите данных (GDPR, CCPA и т.д.), чтобы позволить пользователям собирать личную информацию, контролируемую провайдерами цифровых сервисов, осуществлять свои права, предоставленные законом, на удаление или изменение [своих данных][1], управлять разрешениями мобильных приложений на передачу своих данных, управлять настройками файлов cookie и т.д.
Некоторые организации реализуют только определённые функции обмена данными, которые они предлагают DMs, PIMSs или DMs. Такие средства представляют собой ряд решений, которые включают, например, обезличивание личной информации (AirCloak), предоставление однородных анонимизированных идентификационных данных покупателям (Datavant), содействие безопасному обмену (Cybernetica) или предоставление физическим лицам возможности реализовать свои права на информацию, которой располагают о них поставщики данных (Saymine).
Здесь и далее: в квадратных скобках приведены уточнения переводчика - прим. пер. ↩︎
Вызовы и тенденции рынка
Несмотря на то, что правительства, промышленность и научные круги прилагают титанические усилия по развитию экономики данных, некоторые актуальные проблемы по-прежнему сохраняются и препятствуют развитию рынков данных. Были выявлены основные проблемы, связанные с их фрагментацией и отсутствием стандартизации, оценкой данных и ценообразованием, прозрачностью рынков данных, правом собственности на данные и отслеживанием происхождения данных.
На этом фоне рынок обмена данными становится всё более специализированным, а рынки данных общего назначения заменяются нишевыми платформами. Более того, обмен данными каким-то образом становится товаром, и многие различные участники рынка добавляют функции маркетплейса и совместно используют их в дополнение к своим основным бизнес-операциям.
Услуги передачи данных
Помимо категорий, которые мы представили выше, DGA определяет “услуги передачи данных” как услуги, направленные на установление коммерческих отношений в целях обмена данными с помощью технических, юридических или иных средств между субъектами данных и владельцами данных, с одной стороны, и пользователями данных – с другой. Это определение явно исключает услуги, связанные с контентом, защищённым авторским правом, услуги, ориентированные только на одну сторону (например, хранение данных для поставщика данных), и некоммерческие услуги по обмену данными, предлагаемые органами государственного сектора (статья 2(11) DGA).
Большинство организаций, торгующих данными на рынке B2B, подпадают под это определение услуг передачи данных и, следовательно, подпадают под действие нового регламента. В недавнем отчёте Объединённой исследовательской группы Европейской комиссии определены шесть типов посредников данных, к которым относятся DMs и PIM, а также кооперативы данных, трасты данных, союзы данных и пулы обмена данными.
Кооперативы данных – это организации, целью которых является улучшение управления данными сообщества (физических лиц или компаний) и усиление их контроля над своей информацией путем соблюдения соглашений между их членами об обмене, обработке и использовании их данных. При трасте данных доверительный управляющий соглашается управлять правами на данные своих бенефициаров и заботиться о них, которые также извлекают выгоду из объединения своих данных и получаемой из-за этого экономии за счёт масштаба. Союзы данных – это объединения работников и пользователей цифровых платформ и сервисов, целью которых является защита их интересов при использовании последними производимых ими данных. Наконец, пулы обмена данными – это альянсы между владельцами данных для обмена, обработки и использования своих данных совместно для достижения общей цели или применения.
Согласно DGA, сервис-провайдеры по передаче данных (DISP) должны выполнять ряд обязательств, таких как необходимость уведомления и регистрации для получения знака признанного ЕС посредника [данных] и предоставление таких услуг через отдельное юридическое лицо.
Исходя из общего определения, приведённого в статье 2(11) DGA, DISP нейтрально связывают физических лиц / компании с пользователями данных. В этой связи они направлены на укрепление доверия к обмену данными, которое было сильно подорвано в прошлом. Таким образом, [роль] DISP сводится лишь к роли посредников, действующих в наилучших интересах владельца данных и не использующих передаваемые данные для других целей.
Иной подход к регулированию по сравнению с остальными гармонизирующими документами Союза
В отличие от европейских Digital Markets Act (DMA) и Digital Services Act (DSA), DGA распространяется на всех посредников данных, желающих предоставлять такие услуги передачи данных в Евросоюзе, и на них распространяются положения и условия настоящего регламента, в частности статьи 9-14. С одной стороны, вертикальность регулирования заключается в том, что DMA применяется только к тем операторам (которые были недавно назначены, см. этот обзор), которые рассматриваются как «киты»[1] из-за их значимости в искусственно созданных основных платформенных сервисов, которые DMA регулирует.
Занимая промежуточное положение, DSA распространяется на всех лиц, оказывающих посреднические услуги, но он налагает на операторов[2] онлайн-платформ и поисковых систем (особенно на очень крупных) более жёсткие обязательства. Эти посреднические услуги не следует приравнивать к посредникам данных в соответствии с DGA, поскольку в соответствии с DSA посреднические услуги относятся к тем операторам, которые предоставляют услуги для информационного общества посредством каналов, кэширования или хостинга (статья 3(g) DSA). Онлайн-платформы и поисковые системы классифицируются в DSA как виды посреднических услуг, предоставляющих конкретные услуги конечным пользователям. В то же время, эти определения явно отличаются от определений основных платформенных сервисов, содержащихся в статье 2 DMA.
Независимо от того, что эти три документа (наряду с проектом Data Act, который также претерпевает изменения в ходе трёхсторонних переговоров) основаны на одной и той же правовой базе, направленной на гармонизацию, т.е. на статье 114 TFEU[3], они значительно отличаются друг от друга с точки зрения их применения, объёма, содержания и сроков, установленных для соблюдения их обязательств, связанных с данными.
С точки зрения немедленных действий, ожидаемых от операторов, DMA является наиболее мягким (но, возможно, и наиболее преобразующим) инструментом для достижения целей регулирования, поскольку 6-месячный период является первым ориентиром для соблюдения требований, но, в любом случае, полноценное проявление мгновенного соблюдения основных положений ожидается не ранее марта 2024 года. Работа по обеспечению соответствия будет вестись в процессе, в результате встреч и взаимодействия «китов» и Комиссии. Что касается DSA, то ожидается, что очень крупные платформы и поисковые системы скорректируют своё поведение в Интернете в течение четырех месяцев, включая проведение и предоставление Комиссии первой оценки рисков. В отличие от них обоих, положения DGA уже полностью применимы и вступили в силу с начала сентября[4] (в то время как уже действующие DISP должны соответствовать требованиям к 2025 году).
Общие политические цели каждого документа также различны. DMA и DSA вступают в противоречие с точки зрения частного нормотворчества, которое они хотят разрушить в пользу выравнивания условий игры в экономическом плане и обеспечения безопасной, предсказуемой и заслуживающей доверия онлайн-среды, в которой граждане ЕС могут осуществлять свои основные права. В конкретном случае положений, касающихся посредников данных в рамках DGA, общая цель состоит не в том, чтобы оспорить мощь крупных технологий, а скорее в том, чтобы создать альтернативную модель крупным технологическим платформам, которые обладают значительным влиянием на рынке (пункт 22 преамбулы). Таким образом, услуги по передаче данных косвенно направлены на создание более конкурентной среды (пункт 33 преамбулы).
В оригинале они названы как "gatekeepers". Также можно встретить и такой вариант перевода как «превратники». – прим. пер. ↩︎
В оригинале они названы как "providers", но в целях этой статьи отделяем их от сервис-провайдеров. – прим. пер. ↩︎
Имеется в виду этот документ – прим. пер. ↩︎
Имеется в виду сентябрь 2023 г., больше деталей об этом здесь. – прим. пер. ↩︎
Юридическим вопросам сбора данных посвящена отдельная статья, по этой ссылке
DGA создаёт трудности на рынке
В свете вышеизложенного интересно отметить, что рынок не обязательно движется в направлении, указанном новым европейским законодательством. Это, несомненно, создаст трудности при применении DGA к глобальным компаниям, которые уже предоставляют услуги по обмену данными через Интернет.
Например, ряд маркетплейсов данных дополняют уже существующие сервисы, основанные на данных, в рамках некоторых процветающих бизнес-моделей. Например, такие сервис-провайдеры, как так называемые "брокеры данных" (Liveramp, Lotame, Openprise и другие), добавляют в свои платформы частные маркетплейсы, чтобы обеспечить безопасный обмен, монетизацию, торговлю и интеграцию данных об аудитории. ГИС-платформы, такие как Carto или Here, создают маркетплейсы данных, позволяющие своим пользователям получать геопространственные данные, предназначенные для использования в рамках этой системы. Корпоративные DMSs внедряют защищённый обмен данными в охраняемое информационное пространство[1], находящийся под контролем каждого клиента, и маркетплейсы данных, чтобы вывести эти (некоторые) информационные ресурсы на рынок. Все они предлагают обмен данными, так или иначе связанный с другим сервисом, что снижает риск создания маркетплейса данных с нуля, но может противоречить принципам нейтральности, требуемым DGA.
Кроме того, большинство продуктов для обработки данных, предлагаемых в настоящее время в DMs, не предоставляют потенциальным клиентам полностью прозрачных условий ценообразования, но они начинают с выяснения их личности или цели, для которой они хотят использовать данные, чтобы предложить (и настроить) данные как продукт. Это может прямо противоречить духу статьи 12 DGA. Более того, создание надёжной концепции справедливости ценообразования на информационные продукты, которые легко изменяются различными способами, вероятно, станет серьёзной проблемой для экономики конкуренции (как это было в области лицензирования патентов и как ожидается, будет при применении обязательств DMA по FRAND, см. работу Дж. Коланджело в этом направлении).
В оригинале это названо как "walled garden of information". – прим пер. ↩︎
Интерпретация DGA – ключ к решению
С технической точки зрения, определение соответствующих уровней и обязанностей по защите данных при их хранении и в процессе передачи также является одной из наиболее важных задач в обеспечении соответствия требованиям DGA. В этом отношении мы являемся свидетелями того, как европейские инициативы развиваются в разных направлениях. С одной стороны, DGA возлагает на DISP важные обязанности по обеспечению безопасности (например, ведение журналов действий, обязательства в отношении безопасности и мошеннических действий и т.д.). С другой стороны, некоторые европейские стандарты, такие как IDSA и проект Gaia-X, уже определяют и разрабатывают механизмы безопасного обмена данными, а также успешно развивается группа стартапов, таких как Ocean Protocol. Тем не менее, из-за неуловимого характера данных очень сложно обеспечить надёжную защиту даже при использовании передовых технологий в этой области, и, следовательно, интерпретация DGA для определения того, что должны делать DISP и чего они не могут делать при борьбе с несанкционированными утечками данных, также будет иметь решающее значение.
Компетентные органы, отвечающие за услуги по передаче данных, должны будут решить эти вопросы при применении DGA и оценке DISP, имеющих право стать признанными ЕС посредниками данных. И эта интерпретация также будет иметь ключевое значение для обеспечения успеха маркетплейсов данных, PIMS и других посредников данных в Европейском Союзе.
А здесь можно узнать, какие правовые вопросы надо решить уже при обработке данных