«Открытые профили — не вахта свободного доступа»: как скрейпинг превратился в незаконную обработку

Аналитический сервис построил продукт на массовом сборе сведений из «открытых» аккаунтов пользователей. Логика бизнеса: раз профиль доступен без регистрации, значит информация общедоступна. Проверка и суд посчитали иначе: социальные сети не тождественны «общедоступным источникам» в смысле законодательства о персональных данных; извлечение и последующая коммерческая обработка без законного основания подпадают под ст. 13.11 КоАП РФ.

Правовой каркас таких споров опирается на ст. 5 152-ФЗ (принципы минимизации и целевого характера), ст. 6 (законные основания обработки), ст. 7 (конфиденциальность), а также ст. 10 и 10.1 — если в профилях встречаются специальные категории или сведения, «разрешённые для распространения» по отдельному согласию. Суды неоднократно отмечали: отсутствие явного согласия (или иного основания по ст. 6) при систематическом извлечении и профилировании ведёт к административной ответственности; «публичность страницы» не освобождает от требований закона. Здесь юрист по персональным данным проверяет, насколько цели и объём сведений соответствуют принципам ст. 5 и основаниям ст. 6.

Практические детали видны и в делах мировых судей: штрафы по ч. 1–2 ст. 13.11 КоАП РФ назначались за сбор анкет из соцсетей с последующей рассылкой и скорингом без доказанного согласия субъектов, в том числе когда «согласие» было спрятано в нечитаемые чекбоксы. Если обрабатывались поля, требующие письменной формы согласия, суд прямо указывал на ч. 2 ст. 13.11 КоАП РФ. Для рынка это сигнал: скрипт не заменяет правовую модель обработки.

Справедливости ради, существуют подходы, признающие отдельные действия с открытыми данными допустимыми — например, разовая выборка для журналистских/исследовательских целей при соблюдении ст. 6 и ст. 7 152-ФЗ. Но систематический сбор, компоновка и последующая коммерческая эксплуатация без согласия и уведомления субъекта традиционно квалифицируются как нарушение. Позицию подтверждают обзорные подборки судебных решений и методические материалы надзорных органов. Это тот случай, когда «публичность интерфейса» ≠ «согласие на повторное использование».

Что делать командам данных? Первое — юридически легализовать источники: либо получать отдельное согласие на обработку и распространение (ст. 9 и ст. 10.1 152-ФЗ), либо строить договорную модель (API/лицензии) с чёткими целями и ограничениями ре-использования. Второе — внедрить принципы минимизации: собирать ровно то, что необходимо, и хранить не дольше целей (ст. 5 152-ФЗ). Третье — информировать субъектов и корректно вести реестр уведомлений (ст. 22 152-ФЗ). Ровно эту логику «перевода продукта на язык закона» и приносит в проект юрист по персональным данным.

И ещё один нюанс: даже если оператор ссылается на «законный интерес» (п. 7 ч. 1 ст. 6 152-ФЗ), суд проверит баланс интересов и доказуемость пропорциональности: прозрачность целей, возможность отказа, отсутствие скрытого профилирования. В отсутствие этой «бумаги и логов» скрейпинг превращается в административное дело — и иногда в цепочку исков о защите частной жизни.