Защита персональных данных в условиях применения цифровых технологий
В.И. Солдатова Солдатова Вера Ивановна, кандидат юридических наук, доцент кафедры гражданского права Москов-ского государственного юридического университета имени О.Е. Кутафина (МГЮА)
Аннотация
В течение последних лет вопросы применения законодательства в области персональных данных стали предметом внимания ученых-юристов. С развитием цифровых технологий особую актуальность приобретает проблема защиты персональных данных. Значение персональных данных настолько велико, что некоторые ученые квалифицируют их как нематериальные блага.
В целях защиты интересов граждан наше государство принимает меры по локализации данных о гражданах путем законодательного регулирования российского сегмента Интернета. Применяются также и такие меры, как право на забвение и обезличивание персональных данных.
Однако, как показывает практика, в том числе и судебная, имеющиеся средства защиты персональных данных являются недостаточными в условиях использования новых технологий. Вместе с тем практика применения законодательства о персональных данных выявляет ряд проблем, которые требуют своего решения. Много вопросов вызывает в практике деятельности государственных органов отнесение к персональным данным конкретной информации о физических лицах. Согласно действующей редакции ст. 3 Федерального закона персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). При этом закон не определяет, какие конкретно данные о физическом лице относятся к персональным данным. В силу такого широкого понимания персональных данных и возникают вопросы об отнесении к ним той или иной информации о физическом лице. В связи с этим важной теоретической задачей представляется определение критериев отнесения конкретных сведений о лице к персональным данным.
Особенно актуальными являются усиление ответственности за нарушение законодательства о персональных данных, определение приоритетов в вопросе обеспечения нейтральности Интернета, решение проблемы соотношения открытого режима общедоступных данных и необходимости защиты персональных данных. По мнению автора, необходимо обеспечить с помощью Эта проблема приобретает особое значение в связи с подготовкой новых законов о цифровом профиле гражданина.
Ключевые слова: персональные данные; согласие на обработку персональных данных; цифровая экономика; право на забвение; обезличивание персональных данных; категории персональных данных; биометрические персональные данные; Интернет; локализации баз с персональными данными; открытый режим общедоступных данных; цифровой профиль.
Protection of Personal Data in Digital Environment
Vera I. Soldatova, Cand. Sci. (Law), Associate Professor of the Department of Civil Law, Kutafin Moscow State Law University (MSAL)
Abstract
In recent years, the application of legislation in the field of personal data has become the focus of attention of legal scholars. With the development of digital technologies, the problem of protection of personal data becomes especially urgent. The importance of personal data is so great that some scholars treat them as intangible goods.
In order to protect the interests of citizens, our State takes measures to localize citizens' personal data by statutory regulation of the Russian segment of the Internet. Such remedies as the right to be forgotten and personal data anonymization are also applied.
However, the practice, including judicial practice, shows that the available means of protection of personal data are insufficient in the context of new technologies. However, the practice of application of laws on personal data reveals a number of problems that need to be addressed. The attribution of specific information about natural persons to personal data leads to a number of questions with regard to the practice of the activities of state bodies. Under currently effective Article 3 of the Federal Law, the term personal data refers to any information relating directly or indirectly to a certain or definable natural person (subject of personal data). At the same time, the law does not specify which data about an individual refers to personal data. Due to this broad understanding of personal data, questions arise concerning the attribution of paticular information about an individual to personal data. In this regard, the definition of criteria for the attribution of specific information about a person to personal data becomes an important theoretical task.
The issues of primary concern include: 1) strengthening of responsibility for violation of personal data legislation; 2) giving priority to the issue of neutrality of the Internet, 3) solving the problem of the balance between direct access to publicly available data and the need to protect personal data. In the author's opinion, it is necessary to ensure by means of comprehensive measures the priority of protection of personal data of citizens. This problem is of particular importance in connection with the elaboration of new laws on the digital profile of citizens.
Keywords: personal data; consent to the processing of personal data; digital economy; right to be forgotten; personal data anonymization; categories of personal data; biometric personal data; Internet; localization of databases with personal data; direct access to publicly available data; digital profile.
защита персональные данные
В настоящее время практически во всех странах в экономической сфере широко используются цифровые технологии, и Россия не является исключением. Создание цифровой экономики является важной задачей нашего государства. Указом Президента РФ от 09.05.2017 № 203 была утверждена Стратегия развития информационного общества в Российской Федерации на 2017--2030 годы СЗ РФ. 2017. № 20. Ст. 2901. (далее -- Стратегия).
В соответствии со Стратегией целью развития информационной и коммуникационной инфраструктуры Российской Федерации является обеспечение свободного доступа граждан и организаций, органов государственной власти Российской Федерации, органов местного самоуправления к информации на всех этапах ее создания и распространения (п. 27).
Указанная Стратегия определяет задачу по совершенствованию нормативно-правового регулирования в сфере обеспечения безопасной обработки информации (включая ее поиск, сбор, анализ, использование, сохранение и распространение) и применения новых технологий, уровень которого должен соответствовать развитию этих технологий и интересам общества (п. 31). Однако на данном этапе в этой сфере возникают новые проблемы, требующие правового регулирования.
Несомненно, что широкое применение цифровых технологий в самых разных сферах деятельности государства уже сегодня создает условия «прозрачности» различных отношений, в которых участвуют государственные органы, некоммерческие организации и граждане. В ряде сфер экономики государство осуществляет контроль за деятельностью субъектов предпринимательской деятельности (например, банки контролируют финансовые операции юридических лиц и граждан). Многие банковские операции проводятся с использованием сети Интернет (открытие банком счетов юридическим и физическим лицам, зачисление и списание денежных средств со счетов). При этом, как обоснованно замечают некоторые авторы, доступность информации о субъектах и об объектах предпринимательских отношений в целом -- это положительное явление, но возникает проблема защиты данных в сети Интернет Михайлов А. В. Проблемы становления цифровой экономики и вопросы развития предприниматель-ского права // Актуальные проблемы российского права. 2018. № 11. С. 68--73..
Отношения по сбору, хранению, обработке и использованию информации регулируются различными нормативными актами, составляющими законодательство о персональных данных.
Говоря о законодательстве Российской Федерации о персональных данных, прежде всего следует назвать международный акт -- Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, которую Россия ратифицировала еще до принятия Федерального закона «О персональных данных» Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите фи-зических лиц при автоматизированной обработке персональных данных» // СЗ РФ. 2005. № 52 (ч. 1). Ст. 5573..
Защита персональных данных в нашей стране осуществляется в рамках Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 31.12.2017) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». // СЗ РФ. 2006. № 31 (ч. 1). Ст. 3451.. Статья 2 названного Закона прямо устанавливает, что его целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Данной норме Федерального закона «О персональных данных» корреспондирует правило ст. 152.2 Гражданского кодекса РФ об охране частной жизни гражданина.
Защите прав граждан служит также и установленная Федеральным законом «О персональных данных» (ч. 5 ст. 18) обязанность оператора, осуществляющего сбор персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, а также обновление, изменение, извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Значение Федерального закона «О персональных данных» состоит в том, что он является основой правового регулирования сбора, обработки и использования персональных данных. Вместе с тем возникающие сегодня проблемы защиты персональных данных обусловлены недостаточной правовой регламентацией данных отношений.
Так, много вопросов вызывает в практике деятельности государственных органов отнесение к персональным данным конкретной информации о физических лицах. Согласно действующей редакции ст. 3 Закона персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Закон не определяет, какие конкретно данные о физическом лице относятся к персональным данным.
Заметим, что такое широкое понимание персональных данных было закреплено Федеральным законом от 25.07.2011 № 261-ФЗ, которым были внесены изменения в Федеральный закон «О персональных данных» Федеральный закон от 25.07.2011 № 261-ФЗ «О внесении изменений в Федеральный закон “О персо-нальных данных”» // СЗ РФ. 2011. № 31. Ст. 4701.. До внесения этих изменений пункт 1 ст. 3 Федерального закона «О персональных данных» определял персональные данные как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, другую информацию. Таким образом, ранее действовавшая редакция Закона определяла неполный перечень информации, относящейся к персональным данным.
Внесение изменений в Федеральный закон «О персональных данных» и закрепление нового понятия персональных данных было вызвано необходимостью приведения Закона в соответствие с Конвенцией 1981 г. Конвенция о защите физических лиц при автоматизированной обработке персональных данных (за-ключена в г. Страсбурге 28.01.1981) // СПС «КонсультантПлюс»., согласно ст. 2 (a) которой термин «персональные данные» означает любую информацию об определенном или поддающемся определению физическом лице. Следовательно, приведенная дефиниция понятия «персональные данные» появилась в результате имплементации в российское законодательство положений международного акта.
Федеральный закон «О персональных данных» выделяет несколько категорий персональных данных.
Специальные категории персональных данных, к которым относятся расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь (ч. 1 ст. 10). Эти данные имеют особый режим обработки: обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Закона.
Кроме того, Закон выделяет биометрические персональные данные. К ним относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. Закон установил специальный режим обработки этих данных -- они могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением установленных законом случаев (например, в связи с реализацией международных договоров Российской Федерации, в связи с осуществлением правосудия и др.).
Отметим, что в законодательстве отсутствует перечень биометрических персональных данных. Примерный перечень содержат разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.08.2013 Разъяснения Роскомнадзора от 30.08.2013 «Разъяснения по вопросам отнесения фото-, видеоизобра-жений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки» // СПС «КонсультантПлюс».. Согласно названным Разъяснениям к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта. Отметим, что названный акт по своей юридической силе не является нормативным. Полагаем, что перечень биометрических персональных данных должен содержаться не в ведомственном акте, а нормативном акте Правительства РФ.
Постановление Правительства РФ от 30 июня 2018 г. № 772 определяет следующие виды биометрических персональных данных физического лица -- гражданина Российской Федерации: