Проблема квалификации персональных данных как нематериальных благ в условиях цифровой экономики, или Нет ничего более практичного, чем хорошая теория

Автор: Архипов В.В.

За последние десять лет вопросы соблюдения законодательства в области персональных данных стали выделяться в отдельную область юридической практики. В дискурсе о персональных данных намечаются методологические перспективы если не sui generis отраслевой теории права, то особого направления юридического толкования, как профессионального, так и доктринального. Тем не менее на данный момент вызывает сожаление малое количество работ российских ученых, в которых проблематика персональных данных рассматривается не только и не столько с точки зрения прикладных проблем толкования позитивного права (что, несомненно, важно и нужно), сколько с позиций системного анализа, основанного на научной методологии юриспруденции. Выработанные доктринальные подходы на уровне, хотя бы примерно соответствующем степени проработанности проблем частноправового характера, в настоящее время мало отражены в отечественной литературе.

Это особенно остро проявляется в процессах обсуждения новых методологических подходов для правоприменительной практики и конкретных дискуссиях в рамках законодательных инициатив. При этом таких случаев становится все больше и больше, ведь (общее место!) персональные данные, как и данные в целом, — это "новая нефть", и в контексте развития нормативного регулирования цифровой экономики правовые аспекты персональных данных, несомненно, составляют ядро актуальной проблематики. Вопросы персональных данных пересекаются практически со всеми новыми направлениями правовой мысли, вплоть до дискурса, связанного с проблематикой "магического круга"[1], т.е. вопроса о "коммуникативных границах действия права", проходящих по линии вымышленного и реального, игрового и неигрового, серьезного и несерьезного[2].

Об актуальности также свидетельствуют, например, репрезентативные судебные дела, к числу которых в связи с цифровой экономикой можно отнести прежде всего дело N 33-38783/16 о блокировке известной социальной сети Linkedln на основании ст. 15.5[3] Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", принципиальная позиция по которому нашла отражение в Апелляционном определении Московского городского суда от 10.11.2016. Суд, в частности, указал, что к иностранной компании подлежат применению нормы российского законодательства при условии направленности интернет-сайта на территорию России, которая определяется главным образом по критерию наличия русскоязычной версии интернет-сайта, а также возможности распространения рекламы на русском языке. Для целей настоящей работы важно то, что, разрешая вопрос о применимости законодательства о персональных данных[4], суд сделал отсылку к ст. 1212 Гражданского кодекса (ГК) РФ о выборе права, подлежащего применению к договору, стороной которого является потребитель.

Второе дело, о котором уместно вспомнить, отражено в Постановлении Девятого ААС от 06.02.2018 N 09АП-61593/2017-ГК по делу N А40-18827/17 о признании действий ответчиков (ООО "Дабл" и АО "Национальное бюро кредитных историй") по извлечению и последующему использованию информационных элементов из базы данных пользователей социальной сети "ВКонтакте" нарушением исключительных прав истца как изготовителя базы данных пользователей социальной сети. Оставляя за рамками рассмотрения отдельные детали данного дела, можно отметить, что, по сути, оно связано с проблематикой автоматизированного сбора общедоступных персональных данных, совокупность которых образует при этом охраняемый результат интеллектуальной деятельности в виде базы данных. Хотя сложно не упомянуть это дело, говоря о персональных данных в контексте цифровой экономики, но оно в большей степени связано с вопросами получения доступа к de facto доступным для третьих лиц базам данных с точки зрения права интеллектуальной собственности и не связано напрямую с рассматриваемой проблематикой. Тем не менее его появление весьма наглядно демонстрирует общую актуальность этой сферы.

Возвращаясь к сути рассматриваемой проблемы, можно сказать, что недостаточная проработка теоретических подходов приводит к ситуации, когда соответствующая "область полутени" (в терминологии Г. Харта[5]) становится в полном смысле слова ареной для "естественного отбора интересов" (перефразируя О.У. Холмса-мл.[6]). Любопытно, что область отношений, связанных с персональными данными, при этом предполагает не вполне линейную систему противоречий.

Так, система указанных отношений, опять же с некоторой долей условности, сейчас включает трех основных игроков.

Во-первых, это государство. Исходя из ст. 2 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — Закон о персональных данных) оно прямо преследует цель обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. В то же время известные ветви власти выражают и общую политику, определяемую такими недавними документами, как Доктрина информационной безопасности Российской Федерации[7] и Стратегия развития информационного общества в Российской Федерации на 2017 — 2030 годы (далее — Стратегия)[8]. Системное толкование в данном случае подсказывает, что государство, заботясь о гражданах, определяет такую заботу с учетом общих приоритетов безопасности и развития. Это заметно, например, в случае с требованием о локализации персональных данных (ч. 5 ст. 18 Закона о персональных данных), которое представляет собой императивную норму и одновременно созвучно с подп. "г" п. 31 Стратегии. Согласно данному пункту для защиты данных в Российской Федерации необходимо "обеспечить обработку данных на российских серверах при электронном взаимодействии лиц, находящихся на территории Российской Федерации, а также передачу таких данных на территории Российской Федерации с использованием сетей связи российских операторов". Уточним, что данный подход соответствует концепции утверждения суверенитета в информационном пространстве.

Во-вторых, это бизнес. Систематическое получение прибыли в условиях цифровой экономики во многом опирается на анализ и оборот (больших) пользовательских — они же персональные — данных. В рассматриваемом аспекте бизнес заинтересован в первую очередь в минимальном количестве запретов и ограничений, связанных с обработкой и оборотом персональных данных.

Наконец, в-третьих, это сами субъекты персональных данных, к которым, собственно, относится как автор, так и читатели данной публикации. С одной стороны, субъекты заинтересованы в охране и защите своих прав, с другой стороны, именно в области взаимодействия с субъектами и наблюдается указанная нелинейность. Так, например, интересы субъектов и государства совпадают в части приоритета прав и свобод человека и гражданина. Но одновременно такие интересы могут вступать в конфликт, поскольку действующее законодательство (в первую очередь России, но также, хотя и в меньшей степени, ЕС) в действительности подразумевает, что и граждане не могут полностью распоряжаться своими же собственными персональными данными. Субъект не может своим согласием отказаться от ряда предусмотренных законодательством гарантий либо освободить оператора от каких-либо обязанностей.

Таким образом, интересы участников отношений, предметом которых выступают персональные данные, не находятся в статичном противоречии или согласии. В зависимости от ситуации интересы граждан могут совпадать с интересами бизнеса — например, когда субъект персональных данных готов осознанно отказаться от ряда предусмотренных законом гарантий в случае взаимодействия с зарубежным оператором. Но интересы граждан могут, напротив, совпадать с интересами государства — особенно если защита прав субъектов персональных данных подразумевает вместе с тем и укрепление цифрового суверенитета.

Приведенные рассуждения о наличии трех разнонаправленных интересов "групп давления" в области отношений, связанных с обработкой и оборотом персональных данных, могут показаться достаточно наивными для политической и экономической теории, а также для других наук социально-гуманитарного цикла. Однако представляется допустимым отметить как минимум два релевантных для практики теоретических наблюдения, относящихся к предмету юридической науки. Во-первых, толкование тех частей правовых текстов в области персональных данных, которые лишены формальной определенности, с неизбежностью будет определяться одним из трех интересов, получивших приоритет по результатам юридической аргументации в спорном случае[9]. Во-вторых, интерес, объединяющий всех трех игроков, можно будет, вероятно, отыскать примерно там же, а именно в реализации принципа формальной определенности.

Положительная роль права может заключаться в том, что государство предоставляет и бизнесу, и гражданам готовые паттерны поведения для реализации внеправовых целей, в том числе конституционных прав и свобод — например, как свободы предпринимательской деятельности (бизнес), так и права на неприкосновенность частной жизни (граждане). Реализация данной общей цели права, в частности в области персональных данных, невозможна без достижения формальной определенности правовых текстов.

В этом контексте условия цифровой экономики как раз являются особым вызовом для реализации обозначенного принципа. Как несложно будет проследить, значительная часть юридических проблем в области персональных данных, при своей внешней и в общем содержательной теоретической природе, исключительно актуальна для практики и обусловлена именно современным контекстом цифровой экономики. Разрешение указанных проблем представляется необходимым шагом.

Особо отметим следующее.

В первую очередь (и эта часть проблемы может быть решена в ходе последовательной рациональной научной дискуссии) ключевые правовые проблемы применения законодательства в области персональных данных носят концептуальный (доктринальный), а не партикулярный (прикладной) характер. Соответственно, уровень, на котором они должны разрешаться, это в большей степени уровень правовой доктрины и правосознания, а не создания новых правовых норм. Было бы несколько странно для российской правовой системы принимать какой-либо нормативный правовой акт, регулирующий правила толкования правовых текстов в области персональных данных. Но именно в применении принципов и правил толкования права заключается часть таких концептуальных проблем, а инструменты для интерпретации правовых текстов уже вполне разработаны в теории права, цивилистике, конституционно-правовой доктрине.

Кроме того, в конечном счете решение поставленной выше задачи дополнительно требует сделать не что иное, как прямой и конкретный выбор между определенными правовыми и социальными ценностями на высоком уровне, законодательной либо исполнительной власти. Возможно, следует обеспечить механизм, который позволил бы изменять избранную позицию соответственно социально-экономическим потребностям, но так, чтобы в каждый момент времени ключевой принцип, лежащий в сфере регулирования отношений в области персональных данных, был бы однозначно интерпретируемым. Задача юридической науки в данной части заключается, по сути, в том, чтобы точно определить ту область, в которой требуется принятие соответствующего политического по своей природе решения.

С учетом приведенных предпосылок рассмотрим главную доктринальную проблему — проблему отраслевой принадлежности отношений, предметом которых являются персональные данные. Представляется, что в нынешних условиях именно этот вопрос является принципиальным для разрешения проблем, связанных с применением законодательства о персональных данных, прежде всего в цифровой среде.

Одним из наиболее наглядных случаев, где проявляется актуальность данного вопроса, является проблематика формы согласия на обработку персональных данных. Хорошо известны общие правила Закона о персональных данных, согласно ч. 1 ст. 9 которого согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. При этом ч. 4 ст. 9 Закона устанавливает, что термин "письменное согласие" следует толковать как согласие, содержащее собственноручную подпись субъекта персональных данных на бумажном носителе, а равнозначным таковому признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Но вида электронной подписи Закон о персональных данных нигде далее не уточняет. Часть 2 ст. 6 Федерального закона от 06.04.2011 N 63-ФЗ "Об электронной подписи" (далее — Закон об электронной подписи) устанавливает ряд случаев, при которых электронные документы, подписанные электронной подписью, признаются равнозначными документам на бумажном носителе, подписанным собственноручной подписью. Особенно интересно и то, что равнозначной в данном смысле может быть признана и информация в электронной форме, подписанная простой электронной подписью, причем также в случаях, установленных соглашением между участниками электронного взаимодействия. Согласно ч. 2 ст. 5 Закона об электронной подписи простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Статья 9 того же Закона раскрывает правила использования данного инструмента, и ключевое требование заключается в том, что нормативные правовые акты и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью равнозначным документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности, правила определения лица, подписывающего электронный документ, по его простой электронной подписи.

Далее, однако, законодательство не дает прямых юридических правил относительно ключевых для данной ситуации правовых конструкций и обстоятельств. Основные вопросы, подлежащие разрешению, — это, во-первых, правовая природа соглашения между участниками электронного взаимодействия (скорее вопрос права — какие правила применимы к заключению такого соглашения?) и, во-вторых, как следует толковать словосочетание "определение лица, подписывающего электронный документ" (скорее вопрос факта — что позволит идентифицировать подписывающее лицо?). Также обратим внимание, что Закон об электронной подписи прямо не упоминает документы, удостоверяющие личность.

Последний вопрос несколько выходит за рамки предмета настоящей статьи, поэтому ограничимся лишь тем очевидным суждением, что с юридической точки зрения "определение лица" в бесспорных случаях должно подразумевать предъявление документа, удостоверяющего личность. В то же время не усматривается и прямых юридических ограничений для случаев, когда "определение лица" в данном смысле может толковаться и более широко — например, включать ситуации, когда для целей такого определения используется какой-либо инструмент, непосредственно привязанный к документу, удостоверяющему личность. Полагаем, что перспективой использования для данных целей может обладать, как вариант, мобильный телефон: согласно п. 18 Правил оказания услуг телефонной связи[10] гражданин при заключении договора предъявляет документ, удостоверяющий его личность. Разумеется, нельзя исключать и случаи недобросовестного поведения: договор с оператором связи может быть заключен не тем лицом, которое фактически использует соответствующий номер. Впрочем, и удостоверение личности может быть подделано (в том числе если это не паспорт, что может иногда и упростить задачу злоумышленникам) либо не подделано как таковое, а предъявлено не тем лицом.

По всей видимости, устранить большую (в случае с мобильным телефоном) или меньшую (в случае с документом, удостоверяющим личность) неопределенность объективно невозможно в силу дистанции между номером телефона или документом и конкретным физическим лицом, которое должно быть определено для рассматриваемых целей. Эта дистанция, пожалуй, может быть однозначно устранена лишь за счет использования для целей идентификации биометрических персональных данных — отпечатка пальца, сетчатки глаза и пр. Логика развития действующего законодательства в последнее время во многом определяется как раз этим подходом, примером чему может послужить Федеральный закон от 31.12.2017 N 482-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации", которым устанавливаются как конкретные положения об идентификации клиентов кредитных организаций по данным Единой биометрической системы, так и общие положения, допускающие такую идентификацию для граждан Российской Федерации при определенных условиях.

Для целей данного рассуждения допустим, что номер мобильного телефона и аутентификация через СМС может быть значима в контексте простой электронной подписи (в целом здесь точно так же будет актуальна и идентификация посредством биометрических персональных данных — тот же отпечаток пальца в современных смартфонах; впрочем, возможность обработки биометрических персональных данных и в таких случаях ставит несколько сложных юридических проблем в свете текущих ограничений Закона о персональных данных). В таком случае нерешенным остается вопрос о правовой природе соглашения между участниками электронного взаимодействия.

Допустим, что особенно актуально для сферы цифровой экономики, встает вопрос о возможности заключения самого соглашения между участниками электронного взаимодействия дистанционно. Закон об электронной подписи не дает ответа на вопрос о правовой природе такого соглашения. Предположим, что данные отношения рассматриваются как гражданско-правовые, и к ним применимы правила ГК РФ. В соответствии с ГК РФ в целом нет запрета на совершение сделок (заключение договоров) дистанционным способом. Представим также, что речь идет о договоре между гражданином и юридическим лицом и (или), по смыслу Закона об электронной подписи, рассматриваемое соглашение должно заключаться в письменной форме. Так, п. 2 ст. 434 ГК РФ определяет, что договор в письменной форме может быть заключен также и посредством обмена электронными документами, передаваемыми по каналам связи, позволяющими достоверно установить, что документ исходит от стороны по договору. Второй абзац данного пункта прямо упоминает обмен информацией в электронной форме и электронную почту. Более того, из системного толкования п. 3 ст. 438 и п. 3 ст. 434 ГК РФ следует, что письменная форма договора также считается соблюденной, если лицо, получившее оферту (выраженную, скажем, в форме пользовательского соглашения на сайте), в указанный в оферте срок совершило действия по выполнению указанных в ней условий, т.е. акцептовало оферту конклюдентными действиями. Исходя из приведенной выше гипотезы о том, что номера мобильного телефона и аутентификации посредством СМС достаточно для определения лица, мы получаем полноценную работоспособную конструкцию, не требующую создания каких-либо специальных норм и вытекающую из давно известных положений гражданского права. После заключения соглашения между участниками электронного взаимодействия, предусматривающего равнозначность простой электронной подписи собственноручной на бумажном носителе, уже в соответствии с буквальным толкованием текста Закона о персональных данных, таким образом, можно предоставить (получить) согласие субъекта персональных данных в письменной форме дистанционно.

Приведенный пример можно выразить проще: если рассматривать отношения между участниками электронного взаимодействия как гражданско-правовые, то есть способ обеспечить получение согласия субъекта персональных данных в форме, которая рассматривается Законом о персональных данных как письменная, дистанционно (с учетом оценочного понятия об определении лица). Но можно ли рассматривать такие отношения как гражданско-правовые? Ни теория, ни практика не дают ответа на этот вопрос. В отдельных позициях Роскомнадзора и Минкомсвязи России прослеживается стремление применить положения ГК РФ к некоторым частным вопросам, однако применяемый подход сложно назвать последовательным[11].

Это именно тот случай, когда теоретический вопрос имеет прямое воздействие на разрешение практических правовых коллизий и конфликтов. И здесь нас прежде всего интересуют концепции общей теории права, которые могут казаться столь простыми и привычными, что на них легко не обратить внимания. Так, в теории выделяются централизованный и децентрализованный методы правового регулирования. Первый предполагает субординацию, отношения власти и подчинения и определяет публично-правовые отношения. Второй нацелен на урегулирование отношений между юридически равными субъектами, которые могут установить для себя свое правило поведения. Данным методам, соответственно, коррелируют типы правового регулирования: общедозволительный и общезапретительный (или разрешительный). В первом случае дозволено все, что не запрещено, во втором, напротив, запрещено все, кроме прямо разрешенного[12]. Какое отношение имеют эти общие места теории права к дискуссии о, казалось бы, совершенно прикладных вопросах персональных данных? Самое непосредственное: в зависимости от того, какой тип правового регулирования будет избран, и будут разрешаться отдельные правовые коллизии.

Рассматриваемую общую проблему можно редуцировать до вполне конкретной: можно ли (и нужно ли) рассматривать как минимум отдельные действия, совершаемые субъектами персональных данных, выступающими так же как участники электронного взаимодействия и реализующими права, которые предоставлены им Законом о персональных данных (например, предоставление согласия на обработку персональных данных), как сделки?

Особо отметим, что привлекательность данного подхода обусловлена наличием глубоко и подробно разработанных и на практике, и в теории вопросов совершения сделок, которые определенно способны устранить значительную часть пробелов в правовом регулировании отношений, связанных с обработкой персональных данных.

Статья 153 ГК РФ определяет как сделку действия граждан и юридических лиц, направленные на установление, изменение или прекращение гражданских прав и обязанностей. Субъективное гражданское право может быть определено как мера дозволенного (допустимого) поведения и, как правило, предметно конкретизируется через понятие гражданско-правовых отношений как таковых[13]. Перечень последних, как это следует и из доктрины, и из позитивного права в виде п. 1 ст. 2 ГК РФ, является открытым и включает как имущественные, так и личные неимущественные отношения. Далее — известная проблема (или нюанс). Персональные данные, согласно п. 1 ст. 3 Закона о персональных данных, это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Информация ранее относилась к числу объектов гражданских прав согласно ст. 128 ГК, но сейчас, сама по себе, не относится. Тем не менее в число объектов гражданских прав входят нематериальные блага.

Пункт 1 ст. 150 ГК РФ содержит открытый перечень нематериальных благ, которые включают в себя в том числе достоинство личности, честь и доброе имя и т.д. Согласно тексту закона такие права неотчуждаемы и непередаваемы иным способом. Данные перечень и подход, отраженные в законе, не отражают всего многообразия мнений, которые развивались в доктрине по данному вопросу. Так, крайне интересный обзор доктринальных суждений в данной области приводит М.Л. Нохрина в статье "Понятие и признаки нематериальных благ: законодательство и цивилистическая наука"[14].

Обобщая историю исследования вопроса, автор приводит единый перечень нематериальных благ, которые упоминались в тех или иных исследованиях. Из того, что особенно относится к предмету настоящей работы, можно упомянуть портрет и звукозапись, личную тайну, обработанные с помощью ЭВМ данные, относящиеся к личности, фамилию (псевдоним) и внешность, "высказывания и бумаги личного характера", "видовые снимки и звуковые записи, касающиеся гражданина или его высказываний личного характера" (ГК ВНР, ГК ПНР, ГК ЧССР согласно К.Б. Ярошенко), внешний облик, голос, геном человека (Т.А. Терещенко), самобытность личности, понимаемая как внешний облик, включающий черты лица и особенности телосложения (О.Н. Ермолова)[15]. Добавим, что выделение данных нематериальных благ не противоречит логике действующего законодательства. Уже на этом этапе сложно не заметить, что названные нематериальные блага одновременно могут быть вполне однозначно квалифицированы как информация.

Развивая научный дискурс, предметом которого выступают нематериальные блага, М.Л. Нохрина приходит к весьма интересным научным выводам. В силу их значимости позволим себе привести развернутую цитату: "…в качестве "блага" могут выступать следующие внешние субъекту объекты: запись голоса, имя, изображение, информация о частной жизни, зафиксированная на материальном носителе. Относительно указанных объектов могут складываться соответствующие общественные отношения, а также субъективные права исключительного характера. Причем эти отношения имеют имущественный характер, поскольку все указанные объекты имеют рыночную цену и являются товаром. Что же касается иных названных в законе и литературе "нематериальных благ", то их со всеми основаниями следует охарактеризовать не как "блага", а как соответствующие законные интересы (ст. 4 АПК РФ, ст. 3 ГПК РФ). Именно понятие интереса позволяет объединить все возможные явления, которые перечислены выше"[16].

Далее автор перечисляет иные объекты, традиционно рассматриваемые как нематериальные блага, которые, на наш взгляд, вполне изящно объясняются концепцией законного интереса — например, интерес в сохранении жизни и здоровья, интерес в личной неприкосновенности и др. Последние объекты нерелевантны для данной темы, а вот первая категория "внешних субъекту объектов", как представляется, вполне совпадает со смыслом информации в значении информационно-правовых нормативных актов и по большей части с понятием персональных данных.

Для полноты анализа обратимся к классификации, предложенной Т.В. Трофимовой[17], которую также приводит М.Л. Нохрина в процессе изучения проблематики нематериальных благ. Согласимся с автором в том, что практически все признаки, перечисленные в указанной классификации, характеризуют не блага как таковые, а права на них, тогда как единственный признак, касающийся самих нематериальных благ, выражается в том, что они принадлежат физическим лицам. Согласимся также и с тем, что "при рассмотрении нематериальных благ должен быть найден такой признак, который был бы присущ всем нематериальным благам, а не только "как правило"[18]. Тем не менее и признаки прав на нематериальные блага представляются весьма существенными. Сопоставим признаки, приводимые Т.В. Трофимовой с контекстом персональных данных, сопроводив результаты сравнения дополнительными комментариями (см. таблицу).

Признаки нематериальных благ (согласно Т.В. Трофимовой) и персональные данные

N	Признак нематериальных благ	Применимо ли к персональным данным?
1	Для возникновения прав на нематериальные блага не требуется возникновения дополнительных юридических фактов, они возникают в силу определенных событий, основным из которых является факт рождения или создания	Да. Согласно актуальным подходам возникновение прав субъекта персональных данных также не требует возникновения дополнительных юридических фактов. Более того, в этом свете также интересен факт рождения в связи с концепцией биометрических персональных данных, которыми человек, очевидно, обладает именно с рождения
2	Гражданские права, объектом которых являются нематериальные блага, не подлежат восстановлению в случае их нарушения	Да. Позволим себе предположить, что с учетом информационной природы персональных данных, тем более в современных условиях, будет вполне правильно сказать, что такие гражданские права не подлежат восстановлению в том смысле, что нельзя "развидеть" (интернет-сленг, с позволения читателя) один раз увиденные персональные данные. То есть информация, однажды распространенная публично, особенно через Интернет, остается в публичном пространстве навсегда <*>
3	Права на нематериальные блага неотчуждаемы и непередаваемы иным способом	В целом да. Оговорка заключается в том, что данные права рассматриваются как неотчуждаемые и непередаваемые другим способом в рамках действующей парадигмы позитивного права. Вместе с тем не исключаем, что данный подход вполне может быть изменен волевым установлением законодателя
4	Отсутствие имущественного содержания, которое проявляется в невозможности точной оценки указанного объекта гражданских прав	В целом да. Оговорка заключается в том, что персональные данные de facto уже представляют собой своего рода товар, который вполне поддается оценке в рамках определенной системы B2B-отношений <**>. Однако механизм ценообразования в данном сегменте рынка вряд ли дает возможность говорить о возможности какой-либо точной оценки с точки зрения экономики
5	Личный характер, проявляющийся в невозможности осуществления прав на них иными лицами, кроме правообладателя	В целом да. Оговорка, как и в случае с п. 3 выше, заключается в том, что невозможность осуществления прав на персональные данные иными лицами, кроме правообладателя, также актуальна для действующей парадигмы позитивного права, но может быть изменена волевым установлением

<*> С иронией можем провести параллель с эффектом Стрейзанд, столь актуальным для многих интернет-споров, связанных с неправомерным распространением информации. Согласно устоявшемуся словоупотреблению, отраженному, например, в Википедии (раз уж речь идет об интернет-культуре), эффект Стрейзанд — "социальный феномен, выражающийся в том, что попытка изъять определенную информацию из публичного доступа… приводит лишь к ее более широкой популяризации (обычно посредством Интернета)". См.: https://ru.wikipedia.org/wiki/Эффект_Стрейзанд (дата обращения: 26.02.2018).

<**> См., напр.: Савельев А.И. Направления эволюции свободы договора под влиянием современных информационных технологий // Свобода договора: Сб. ст. / Отв. ред. М.А. Рожкова. М., 2016 // СПС "КонсультантПлюс".

С учетом изложенного выше рассуждения и сопоставления признаков нематериальных благ, как они известны классическому цивилистическому дискурсу, концепция персональных данных как вида нематериальных благ представляется заслуживающей если не немедленного признания, то по меньшей мере внимательного изучения. При этом такой подход приводит нас к закономерному выводу: если персональные данные обладают всеми признаками нематериальных благ, то персональные данные — это объект гражданских прав даже в смысле действующей редакции ст. 128 ГК РФ.

Если персональные данные, являясь нематериальными благами, — это объект гражданских прав, соответственно, отношения, в которых участвует субъект персональных данных (подчеркнем, именно субъект персональных данных, а не оператор и государство, например), следует рассматривать как гражданско-правовые. Следовательно, применению к данным отношениям подлежат положения ГК РФ, а это позволит устранить ряд существующих правовых коллизий и восполнить как минимум некоторые (возможно, мнимые) пробелы.

Подобный методологический подход, при видимом противоречии актуальной парадигме позитивного права, достаточно сложно назвать маргинальным. Безусловно, как отмечает А.И. Савельев, положения правового режима защиты персональных данных носят ярко выраженные черты публичного права, а также содержат достаточно большой набор обязанностей оператора персональных данных, которые, в свою очередь, носят явно выраженный вертикальный и императивный характер[19]. С этим невозможно не согласиться, но данные суждения не отрицают и возможности подхода, согласно которому часть правовых отношений в данной области может соответствовать частноправовому, а часть — публично-правовому типу регулирования. Как отмечается в доктрине гражданского права, "речь идет не о том, чтобы отдать предпочтение частноправовому или публично-правовому типу регулирования общественных отношений, входящих в предмет гражданского права, а о том, чтобы частноправовое регулирование оптимально ограничивалось в необходимых случаях публично-правовыми элементами"[20].

В качестве необходимой оговорки к предлагаемой в настоящей статье общей гипотезе отметим, что к частноправовому типу отношений, таким образом, будут относиться прежде всего отношения между субъектом персональных данных и оператором.

Аргументация здесь последовательно вытекает из предыдущего рассуждения: предоставляя свое согласие на обработку персональных данных, субъект тем самым предоставляет согласие применительно к относящемуся к нему нематериальному благу. В свою очередь, поскольку нематериальное благо — объект гражданских, а не каких-либо еще прав, данное согласие представляет собой волеизъявление, имеющее гражданско-правовую природу. Продолжая логику работ А.И. Савельева, можем сказать, что ч. 1 ст. 9 Закона о персональных данных не просто так говорит о том, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Нельзя не увидеть созвучность данного положения п. 2 ст. 1 ГК РФ, согласно которому граждане (физические лица) приобретают и осуществляют свои гражданские права своей волей и в своем интересе. Следуя классическим принципам толкования права, можно вспомнить о презумпции разумности законодателя и полноты его воли, как она изложена в тексте закона. В свете данной презумпции употребление одних и тех же терминов, имеющих юридическое значение, не случайно.

Каковы тогда конкретные последствия теоретического отнесения особой группы отношений, предметом которых выступают персональные данные, к гражданско-правовым? Назовем некоторые из них, призывая читателя учесть, что данные рассуждения носят предварительный, иллюстративный характер и нуждаются в дальнейшей предметной разработке.

Во-первых, при таком подходе персональные данные рассматриваются как объект гражданских прав — нематериальные блага в смысле ст. 128 ГК РФ. Сразу оговоримся, что если такой подход соответствует интересам самих граждан и, хотя бы в части, интересам государства, то интересам бизнеса в условиях цифровой экономики он отвечает не вполне. Согласно классической точке зрения концепция оборота в принципе неприменима к нематериальным благам. Тем не менее в современной теории гражданского права высказываются и альтернативные точки зрения. Например, отношения по поводу благ в рамках концепции М.Л. Нохриной "имеют имущественный характер, поскольку все указанные объекты имеют рыночную цену и являются товаром"[21]. Как бы то ни было, в текущей парадигме позитивного права персональные данные и как нематериальное благо не могут выступать в качестве какого-либо отчуждаемого объекта. Впрочем, такой подход не исключает постановки вопроса о контролировании коммерческого использования индивидуальности в том смысле, который придается этому зарубежным правом[22].

Во-вторых, из предлагаемого для рассмотрения подхода вытекает, что, предоставляя свое согласие на обработку персональных данных, отзывая его и (или) совершая иные подобные действия, субъект распоряжается своим правом на нематериальное(-ые) благо(-а). В свою очередь, это представляет собой действие, направленное на установление, изменение или прекращение гражданских прав и обязанностей, а это уже соответствует гражданско-правовому понятию сделки согласно ст. 153 ГК РФ. Пожалуй, именно такой вывод является принципиальным для общей рассматриваемой проблематики по крайней мере по двум причинам. Так, в настоящее время в информационном праве есть существенные пробелы в части регулирования оборота и распоряжения информацией. Применение конструкции сделки к согласию на обработку персональных данных и иным подобным действиям позволит существенно восполнить данные пробелы. Закон о персональных данных действительно содержит много открытых вопросов, к числу которых, актуальных, в частности, для многих некоммерческих и благотворительных организаций, относится далеко не праздный вопрос об обработке персональных данных умерших[23]. Вторая причина заключается в том, что если Закон о персональных данных, как справедливо и традиционно отмечается в литературе[24], находится в противоречии с тенденциями развития цифровой экономики и коммерциализации отношений в области оборота информации, то гражданское законодательство гораздо более адекватно текущим экономическим реалиям хотя бы в одном важном смежном вопросе — о распоряжении правами. Это суждение, разумеется, не касается оборотоспособности информации как таковой. Но тогда получается, что, условно говоря, оборот информации между субъектом и оператором (B2C-отношения) ставит проблемы, решаемые действующими инструментами гражданского права при надлежащей аргументации. Проблемы же, вероятно, требующие новых решений, сосредоточены в области последующего обмена персональными данными между операторами (B2B-отношения). Любопытно, что при таком подходе к согласию на обработку персональных данных должны будут закономерным образом применяться положения ГК РФ не только о форме сделки, но и о недействительности сделок. Так, п. 1 ст. 168 ГК РФ указывает, что, за исключением случаев, предусмотренных п. 2 указанной статьи или иным законом, сделка, нарушающая требования закона или иного правового акта, является оспоримой, если из закона не следует, что должны применяться другие последствия нарушения, не связанные с недействительностью сделки. Поскольку Закон о персональных данных устанавливает требования, например, к содержанию письменных согласий, но не говорит прямо о последствиях несоблюдения данных требований, можно усмотреть определенный потенциал в юридической аргументации, основанной на данном пункте и полагающей, что согласие с нарушением отдельных требований будет рассматриваться как оспоримая сделка. В данном случае особенно интересно то, что в силу п. 2 ст. 166 ГК РФ требование о признании оспоримой сделки недействительной может быть предъявлено стороной сделки или иным лицом, указанным в законе.

В-третьих, следует уделить внимание вопросу гражданской дееспособности субъектов персональных данных, достаточно актуальному для тех случаев, когда согласие на обработку персональных данных предоставляют, допустим, несовершеннолетние. В силу ч. 6 ст. 9 Закона о персональных данных в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает его законный представитель. Однако здесь имеется явный пробел на уровне специального законодательства: недееспособность — лишь одна из категорий, предусмотренных ГК РФ. Несовершеннолетние не являются недееспособными — их дееспособность ограничена, и имеет смысл разделять эти понятия. Впрочем, в рассматриваемом случае ГК РФ также не предлагает исчерпывающего ответа на вопрос о том, кто же должен давать согласие и (или) всегда ли требуется получать согласие законных представителей, в том числе заранее. Из тех правил, которые есть на данный момент, можно предположить следующее: согласие на обработку персональных данных малолетних (несовершеннолетних, не достигших возраста 14 лет) могут предоставлять от их имени только их родители, усыновители или опекуны. Сделки такого рода явно не подпадают под исключения, предусмотренные п. 2 ст. 28 ГК РФ. Что же касается несовершеннолетних в возрасте от 14 до 18 лет, то ситуация несколько иная. С одной стороны, для совершения сделок, не составляющих исключения по п. 2 ст. 26 ГК РФ, к числу которых тогда будет относиться и предоставление согласия на обработку персональных данных, требуется письменное согласие законных представителей. Но согласно абз. 2 п. 1 ст. 26 сделка будет действительна также при ее последующем письменном одобрении родителями, усыновителями или попечителем.

В-четвертых, к части отношений в области персональных данных, таким образом, будет применяться и комплекс общих норм ГК РФ. Возможные последствия такого подхода, вероятно, будут довольно многообразны. Например, п. 1 ст. 4 ГК РФ гласит, что акты гражданского законодательства не имеют обратной силы и применяются к отношениям, возникшим после введения их в действие. Действие закона распространяется на отношения, возникшие до введения его в действие, только в тех случаях, когда это прямо предусмотрено законом. Для операторов, действующих в Российской Федерации не один десяток лет, этот вопрос может быть актуален в части данных, собранных до вступления в силу Закона о персональных данных (26 января 2007 г.). Если эти данные не изменялись, тогда в части требований к согласию на их обработку не должно значиться соблюдение положений ст. 9 Закона о персональных данных. Другой уместный пример — п. 5 ст. 10 ГК РФ, согласно которому добросовестность участников гражданских правоотношений и разумность их действий предполагается. Закон о персональных данных устанавливает обязанность по обеспечению точности, достаточности и актуальности персональных данных (ч. 6 ст. 5). Вероятно, это как раз тот случай, когда будет справедливо считать, что оператор вправе исходить из добросовестности субъектов персональных данных.

В-пятых, перемещение проблематики персональных данных из области чистого административного права в область, содержащую существенное количество норм, которые в совокупности могут быть рассмотрены как lex specialis по отношению именно к ГК РФ, позволит значительно усилить аргументацию, касающуюся таких мягких аспектов права, как, скажем, применение устоявшихся приемов и способов толкования права. На дату написания настоящей статьи практике известна особенность толкования Роскомнадзором и Минкомсвязи России положений ст. 9 Закона о персональных данных, содержащей требования к согласию на обработку персональных данных[25]. Речь идет о том требовании, что в одном согласии на обработку персональных данных должно содержаться указание лишь на одну цель обработки и на одно третье лицо — обработчика персональных данных. На практике это создает значительные трудности для организаций, которые нередко оказываются вынуждены предлагать для подписания не одну форму согласия, а десять или более. Это затрудняет документооборот, усложняет отношения с гражданами и в целом представляется избыточным. При проведении проверок такая интерпретация имеет два альтернативных объяснения, известные нам из юридической практики. Первое: п. 4 ч. 4 ст. 9 Закона о персональных данных использует термин "цель обработки персональных данных" в единственном числе, а значит, в согласии может быть только одна цель. Оценить данный аргумент достаточно сложно в силу его резкого противоречия многовековым традициям толкования как частного, так и публичного права, предполагающим, что использование термина в единственном числе подразумевает и множественное число, если прямо не указано иное. Второй используемый на практике аргумент: отдельное согласие для отдельной цели (и, как и в предыдущем случае, по аналогии — для отдельного обработчика) требуется в свете общего положения о том, что согласие должно быть информированным и сознательным, предоставляться свободно, своей волей и в своем интересе (ч. 1 ст. 9). Почти риторический вопрос: разве тот же результат не может быть достигнут посредством проставления галочек в отдельных полях анкеты? Представляется, что результат будет такой же[26].

Отдельно отметим, что сама по себе идея применять положения гражданского права к отношениям в области персональных данных не может быть излишне вызывающей в условиях, когда за неимением других ориентиров (что неудивительно) государственные органы сами — пока избирательно — обращаются к гражданскому праву[27].

Кроме того, нельзя обойти стороной и то обстоятельство, что и действующее позитивное право, и судебная практика допускают взыскание морального вреда за нарушение прав субъекта персональных данных[28]. Статья 151 ГК РФ содержит общее правило о том, что если гражданину причинен моральный вред действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие ему нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. Пункт 10 ч. 3 ст. 402 Гражданского процессуального кодекса (ГПК) РФ при этом определяет, что суды в Российской Федерации вправе рассматривать дела с участием иностранных лиц в случае, если речь идет о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, а истец имеет место жительства в Российской Федерации.

Каково значение данных выводов для контекста больших данных и цифровой экономики? Ранее автор настоящей статьи совместно с В.Б. Наумовым вступал в полемику с А.И. Савельевым на страницах Computer Law & Security Review по вопросу о подходе, предполагающем ограничительное толкование понятия "персональные данные" в контексте больших данных[29]. Отправной точкой для дискуссии послужили наблюдения ученого о том, что контекст больших данных несовместим ни с принципом обработки персональных данных в соответствии с заранее определенными целями, ни с концепцией конкретного, информированного и осознанного согласия, в то время как анонимизация персональных данных больше не гарантирует действительной анонимности субъекта в эпоху больших данных[30]. Поддерживая А.И. Савельева в том, что такие проблемы, включая проблему, связанную с согласием, есть, мы не вполне разделяем мнение, что "информированное согласие является в современных условиях не более чем фикцией и не может выполнять роль главного легитимирующего основания для обработки персональных данных"[31]. Нами был предложен взгляд, пожалуй, совпадающий с предпосылками указанной позиции, но различающийся в деталях. В частности, было отмечено, что в современных реалиях пользователи должны осознавать, что все, что они размещают или направляют, используя сеть Интернет, может рано или поздно стать достоянием общественности — это базовый принцип информационной безопасности. Поэтому согласие на обработку персональных данных, возможно, и останется юридической фикцией, но будет юридической фикцией более низкого уровня. По сути, многие согласия в таком свете могут означать: "Я согласен(-на) с тем, что [наименование оператора] получит любые данные, которые я ему предоставлю, и будет использовать их настолько добросовестно, насколько это возможно, но я осознаю, что в условиях больших данных (и большой сети взаимодействующих между собой информационных посредников) никто не может гарантировать, что мои данные не будут раскрыты в каком-либо неожиданном для меня контексте". Формулировка данного "согласия", разумеется, условна. Тем не менее с точки зрения общей методологии подхода она, как нам кажется, достаточно наглядно отражает возможные последствия применения гражданско-правовой методологии к проблематике согласий на обработку персональных данных в условиях больших данных и цифровой экономики.

Продолжим научную дискуссию с А.И. Савельевым. Сложно не согласиться с предложенной им постановкой вопроса: "Указанные вопросы (противоречие между большими данными и принципами обработки персональных данных в рамках господствующей парадигмы позитивного права. — В.А.) нельзя решить, не ответив первоначально на главный вопрос: являются ли персональные данные товаром или они являются неотчуждаемым неимущественным благом?" Между делом скажем, что в рамках настоящей публикации персональные данные рассматриваются, применительно к ГК РФ, как нематериальное благо. Вопрос о том, является ли такое нематериальное благо имущественным или неимущественным, следует рассматривать отдельно. И, как далее отмечает А.И. Савельев, свобода договора — двигатель рынка при признании персональных данных своего рода товаром — может быть поглощена публично-правовым регулированием, если считать персональные данные неотчуждаемым благом[32]. Разделяя общий методологический подход автора, в том числе наблюдение, что "в реальности инновационные бизнес-модели, подкрепленные принципом свободы договора, фактически уже если не разрушили, то существенным образом ослабили юридические категории из смежных областей — понятия личного неимущественного блага и прав человека"[33], выскажем некоторые соображения, непосредственно связанные с большими данными в условиях развивающейся цифровой экономики.

Во-первых, как представляется, при наличии специального законодательства квалификация персональных данных именно как нематериальных (а не неимущественных) благ с последующим признанием отношений между субъектом персональных данных и оператором в части распоряжения субъектом своими нематериальными благами, действительно, не позволит им выступать предметом распоряжения в формах, отличных от предписанных специальным законодательством. Однако такие формы получат большую гибкость, если нормы специального законодательства будут применяться в контексте общедозволительного типа правового регулирования. Это, в частности, означает возможность использования субъективных и (или) договорных критериев толкования, включая "конкретность, информированность и сознательность".

Во-вторых, представленная в настоящей статье точка зрения и подход к квалификации персональных данных, как нам кажется, позволяет без излишнего (и всегда влекущего в большей или меньшей степени непрогнозируемые последствия) изменения законодательства увеличить его гибкость как раз в части оборота персональных данных как информации за счет применения более тонких инструментов гражданского права. Следует согласиться и с тем возможным справедливым аргументом, что предложенный подход применим к одной из трех групп отношений, связанных с обработкой персональных данных, — отношениям между субъектом и оператором персональных данных. Кроме того, данный подход не исключает, а, наоборот, допускает, как минимум в некоторой степени, обращение к концепции общего согласия на обработку данных в информационно-телекоммуникационных сетях с использованием технологий больших данных, как это было указано выше в несколько на первый взгляд несерьезном, но важном примере.

Допустим, такой подход был реализован. Далее: отношения между операторами также следует рассматривать как частноправовые, но развивающиеся с учетом строгих ограничений третьей группы отношений в рассматриваемой области — между оператором и государством (последние, очевидно, имеют чистую публично- и административно-правовую природу). Предложенный подход, хотя и не может разрешить проблему оборота информации как объекта гражданских прав, но, как представляется, способен значительно упростить разрешение правовых конфликтов в переходный период — до момента признания информации самостоятельным объектом гражданских прав или предложения альтернативной конструкции sui generis информационного права. Сейчас для передачи баз больших пользовательских данных используются конструкции интеллектуальных прав на базы данных. Такой подход относительно работоспособен, но не идеален, поскольку не все наборы пользовательских данных могут квалифицироваться как базы данных. Используемые сейчас конструкции возникли в период, предшествующий текущему уровню развития цифровых технологий, позволяющих обособлять (условно говоря, капсулировать) информацию в цифровой форме и идентифицировать отдельные цифровые объекты с целью обозначения господства над тем или иным информационным объектом. В современных реалиях, особенно с учетом функционала технологий блокчейн[34], это уже возможно. Дальнейшее развитие ситуации видится в двух направлениях: возврат информации в ст. 128 ГК РФ или же развитие самостоятельных норм информационного права до того уровня, на котором они смогут ответить на все те же практические вызовы, на которые гражданское право отвечает уже минимум полтора тысячелетия. Разумеется, первый вариант более предпочтителен.

В-третьих, в свете представленной в начале статьи методологии толкования, основанной на различении конкурирующих интересов — государства, бизнеса и граждан, позволим себе заметить, что предлагаемый подход все же выглядит соответствующим той их части, которая связана с реализацией правовой ценности формальной определенности правовых текстов, служащей залогом разумного и единообразного применения правовых норм. В ключе продолжения реализации намеченных методологических принципов также скажем, что законодателю еще предстоит сделать действительно серьезный аксиологический выбор между базовыми ценностями. Конкурирующие ценности — это, по сути, права человека на нематериальные блага (или права субъекта персональных данных в случае, если концепция персональных данных как нематериальных благ не будет воспринята как применимая), расположенные на одной чаше весов, и как минимум две ценности — свобода предпринимательской деятельности[35] и право искать, получать, передавать и производить информацию — на другой. Противоречие сложное, поскольку первая ценность связана с основополагающей нормой ст. 2 Конституции РФ, но ей противостоят несколько ценностей, которые также весьма актуальны в информационном обществе. Тем не менее полагаем, что такого рода решение уже выходит за рамки собственно юридической аргументации и должно определяться исходя из основополагающих представлений этического и социально-экономического характера.

Рекомендуется Вам: