Проблемы защиты персональных данных в условиях применения цифровых технологий

Автор: Солдатова В.И.

Создание цифровой экономики является важной задачей нашего государства. Указом Президента Российской Федерации от 09.05.2017 N 203 была утверждена Стратегия развития информационного общества в Российской Федерации на 2017 — 2030 годы[1] (далее — Стратегия).

При этом, в соответствии с п. 27 Стратегии, целью развития информационной и коммуникационной инфраструктуры Российской Федерации является обеспечение свободного доступа граждан и организаций, органов государственной власти Российской Федерации, органов местного самоуправления к информации на всех этапах ее создания и распространения.

Пункт 31 Стратегии определяет задачу по совершенствованию нормативно-правового регулирования в сфере обеспечения безопасной обработки информации (включая ее поиск, сбор, анализ, использование, сохранение и распространение) и применения новых технологий, уровень которого должен соответствовать развитию этих технологий и интересам общества. Однако на данном этапе в этой сфере возникают новые проблемы, требующие правового регулирования.

Несомненно, что широкое применение цифровых технологий в самых разных сферах деятельности государства уже сегодня создает условия "прозрачности" различных отношений, в которых участвуют государственные органы, некоммерческие организации и граждане. В ряде сфер экономики государство осуществляет контроль за деятельностью субъектов предпринимательской деятельности (например, банки осуществляют контроль за финансовыми операциями юридических лиц и граждан). Многие банковские операции проводятся с использованием сети Интернет (открытие банком счетов юридическим и физическим лицам, зачисление и списание денежных средств со счетов). При этом, как обоснованно замечают некоторые авторы, доступность информации о субъектах и об объектах предпринимательских отношений в целом — это положительное явление, но при этом возникает проблема защиты данных в сети Интернет[2].

Отношения по сбору, хранению, обработке и использованию информации регулируются различными нормативными актами, составляющими законодательство о персональных данных.

Говоря о законодательстве Российской Федерации о персональных данных, прежде всего следует назвать международный акт — Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, которую Россия ратифицировала еще до принятия Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"[3].

Защита персональных данных в нашей стране осуществляется в рамках Федерального закона "О персональных данных" в редакции от 31.12.2017 (далее — Закон о персональных данных)[4]. Статья 2 названного Закона прямо устанавливает, что целью Закона о персональных данных является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. С данной нормой Закона о персональных данных корреспондирует правило ст. 152.2 ГК РФ об охране частной жизни гражданина.

Защите прав граждан служит также и установленная Законом о персональных данных (ч. 5 ст. 18) обязанность оператора, осуществляющего сбор персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обеспечить запись, систематизацию, накопление, хранение, а также обновление, изменение, извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Значение Закона о персональных данных состоит в том, что он является основой правового регулирования сбора, обработки и использования персональных данных. Вместе с тем сегодня возникают проблемы защиты персональных данных, которые обусловлены недостаточной правовой регламентацией данных отношений.

Так, много вопросов вызывает в практике деятельности государственных органов отнесение к персональным данным конкретной информации о физических лицах. Согласно действующей редакции ст. 3 Закона о персональных данных персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Закон не определяет, какие конкретно данные о физическом лице относятся к персональным данным. В силу такого широкого понимания персональных данных и возникают вопросы об отнесении к ним той или иной информации о физическом лице.

Заметим, что такое широкое понимание персональных данных было закреплено Федеральным законом от 25.07.2011 N 261-ФЗ, которым были внесены изменения в Закон о персональных данных[5]. До внесения изменений п. 1 ст. 3 Закона о персональных данных определял персональные данные как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Таким образом, ранее действовавшая редакция этого Закона определяла неполный перечень информации, относящейся к персональным данным.

Внесение изменений в Закон о персональных данных и закрепление нового понятия персональных данных было вызвано необходимостью приведения этого Закона в соответствие с положениями ст. 2 (a) Конвенции 1981 г., согласно которой термин "персональные данные" означает любую информацию об определенном или поддающемся определению физическом лице[6]. Следовательно, приведенная дефиниция понятия "персональные данные" появилась в результате имплементации в российское законодательство положений международного акта.

Закон о персональных данных выделяет несколько категорий персональных данных:

— специальные категории персональных данных, к которым относятся расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь (ч. 1 ст. 10 Закона о персональных данных); эти данные имеют установленный Законом особый режим обработки: обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Закона;

— биометрические персональные данные. К ним относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. Закон о персональных данных установил специальный режим обработки этих данных — они могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением установленных Законом случаев (например, в связи с реализацией международных договоров Российской Федерации, с осуществлением правосудия и др.).

Отметим, что в законодательстве отсутствует перечень биометрических персональных данных. Примерный перечень биометрических персональных данных содержат Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 г. (далее — Разъяснения)[7]. Согласно Разъяснениям к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта. Отметим, что названный акт по своей юридической силе не является нормативным. Полагаем, что перечень биометрических персональных данных должен содержать не ведомственный акт, а нормативный акт Правительства Российской Федерации.

Так, Постановление Правительства Российской Федерации от 30 июня 2018 г. N 772 определяет следующие виды биометрических персональных данных физического лица — гражданина Российской Федерации:

— данные изображения лица человека, полученные с помощью фото-, видеоустройств;

— данные голоса человека, полученные с помощью звукозаписывающих устройств[8].

В настоящее время некоторые российские банки осуществляют сбор биометрических данных клиентов в целях получения клиентами услуг любого банка дистанционно. В этом случае возможно открывать счета и вклады, получать кредиты в удобное для клиентов время. Процедура сбора биометрических данных добровольная и бесплатная, осуществляется только с согласия клиента. В целях безопасности биометрические данные хранятся в Единой биометрической системе отдельно от персональных данных. При желании клиентов эти данные можно удалить из базы через Портал госуслуг[9].

Банк России направил банкам информационное письмо от 1 марта 2019 г., в котором разъяснил порядок регистрации клиента в Единой системе идентификации и аутентификации (ЕСИА) и сбора биометрических данных в Единую биометрическую систему (ЕБС). ЦБ РФ в своем письме указал на необходимость банкам четко разъяснять клиентам, в какую именно биометрическую систему передаются их данные — в ЕБС или собственную систему банка. Заметим, что названное письмо Банка России не носит нормативного характера.

Персональные данные общего характера — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (ст. 3 Закона).

Таким образом, Закон о персональных данных содержит основной признак персональных данных — информация, относится прямо или косвенно к определенному или определяемому физическому лицу, т.е. возможна идентификация субъекта. Заметим, что действующая редакция ст. 128 ГК РФ не предусматривает в числе объектов гражданских прав информацию, хотя ранее информация относилась к этим объектам.

В литературе справедливо отмечается, что персональные данные общего характера являются "самым сложным и запутанным для понимания и интерпретации… Точная идентификация лица будет иметь место в случае соотнесения соответствующей информации с фамилией, именем и отчеством (при наличии) лица. Именно данные сведения являются основным идентификатором гражданина в гражданском обороте, поскольку гражданин приобретает и осуществляет права и обязанности под своим именем (п. 1 ст. 19 ГК РФ)"[10].

Косвенная идентификация прямо не указывает на имя или фамилию конкретного лица, но с ее помощью можно отнести к персональным данным информацию, содержащую описание индивидуальных характеристик лица, позволяющих отличить его от других субъектов. К такой косвенной идентификации, по мнению А.И. Савельева, относятся, например, данные о трафике (метаданных), в частности сведения об установленных соединениях с указанием времени и продолжительности соединения, номеров или IP-адресов устройств, участвующих в коммуникации, на основании которых лицо может быть косвенно идентифицировано. В некоторых случаях лицо может быть идентифицировано на основании таких косвенных данных, как его логин, используемый в различных интернет-сервисах; данных с камер видеонаблюдения, реквизитов банковской карты, сведений о принадлежащей лицу собственности и пр.[11]

Таким образом, в законодательстве отсутствует даже примерный перечень персональных данных о лице, а также отсутствуют четкие критерии отнесения конкретных сведений о лице к персональным данным. Указанные обстоятельства порождают на практике вопросы о возможности отнесения к персональным данным тех или иных сведений о лице. Особенно актуально решение этого вопроса в условиях использования цифровых технологий.

В условиях отсутствия правовой определенности отнесения к персональным данным конкретных сведений о лице представляет интерес позиция судов по данному вопросу. Примером может служить спор между Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Центральному Федеральному округу (далее — Заявитель) и ПАО "МГТС" (далее — Общество, ответчик)[12]. Управление обратилось в Арбитражный суд г. Москвы с требованием о привлечении ПАО "МГТС" к административной ответственности по ч. 3 ст. 14.1 КоАП РФ на основании протокола об административном правонарушении N 01-1-41-16-16 от 11.01.2016. Заявление было удовлетворено, ПАО "МГТС" привлечено к административной ответственности.

Однако ПАО "МГТС" направило апелляционную жалобу об отмене решения суда.

В соответствии с ч. 3 ст. 14.1 КоАП РФ осуществление предпринимательской деятельности с нарушением условий, предусмотренных специальным разрешением (лицензией), влечет наложение административного штрафа на юридических лиц — от тридцати тысяч до сорока тысяч рублей.

ПАО "МГТС", по мнению Заявителя, осуществляло лицензируемый вид деятельности — оказание телематических услуг связи с нарушением лицензионных условий, предусмотренных специальным разрешением (лицензией). По результатам проверки было установлено, что ПАО "МГТС" передает партнерам сведения об абоненте, включающие поисковые запросы абонентов, интернет-адреса веб-страниц, посещаемых абонентами, тематику информации, размещенной на посещаемых абонентами интернет-ресурсах, IP-адрес абонента, достаточные для формирования его рекламного профиля, необходимого для предоставления ему адресной рекламной информации, что подтвердилось в ходе проверки снятым скриншотом передаваемой информации.

Было установлено, что информация, получаемая от оператора связи, позволяет прямо или косвенно идентифицировать пользователя как определенное физическое лицо (субъект персональных данных).

Суд посчитал, что данными, позволяющими идентифицировать абонента или его оконечное оборудование, являются: фамилия, имя, отчество или псевдоним абонента-гражданина; адрес абонента — адрес установки оконечного оборудования, абонентские номера; другие данные, позволяющие идентифицировать абонента или его оконечное оборудование; сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.

ПАО "МГТС" на основании договора предоставляло другому юридическому лицу (ООО "ОБМР") сведения об абонентах (пользователях): случайный идентификатор (Cookie "UID") в HTTP-запросе пользователя, позволяющий отличить трафик пользователя от трафика других пользователей для получения списка его предпочтений; IP-адрес из IP-пакета HTTP-запроса пользователя, позволяющий получить географическое положение пользователя с точностью определения до названия населенного пункта; User-Agent HTTP-запроса пользователя, позволяющий получить модель устройства или тип браузера, используемого пользователем; время просмотра веб-страниц (HTTP-запроса пользователя), позволяющее оценить частоту, с которой пользователь проявляет те или иные предпочтения; URL-адрес и заголовок Referer HTTP-запроса пользователя, позволяющие определить предпочтения пользователя; Hash-ID линии пользователя, позволяющий определить линии, абоненты которых выразили несогласие с обработкой данных.

По мнению суда, передаваемая информация является информацией о соединениях и трафике абонента, а следовательно, представляет собой сведения об абонентах. В рассматриваемом случае ПАО "МГТС" передавало третьим лицам сведения, относящиеся к его абонентам (хеш-ГО пользователя, время инициации запроса пользователем, адрес web-страницы, посещенной активным пользователем, HTTP referer (ссылка), User agent, cookie, src ip, src port, dst ip, dst port, геоидентификатор).

В итоге решение Арбитражного суда г. Москвы было оставлено без изменения.

Использование новых информационных технологий повлияло на развитие законодательства о персональных данных. Прежде всего следует назвать Федеральный закон от 13.07.2015 N 264-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации"[13]. Значение этого Закона в том, что он ввел в российское законодательство "право на забвение". Нормы названного Закона обязывают операторов поисковых систем в Интернете прекращать выдавать ссылки на информацию о пользователях, обратившихся к ним с соответствующим требованием (ст. 10.3 Федерального закона "Об информации, информационных технологиях и о защите информации").

Так, оператор поисковой системы, распространяющий в Интернете рекламу, направленную на привлечение внимания потребителей, находящихся на территории Российской Федерации, по требованию гражданина обязан прекратить выдачу сведений об указателе страницы сайта в Интернете, позволяющих получить доступ к информации о заявителе. Это относится к информации, распространяемой с нарушением законодательства, являющейся недостоверной, а также неактуальной, утратившей значение для заявителя в силу последующих событий или действий заявителя, за исключением информации о событиях, содержащих признаки уголовно наказуемых деяний, сроки привлечения к уголовной ответственности по которым не истекли, и информации о совершении гражданином преступления, по которому не снята или не погашена судимость.

Важным средством защиты персональных данных является также обезличивание данных о конкретном лице. Обезличивание персональных данных — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Требование об обезличивании персональных данных устанавливает Закон о персональных данных (п. 9 ст. 3), которое конкретизируют подзаконные акты[14].

Несмотря на принятие государственными органами новых законов, а также подзаконных актов, среди которых особое значение имеют акты Роскомнадзора, правовое регулирование отношений по использованию и защите персональных данных трудно признать удовлетворительным.

Основные проблемы в рассматриваемой сфере, на наш взгляд, состоят в следующем.

Прежде всего необходимо урегулировать вопрос об ответственности субъектов отношений по сбору, обработке, хранению и распространению персональных данных. Согласно ст. 24 Закона о персональных данных лица, виновные в нарушении требований данного Закона, несут предусмотренную законодательством Российской Федерации ответственность.

КоАП РФ устанавливает административную ответственность лиц за нарушение законодательства Российской Федерации в области персональных данных (ст. 13.11), за осуществление незаконной деятельности в области защиты информации (ст. 13.13), за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14).

Отметим, что размер административного штрафа за указанные административные правонарушения весьма мал. Так, обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации, влечет наложение административного штрафа на должностных лиц — от десяти тысяч до двадцати тысяч рублей, а на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей (ч. 2 ст. 13.11 КоАП РФ). Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц — от четырех тысяч до пяти тысяч рублей.

Очевидно, что размер такой ответственности не соответствует материальным (и не только) последствиям разглашения персональных данных и информации с ограниченным доступом.

Об актуальности защиты персональных данных свидетельствуют и результаты плановых проверок, которые проводит Роскомнадзор, являющийся уполномоченным органом по защите прав субъектов персональных данных. Роскомнадзор в 2018 г. провел 832 плановые проверки соблюдения законодательства о персональных данных, по результатам которых различные нарушения были выявлены в 80% случаев от общего числа проведенных проверок[15]. В течение 2018 г. органами Роскомнадзора было составлено и направлено в суды 156 протоколов об административных правонарушениях в отношении персональных данных за такие нарушения. Из них 67 протоколов об административных нарушениях было составлено по ч. 1 ст. 13.11 КоАП РФ, предусматривающей ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных. Чуть меньше (31) было составлено протоколов об административных нарушениях по ч. 2 ст. 13.11 КоАП РФ за обработку персональных данных без получения согласия в письменной форме субъекта персональных данных.

Очевидно, что одной из причин многочисленных нарушений в сфере обработки персональных данных является мизерная сумма штрафа (максимальный размер составляет всего 75 тыс. рублей). Размер ответственности за нарушение правил обработки персональных данных, установленных Директивой ЕС, во много раз превышает размер штрафа, предусмотренного КоАП РФ.

С мая 2018 г. в Европе действуют новые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г./GDPR/General Data Protection Regulation)[16]. Регламент имеет прямое действие в 28 странах ЕС. С его принятием утратила силу Директива о защите персональных данных 95/46/ЕС от 24 октября 1995 г. Важной особенностью GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных. С принятием нового Регламента (GDPR) усилена ответственность за нарушение правил обработки персональных данных: штрафы достигают 20 млн евро (или около 1,5 млрд рублей).

Отсюда очевидна необходимость изменения российского законодательства в части значительного усиления ответственности за нарушения законодательства о персональных данных.

Кроме того, расширение сфер применения современных технологий значительно изменяет степень общественной опасности правонарушений, совершаемых в этих областях. Особенно это относится к распространению информации в информационно-телекоммуникационной сети Интернет.

В этой связи заслуживает внимания принятый 2 декабря 2019 г. Федеральный закон N 405-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации". Указанный Закон направлен на реализацию ч. 5 ст. 18 Федерального закона "О персональных данных", устанавливающей обязанность оператора при сборе персональных данных, в том числе посредством сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Неисполнение оператором обязанности по локализации баз с персональными данными создает угрозу безопасности граждан, препятствует эффективной борьбе с терроризмом и экстремизмом.

В соответствии с Федеральным законом N 405-ФЗ ст. 13.11 КоАП РФ дополнена новыми частями 8 и 9. Часть 8 ст. 13.11 предусматривает ответственность за невыполнение оператором при сборе персональных данных, в том числе посредством сети Интернет, обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Установлено наложение административного штрафа на граждан в размере от 30 тыс. до 50 тыс. рублей; на должностных лиц — от 100 тыс. до 200 тыс. рублей; на юридических лиц — от 1 млн до 6 млн рублей. Повторное совершение данного правонарушения влечет наложение административного штрафа на граждан в размере от 50 тыс. до 100 тыс. рублей; на должностных лиц — от 500 тыс. до 800 тыс. рублей; на юридических лиц — от 6 млн до 18 млн рублей (ч. 9 ст. 13.11 КоАП).

Думается, что такое существенное усиление административной ответственности операторов за неисполнение обязанности по локализации баз с персональными данными послужит снижению уровня нарушений в сфере сбора и обработки персональных данных граждан.

Вместе с тем полагаем необходимым усилить ответственность операторов и за нарушение правил, установленных ч. ч. 1 и 2 ст. 13.11 КоАП РФ. Нуждается в соответствующем изменении также и ч. 6 ст. 13.11 КоАП РФ, устанавливающая ответственность за невыполнение оператором при обработке персональных данных обязанности по обеспечению сохранности персональных данных при хранении материальных носителей персональных данных, недопущения несанкционированного к ним доступа (в том числе уничтожение, изменение, копирование, распространение данных). В настоящее время ч. 6 ст. 13.11 КоАП РФ предусматривает наложение административного штрафа за неисполнение обязанности по обеспечению сохранности персональных данных на должностных лиц от четырех тысяч до десяти тысяч рублей. Для юридических лиц максимальный размер штрафа составляет всего пятьдесят тысяч рублей. Несомненно, что такой мизерный размер штрафа не может препятствовать действиям по незаконному доступу к персональным данным, их копированию и распространению. С учетом того что основными обладателями персональных данных являются кредитные организации (банки, МФО), понятна необходимость существенного усиления ответственности операторов за нарушение законодательства о персональных данных.

Другой проблемой является соотношение защиты персональных данных и публичного интереса. По мнению Э.В. Талапиной, такой конфликт можно рассматривать как частный случай проявления общего конфликта публичного и частного права, поскольку публичный интерес предполагает специфическое видение проблемы глазами самого общества. Многие государства предусматривают специальные правила, регламентирующие хранение персональных данных своих граждан. И в этом контексте все чаще возникает вопрос о праве собственности на персональные данные или, как предусмотрено во французском Законе о цифровой республике от 07.10.2016, о свободе распоряжения собственными персональными данными. В этом случае частноправовым свободам "противостоят" публично-правовые интересы локализации персональных данных, в том числе интересы национальной безопасности[17].

Весьма актуальным является решение вопроса о правах на персональные данные, которые содержатся в социальных сетях (Facebook, ВКонтакте, Linkedin), — это сведения о фамилиях пользователей сетей, их месте работы или учебы, месте проживания и т.п. Понятно, что эти данные первоначально были предоставлены в сеть при регистрации самими пользователями. Проблема возникает при использовании персональных данных пользователей социальной сети третьими лицами (коммерческими организациями) в своих целях. При этом разрешения на это использование данных коммерческие организации от пользователей и от социальной сети не получают и не платят за пользование данными. В некоторых случаях инициаторами рассмотрения в суде дел об использовании данных пользователей социальных сетей являются владельцы этих баз данных. Судебная практика по таким делам довольно обширна (например, Определение Верховного Суда РФ от 29.01.2018 N 305-КГ17-21291 по делу N А40-5250/2017, Постановление Девятого арбитражного апелляционного суда от 27.07.2017 N 09АП-31744/2017 по делу N А40-5250/17). Согласно позиции судов не являются общедоступными обрабатываемые организациями персональные данные, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instagram, Twitter; интернет-порталах Авито и Авто.ру). Соответственно, необходимо получение согласия граждан на использование их данных.

На наш взгляд, законодательное закрепление указанной позиции судов по использованию персональных данных граждан, содержащихся в базах социальных сетей, восполнило бы этот пробел.

Любое государство заинтересовано в получении максимально полной информации о гражданах; в свою очередь, в интересах граждан обеспечить защиту своих персональных данных. Характер правового регулирования в сфере сбора, обработки и использования персональных данных определяется позицией государства в выборе приоритета интересов. На наш взгляд, необходимо юридически обеспечить частноправовой подход при подготовке новых нормативных правовых актов в рассматриваемой сфере. В литературе верно отмечалось, что в нашей стране защита интересов государства осуществляется успешно, в отличие от защиты интересов личности[18].

В связи с этим возникает вопрос о возможности применения норм Закона РФ от 07.02.1992 N 2300-1 (в ред. от 18.07.2019) "О защите прав потребителей" (далее — Закон о защите прав потребителей) для обеспечения интересов граждан — субъектов персональных данных. Граждане часто сталкиваются с утечкой их персональных данных и использованием последних различными организациями в своих целях. Это обусловлено практикой заключения с гражданами договоров на оказание услуг (в медицинской, банковской и иных сферах), в соответствии с которой граждане в обязательном порядке предоставляют согласие на обработку их персональных данных. При этом гражданам, как правило, не разъясняют необходимость получения от них такого согласия, а также возможность отозвать такое согласие.

Закон о защите прав потребителей не содержит положений о предоставлении потребителями своих персональных данных при заключении договоров. Однако это, на наш взгляд, не является препятствием для применения норм данного Закона в отношениях по сбору и обработке персональных данных граждан. Этот вывод подтверждается и судебной практикой: при рассмотрении дел об использовании персональных данных граждан суды применяют нормы Закона о защите прав потребителей.

Примером может служить Постановление Арбитражного суда Северо-Западного округа от 18.07.2016 N Ф07-5537/2016 по делу N А44-9647/2015. Страховое акционерное общество "ВСК" (Нижегородский филиал) обратилось в арбитражный суд с заявлением о признании незаконным предписания Управления Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Новгородской области. Так, Управление Роспотребнадзора предписывало устранение нарушений законодательства о защите прав потребителей с указанием на то, что условия типовых форм договоров нарушают положения ст. 16 Закона о защите прав потребителей. Предписание Управления Роспотребнадзора обязало страховое акционерное общество "ВСК" изменить условия договоров страхования таким образом, чтобы гражданин обладал возможностью выбора: выразить согласие или отказаться от обработки, распространения, передачи персональных данных страхователя.

Представляет интерес мотивировочная часть решения кассационной судебной инстанции. Суд отмечает, что договор страхования относится к договорам присоединения, условия договора разработаны самим страховщиком, а подписание его страхователем не может служить безусловным выражением воли и личного согласия страхователя, данным свободно и в своем интересе. При этом правовая природа договора присоединения лишает страхователя возможности до заключения договора изменить указанное условие, ограничив в той или иной мере распространение персональной информации так, как он сам это считает необходимым. Таким образом, отсутствие у потребителя права выбора возможности согласия или отказа в согласии на обработку персональных данных ущемляет права потребителей, что, в силу ст. 16 Закона о защите прав потребителей, свидетельствует об их недействительности в этой части.

Некоторые авторы выделяют и такие проблемы, требующие правового решения, как защита персональных данных и общедоступность данных, защита персональных данных и свобода и нейтральность Интернета, защита персональных данных работников и права работодателя на эти данные и др.[19].

На наш взгляд, проблема стоит несколько шире — необходимо создать механизм, обеспечивающий комплексную защиту персональных данных граждан, который мог бы противодействовать незаконным сбору, обработке, а также использованию персональных данных граждан. При этом полагаем необходимым обеспечить приоритет защиты прав гражданина как основополагающего принципа отношений в сфере сбора, обработки и использования персональных данных. Эта задача особенно актуальна в связи с реализацией задачи по созданию цифрового профиля.

В Государственную Думу внесен (июль 2019 г.) соответствующий проект федерального закона N 747513-7 "О внесении изменений в отдельные законодательные акты (в части уточнения процедур идентификации и аутентификации)", который предусматривает создание и использование цифрового профиля.

Цифровой профиль является совокупностью сведений о гражданах и юридических лицах, содержащихся в информационных системах государственных органов, органов местного самоуправления и организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, а также в единой системе идентификации и аутентификации.

С помощью инфраструктуры цифрового профиля может обеспечиваться:

— идентификация и аутентификация физических и юридических лиц;

— доступ к цифровому профилю и предоставление сведений, входящих в цифровой профиль, в электронной форме физическим и юридическим лицам;

— предоставление и обновление по запросу государственных органов, органов местного самоуправления, организаций, осуществляющих публичные полномочия, сведений о физическом или юридическом лице, содержащихся в цифровом профиле;

— хранение сведений о гражданах и юридических лицах, в том числе результатов предоставления государственных и муниципальных услуг в электронной форме.

Рассматриваемый законопроект устанавливает правила дистанционной идентификации и аутентификации лиц, носящих юридически значимый характер и порождающих правовые последствия, в случае если правоотношения складываются в сферах, не относящихся к предоставлению государственных услуг и осуществлению государственных функций. Законопроект содержит определения таких понятий, как идентификация, аутентификация, цифровой профиль, вводит правовой институт цифрового профиля с его более детальным регулированием. Так, законопроект предлагает дополнить Федеральный закон "Об информации, информационных технологиях и о защите информации" новой статьей 14.3, которая определяет цифровой профиль как совокупность сведений о гражданах и юридических лицах, содержащихся в информационных системах государственных органов, органов местного самоуправления и организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, а также в единой системе идентификации и аутентификации.

Рассматриваемый законопроект предусматривает внесение важных изменений и в Федеральный закон "О персональных данных". При обработке персональных данных с использованием инфраструктуры цифрового профиля (если требуется согласие субъекта персональных данных на обработку персональных данных) субъект дает согласие на их обработку, отзывает такое согласие в инфраструктуре цифрового профиля в форме электронного документа, в том числе подписанного усиленной квалифицированной электронной подписью или простой электронной подписью. Это положение имеет важное значение, поскольку до настоящего времени порядок отзыва гражданином согласия на обработку персональных данных не определен на уровне закона.

Принятие рассматриваемого законопроекта потребует подготовки Правительством Российской Федерации соответствующих подзаконных актов, способствующих реализации закона.

Оценивая положительно введение в практику института цифрового профиля, заметим, что в процессе использования данных цифрового профиля возникнут новые проблемы обеспечения сохранности персональных данных граждан и юридических лиц.

Библиографический список

1. Конвенция о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981) // СПС "КонсультантПлюс".

2. Федеральный закон от 19.12.2005 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" // СЗ РФ. 2005. N 52 (ч. 1). Ст. 5573.

3. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (ред. от 31.12.2017) // СЗ РФ. 2006. N 31 (ч. 1). Ст. 3451.

4. Федеральный закон от 25 июля 2011 г. N 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" // СЗ РФ. 01.08.2011. N 31. Ст. 4701.

5. Федеральный закон от 13.07.2015 N 264-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации" // СЗ РФ. 20.07.2015. N 29 (ч. I). Ст. 4390.

6. Указ Президента РФ от 09.05.2017 N 203 "О Стратегии развития информационного общества в Российской Федерации на 2017 — 2030 годы" // СЗ РФ. 2017. N 20. Ст. 2901.

7. Постановление Правительства Российской Федерации от 30 июня 2018 г. N 772 "Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации" // СЗ РФ. 2018. N 28. Ст. 4234.

8. Постановление Девятого арбитражного апелляционного суда от 23.05.2016 N 09АП-17574/2016 // СПС "КонсультантПлюс".

9. Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ"). Зарегистрировано в Минюсте России 10.09.2013 N 29935 // СПС "КонсультантПлюс".

10. Михайлов А.В. Проблемы становления цифровой экономики и вопросы развития предпринимательского права // Актуальные проблемы российского права. 2018. N 11. С. 68 — 73.

11. Петрыкина Н.И. Правовое регулирование оборота персональных данных. Теория и практика. М.: Статут, 2011. С. 2.

12. Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2017 и 2018 годы. URL: https://rkn.gov.ru/docs/Otchet_o_dejatel6nosti_Upolnomochennogo_organa.pdf.

13. Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 г. "Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки" // СПС "КонсультантПлюс".

14. Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону "О персональных данных". М.: Статут, 2017.

15. Талапина Э.В. Защита персональных данных в цифровую эпоху. Российское право в европейском контексте // Труды Института государства и права РАН. 2018. Т. 13. N 5. С. 137.

Рекомендуется Вам: