Автор: Степанян А.С.
Оглавление
1. Анализ проблем оборота и правовой охраны ПД
2. Особенности практики применения законодательства о ПД
Пристатейный библиографический список
Введение
С изменением современных условий развития рыночных отношений и переходом к цифровой экономике в Российской Федерации (далее — РФ) стали происходить изменения и смещения классических методов и способов решения многих проблем и споров. Подобные изменения затронули также сферу оборота ПД, правовое регулирование которых является первоочередной необходимостью. Именно переход к цифровой экономике порождает особую актуальность и необходимость усовершенствования российского законодательства о ПД, а также практику его применения. В частности, особое внимание обращают на себя на такие вопросы, как способы охраны и защиты ПД; незаконный оборот ПД; ответственность за использование ПД и т.д.
Особенностью оборота ПД многие эксперты называют его трансграничность. Интернет, развитие новых технологий, цифровизация практически всех процессов личной и общественной жизни является реальностью, с которой нельзя не считаться и которая является залогом дальнейшего развития цифровых технологий. С этим сложно не согласиться, однако не все так просто, как кажется [8]. Одним из негативных последствий цифровизации является тотальный переход к современным технологиям (несовершенных роботов-ботов, слабейшего искусственного интеллекта) со стороны пользователей и лиц, прямо или косвенно обрабатывающих ПД граждан, что, в свою очередь, приводит к росту преступлений в отношении граждан. На сегодняшний день правовое регулирование ПД осуществляется базовым Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее — Закон о ПД) [1] и рядом нормативно-правовых актов.
1. Анализ проблем оборота и правовой охраны ПД
Как справедливо отмечает В.И. Солдатова [10], имеющиеся средства защиты ПД являются недостаточными в условиях использования новых технологий. При этом Закон о ПД не определяет, какие конкретно данные о физическом лице относятся к ПД. Однако в связи с этим хочется отметить, что исходя из понятия ПД — это информация, а понятие информации заложено в п. 1 ст. 2 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» [2], согласно которому под информацией понимаются сведения (сообщения, данные) независимо от формы их представления, а вот понятия данных в законодательстве не закреплено, исходя из чего можно сделать вывод о том, что законодатель так до конца и не определяет, какие конкретно данные о физическом лице относятся к ПД, что очень важно. Поэтому, как отмечает С.А. Румянцев [9], в п. 1 ст. 3 Закона о ПД содержится логическая ошибка, указывающая, что "данные — это данные".
В погоне за тотальным применением цифровых технологий и на пути принятия огромного массива нормативно-правовых актов законодатель и правоприменительная практика забыли об опасности самих технологий и того вреда, который причиняется правам и законным интересам граждан при отсутствии контроля за применением этих технологий. Не игнорируя положительные эффекты цифровизации, не можем не отметить негативные эффекты, которые не устраняются даже несмотря на наличие государственного контроля в некоторых сферах деятельности (например, финансово-банковской сфере). Речь идет, в частности, о такой насущной проблеме, как кража телефона. На основе Обзора судебной практики [6] к ПД относятся телефонный номер, однако при потере аппарата телефона или его краже становится невозможным защитить свои ПД через мобильные приложения банков России.
К одной из форм злоупотреблений можно отнести то, что в настоящее время российские банки осуществляют сбор биометрических данных клиентов в целях получения клиентами услуг дистанционно. И хотя указывается, что процедура сбора биометрических данных добровольная и осуществляется только с согласия клиента, однако услуга не будет оказана, пока передача данных не будет осуществлена, и это находится вне правового поля государства и контроля Банка России. Внедренная система искусственного интеллекта (роботов-ботов) не позволяет удаленно отключить ПД для пресечения различного рода преступлений с использованием ПД.
При потере персональных данных, например утрате телефона, который привязан к банковской карте, существует риск совершения неправомерных действий с денежными средствами на банковском счете со стороны третьих лиц. В этом случае необходимо немедленно обратиться в кредитную организацию и следовать указаниям сотрудника данной кредитной организации. Однако контакты кредитных организаций, перешедших к тотальному использованию роботов-ботов, переправляют вас в само приложение: робот-бот вам говорит, что для решения вашего вопроса необходимо использовать приложение на вашем смартфоне, хотя переход к приложению невозможен, поскольку телефон утерян. И как мы все знаем, денежные средства, списанные с банковского счета в результате несанкционированного использования банковской карты до момента уведомления об этом кредитной организации, не возмещаются. Соответственно, напрашивается вывод о том, что ПД потребителей со стороны кредитных организаций не защищены.
Постановлением Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" [7] установлено, что оператор вправе сам установить не противоречащие требованиям законодательства РФ технологии хранения ПД и способы их защиты, однако эти способы защиты утратили свою эффективность, даже несмотря на то, что соответствуют требованиям к переходу к тотальной цифровизации. Отсутствуют механизмы контроля за тем, какие способы защиты ПД используют операторы, кредитные организации и иные лица, кто обрабатывает ПД и насколько они эффективны. Все это и многое другое, может привести к установленным в подп. 3, 5, 6, 11 ст. 3 Закона о ПД действиям, а именно незаконному обороту, распространению, предоставлению, трансграничной передаче ПД, а без надлежащего контроля все эти действия содержат в себе риск нарушения цели Закона о ПД, а именно обеспечения защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (ст. 2), а также принципов обработки ПД (ст. 5).
Кроме того, хотим обозначить еще одну проблему. Из Закона о ПД исчезло понятие "общедоступные данные", и оно было заменено на "ПД, разрешенные для распространения". Согласно ст. 10.1 Закона о ПД возможно распространять ПД в случае, если имеется согласие субъекта ПД. Согласие субъекта ПД на обработку его ПД закреплено в ст. 6 Закона о ПД. На практике это означает, что, например, перед публикацией сведений в Интернете пользователь должен дать согласие на то, что его сведения будут опубликованы, и это согласие является достаточно сложным и детальным документом [9]. Но тут возникает вопрос: таким ли добровольным является такое согласие субъекта, особенно при взаимодействии в сети Интернет при обустройстве на работу. Как мы знаем, субъект ПД — это пользователь, а интернет-сайт — общедоступный источник информации. У сайта есть владелец, и этот владелец должен запросить согласие у субъекта ПД.
С 1 марта 2022 г. вступил в силу Приказ Роскомнадзора от 21 июня 2021 г. N 106 [4], согласно которому согласие на обработку ПД является документом, в котором указывается довольно детальная информация о факте предоставления согласия; о цели (целях) обработки ПД; об информационных ресурсах оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с ПД субъекта; о категориях и перечне ПД, на обработку которых дается согласие, и о многом другом, что может быть и не нужно сайту, однако у пользователя все же запрашивается больше информации, чем он хотел бы предоставить. Но пока он эту информацию не предоставит, опубликовать его сведения, допустим, на сайте по поиску работы или в соцсети не получится [9]. И несмотря на то, что в Законе о ПД установлены запреты на обработку ПД неограниченным кругом лиц, а также то, что по требованию субъекта ПД в любое время обработка его ПД должна быть прекращена (хотя практика применения этого положения тоже отсутствует и даже непонятно, каким образом может быть реализовано), возникает вопрос: кто и как будет контролировать то, соблюдаются ли установленные законодательством условия и ограничения?
2. Особенности практики применения законодательства о ПД
Анализ ст. 22.1 Закона о ПД показывает, что при обработке ПД тем или иным оператором должны быть приняты меры для их защиты, а с 1 марта 2023 г. вступит в силу Приказ Роскомнадзора от 27 октября 2022 г. N 178 [5] и начнут действовать требования к оператору относительно того, как будет оцениваться вред, причиненный гражданам при нарушении Закона о ПД. От оператора потребуется определить высокую, среднюю или низкую степень вероятного вреда, которая должна быть отражена в акте, однако требования к тому, как будут проводить оценку, отсутствуют, что тоже говорят о несовершенстве системы обработки ПД граждан.
А согласно п. 7 — 12 Постановления Правительства РФ от 1 ноября 2012 г. N 1119 [3] сложнее всего организовать защиту электронных данных, для чего требуется определить тип угрозы ПД и исходя из этого подобрать один из четырех уровней защищенности. От уровня защищенности будет зависеть конкретный комплекс мер, которые нужно будет предпринимать.
За нарушение законодательства о ПД, а именно за несоблюдение правовых (создание комплекта документов для защиты ПД), технических и организационных (действия для обеспечения безопасности ПД) мер ответственные за это лица могут быть привлечены к ответственности, однако тоже не совсем понятно, какой конкретный перечень мер может быть применен, например, для защиты тех же электронных данных, что также, на наш взгляд, является пробелом в законодательстве.
На основе п. 8 ст. 19 Закона о ПД контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности ПД при обработке ПД в государственных информационных системах ПД осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий и без права ознакомления с ПД, обрабатываемыми в информационных системах ПД.
Как можно заметить, гл. 5 Закона о ПД посвящена государственному контролю (надзору) за обработкой ПД, где в качестве таковых названы Роскомнадзор, ФСБ России, ФСТЭК России, однако их полномочия с точки зрения их практической реализации вызывают множество вопросов. В частности, в ст. 23 Закона о ПД прописано, что Роскомнадзор рассматривает жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой ПД, а также принимает в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений, однако вызывает вопросы относительно этих результатов, когда в большинстве случаев правоохранительные органы игнорируют обращения граждан относительно нарушения их прав, связанные с утечкой ПД. Более того, Роскомнадзор обязан осуществлять меры, направленные на совершенствование защиты прав субъектов ПД, хотя характер этих мер нигде не прописан.
Заключение
Таким образом, можно констатировать, что хоть современные цифровые технологии и стали неотъемлемой частью современной правовой жизни России, однако государство обязано обеспечивать безопасность граждан в первую очередь создав надежную систему защиты ПД на примере системы обязательного страхования вкладов в российских банках. Необходимо более четко закрепить в законодательстве положение о лицах, привлекаемых к ответственности за нарушение законодательства о ПД, чтобы при обнаружении фактов таких нарушений иметь реальные гарантии защиты и возможности получения возмещения убытков. При нынешних условиях сложной геополитической ситуации государство само должно быть заинтересовано в усилении контроля за защитой ПД на разных уровнях оборота от несанкционированного использования, от кибератак и угроз; в необходимости расширения мер по установлению запрета права доступа неограниченного круга лиц к ПД не только граждан, но и юридических лиц, исходя из чего уже насущной проблемой становится признание юридического лица субъектом ПД на уровне законодательства о ПД. Более того, век цифровизации требует признания на законодательном уровне деликтной ответственности за вред, причиненный личности. При комплексном решении обозначенных проблем можно говорить о реальных и действенных механизмах охраны и защиты ПД на территории РФ.
Пристатейный библиографический список
1. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" // СПС "КонсультантПлюс".
2. Федеральный закон от 27 июля 2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" // СПС "КонсультантПлюс".
3. Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" // СПС "КонсультантПлюс".
4. Приказ Роскомнадзора от 21 июня 2021 г. N 106 "Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором" (зарегистрирован в Минюсте России 11 августа 2021 N 64602) // СПС "КонсультантПлюс".
5. Приказ Роскомнадзора от 27 октября 2022 г. N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" (зарегистрирован в Минюсте России 28 ноября 2022 N 71166) // СПС "КонсультантПлюс".
6. Обзор судебной практики по делам, связанным с защитой прав потребителей финансовых услуг (утв. Президиумом Верховного Суда РФ 27 сентября 2017 г.) // Бюллетень Верховного Суда РФ. 2018. N 10.
7. Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" // СЗ РФ. 2008. N 28.
8. Нам К.В. Особенности развития правового регулирования оборота и защиты персональных данных // Вестник гражданского права. 2020. N 5.
9. Румянцев С.А. Персональные данные: определения и виды // СПС "КонсультантПлюс". 2022.
10. Солдатова В.И. Защита персональных данных в условиях применения цифровых технологий // Lex russica. 2020. N 2.
Связанные статьи:
- Проблема квалификации персональных данных как нематериальных благ в условиях цифровой экономики, или Нет ничего более практичного, чем хорошая теория (82.2%)
- Перспективы введения общего электронного квалификационного экзамена на присвоение статуса адвоката (82.2%)
- Защита персональных данных в условиях применения цифровых технологий (82.2%)
- Современные правовые подходы к пониманию биометрических данных (75.8%)
- Некоторые риски токенизации и блокчейнизации гражданско-правовых отношений (75.8%)
- Методология развития бизнес-процесса предварительного информирования субъектов международной цепи поставок товаров посредством информационных систем (RANDOM - 50%)