автордың кітабын онлайн тегін оқу Юридическая технология обеспечения безопасности и защиты персональных данных в сети Интернет. Монография
А. А. Максуров
Юридическая технология обеспечения безопасности и защиты персональных данных в сети Интернет
Монография
Информация о книге
УДК 34:004.056.5
ББК 67:32.973.202-018.2
М17
Изображение на обложке foxaon1987 / Shutterstock.com
Автор:
Максуров А. А., профессор, преподаватель Школы права Университета Парижа (Сорбонна), независимый российский и европейский исследователь, автор более 700 работ, лауреат российских и международных премий в области юриспруденции, специалист в сфере международного информационного права, теории государства и права.
В работе рассматриваются проблемные вопросы построения юридической технологии защиты персональных данных в глобальном информационном пространстве. Исследованы стратегия, техника, тактика, ресурсы, формы и действия субъектов права в части обеспечения безопасности личной информации в сети Интернет. Сделан подробный анализ международного и европейского права, а также зарубежного законодательства в данной сфере.
Законодательство приведено по состоянию на 19 сентября 2024 г.
Для широкого круга читателей, включая юристов и специалистов в области информационной безопасности.
УДК 34:004.056.5
ББК 67:32.973.202-018.2
© Максуров А. А., 2024
© ООО «Проспект», 2024
ВВЕДЕНИЕ
В современных условиях непростой макроэкономической ситуации, осложненной карантином в связи с пандемией коронавируса, вызвавшей в числе прочего и снижение уровня защиты частных прав при угрозе публичному интересу, явно наблюдается поиск участниками рынка условий стабильного гражданского оборота при растущей экономике. Сегодняшний мир находится в сложной ситуации. Налицо «сужение» экономики (Евросоюз, США, Китай), инфляционные (Германия) и другие неблагоприятные экономические процессы (Испания, Греция и др.), политическая нестабильность, рост социальной напряженности, обострение «узловых» – наиболее трудноразрешимых – проблем во всех сферах общественной жизни, ранее скрывавшихся за позитивными результатами экстенсивного роста. Видимо, мир ожидает длительная рецессия, не исключен и «новый виток» кризиса в ближайшие годы, что повлечет еще большие политико-социальные и, не исключено, значимые геополитические изменения.
В этой связи мы видим сегодня отдельные разнонаправленные тенденции.
Прежде всего, значительная часть населения, так или иначе проявляющая экономическую активность, ищет пути повышения эффективности предпринимательской и связанной с ней человеческой деятельности в условиях общей социальной неопределенности и нестабильности. Участники гражданского оборота не могут быть удовлетворены сложившейся практикой реализации субъективных гражданских прав и ищут новых (или более широких прежних) путей наиболее выгодного вложения капитала, создания «подушки безопасности» для кризисных ситуаций и т. п. Сам оборот персональных данных в большей степени уже давно осуществляется в киберсреде и имеет глобальный характер.
Как это ни парадоксально, но именно в указанной ситуации защита персональных данных в глобальном информационном пространстве приобретает повышенное значение.
Очевидно, что защита персональных данных – исключение из действия принципов гражданского права, предусматривающих как равенство сторон отношений, так и свободу воли в определении способов и форм реализации своих субъективных гражданских прав, в том числе в глобальном пространстве. Право на получение и использование информации не только одно из «двигающих» современную цивилизацию социальных понятий в части производства и распределения, но и гарантия обеспечения демократических начал современного мира.
Поэтому назначение инструментов защиты персональных прав в киберсреде, прежде всего, социальное и уже во вторую очередь –экономическое. Они ограничивают «сильную» сторону гражданско-правовых отношений, предлагая минимально необходимую защиту «слабой» стороне – субъекту персональных данных. С этой точки зрения предоставление одной стороне гражданского оборота некоторых преимуществ не должно сводить на нет саму возможность реализации субъективных гражданских прав иными участниками отношений.
Соответственно, цели установления и правового регулирования механизма защиты персональных данных в сфере объективного гражданского права двойные. С одной стороны, предоставляя субъектам персональных данных права на защиту в тех или иных ситуациях, государство стремится предоставить несколько большую, чем в обычной ситуации, государственно-правовую защиту нуждающимся в ней индивидам. С другой стороны, наличие любых субъективных гражданских прав, включая права на защиту личной информации, не должно становиться тормозом для гражданского оборота, субъекты которого объективно и исторически всегда нуждаются в как можно более свободной реализации имеющихся у них правомочий в целях наиболее полного удовлетворения собственного имущественного интереса.
Таким образом, социальная направленность института защиты персональных данных не может сводить на нет экономическую активность субъектов права. Здесь должен быть выдержан тонкий «баланс сил», позволяющий «сильному» двигаться вперед, не нарушая жизненно важных интересов «слабого».
Вместе с тем в науке до настоящего времени не выработалось единой концепции защиты персональных данных. Сегодня отсутствует разделяемая большинством авторов дефиниция персональных данных, различным образом понимается сущность прав их субъектов и иных участников отношений в сфере оборота персональных данных, нет единства мнений относительно разновидностей как персональных данных, так и содержания прав на них. Отсутствуют исследования, посвященные структуре правоотношений по защите персональных данных. Не определены алгоритмы осуществления и защиты прав субъектов персональных данных.
Соответственно, данные проблемы требуют обстоятельного научного анализа.
В юридической литературе отсутствуют фундаментальные исследования по указанной проблеме. Отдельные аспекты установления и реализации преимущественных прав рассматривались исключительно в теории гражданского (в России – трудового) права, либо в локальных исследованиях конкретных разновидностей прав на личную информацию.
До настоящего времени в науке не сложилось общей концепции защиты персональных данных, не определена их терминология, не исследован и не закреплен категориальный аппарат, не описаны способы реализации субъективных прав в сфере оборота персональных данных и причины их законодательной регламентации, не установлены их место и роль в правовой системе общества, не исследовано содержание и пути повышения эффективности норм о защите персональных данных в глобальном информационном пространстве.
Существующие в науке взгляды по отдельным вопросам защиты персональных данных в глобальном информационном пространстве зачастую непоследовательны и противоречивы; они не принимают во внимание как глобальный характер передачи персональных данных в киберсреде, так и технологические аспекты механизма защиты такого рода. Некоторые аспекты данной проблемы исследовались в рамках отдельных направлений, как гражданского и трудового права, так и теории права, однако целостной концепции выработано также не было.
По нашему мнению, четко прослеживаются как минимум два направления научно-юридического познания: анализ и, иногда, критика достижений, которые стали стержневой основой настоящей работы.
Во-первых, это научные работы по проблематике категории защиты субъективных прав в советском гражданском праве. Базисными здесь будут работы М.М. Агаркова, Н.Г. Александрова, С.Н. Братуся, А.В. Венедиктова, Д.М. Генкина, О.С. Иоффе, В.Ф. Яковлева и других. Нельзя сказать, что указанные работы полностью «устарели» – по сути, в них предложены концептуальные подходы, до настоящего времени развиваемые российскими цивилистами. Большинство интересующих нас исследований этой группы источников так или иначе касались вопросов определения субъективного гражданского права на личную информацию как самостоятельного субъективного права, установления содержания такого права и других исходных вопросов концепции гражданских прав в сфере правовой охраны неприкосновенности личности.
Во-вторых, крайне значимыми оказались современные работы по теории права, теории гражданского права, проблематике гражданских правоотношений и правоотношений в целом, их субъектно-объектного состава и пр. В частности, это работы современных теоретиков права В.Н. Карташова, Н.И. Матузова, А.В. Малько, А.Г. Репьева и других. Указанные авторы в своих исследованиях рассматривают вопросы персональной информации, правоотношения по информационному правоотношению в целом, а также структур правоотношений, специфики субъективных прав в сфере оборота персональных данных и т. п. Здесь также значимыми оказались и современные труды по вопросам регламентации отдельных разновидностей прав на персональные данные.
Объект исследования – юридическая технология защиты персональных данных в глобальном информационном пространстве как системное образование. Предметом исследования является специфика защиты персональных данных в глобальном информационном пространстве, проблема качества и эффективности их правовой охраны, путей и способов повышения оптимальности правового регулирования их оборота в киберсреде. Для достижения поставленной цели предполагалось решение следующих задач:
• обобщение теоретических материалов, выявление уровня научной разработанности темы в общетеоретических и отраслевых исследованиях, уточнение и, по мере возможности, разрешение дискуссионных положений, определение некоторых методологических направлений для дальнейшего научного поиска;
• анализ и синтез философского и психологического, социологического и лингвистического, исторического и управленческого, юридического и иных подходов к изучению категории персональных данных в российском гражданском праве и за рубежом;
• рассмотрение основных признаков и характеристик персональных данных и их определение;
• уяснение особенностей оборота персональных данных в киберсреде;
• подробное изучение компонентов юридической технологии защиты персональных данных в глобальном информационном пространстве;
• исследование сущностных характеристик и наиболее проблемных аспектов оборота персональных данных в киберсреде;
• формулировка выводов и рекомендаций, направленных на создание общетеоретической концепции юридической технологии защиты персональных данных в глобальном информационном пространстве и совершенствование юридической практики (технологии) правовой охраны персональных данных в целом.
При работе над темой автор исходил из положений методологического плюрализма. На этой основе широко использовались общенаучные, частнонаучные и иные методы исследования – социологический, исторический, психологический, формально-логический, сравнительно-правовой и др.
Основной акцент при исследовании юридической технологии защиты персональных данных в глобальном информационном пространстве был сделан на четыре следующих способа анализа сложных систем.
Во-первых, это системный анализ и целостное описание персональных данных как самостоятельного явления правовой действительности и объекта правовой охраны (защиты). Во-вторых, функциональный анализ, позволивший рассмотреть их в системе правового регулирования. В-третьих, совокупность частнонаучных методов исследования, основным из которых выступили социологический и психологический, определившие основные параметры регламентации и реализации юридической технологии защиты персональных данных в глобальном информационном пространстве. В-четвертых, аксиологический, предоставивший возможность раскрыть действительную значимость технологии защиты прав на персональные данные, показать основные закономерности ее развития и совершенствования.
Теоретическую основу исследования составляют труды отечественных и зарубежных ученых, так или иначе затрагивающих вопросы, рассматриваемые в работе.
В частности, достоверность и научная аргументированность результатов исследования основываются на широком использовании общетеоретических и отраслевых юридических источников. Это работы М.М. Агаркова, Н.Г. Александрова, О.Е. Блинкова, С.Н. Братуся, А.В. Венедиктова, Д.М. Генкина, А.А. Глушецкого, Е.А. Глушковой, О.С. Иоффе, В.П. Камышанского, В.Н. Карташова, М.Л. Ковалевой, Л.В. Кузнецовой, Н.И. Матузова, А.В. Малько, А.Г. Репьева, Е.А. Ходаревой, В.Ф. Яковлева и других.
Нормативно-правовую и эмпирическую базу исследования составили российское и зарубежное законодательства, опубликованные и неопубликованные материалы юридической практики и т. п.
Работа является первым комплексным исследованием в этой сфере с позиций «технологического» подхода в юриспруденции, в результате которого создана единая концепция юридической технологии защиты персональных данных в глобальном информационном пространстве как системного образования.
В частности, в работе впервые предложено собственное определение данного правового феномена, выявлены его сущностные признаки, позволяющие отграничить его от близких по смыслу явлений, а также судить о его месте и роли среди других разновидностей объектов правовой охраны. Проведено глубокое исследование видов персональных данных, предложены новые, ранее не выделявшиеся в науке виды. В ходе анализа содержания юридической технологии защиты персональных данных в глобальном информационном пространстве поэлементно обозначены и подробно рассмотрены ее компоненты. Показана специфика оборота и охраны в киберсреде отдельных, наиболее значимых разновидностей персональных данных. Предложены способы устранения недостатков правового регулирования и повышения эффективности норм, устанавливающих механизм правовой охраны персональных данных в глобальном информационном пространстве с позиций правотворческой, правосистематизационной, интерпретационной, правоприменительной разновидностей юридической практики.
Помимо выводов, указанных в заключении, обратим внимание на следующие фундаментальные положения, к которым пришел автор.
1. По результатам исследования нами предложено доктринальное авторское определение персональных данных, под которыми мы предлагаем понимать неразрывно связанные с конкретной личностью сведения о ней, предполагающие ее идентификацию или способствующие ее идентификации, раскрытие которых реально или потенциально может принести вред правам и (или) охраняемым законом интересам этого лица или иных лиц, то есть причиняет ущерб в реальной действительности или создает угрозу причинения вреда.
2. Исследование проблематики правовой охраны и защиты личной информации (персональных данных) сегодня перспективно в форме юридической технологии, полностью не подменяющей информационные, кибернетические и иные технические методы и приемы защиты такого рода информации, но предполагающие их наполнение правовым содержанием.
В результате юридическую технологию охраны и защиты личной информации (персональных данных) можно определить как объективно необходимую, основанную на соответствующих принципах, планах и прогнозах (стратегии) систему мыслительных и внешнеактуализированных юридических и фактических действий и операций компетентных и уполномоченных ими органов, связанную с наиболее эффективной правовой охраной и защитой личной информации, в ходе которой наиболее оптимально используются необходимые ресурсы (людские, материальные, финансовые, трудовые и т. п.), средства (техника), приемы, способы, методы и правила (тактика), процессуальные формы (стадии, производства, режимы, иные устойчивые формы обращения персональных данных) и конкретные виды контроля (надзора) за соблюдением прав субъектов персональной информации с одновременной возможностью получения общественно-полезных результатов.
Нами предложена структура данной юридической технологии, к элементам которой мы относим: а) систему соответствующих средств (юридическую технику); б) систему приемов, способов и методов оптимальной юридической деятельности, т. е. тактику; в) научно обоснованные принципы, долгосрочные планы, прогнозы и методы деятельности (юридическую стратегию); г) сами действия и операции по сбору, обработке и «обращению» (хранению, передаче, предоставлению и т. п.) персональных данных; д) процессуальные формы указанной деятельности (юридические стадии, производства и режимы); е) показатели, характеризующие качество и эффективность такого рода юридической деятельности, а также временные, финансовые и иные затраты на эту деятельность; ж) соответствующие виды, формы, средства и методы контроля (надзора) за законностью, качеством и эффективностью принимаемых юридических решений (актов) в сфере правовой охраны и защиты персональных данных.
3. Субъекты обеспечения безопасности и защиты личной информации в глобальном информационном пространстве – это граждане – «источники» (носители) персональных данных, а также компетентные государственные или иные уполномоченные на то органы, негосударственные организации, участвующие в процессе обеспечения безопасности и защиты личной информации в глобальном информационном пространстве в целях повышения общей эффективности правового воздействия.
В целях единообразного понимания указанного термина полагаем возможным предложить норму международного права, в соответствии с которой субъект персональных данных может быть определен как физическое лицо, идентификация которого возможна благодаря «находящимся в обороте» персональным данным.
В науке открытым остается вопрос, можно ли распространять категорию «персональные данные» и на юридических лиц. Нами приведены дополнительные, ранее отсутствовавшие в науке аргументы против такого расширенного толкования, основанные на современных теориях юридического лица и в связи с задачами создания такого коллективного субъекта права.
4. В ходе исследования мы установили, что отсутствует согласованность в части соотношения статусов субъектов правоотношений в сфере оборота персональных данных не только положений многих национальных правовых систем с нормами международного права, но и непосредственно между нормами международного права. Эти соображения позволяют нам прийти к выводу о необходимости унификации норм международного права в части правовых статусов субъектов отношений в области оборота и защиты персональных данных. Схема такого рода унификации, ее категориальный и понятийный аппарат, предложены нами в работе.
Поскольку пока еще процесс унификации международно-правовых норм не начат, в современных условиях подлежат разработке алгоритмы применения международных норм права в соответствии с национальными правовыми системами в части установления объема прав и обязанностей субъектов отношений в сфере защиты персональных данных. Мы полагаем возможным установить базовый алгоритм правоприменения, состоящий не менее чем из трех последовательных этапов, описанный нами в работе.
5. Правовое отношение в сфере оборота, охраны и защиты персональных данных – это комплексное правоотношение. Оно включает в себя два отдельных правоотношения – регулятивное и охранительное. В рамках регулятивного правоотношения их объектом (объект правового регулирования, объект юридической технологии) выступают общественные отношения в сфере оборота персональных данных. В охранительных правоотношениях в качестве объекта защиты можно выделить субъективные права и охраняемые законом интересы субъектов и участников правоотношений в области оборота персональных данных.
С указанных позиций нами уточнено содержание персональных данных как объекта правовой охраны.
В частности, возможно уточнение генетических данных как предмета защиты путем указания на те персональные генетические данные, которые могут быть использованы для однозначной идентификации. Защите должны подлежать лишь отдельные элементы, предполагающие идентификацию.
В отношении биометрических данных нами установлено, что здесь следует вести речь не только о некоем «целом» (как, например, об «изображении лица»), но и об отдельных параметрах (строение человеческого уха) или о формулах (расстояние между глазами и пр.). Данный вопрос на практике вполне может быть решен путем расширительного толкования указанных норм.
Мы предлагаем дополнить перечень персональных данных, однозначно идентифицирующих личность, в числе прочего, и персональной подписью лица, значение которой, ввиду распространенности в юридической практике случаев ее удачной подделки и изменчивости подписи на протяжении жизни человека, сегодня снижено, однако признаком уникальности подпись все-таки обладает, поскольку в ней совмещаются графическая (способ и манера выполнения записи) и вербальная (написание конкретных букв и буквенных сочетаний) составляющие.
По нашему мнению, и искусственно созданные самим же субъектом персональных данных идентификационные параметры должны быть предметом защиты, как и любые иные персональные данные (аккаунт в социальной сети).
В целом, в работе приведены и критически оценены наиболее значимые классификации персональных данных, в том числе предложены новые классификации, ранее не предлагавшиеся другими авторами.
6. Мы можем определить действия в сфере оборота, правовой охраны и защиты персональных данных как выраженные вовне, нацеленные на наиболее полную защиту прав и охраняемых законом интересов субъектов персональных данных, непосредственно преобразующие социальную действительность и влекущие повышение эффективности и качества защиты указанных прав и интересов, акты субъектов и участников правоотношений, служащие первоосновой соответствующей разновидности юридической технологии.
Операция в сфере оборота, правовой охраны и защиты персональных данных представляет собой сложную совокупность соответствующих действий, всегда взаимосвязанных и взаимозависимых, объединенных общей локальной целью, достижение которой необходимо для следования к реализации общего замысла, системой решения в той или иной мере узкой, обособленной задачи в рамках данного юридико-технологического процесса.
7. Мы полагаем практически важным вопрос формализации согласия субъекта персональных данных на их сбор в части степени свободы волеизъявления, когда принуждение как таковое отсутствует, однако лицо находится в таком неблагоприятном (в том числе, кабальном) положении вследствие стечения обстоятельств, что не может не дать такого рода согласие. В этом смысле полагаем, что определение «согласия», предложенное в п. 11 ст. 4 Регламента Европейского Парламента и Совета 2016/679 (а также в соответствующих нормах иных международных актов), должно быть дополнено указанием на выражение согласия в «обычных» для личности условиях. Конкретным же будет лишь согласие, данное определенному лицу, на определенные действия, связанные с обработкой персональных данных, в определенный период времени, с названными целями и т. п.
По нашему мнению, отношения в указанной сфере схожи с двусторонней сделкой, когда у субъекта персональных данных после предоставления им согласия на их обработку возникают соответствующие права (право доступа, право знать о «судьбе» своих персональных данных, их получателях и т. п.), а у контроллера и процессора – обязанности по обороту персональных данных в соответствии с законом. Согласие субъекта как бы «запускает» такого рода отношение, предоставляя субъекту последующие права и возлагая обязанности на иных участников данного правоотношения.
В указанной связи мы предлагаем включить в международные нормативно-правовые акты институт признания согласия недействительным (оспоримым или ничтожным) примерно по следующей схеме:
«Статья 1. Оспоримость и ничтожность согласия на обработку персональных данных.
1. Согласие субъекта персональных данных на их обработку может быть недействительным по основаниям, установленным законом, в силу признания его таковым судом (оспоримость согласия) либо независимо от такого признания (ничтожность согласия).
2. Требование о признании оспоримого согласия на обработку персональных данных недействительным может быть предъявлено субъектом персональных данных или иным лицом, указанным в законе.
В этом случае согласие на обработку персональных данных может быть признано недействительным, если оно нарушает права или охраняемые законом интересы лица, оспаривающего согласие, либо влечет неблагоприятные для лица последствия.
В случаях, когда в соответствии с законом согласие на обработку персональных данных оспаривается в интересах третьих лиц, оно может быть признано недействительным, если нарушает права или охраняемые законом интересы таких третьих лиц.
Сторона, из поведения которой явствует ее воля и далее действовать с учетом согласия, данного субъектом персональных данных, не вправе оспаривать согласие по основанию, о котором эта сторона знала или должна была знать при проявлении ее воли.
3. Требование о применении последствий недействительности ничтожного согласия на обработку персональных данных вправе предъявить сторона соответствующих отношений, а в предусмотренных законом случаях также иное лицо.
Требование о признании недействительным ничтожного согласия на обработку персональных данных может быть удовлетворено, если лицо, предъявляющее такое требование, имеет охраняемый законом интерес в признании этого согласия недействительным.
4. Суд вправе применить последствия недействительности ничтожного согласия на обработку персональных данных по своей инициативе, если это необходимо для защиты публичных интересов, и в иных предусмотренных законом случаях.
Статья 2. Общие последствия признания согласия недействительным.
1. Признанное недействительным согласие не влечет юридических последствий, за исключением тех, которые связаны с его недействительностью, и недействительно с момента его получения.
Лицо, которое знало или должно было знать об основаниях недействительности согласия, после признания согласия недействительным не считается действовавшим добросовестно.
Статья 3. Недействительность согласия на обработку персональных данных, полученного с нарушением закона.
Согласие на обработку персональных данных, полученное с нарушением закона, ничтожно.
Статья 4. Недействительность согласия на обработку персональных данных, полученного с целью, противной основам правопорядка или нравственности.
Согласие на обработку персональных данных, полученное с целью, заведомо противной основам правопорядка или нравственности, ничтожно.
Статья 5. Недействительность согласия на обработку персональных данных гражданина, признанным недееспособным.
1. Ничтожно согласие на обработку персональных данных гражданина, признанного недееспособным вследствие психического расстройства.
Другая сторона обязана, кроме того, возместить субъекту персональных данных любой понесенный им реальный ущерб, если эта сторона знала или должна была знать о недееспособности другой стороны.
2. В интересах гражданина, признанного недееспособным вследствие психического расстройства, данное им согласие на обработку персональных данных может быть по требованию его опекуна признано судом действительным, если оно совершено к выгоде этого гражданина.
Статья 6. Недействительность согласия на обработку персональных данных несовершеннолетнего, не достигшего четырнадцати лет.
Ничтожно согласие на обработку персональных данных несовершеннолетнего, не достигшего четырнадцати лет (малолетнего).
Статья 7. Недействительность согласия на обработку персональных данных гражданина, не способного понимать значение своих действий или руководить ими
1. Согласие на обработку персональных данных гражданина, хотя и дееспособного, но находившимся в этот момент в таком состоянии, когда он не был способен понимать значение своих действий или руководить ими, может быть признано судом недействительным по иску самого субъекта персональных данных либо иных лиц, чьи права или охраняемые законом интересы нарушены в его результате.
2. Согласие на обработку персональных данных гражданина, впоследствии признанного недееспособным, может быть признано судом недействительным по иску его опекуна, если доказано, что в этот момент гражданин не был способен понимать значение своих действий или руководить ими.
Согласие на обработку персональных данных гражданина, впоследствии ограниченного в дееспособности вследствие психического расстройства, может быть признано судом недействительным по иску его попечителя, если доказано, что в тот момент гражданин не был способен понимать значение своих действий или руководить ими, и сторона, получавшая его согласие, знала или должна была знать об этом.
Статья 8. Недействительность согласия на обработку персональных данных гражданина сделки, выданного под влиянием существенного заблуждения.
1. Согласие на обработку персональных данных, выданное под влиянием заблуждения, может быть признано судом недействительным по иску субъекта персональных данных, действовавшего под влиянием заблуждения, если заблуждение было настолько существенным, что субъект персональных данных, разумно и объективно оценивая ситуацию, его не выдал бы, если бы знал о действительном положении дел.
2. При наличии условий, предусмотренных пунктом 1 настоящей статьи, заблуждение предполагается достаточно существенным, в частности, если:
1) субъект персональных данных допустил очевидные оговорку, описку, опечатку и т. п.;
2) субъект персональных данных заблуждается в отношении предмета отношений, в рамках которых выдано согласие на обработку персональных данных, в частности таких его качеств, которые в обороте рассматриваются как существенные;
3) субъект персональных данных заблуждается в отношении природы выданного им согласия на обработку персональных данных;
4) субъект персональных данных заблуждается в отношении лица, которому он дал согласие на обработку персональных данных;
5) субъект персональных данных заблуждается в отношении обстоятельства, которое он упоминает в своем волеизъявлении или из наличия которого он с очевидностью для получателя согласия на обработку персональных данных исходит, выдавая его.
3. Заблуждение относительно мотивов выдачи согласия на обработку персональных данных не является достаточно существенным для признания его недействительным.
4. Согласие на обработку персональных данных не может быть признано недействительным по основаниям, предусмотренным настоящей статьей, если другая сторона не возражает на сохранение силы согласия на обработку персональных данных на тех условиях, из представления о которых исходил субъект персональных данных, действовавший под влиянием заблуждения. В таком случае суд, отказывая в признании согласия на обработку персональных данных недействительным, указывает в своем решении эти условия действительности согласия на обработку персональных данных.
5. Суд может отказать в признании согласия на обработку персональных данных недействительным, если заблуждение, под влиянием которого действовал субъект персональных данных, было таким, что его не могло бы распознать лицо, действующее с обычной осмотрительностью и с учетом содержания отношений, сопутствующих обстоятельств и особенностей сторон.
6. Получившее согласие на обработку персональных данных лицо обязано возместить субъекту персональных данных причиненный ему вследствие этого реальный ущерб, за исключением случаев, когда субъект персональных данных знал или должен был знать о наличии заблуждения, в том числе если заблуждение возникло вследствие зависящих от него обстоятельств.
Статья 9. Недействительность согласия на обработку персональных данных, выданного под влиянием обмана, насилия, угрозы или неблагоприятных обстоятельств.
1. Согласие на обработку персональных данных, выданное под влиянием насилия или угрозы, может быть признано судом недействительным по иску потерпевшего.
2. Согласие на обработку персональных данных, выданное под влиянием обмана, может быть признано судом недействительным по иску потерпевшего.
Обманом считается также намеренное умолчание об обстоятельствах, о которых получатель согласия должен был сообщить при той добросовестности, какая от него требовалась по условиям оборота.
Согласие на обработку персональных данных, выданное под влиянием обмана потерпевшего третьим лицом, может быть признано недействительным по иску потерпевшего при условии, что получатель согласия знал или должен были знать об обмане. Считается, в частности, что получатель согласия знал об обмане, если виновное в обмане третье лицо являлось его представителем или работником либо содействовало ему в получении согласия.
3. Согласие на обработку персональных данных на крайне невыгодных условиях, которое лицо было вынуждено выдать вследствие стечения тяжелых обстоятельств, чем получатель согласия воспользовался (кабальная сделка), может быть признано судом недействительным по иску потерпевшего.
4. Если согласие на обработку персональных данных признано недействительным по одному из оснований, указанных в пп. 1 – 3 настоящей статьи, применяются последствия недействительности сделки, установленные ст. 1. Кроме того, убытки, причиненные потерпевшему, возмещаются ему получателем согласия.
Статья 10. Последствия недействительности согласия на обработку персональных данных в части.
Недействительность согласия на обработку персональных данных в части не влечет недействительности других самостоятельных договоренностей о согласии, если можно предположить, что в целом согласие на обработку персональных данных было бы выдано и без включения недействительной его части.
Статья 11. Сроки исковой давности по недействительному согласию на обработку персональных данных.
Срок исковой давности по требованиям о применении последствий недействительности согласия на обработку персональных данных составляет три года. Течение срока исковой давности по указанным требованиям начинается со дня, когда согласие на обработку персональных данных было выдано.
Статья 12. Доказывание по делу о признании недействительным согласия на обработку персональных данных
1. Если иное не установлено процессуальным законом, законность и правомерность получения согласия на обработку персональных данных должны доказываться лицом, получившим такое согласие (получателем согласия).
2. Процессуальным законом могут быть предусмотрены случаи, когда субъект персональных данных вправе получить предварительный судебный запрет на дальнейшую обработку персональных данных, включая их передачу, до рассмотрения дела по существу».
8. По нашему мнению, с учетом возложения бремени доказывания законности и правомерности получения согласия, а также самого факта его получения на его получателя, согласие может быть и устным. Соответственно, такого рода положение должно найти отражение в нормах международного права. Например, п. 11 ст. 4 Регламента Европейского Парламента и Совета 2016/679, предлагающий дефиницию согласия на обработку персональных данных, должен быть дополнен предложением:
«Форма согласия не имеет значения с учетом того, что законность и правомерность его получения, а также сам факт согласия, подлежит доказыванию его получателем либо иным заинтересованным лицом. Согласие “по умолчанию” не допускается».
9. Присутствующий в международной правоприменительной практике алгоритм рассмотрения вопроса о допустимости самой обработки персональных данных, к сожалению, основан не на нормах международного права, прямо регулирующих вопросы оборота личной информации, а на широком судебном толковании положений иного, имеющего более общий характер акта – Европейской конвенции о защите прав человека и основных свобод.
В связи с указанным обстоятельством, предлагаем отразить в нормах международного права следующий механизм судебной проверки:
«Статья Х. Судебная проверка законности обработки персональных данных, полученных при отсутствии согласия их субъекта.
Осуществляя проверку законности обработки персональных данных в отношении конкретного лица, не давшего согласия на их обработку, суд предварительно определяет, предусмотрено ли принуждение к предоставлению личной информации национальным законом.
Норма национального права, предусматривающая правомерность таких действий, должна быть совместима с принципом верховенства права в данном конкретном случае.
Суд также проверяет, насколько указанные нормы, предусматривающие принудительную обработку персональных данных, являются необходимыми в демократическом обществе».
10. Вопросы хранения персональных данных граждан конкретных стран тесно связаны с требованием отдельных государств об их локализации, в том числе в виде хранения этих сведений в виде информационных баз «на территории» данного государства, гражданами которого и являются субъекты персональных данных.
В работе приведена критика такого рода государственно-правового подхода. Вопросы локализации касаются, скорее, взаимоотношений операторов персональных данных с конкретным государством в лице его контролирующих и надзорных органов, а также их должностных лиц, они представляются нам несколько надуманными, так как даже при трансграничной передаче персональных данных безусловное исполнение требований о локализации невозможно.
11. По нашему мнению, сам по себе термин «трансграничная передача персональных данных» в современном глобальном информационном мире уже не отвечает реалиям сегодняшнего дня. С отдельными оговорками он возможен и допустим только в ситуациях, когда сведения, содержащие личную информацию, непосредственно адресованы прямо поименованному в законе «иностранному субъекту». В таких условиях трансграничная передача не представляет собой передачу персональных данных в глобальном информационном пространстве по основаниям, указанным нами в работе.
12. Юридическую технику правовой охраны и защиты персональных данных в киберсреде можно определить как систему общесоциальных, специально-юридических, технических и иных средств и правил применения данных средств, с помощью которой субъекты и участники данной юридической деятельности осуществляют действия и операции по правовой охране и защите персональных данных в целях получения общественно и индивидуально полезных результатов. Под средствами юридической технологии правовой охраны и защиты персональных данных будут предметы, явления или процессы, которые обеспечивают достижение цели – безопасного и законного оборота персональных данных, охраны прав субъектов персональных данных, защиты персональных данных от несанкционированного доступа к ним.
В работе подробно описаны наиболее значимые элементы юридической техники правовой охраны персональных данных в киберсреде.
13. По нашему мнению, подробная регламентация в международно-правовых документах системы, полномочий и деятельности административных органов будет вмешательством во внутренние дела государства и вряд ли может быть применена на практике, тем более что и с точки технологии государственного управления данный вопрос не может быть унифицирован. Вместе с тем отдельные принципы деятельности таких органов власти, механизм их взаимодействия с заявителем и способы реагирования на нарушения прав на личную информацию вполне могут быть предусмотрены именно международным правом в качестве руководящего ориентира для национальных законодателей. Примеры такого рода приведены в работе.
14. Одной из проблемных точек международного права в части защиты персональных данных является вопрос эффективности судебного механизма защиты субъектами персональных данных своих прав. По сути, такого рода механизм не предусмотрен международными нормативными актами и отдается на усмотрение национальному праву. Подобное регулирование в полноценном объеме в виде норм международного права вряд ли возможно – это нарушало бы внутренний суверенитет национальных правительств. Однако в международных правовых актах вполне могут быть отражены основные принципы построения указанного национального законодательства, требования к внутренним правопорядкам. Нами предложен модельный алгоритм решения указанного вопроса.
Так, по нашему мнению, вполне возможно распространить на практику защиты персональных данных по аналогии общий подход механизма о защите прав потребителей в части презумпций, бремени доказывания, вопросов подсудности, широты возможных к постановке требований и т. п.
15. Важным компонентом юридической технологии правовой охраны и защиты персональных данных выступает стратегия такого рода деятельности. По нашему мнению, в составе стратегии в качестве самостоятельных компонентов можно выделить научно обоснованные принципы, долгосрочные планы, прогнозы и методы деятельности, подробно исследованные нами в работе.
В частности, в целях высокой эффективности технологии правовой охраны и защиты персональных данных исключительно важно неукоснительное соблюдение ее принципов на всех стадиях (этапах) правотворческого, правоприменительного и любого иного юридического процесса.
Мы предлагаем понимать под принципами юридической технологии правовой охраны и защиты персональных данных обусловленные экономическими, политическими, духовными и иными факторами фундаментальные идеи (идеалы) и исходные нормативно-руководящие начала (требования, императивы), которые отражают природу, особенности и назначение данной разновидности юридической технологии в правовой системе общества, обеспечивают высокое качество и эффективность деятельности всех субъектов права по охране и защите персональных данных, прав и охраняемых законом интересов их субъектов, а также участников соответствующих отношений.
Впервые в науке нами предложены классификации таких принципов, а также их логические взаимосвязи.
16. Реализация юридической технологии правовой охраны и защиты персональных данных невозможна без соответствующих ресурсов. Мы предлагаем определять ресурсообеспеченность юридической технологии правовой охраны и защиты персональных данных как совокупность используемых (пригодных к использованию) субъектами и участниками юридической деятельности научных, юридических, финансовых, организационных, трудовых, информационных, технических и любых иных средств (источников, фондов), необходимых для осуществления действий и операций по наиболее эффективной и качественной правовой охране и защите персональных данных в целях получения индивидуально и общественно полезных результатов.
Теоретическое и практическое значение исследования определяется его актуальностью, новизной, четко сформулированными выводами и положениями.
В теоретическом плане основные положения работы позволяют по-новому подойти к понятию и сущности, структурам, функциям, эффективности, ценности, месту и роли правовой охраны персональных данных в глобальном информационном пространстве. Предложены новые правовые конструкции и определения правовых феноменов, изучены ранее неисследованные структуры правовых явлений, предложены новые функции данного правового явления и новые принципы защиты указанного объекта правовой охраны, выявлены негативные черты в обширном массиве правового материала, приведена ранее не публиковавшаяся правоприменительная практика.
Материалы работы дополняют и развивают многие разделы не только гражданского и информационного права, но и общей теории права и государства, отраслевых юридических наук и международного права. Они позволяют привлечь внимание к наиболее важным и перспективным направлениям научных исследований, будут полезными при написании монографий, других научных работ учеными-юристами всех специальностей, представителями психологии, социологии, управленческих и иных общественных наук.
Практическая значимость работы состоит в том, что содержащиеся в ней выводы и предложения могут быть использованы в целях повышения качества и эффективности правового регулирования вопросов защиты персональных данных в киберсреде, для более совершенного нормативно-правового моделирования охраны указанных объектов и оценки эффективности устанавливающих порядок, способов и пределов их защиты, улучшения норм субъектами правотворчества, в процессе систематизации, толкования и реализации правовых актов. Основные положения исследования являются важной базой для повышения эффективности реализации субъектами права собственных неимущественных интересов и, на основе этого, более полного удовлетворения общесоциальных, групповых и индивидуальных потребностей.
Исследование способствует также повышению уровня правосознания и правовой культуры всех субъектов гражданского и информационного права.
Дидактическое значение данного исследования заключается в том, что его результаты могут быть использованы при проведении учебных занятий по гражданскому и информационному праву, общей теории права и государства, смежным с гражданским и информационным правом отраслевым юридическим дисциплинам и международному праву, при написании студентами рефератов, докладов, курсовых и дипломных работ. Особое значение указанные материалы приобретают при изучении таких общетеоретических тем, как «Понятие права», «Функции права», «Система права», «Эффективность права», «Правотворчество», «Систематизация права», «Толкование права», «Реализация права», «Юридическая ответственность», «Субъективные права», «Виды гражданских прав», «Принципы права», «Правовая культура», «Правосознание» и др.
Глава 1. ЗАЩИТА ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ КАК РЕАЛИЗАЦИЯ ПРИНЦИПА НЕПРИКОСНОВЕННОСТИ ЛИЧНОЙ (ЧАСТНОЙ) ЖИЗНИ
1.1. Понятие личной (персональной) информации как объекта правоохраны в международном праве и национальных правопорядках
«Персональные данные» (лат. personal data) – термин, используемый в национальном законодательстве и международном праве, одновременно обозначающий и группу правоотношений, и объект защиты.
Одной из важнейших предпосылок возникновения института персональных данных в условиях информационного общества служит естественная потребность каждого индивида защитить неприкосновенность своей частной жизни и самостоятельно регулировать процессы движения информации личного характера, а также иметь возможности контролировать ее распространение1.
В то же время вопросы защиты личной информации следует рассматривать шире, нежели вопросы юридических средств охраны частной жизни; речь идет в каком-то смысле о чем-то большем – о взаимоотношениях индивида и общества. Любой человек, являясь частью социума, не может быть единственным и безусловным обладателем информации о самом себе2. Персонификация личности представляет собой необходимый и исходный элемент ее социализации в государстве, является важнейшей предпосылкой для включения личности в социальные контакты3. По сути, три фактора в совокупности – все более возрастающая потребность государства в полной и достоверной информации об индивиде, потребность самой личности в неприкосновенности ее частной жизни в условиях интеграции и глобализации, а также широкое развитие и распространение информационных технологий – привели к современному пониманию информации о личности.
Совершенствование информационных технологий и потребности современного общества делают необходимой автоматизированную обработку значительных по объему массивов персональных данных. Формируемые государственными органами и коммерческими организациями базы персональных данных становятся специфическим предметом преступных посягательств в сфере информационной безопасности личности4.
Очевидно и то обстоятельство, что с развитием информационно-телекоммуникационных технологий в современной повседневной жизни субъектам необходимо помнить о защите своей личной информации, в частности о защите и сохранении конфиденциальности своих персональных данных5. С появлением новых, электронных сервисов, несомненно, положительно влияющих на повседневную жизнь человека, возникает необходимость сохранения и поддержания тонкого баланса публичных и частных интересов6.
В любом случае специфика правового режима персональных данных обусловлена совокупностью интересов субъекта персональных данных в части защиты сведений о себе, с одной стороны, и в части получения данных сведений, которые могут затрагивать интересы третьих лиц, – с другой7. В разрешении данных спорных ситуаций определяющее значение имеют правовые позиции конституционной юрисдикции в национальных правопорядках. При этом следует учесть, что общественные отношения, регулируемые правовым институтом защиты персональных данных, хотя и относятся к информационной сфере, однако имеют конституционно-правовую основу и связаны с обеспечением права личности на неприкосновенность частной жизни и смежных с ним прав в условиях развития технологий автоматизированной обработки информации. Это подчеркивает их правозащитный характер8.
Современный законодатель (как в национальных правопорядках, так и на международном уровне) и юридическая наука оперируют различными понятиями относительно личной информации как объекта правовой охраны (защиты). В употреблении такие термины как «личная информация», «частная информация», «информация частного порядка», «информация о личности», «персональная информация», «персональные данные», «личные данные» и т. п. Очевидно, что такое разнообразие терминов вряд ли может способствовать качеству правового регулирования, поэтому в данном вопросе следует разобраться подробно.
При первом приближении мы видим, что парные понятия «личная информация» и «персональная информация», «личные данные» и «персональные данные» близки и даже тождественные.
В частности, с точки зрения этимологии, личное – это все то, что связано с частной9, интимной жизнью какого-либо лица10, принадлежащее данному лицу (личности)11, затрагивающее интересы отдельного лица12 и т. п., по сути, личное «противостоит» общественному13. Информация же – это сведения, сообщения или данные о чем-либо или ком-либо14.
Соответственно, личную (персональную, если речь идет о персоне) информацию в контексте нашей работы изначально можно определить как информацию о какой-либо личности или даже совокупность сведений о личности.
Защита такого рода личной информации тесно связана с принципом неприкосновенности личности, который предусматривает и определенную автономию личности как от государства, так и от общества. В числе прочего, эта автономия выражается и в отсутствии у третьих лиц сведений о личности и результатах ее текущей жизнедеятельности в той части, в которой вступающая в социальные контакты личность стремится избежать всеобщего информирования (информирования неопределенного круга лиц) как о результатах, так и о самом факте указанных социальных контактов15.
Вместе с тем очевидно, что не всякая информация о личности может быть предметом правовой охраны. Человек – социальное существо, контактируя с другими людьми, он неминуемо оставляет некоторые «следы» в социуме и «полная» защита любой личной информации попросту невозможна. Если же все-таки теоретически и допустить такого рода возможность, то многие социальные связи попросту не будут существовать, и общественные отношения будут нарушены, а общество «распадется» на неограниченное число автономных индивидов.
По этим причинам право и призвано искать и находить некий «компромисс» между личным и общественным интересом, защищая права личности на неприкосновенность информации о частной жизни только лишь в сфере, минимально препятствующей дальнейшему развитию общества и его институтов, в том числе и государства. Этот компромисс в определенной мере и выражен институтом личной информации или персональных (личных) данных.
Правовое регулирование в исследуемой области в части определения содержательных характеристик такого явления, как «персональные данные», далеко от единства.
В частности, несмотря на все попытки международно-правовой и региональной унификации, в национальных правопорядках наблюдается некоторое не всегда оправданное разнообразие мнений по указанному вопросу.
Например, согласно закону Великобритании Data Protection Act 1998 (Закон о защите данных 1998 г.)16 – одному из первых европейских наиболее значимых актов в исследуемой области – персональными данными можно назвать любые данные, которые могут быть использованы для идентификации живого человека. Последующие редакции Акта о защите данных Великобритании 1998 г. предполагают, что персональные данные – это «любая информация, которая относится к живому физическому лицу, когда оно может быть идентифицировано: (a) на основании такой информации и (b) на основании такой информации, а также другой информации, находящейся в распоряжении или способной оказаться в распоряжении оператора»17.
При этом анонимные или агрегированные данные в меньшей степени регулируются Законом, при условии, что анонимизация или агрегирование не производились обратимым образом. С точки зрения британского законодателя людей можно идентифицировать различными способами, включая их имя и адрес, номер телефона или адрес электронной почты.
Именно такой подход и был положен в основу регионального европейского законодательства – законодательства Евросоюза, о чем мы поговорим ниже. Здесь же продолжим рассмотрение дефиниций «персональных данных», характерных для законодательства стран Европы.
Еще более «древний» европейский акт – Закон Франции от 6 января 1978 г. 78-17 «Об обработке данных, файлах и свободах»18. Закон неоднократно изменялся в целях приведения в соответствие с актами Евросоюза в указанной сфере, а в 2018 г. был существенно редактирован19. Тем не менее, его нормы вполне применимы и сегодня, хотя понимание «персональных данных» в законе несколько уже «общеевропейского» понимания. Таковыми, в частности, закон предлагает считать любую информацию относительно физического лица, которое идентифицировано или может быть идентифицировано, прямо или косвенно, со ссылкой на идентификационный номер или на один или несколько присущих ему элементов. При этом упоминается и обработка этих сведений физическим или юридическим лицом как составная часть объекта регулирования.
В Германии действует Федеральный закон «О защите данных»20, который в п. 1 раздела 46 ч. 3 включает в себя одно из «общеевропейских» определений персональных данных, под которыми закон понимает всю информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу (субъекту данных). Считается идентифицируемым физическое лицо, которое прямо или косвенно, в частности, путем присвоения идентификатора, такого как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или одна или несколько специальных характеристик, которые выражают физические, физиологические, генетическую, психологическую, экономическую, культурную или социальную идентичность этого человека, может быть идентифицирована.
Авторы отмечают, что в немецкой правовой системе персональные данные защищаются законом не как таковые, а постольку, поскольку связаны с защитой четырех основных прав: права на информационное самоопределение; права на обеспечение целостности и конфиденциальности информационно-технологических систем (IT-право); права на тайну переписки, почтовых отправлений и телекоммуникаций; права на неприкосновенность жилища21. Гарантии реализации этих прав предусмотрены в нормах Основного Закона ФРГ, то есть являются конституционными. Персональные данные здесь выступают дополнительным предметом защиты22.
В Греции, в дополнение к GDPR, был принят Закон от 29 августа 2019 г.23 4624/2019, в подп. «а» п. 1 ст. 44, по сути, отражены положения европейского акта и указано, что «личные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъект данных»), личность которого может быть установлена, прямо или косвенно, в частности, путем ссылки на, например, имя и т. п.
В Дании дополнительно к актам Евросоюза действует Закон от 23 мая 2018 г.
...
