Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Шрифт:
Следует отметить, что еще одна дефиниция персональных данных содержится в Указе Президента РФ от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера», согласно которому под персональными данными понимаются «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях». Как видно, данное определение имеет более узкий характер и не охватывает информацию, по которой можно определить лицо косвенным образом. Несмотря на то, что данный Указ формально не отменен, рассматриваемая дефиниция не подлежит применению, поскольку противоречит положениям нормативного правового акта более высокой юридической силы, имеющего специальный характер и принятого позднее. К этому следует также добавить, что более узкая дефиниция персональных данных вступила бы в противоречие с международными обязательствами Российской Федерации, вытекающими из ее присоединения к Конвенции 1981 г.
2. Дефиниция персональных данных состоит из нескольких составных частей: а) любая информация; б) имеющая отношение к в) прямо или косвенно определенному или определяемому г) физическому
а) Персональные данные представляют собой информацию, т.е. «сведения (сообщения, данные) независимо от формы их представления» 37 . Форма отображения информации не имеет значения: это могут быть сведения в текстовой, графической, звуковой форме, воспринимаемой человеком или устройством. Носитель таких данных также иррелеван-тен: они могут быть зафиксированы на бумаге, в иной аналоговой форме (например, на видеокассете) или существовать в электронном виде. При этом неважно, является такая информация достоверной или нет, а равно имеет она объективный или оценочный характер. Например, информация о том, что у Ивана Ивановича Иванова диагностирован рак головного мозга, имеет объективный характер и является персональными данными специальной категории (данные о состоянии здоровья; см. комментарий к ст. 10 Закона о персональных данных). Информация о том, что Иван Иванович Иванов является ненадежным партнером и недобросовестным должником, имеет оценочный характер, но при этом также охватывается понятием персональных данных.
37
См. п. 1 ст. 2 Закона об информации.
Сам по себе носитель данных не относится к персональным данным, хотя в некоторых случаях разделить их весьма сложно. Главным образом речь идет о биологическом материале (ткани, выделениях человека), который содержит геномную информацию - персональные данные, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не характеризующих их физиологические особенности (п. 3 ст. 1 Федерального закона от 3 декабря 2008 г. № 242-ФЗ «О государственной геномной регистрации в Российской Федерации»). Принимая во внимание, что единственной причиной сбора и хранения подобного рода биологического материала является наличие в нем информации, составляющей персональные данные, приравнивание биологического материала к персональным данным не лишено определенной логики. Так, ЕСПЧ в одном из решений указал, что «учитывая характер и объем информации личного характера, которая содержится в образцах клеток, их хранение должно само по себе считаться вмешательством государства в осуществление человеком права на уважение его личной жизни. В связи с этим не имеет значения, что в действительности из них извлекается или используется властями для создания профиля ДНК лишь ограниченная часть этой информации и что в каком-то конкретном случае не произошло немедленного ухудшения положения человека». Как следствие, указанные объекты были отнесены к персональным данным (§ 68, 73 Постановления ЕСПЧ от 4 декабря 2008 г. по делу S. и Марпер (S. and Marper) против Соединенного Королевства, жалобы № 30562/04, 30566/04).
В контексте российской правовой системы рассматриваемые вопросы могут быть не столь актуальны по причине наличия специального регулирования порядка сбора, хранения и использования биологического материала. Однако его проработанность сильно уступает степени детализации законодательства о персональных данных, в связи с чем приравнивание биологического материала к персональным данным могло бы способствовать восполнению возможных пробелов в регулировании.
б) Информация должна иметь определенное отношение к физическому лицу. Такое отношение может иметь место в случаях, когда такая информация:
1) в силу своего содержания касается определенного лица (например, результаты медицинских анализов конкретного лица);
2) имеет своей целью оценку деятельности некоего лица или может повлиять на статус такого лица, в том числе посредством принятия каких-либо решений в отношении него (например, сведения о посещенных лицом страницах в сети «Интернет» и (или) об участии в определенных группах в социальных сетях в тех случаях, когда они используются для целей составления профайла пользователя для направления ему таргетированной рекламы, принятия решения о его трудоустройстве или определения индивидуальной цены товара (услуги));
3) имеет технический характер (например, данные устройств, используемых физическим лицом) и используется для технических целей, но может при желании оператора применяться для целей, которые имеют влияние на права и обязанности индивида. Например, геолокационные данные машин, входящих в таксопарк, могут использоваться преимущественно для целей обеспечения бизнес-процессов таксопарка – сокращения времени ожидания, оптимизации маршрутов, экономии бензина и пр. Однако одновременно они могут использоваться для оценки качества труда таксистов. В этой связи указанные данные также «имеют отношение» к физическому лицу 38 . Вместе с тем документы, представляющие собой правовой анализ соответствия индивида требованиям законодательства для целей получения им определенного статуса, по мнению Суда ЕС, не являются персональными данными, представляя собой акт правоприменения и толкования закона (см.: YS v. Minister voor Immigratie, ECJ Joined Cases C-141/12 & C-372/12. 17 July 2014.).
38
Opinion 4/2007 оn the Сoncept of Рersonal Data. WP 136, 20 June 2007. Article 29 Data Protection Working Party. P. 11. URL:documentation/opinion-recommendation/files/2007/wp136_en.pdf
в) Информация относится к прямо или косвенно к определенному или определяемому лицу, т.е. обладает определенным идентифицирующим потенциалом. Данный элемент является самым сложным и запутанным для понимания и интерпретации. В самом общем виде предполагается, что на основании информации либо можно точно идентифицировать лицо («прямо определенное» лицо), либо имеется возможность это сделать с привлечением иных данных («косвенно определяемое» лицо). Точная идентификация лица будет иметь место в случае соотнесения соответствующей информации с фамилией, именем и отчеством (при наличии) лица. Именно данные сведения являются основным идентификатором гражданина в гражданском обороте, поскольку гражданин приобретает и осуществляет права и обязанности под своим именем (п. 1 ст. 19 ГК РФ). Косвенная идентификация предполагает возможность отнесения к персональным данным информации, которая сама по себе хотя и не указывает однозначно на имя конкретного лица, но содержит описание каких-либо его индивидуальных характеристик, позволяющих отграничить его от других субъектов, выделить из круга лиц, к которому он принадлежит, или, по крайней мере, сузить такой круг лиц 39 . Например, лицо может быть косвенно идентифицировано на основании данных о трафике (метаданных), в частности, сведений об установленных соединениях с указанием времени и продолжительности соединения, номеров или IP-адресов устройств, участвующих в коммуникации 40 . Также лицо может быть косвенно идентифицировано на основании данных его логина (никнейма), используемых в различных интернет-сервисах; данных с камер видеонаблюдения, реквизитов банковской карты, сведений о принадлежащей лицу собственности и пр. Все это позволяет отнести указанные данные к категории персональных данных, учитывая существующие формулировки их дефиниции. В качестве консервативного и относительно безопасного ориентира для определения критерия косвенной идентификации можно предложить следующий: если данные позволяют выделить некоего индивида из множества лиц и использовать в отношении него особую модель взаимодействия, то такое лицо является определяемым, а соответствующая информация – его персональными данными.
39
В некоторых странах, например, в Финляндии и Норвегии, законодательство о персональных данных допускает признание информации персональными данными, даже если она относится не к конкретному индивиду, а к семье или домовладению. См.: Bygrave A. Data Privacy Law: An International Perspective. Oxford: University Press. 2014. P. 135.
40
Так, Стэнфордский университет опубликовал исследование, согласно которому метаданные телефонных переговоров (номера телефонов абонентов, время и продолжительность звонка либо время и количество символов sms-сообщений) позволяют без особых проблем идентифицировать личность абонента, устанавливать его связи с другими лицами, а также выводить «чувствительные» персональные данные: политические, религиозные, сексуальные взгляды и предпочтения субъекта, состояние его здоровья и ряд других. См.: Mayer J. et al. Evaluating the Privacy Properties of Telephone Metadata. Stanford University. 1 March 2016. URL: http://www.pnas.org/content/113/20/5536
Ключевую роль в квалификации информации, дающей возможность косвенно определить физическое лицо, в качестве персональных данных играет анализ средств, которые позволяют это сделать. К сожалению, Закон о персональных данных не содержит никаких указаний на них, в этой связи целесообразно обратиться к положениям европейского права. В п. 26 Преамбулы Директивы 1995 г. указано, что «для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть вероятно (likely) и разумно (reasonably) использованными либо оператором, либо любым иным лицом для идентификации указанного лица». Исходя из анализа этого положения можно сделать два основных вывода:
1) в качестве идентифицирующего лица может выступать любое лицо, а не только оператор, что расширяет понятие «персональные данные», поскольку не требуется концентрироваться исключительно на анализе возможностей отдельно взятого оператора;
2) в качестве критериев, которыми надо руководствоваться при анализе вероятности отнесения данных к личности субъекта таким «любым лицом», фигурируют (а) вероятность и (б) разумность их использования.
Вероятность использования данных должна оцениваться с учетом всех обстоятельств. К примеру, она гораздо выше у компаний, использующих продвинутые технологии анализа данных в своих бизнес-процессах (финансовые организации, организации связи, социальные сети, крупные онлайн-магазины и др.), чем у небольших организаций, которые не могут позволить себе использование таких технологий (риск-ориентированный подход в действии). Разумность по общему правилу должна предполагать возможность идентификации лица с привлечением правомерных средств, т.е., например, без взлома компьютерных систем или незаконного доступа к базам данных третьих лиц, в том числе государственных органов 41 .
41
См.: Bygrave A. Data Privacy Law: An International Perspective. Oxford: University Press, 2014. P. 132. См., также: Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14. 19 October 2016.
Если у оператора есть два набора данных, каждый из которых не позволяет определить лицо, но в совокупности они могут это сделать, то каждый из таких наборов данных может быть квалифицирован как персональные данные, поскольку может рассматриваться в качестве информации, относящейся к косвенно определяемому лицу.
В этой связи возникает вопрос: следует ли при решении вопроса о квалификации данных в качестве персональных принимать во внимание массивы данных, находящиеся во владении у конкретного оператора, или же следует учитывать потенциальную возможность совместного использования их с информацией, находящейся во владении других операторов? Согласно позиции Суда ЕС данные о динамических IP-адресах, собранные онлайн-сервисом, являются персональными данными при одновременном выполнении следующих условий: