Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Шрифт:
Таким образом, выводы отдельных специалистов о том, что отечественная судебная практика исходит из консервативной позиции при определении объема понятия «персональные данные» 44 , нуждаются в некотором уточнении.
4. В отечественной доктрине встречаются различные мнения относительно содержания понятия «персональные данные». Ряд специалистов высказываются в пользу «узкого» толкования данного термина, относя к персональным данным лишь информацию, которая позволяет однозначно идентифицировать лицо. Помимо ссылок на некоторые устаревшие или отмененные нормы в качестве аргументов приводятся соображения об обеспечении таким подходом сформулированных Конституционным Судом РФ требований правовой определенности норм, предполагающих точность, ясность и недвусмысленность правовых норм, без чего не может быть обеспечено единообразное понимание и применение таких норм, а значит, и равенство всех перед законом 45 . Кроме того, предпринимаются попытки «увязать» понятие персональных данных с целями законодательства о персональных данных, указанных в ст. 2 Закона о персональных данных: если обработка соответствующих данных не может привести к нарушению права на неприкосновенность частной жизни (а это актуально для обезличенных данных или
44
См.: Наумов В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий // Российский юридический журнал. 2016. № 2; см. также: Буркова А.Ю. Определение понятия «персональные данные» // Право и экономика. 2015. № 4.
45
См., например: Постановление Конституционного Суда РФ от 8 апреля 2014 г. № 10-П. Данный аргумент упоминается в комментарии представителей Роскомнадзора к Закону о персональных данных при изложении результатов деятельности рабочей группы Консультативного Совета при Роскомнадзоре «по определению матрицы персональных данных». См.: Федеральный закон «О персональных данных»: Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 15.
46
См.: Наумов В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий // Российский юридический журнал. 2016. № 2.
Приведенные аргументы безусловно представляют интерес, но в целом не выглядят очень убедительными. Сложно оправдать намеренное игнорирование отдельных элементов данной в законе дефиниции стремлением к обеспечению правовой определенности нормы. Можно ли оправдать «узкий» подход к определению объема понятия персональных данных как информации, позволяющей однозначно идентифицировать лицо, в условиях, когда дефиниция прямо указывает на возможность отнесения к персональным данным информации, касающейся косвенно определяемого лица? Здесь уместно привести толкование Суда ЕС по данному поводу, согласно которому использование слова «косвенно» в дефиниции персональных данных означает, что «для квалификации информации в качестве персональных данных не обязательно, чтобы ее самой по себе было достаточно для идентификации индивида» (Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14. 19 October 2016. § 41).
Что касается аргумента о взаимосвязи понятия персональных данных с целями законодательства о персональных данных, то он также не представляется убедительным, поскольку, во-первых, как было продемонстрировано в комментарии к ст. 2 Закона о персональных данных, исключительно защитой неприкосновенности частной жизни, личной и семейной тайны цели законодательства о персональных данных не исчерпываются, а во-вторых, непонятно, почему только понятие персональных данных должно «увязываться» с целями данного законодательства, ведь, следуя логике сторонников вышеуказанной позиции, надо все дефиниции и положения Закона о персональных данных соотносить с целями, указанными в ст. 2, тем самым сводя его юридическое содержание к политико-правовым соображениям.
Также сложно согласиться с тем, что при использовании «широкого» подхода к дефиниции персональных данных практически любая информация приобретет статус персональных данных. Абстрактная информация, статистическая информация, исключительно техническая информация (если только она не связана с устройствами, принадлежащими конкретным физическим лицам), как правило, не будут охватываться понятием персональных данных. Иллюстрацией служит дело, рассматривая которое суд вполне обоснованно не признал персональными данными информацию о количестве зарегистрированных жителей в почтовых адресах в цифровом значении, поскольку это не «конкретная информация, прямо или косвенно относящаяся к какому-либо конкретному лицу» (Апелляционное определение Московского областного суда от 12 октября 2016 г. по делу № 33а-25712/2016).
5. Немногочисленные разъяснения представителей Роскомнадзора, которые являются доступными публично, также позволяют сделать вывод о том, что отдельные представители данного ведомства поддерживают «узкий» подход к понятию персональных данных. Так, на интернет-сайте Управления Роскомнадзора по Центральному федеральному округу в разделе «Часто задаваемые вопросы» указано, что «pазмещение на страницах сайтов в сети «Интернет» фотографии без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица» 47 . Также на данном сайте отмечено, что «pазмещение на страницах сайтов в сети «Интернет» фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица» 48 .
47
https://77.rkn.gov.ru/p3852/p13239/
48
Там же.
Существуют и более путаные комментарии территориальных подразделений Роскомнадзора, которые не позволяют однозначно определить, являются ли данные о фамилии и инициалах гражданина персональными данными или нет. Например, такие: «Фамилия и инициалы гражданина - это, несомненно, персональные данные субъекта. Однако, без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно… Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена» 49 .
49
См. п. 1 Обзора обращений граждан за II квартал 2012 года / Управление Роскомнадзора по Республике Карелия. URL:people_2kv_2012/p1/
Оценивая приведенные разъяснения представителей Роскомнадзора по существу, помимо ранее высказанных аргументов против «узкого» подхода к понятию персональных данных хотелось бы отметить, что фамилия, имя и отчество лица прямо отнесены Законом о персональных данных к числу персональных данных. Так, в соответствии с п. 6 ч. 2 ст. 22 данного Закона оператор вправе осуществлять без уведомления Роскомнадзора «обработку персональных данных… включающих только фамилии, имена и отчества (курсив мой. – А.С.) субъектов персональных данных». Из данного положения вполне можно сделать вывод о том, что только фамилия, имя и отчество лица безотносительно к степени их распространенности признаются персональными данными, это подтверждается и судебной практикой 50 . Кроме того, приведенные ранее материалы судебной практики о признании информации о посещаемых пользователем страницах в сети «Интернет» персональными данными, так как по ней можно косвенно идентифицировать физическое лицо, была сформирована при непосредственном участии Роскомнадзора, который привлекал операторов связи к административной ответственности за несоблюдение лицензионных условий (ч. 3 ст. 14.1 КоАП РФ). Да и выводы представителей Роскомнадзора об отнесении IP-адресов пользователей к категории персональных данных, сделанные в отдельных ситуациях 51 , также свидетельствуют о неоднозначности позиции ведомства по вопросу толкования данного понятия. Таким образом, можно заключить, что позиция Роскомнадзора относительно толкования понятия «персональные данные» может быть весьма гибкой в зависимости от стоящих перед ним целей.
50
См., например: Апелляционное определение Московского городского суда от 6 сентября 2012 г. по делу № 11-17136. Даже английское право, на которое нередко ссылаются как на более определенное с точки зрения понятия персональных данных, рассматривает имя лица, взятое само по себе, в качестве персональных данных. См.: Edem v. IC & Financial Services Authority [2014] EWCA Civ. 92.
51
См.: Как проходит проверка персональных данных – глазами Superjob и Роскомнадзора. 23 июня 2016 г. URL: https://m.roem.ru/23-06-2016/227249/kak-prohodit-proverka-personalnyh-dannyh-glazami-superjob-i-roskomnadzora/
6. Принимая во внимание многообразие отношений, связанных с обработкой персональных данных, а также их высокую динамику, характеризующуюся появлением новых субъектов и технологий обработки персональных данных, невозможно дать исчерпывающий перечень данных, которые могут признаваться персональными. В силу самого существа этой категории она предполагает контекстный и индивидуальный подход. Как справедливо отмечается в литературе, «понимание бесперспективности законодательно установленного «перечневого» подхода к определению понятия «персональные данные», взаимосвязи и взаимодополняемости разных данных, относящихся к частной жизни и участию индивида в социальной жизни… обусловило преимущественное развитие международного и национальных законодательств в направлении обобщающего института персональных данных» 52 . В этой связи вряд ли имеют перспективу попытки разработки неких обобщающих таблиц или «матриц» персональных данных, которые позволили бы четко ответить на вопрос: является ли тот или иной набор данных персональными данными или нет?
52
Бачило И.Л. и др. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск, 2006. С. 19.
7. Квалификация информации, позволяющей косвенно определить физическое лицо, в качестве персональных данных дает возможность решить вопрос о так называемых пользовательских данных, которые обрабатываются посредством инструментов аналитики «больших данных». Если абстрагироваться от не соответствующего легальной дефиниции и европейской практике «узкого» подхода к толкованию понятия «персональные данные», то такие пользовательские данные подпадают под действие режима персональных данных и создания какого-либо специального правового механизма sui generis для их регулирования не требуется. Если определенные данные по результатам обработки представляют собой персональные данные, то исходя из существующей дефиниции этого явления исходные данные также относятся к персональным. Это не означает, однако, что существует необходимость разработки специальных норм в отношении обработки тех массивов данных, на основе которых могут быть созданы персональные данные. В этой связи целесообразно упомянуть высказанное в литературе замечание о проблеме возможной коллизии прав субъектов персональных данных и прав интернет-компаний на большой объем данных как базу данных, которая может получить отдельную правовую защиту 53 .
53
См.: Архипов В.В. Интернет-право: Учебник и практикум для бакалавриата и магистратуры. М., 2016. С. 120-121.
Признавая наличие указанной проблемы, хотелось бы отметить, что подобного рода коллизии различных правовых режимов информации ограниченного доступа существуют и сейчас (например, режимов коммерческой тайны и персональных данных, банковской тайны и персональных данных и т.п.; см. подробнее комментарий к ст. 7 Закона о персональных данных), поэтому и проблематика «больших данных» не добавляет здесь ничего нового. Однако создание в отношении их особого правового режима, отличного от режима персональных данных, лишь усилит остроту данной проблемы, поскольку к обозначенным коллизиям правовых режимов добавится еще один правовой «слой» и коллизионный вопрос обострится в еще большей степени. Поэтому, как представляется, без выявленных реальной правоприменительной практикой неэффективности и неадекватности применения к «большим данным», содержащим пользовательские данные, общего правового режима «персональных данных» с определенными специальными нормами, которые вполне допустимы, разрабатывать «с нуля» специальный правовой режим в отношении их крайне нежелательно. Помимо дополнительных издержек для операторов это будет чревато стагнацией развития данных технологий и их «оффшоризацией», т.е. выведением соответствующих операций в более благоприятные с регуляторной точки зрения юрисдикции.