Текст книги "Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»"

Статья 3. Основные понятия, используемые в настоящем федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных– действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1. Понятие персональных данных. Понятие персональных данных является наиболее фундаментальным для всего законодательства в указанной сфере, поскольку именно квалификация информации в качестве персональных данных выступает своего рода «спусковым механизмом», приводящим его в действие.

До 1 сентября 2011 г. под персональными данными понималась «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»3636
  Федеральный закон от 25 июля 2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»».


[Закрыть]. Новая дефиниция расширила понятие персональных данных за счет (1) добавления возможности косвенной идентификации лица; (2) удаления словосочетания «на основе такой информации», что обусловило необходимость принятия во внимание не только данного конкретного массива данных для решения вопроса об их квалификации как персональных, но и иной информации; (3) удаления «приблизительного» перечня персональных данных. Тем самым новое понятие персональных данных, используемое в комментируемой статье, было приведено в соответствие с положениями Конвенции 1981 г., согласно ст. 2 (а) которой термин «персональные данные» означает любую информацию об определенном или поддающемся определению физическом лице («субъект данных»).

Таким образом, дефиниция данного понятия, выступающая предметом довольно острой критики в силу ее недостаточной определенности, является не изобретением российского законодателя, а следствием имплементации в российское право положений международного договора. Схожая дефиниция персональных данных содержится и в европейском праве. Так, в Директиве 1995 г. персональные данные означают «любую информацию, связанную с определенным или определяемым физическим лицом («субъектом данных»); лицо признается определяемым, если оно может быть определено прямо или косвенно, в частности, посредством ссылки на его идентификационный номер либо один или несколько факторов, характерных для его физической или физиологической, ментальной, экономической культурной или социальной идентичности» (ст. 2 (а)). Данная дефиниция была уточнена в ст. 4 (1) Регламента 2016 г. за счет дополнительной конкретизации возможных видов идентификаторов физического лица: «персональные данные означают любую информацию, связанную с определенным или определяемым физическим лицом («субъектом данных»); лицо признается определяемым, если оно может быть определено прямо или косвенно, в частности, посредством ссылки на идентификаторы, такие как его имя, идентификационный номер, данные о местоположении, онлайн-идентификатор (курсив мой. – А.С.). либо один или несколько факторов, характерных для его физической или физиологической, ментальной, экономической культурной или социальной идентичности». Таким образом, файлы cookie, являющиеся онлайн-идентификатором, и геолокационные данные прямо отнесены Регламентом 2016 г. к числу персональных данных.

Следует отметить, что еще одна дефиниция персональных данных содержится в Указе Президента РФ от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера», согласно которому под персональными данными понимаются «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях». Как видно, данное определение имеет более узкий характер и не охватывает информацию, по которой можно определить лицо косвенным образом. Несмотря на то, что данный Указ формально не отменен, рассматриваемая дефиниция не подлежит применению, поскольку противоречит положениям нормативного правового акта более высокой юридической силы, имеющего специальный характер и принятого позднее. К этому следует также добавить, что более узкая дефиниция персональных данных вступила бы в противоречие с международными обязательствами Российской Федерации, вытекающими из ее присоединения к Конвенции 1981 г.

2. Дефиниция персональных данных состоит из нескольких составных частей: а) любая информация; б) имеющая отношение к в) прямо или косвенно определенному или определяемому г) физическому лицу. Рассмотрим их более подробно.

а) Персональные данные представляют собой информацию, т.е. «сведения (сообщения, данные) независимо от формы их представления»3737
  См. п. 1 ст. 2 Закона об информации.


[Закрыть]. Форма отображения информации не имеет значения: это могут быть сведения в текстовой, графической, звуковой форме, воспринимаемой человеком или устройством. Носитель таких данных также иррелеван-тен: они могут быть зафиксированы на бумаге, в иной аналоговой форме (например, на видеокассете) или существовать в электронном виде. При этом неважно, является такая информация достоверной или нет, а равно имеет она объективный или оценочный характер. Например, информация о том, что у Ивана Ивановича Иванова диагностирован рак головного мозга, имеет объективный характер и является персональными данными специальной категории (данные о состоянии здоровья; см. комментарий к ст. 10 Закона о персональных данных). Информация о том, что Иван Иванович Иванов является ненадежным партнером и недобросовестным должником, имеет оценочный характер, но при этом также охватывается понятием персональных данных.

Сам по себе носитель данных не относится к персональным данным, хотя в некоторых случаях разделить их весьма сложно. Главным образом речь идет о биологическом материале (ткани, выделениях человека), который содержит геномную информацию − персональные данные, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не характеризующих их физиологические особенности (п. 3 ст. 1 Федерального закона от 3 декабря 2008 г. № 242-ФЗ «О государственной геномной регистрации в Российской Федерации»). Принимая во внимание, что единственной причиной сбора и хранения подобного рода биологического материала является наличие в нем информации, составляющей персональные данные, приравнивание биологического материала к персональным данным не лишено определенной логики. Так, ЕСПЧ в одном из решений указал, что «учитывая характер и объем информации личного характера, которая содержится в образцах клеток, их хранение должно само по себе считаться вмешательством государства в осуществление человеком права на уважение его личной жизни. В связи с этим не имеет значения, что в действительности из них извлекается или используется властями для создания профиля ДНК лишь ограниченная часть этой информации и что в каком-то конкретном случае не произошло немедленного ухудшения положения человека». Как следствие, указанные объекты были отнесены к персональным данным (§ 68, 73 Постановления ЕСПЧ от 4 декабря 2008 г. по делу S. и Марпер (S. and Marper) против Соединенного Королевства, жалобы № 30562/04, 30566/04).

В контексте российской правовой системы рассматриваемые вопросы могут быть не столь актуальны по причине наличия специального регулирования порядка сбора, хранения и использования биологического материала. Однако его проработанность сильно уступает степени детализации законодательства о персональных данных, в связи с чем приравнивание биологического материала к персональным данным могло бы способствовать восполнению возможных пробелов в регулировании.

б) Информация должна иметь определенное отношение к физическому лицу. Такое отношение может иметь место в случаях, когда такая информация:

1) в силу своего содержания касается определенного лица (например, результаты медицинских анализов конкретного лица);

2) имеет своей целью оценку деятельности некоего лица или может повлиять на статус такого лица, в том числе посредством принятия каких-либо решений в отношении него (например, сведения о посещенных лицом страницах в сети «Интернет» и (или) об участии в определенных группах в социальных сетях в тех случаях, когда они используются для целей составления профайла пользователя для направления ему таргетированной рекламы, принятия решения о его трудоустройстве или определения индивидуальной цены товара (услуги));

3) имеет технический характер (например, данные устройств, используемых физическим лицом) и используется для технических целей, но может при желании оператора применяться для целей, которые имеют влияние на права и обязанности индивида. Например, геолокационные данные машин, входящих в таксопарк, могут использоваться преимущественно для целей обеспечения бизнес-процессов таксопарка – сокращения времени ожидания, оптимизации маршрутов, экономии бензина и пр. Однако одновременно они могут использоваться для оценки качества труда таксистов. В этой связи указанные данные также «имеют отношение» к физическому лицу3838
  Opinion 4/2007 оn the Сoncept of Рersonal Data. WP 136, 20 June 2007. Article 29 Data Protection Working Party. P. 11. URL: http://ec.europa.eu/justice/data-protection/article-29/ documentation/opinion-recommendation/files/2007/wp136_en.pdf


[Закрыть]. Вместе с тем документы, представляющие собой правовой анализ соответствия индивида требованиям законодательства для целей получения им определенного статуса, по мнению Суда ЕС, не являются персональными данными, представляя собой акт правоприменения и толкования закона (см.: YS v. Minister voor Immigratie, ECJ Joined Cases C-141/12 & C-372/12. 17 July 2014.).

в) Информация относится к прямо или косвенно к определенному или определяемому лицу, т.е. обладает определенным идентифицирующим потенциалом. Данный элемент является самым сложным и запутанным для понимания и интерпретации. В самом общем виде предполагается, что на основании информации либо можно точно идентифицировать лицо («прямо определенное» лицо), либо имеется возможность это сделать с привлечением иных данных («косвенно определяемое» лицо). Точная идентификация лица будет иметь место в случае соотнесения соответствующей информации с фамилией, именем и отчеством (при наличии) лица. Именно данные сведения являются основным идентификатором гражданина в гражданском обороте, поскольку гражданин приобретает и осуществляет права и обязанности под своим именем (п. 1 ст. 19 ГК РФ). Косвенная идентификация предполагает возможность отнесения к персональным данным информации, которая сама по себе хотя и не указывает однозначно на имя конкретного лица, но содержит описание каких-либо его индивидуальных характеристик, позволяющих отграничить его от других субъектов, выделить из круга лиц, к которому он принадлежит, или, по крайней мере, сузить такой круг лиц3939
  В некоторых странах, например, в Финляндии и Норвегии, законодательство о персональных данных допускает признание информации персональными данными, даже если она относится не к конкретному индивиду, а к семье или домовладению. См.: Bygrave A. Data Privacy Law: An International Perspective. Oxford: University Press. 2014. P. 135.


[Закрыть]. Например, лицо может быть косвенно идентифицировано на основании данных о трафике (метаданных), в частности, сведений об установленных соединениях с указанием времени и продолжительности соединения, номеров или IP-адресов устройств, участвующих в коммуникации4040
  Так, Стэнфордский университет опубликовал исследование, согласно которому метаданные телефонных переговоров (номера телефонов абонентов, время и продолжительность звонка либо время и количество символов sms-сообщений) позволяют без особых проблем идентифицировать личность абонента, устанавливать его связи с другими лицами, а также выводить «чувствительные» персональные данные: политические, религиозные, сексуальные взгляды и предпочтения субъекта, состояние его здоровья и ряд других. См.: Mayer J. et al. Evaluating the Privacy Properties of Telephone Metadata. Stanford University. 1 March 2016. URL: http://www.pnas.org/content/113/20/5536


[Закрыть]. Также лицо может быть косвенно идентифицировано на основании данных его логина (никнейма), используемых в различных интернет-сервисах; данных с камер видеонаблюдения, реквизитов банковской карты, сведений о принадлежащей лицу собственности и пр. Все это позволяет отнести указанные данные к категории персональных данных, учитывая существующие формулировки их дефиниции. В качестве консервативного и относительно безопасного ориентира для определения критерия косвенной идентификации можно предложить следующий: если данные позволяют выделить некоего индивида из множества лиц и использовать в отношении него особую модель взаимодействия, то такое лицо является определяемым, а соответствующая информация – его персональными данными.

Ключевую роль в квалификации информации, дающей возможность косвенно определить физическое лицо, в качестве персональных данных играет анализ средств, которые позволяют это сделать. К сожалению, Закон о персональных данных не содержит никаких указаний на них, в этой связи целесообразно обратиться к положениям европейского права. В п. 26 Преамбулы Директивы 1995 г. указано, что «для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть вероятно (likely) и разумно (reasonably) использованными либо оператором, либо любым иным лицом для идентификации указанного лица». Исходя из анализа этого положения можно сделать два основных вывода:

1) в качестве идентифицирующего лица может выступать любое лицо, а не только оператор, что расширяет понятие «персональные данные», поскольку не требуется концентрироваться исключительно на анализе возможностей отдельно взятого оператора;

2) в качестве критериев, которыми надо руководствоваться при анализе вероятности отнесения данных к личности субъекта таким «любым лицом», фигурируют (а) вероятность и (б) разумность их использования.

Вероятность использования данных должна оцениваться с учетом всех обстоятельств. К примеру, она гораздо выше у компаний, использующих продвинутые технологии анализа данных в своих бизнес-процессах (финансовые организации, организации связи, социальные сети, крупные онлайн-магазины и др.), чем у небольших организаций, которые не могут позволить себе использование таких технологий (риск-ориентированный подход в действии). Разумность по общему правилу должна предполагать возможность идентификации лица с привлечением правомерных средств, т.е., например, без взлома компьютерных систем или незаконного доступа к базам данных третьих лиц, в том числе государственных органов4141
  См.: Bygrave A. Data Privacy Law: An International Perspective. Oxford: University Press, 2014. P. 132. См., также: Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14. 19 October 2016.


[Закрыть].

Если у оператора есть два набора данных, каждый из которых не позволяет определить лицо, но в совокупности они могут это сделать, то каждый из таких наборов данных может быть квалифицирован как персональные данные, поскольку может рассматриваться в качестве информации, относящейся к косвенно определяемому лицу.

В этой связи возникает вопрос: следует ли при решении вопроса о квалификации данных в качестве персональных принимать во внимание массивы данных, находящиеся во владении у конкретного оператора, или же следует учитывать потенциальную возможность совместного использования их с информацией, находящейся во владении других операторов? Согласно позиции Суда ЕС данные о динамических IP-адресах, собранные онлайн-сервисом, являются персональными данными при одновременном выполнении следующих условий:

1) они могут идентифицировать конкретного субъекта в совокупности с данными, которые имеются у интернет-провайдера такого субъекта, и

2) у онлайн-сервиса есть потенциальный доступ к таким данным интернет-провайдера.

В рассматриваемом случае Суд счел, что такой доступ у онлайн-сервиса был, поскольку указанные сведения могли быть запрошены у интернет-провайдера при возникновении необходимости расследования неправомерных действий третьих лиц в отношении онлайн-сервиса, например, DDoS-атак4242
  Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14. 19 October 2016. Следует отметить, что ранее Европейский Суд Справедливости уже указывал, что IP-адрес относится к персональным данным. См.: Scarlet Extended SA v. SABAM, ECJ, Case C 70/10. 24 November 2011.


[Закрыть]. Учитывая, что благодаря технологиям «больших данных» существует потенциальная возможность сотрудничества в сфере совместной обработки массивов данных, которые могут принадлежать различным операторам, данное решение выглядит вполне логичным. Однако не менее очевидно, что оно чрезмерно расширяет понятие персональных данных, увеличивая как издержки операторов, связанные с исполнением законодательства о персональных данных, так и риски принятия ими неправильных решений о статусе обрабатываемой информации.

г) Субъектами персональных данных могут выступать только физические лица. Контактные данные и реквизиты юридического лица, а также иные сведения, по которым можно его определить, не охватываются понятием персональных данных. Во многом это связано с тем, что основной вид персональных данных юридического лица – фирменное наименование – обладает защитой в рамках специального правового режима, а данные о представителях юридического лица – физических лицах охватываются общим правовым режимом законодательства о персональных данных. Кроме того, отнесение юридических лиц к числу субъектов персональных данных могло бы повлечь негативные последствия для коммерческого оборота как посредством создания дополнительных условий для недобросовестной конкуренции, так и вследствие дополнительных ограничений на трансграничный обмен информацией.

Персональными данными могут признаваться сведения не только о живом, но и об умершем физическом лице. Данный вывод следует из положений ст. 9 Закона о персональных данных, в которой говорится, что «в случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни». Материалы судебной практики демонстрируют актуальность вопроса об обеспечении надлежащей защиты персональных данных умерших лиц. В ряде случаев соответствующая организация на основании достигнутых с медицинскими учреждениями договоренностей на безвозмездную перевозку тел умерших получает приоритетный доступ к персональным данным умерших и их родственников, что дает ей возможность в первоочередном порядке предлагать свои услуги родственникам умерших. И хотя судами данная ситуация рассматривается преимущественно через призму законодательства о защите конкуренции (см. постановления Семнадцатого арбитражного апелляционного суда от 28 августа 2014 г. по делу № А50-2319/2014; ФАС Уральского округа от 26 марта 2013 г. по делу № А60-25035/2012; решения арбитражного суда Республики Бурятия от 29 декабря 2014 г. по делу № А10-4767/2014; арбитражного суда Свердловской области от 26 декабря 2013 г. по делу № А60-22167/2013), она неплохо иллюстрирует возможную ценность персональных данных умерших лиц и возможное их использование для вторжения в личную сферу родственников умершего и причинения им моральных страданий.

С учетом вышеизложенного, персональные данные можно разделить на три группы:

1) персональные данные, которые предоставляются самим субъектом (например, размещаются им в социальной сети);

2) персональные данные, которые появляются в процессе использования субъектом определенного сервиса (например, геолокационные данные или метаданные);

3) персональные данные, которые являются результатом анализа данных первых двух групп, в том числе посредством инструментов аналитики «больших данных», и представляют собой оценку субъекта персональных данных (например, его кредитный рейтинг)4343
  Personal Data: The Emergence of a New Asset Class. World Economic Forum, January 2011. URL: https://www.weforum.org/reports/personal-data-emergence-new-asset-class; Recommendation 1/2001 on Employee Evaluation Data. Article 29 Data Protection Working Party. 22 March 2001.


[Закрыть].

3. Судебная практика по вопросам квалификации персональных данных не отличается единообразием. Многие суды исходят из основанного на устаревших нормативных актах узкого понимания понятия персональных данных как информации, которая позволяет однозначно идентифицировать лицо. В частности, они не признают персональными данными ИНН (Апелляционное определение Санкт-Петербургского городского суда от 3 февраля 2015 г. по делу № 2-3097/2014), СНИЛС (Решение Белоглинского районного суда Краснодарского края от 22 июня 2014 г. по делу № 2-300/2014 № 2-300/2014), номер паспорта (Определение Московского городского суда от 29 февраля 2012 г. № 33-6709; Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010), поскольку, по их мнению, на основании такой информации нельзя идентифицировать конкретное лицо.

В качестве яркой иллюстрации данной логики можно привести мотивировку одного из решений, в котором суд пришел к выводу об отсутствии нарушений Закона о персональных данных, «поскольку запрашиваемая сотрудниками банка информация в отношении В., высказывания работников ответчиков не содержат персонифицированных и детализированных данных, работниками ответчиков не назывались ни адрес места проживания лица, ни год, месяц, дата и место рождения, семейное, социальное, имущественное положение, образование, профессия, доходы, а также другая информация, по которой возможно идентифицировать конкретное лицо» (Апелляционное определение Московского городского суда от 28 января 2014 г. по делу № 33-5461).

В другом деле суд не признал персональными данными имя, отчество, название улицы и номер дома, где проживает данное лицо, поскольку в совокупности они не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума, а также поскольку «отсутствует указание на фамилию, что не позволяет идентифицировать лицо, о котором идет речь» (Определение Приморского краевого суда от 9 сентября 2013 г. по делу № 33-7063).

Напротив, информация, включающая ФИО субъекта, обычно признается судами персональными данными, например, информация о задолженности по коммунальным платежам, включающая в себя ФИО лица, адрес его проживания и размер задолженности по оплате коммунальных платежей (Постановление Нижегородского областного суда от 12 мая 2015 г. по делу № 4а-288/2015; Кассационное определение Пермского краевого суда от 1 августа 2011 г. по делу № 33-7668); данные в заявке на выдачу кредита, в которой фигурировали ФИО лица, его паспортные данные, место жительства, дата рождения и другие данные (Апелляционное определение Тульского областного суда от 28 апреля 2015 г. по делу № 33-850); информация, содержащаяся в техническом паспорте на дом, включающая ФИО лица, паспортные данные, документ о праве собственности (Определение Приморского краевого суда от 28 апреля 2014 г. по делу № 33-3718).

Следует отметить, что существует и иная судебная практика, которая исходит из широкого понимания понятия персональных данных, согласно которому под персональными данными понимаются сведения, хотя и не позволяющие однозначно определить конкретное лицо, но дающие возможность сделать это косвенным образом. Например, персональными данными была признана информация о соединениях и трафике конкретного абонента, хотя имя конкретного абонента не фигурировало. При этом довод ответчика о том, что указанные данные являлись обезличенными, поскольку не позволяли определить личности конкретных абонентов, был отклонен судом как противоречащий закону (Решение Арбитражного суда г. Москвы от 25 мая 2016 г. по делу № А40-51869/2016-145-449).

Аналогичным образом другой суд признал персональными данными статистическую информацию, необходимую для последующего предоставления адресной рекламы физическому лицу, состоящую из сведений о его поисковых запросах и просмотренных страницах. При этом данные о ФИО конкретного абонента также не фигурировали, а использовался хэш-ID пользователя (уникальный идентификатор активного пользователя) (Постановление Тринадцатого апелляционного арбитражного суда от 1 июля 2016 г. по делу № А56-6698/2016). Существуют решения, в которых суды более определенно указали, что такого рода сведения представляют собой персональные данные, поскольку относятся к «определенному или определяемому косвенно (курсив мой. – А.С.) лицу» (Решение Арбитражного суда г. Москвы от 11 марта 2016 г. по делу № А40-14902/2016-84-126), а также что предоставляемая информация является персональными данными даже несмотря на то, что «не позволяет однозначно идентифицировать пользователя или конкретное физическое лицо… Такой информации достаточно для того, чтобы третьи лица смогли определить, к кому данная информация относится, в целях направления ему определенной рекламы. На этом основании не представляется возможным квалифицировать такие сведения в качестве обезличенных данных, поскольку они предоставляют возможность косвенно определить субъекта, к которому они относятся» (Решение Арбитражного суда г. Москвы от 29 марта 2016 г. по делу № А40-14900/2016-94-126).

В другом случае суд признал, что номер лицевого счета, площадь помещения, сумма начисления и (или) задолженности, показания и номер электрического счетчика являются персональными данными, поскольку указанная информация относится к определяемому физическому лицу (Постановление Восемнадцатого арбитражного апелляционного суда от 9 декабря 2013 г. №18АП-13107/2013 по делу № А34-3659/2013).

По аналогичным соображениям адрес электронной почты, привязанный к принадлежащему лицу телефонному номеру, был признан судом персональными данными, с распространением на порядок обработки такого адреса электронной почты требований законодательства о персональных данных и признанием незаконным направленияе сообщений рекламного характера после отзыва согласия субъектов персональных данных (Апелляционное определение Новосибирского областного суда от 27 сентября 2016 г. по делу № 33-9626/2016).

Таким образом, выводы отдельных специалистов о том, что отечественная судебная практика исходит из консервативной позиции при определении объема понятия «персональные данные»4444
  См.: Наумов В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий // Российский юридический журнал. 2016. № 2; см. также: Буркова А.Ю. Определение понятия «персональные данные» // Право и экономика. 2015. № 4.


[Закрыть], нуждаются в некотором уточнении.

4. В отечественной доктрине встречаются различные мнения относительно содержания понятия «персональные данные». Ряд специалистов высказываются в пользу «узкого» толкования данного термина, относя к персональным данным лишь информацию, которая позволяет однозначно идентифицировать лицо. Помимо ссылок на некоторые устаревшие или отмененные нормы в качестве аргументов приводятся соображения об обеспечении таким подходом сформулированных Конституционным Судом РФ требований правовой определенности норм, предполагающих точность, ясность и недвусмысленность правовых норм, без чего не может быть обеспечено единообразное понимание и применение таких норм, а значит, и равенство всех перед законом4545
  См., например: Постановление Конституционного Суда РФ от 8 апреля 2014 г. № 10-П. Данный аргумент упоминается в комментарии представителей Роскомнадзора к Закону о персональных данных при изложении результатов деятельности рабочей группы Консультативного Совета при Роскомнадзоре «по определению матрицы персональных данных». См.: Федеральный закон «О персональных данных»: Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 15.


[Закрыть]. Кроме того, предпринимаются попытки «увязать» понятие персональных данных с целями законодательства о персональных данных, указанных в ст. 2 Закона о персональных данных: если обработка соответствующих данных не может привести к нарушению права на неприкосновенность частной жизни (а это актуально для обезличенных данных или данных, которые не позволяют однозначно определить индивида), то нет оснований квалифицировать такую информацию как персональные данные с распространением на нее соответствующего правового режима4646
  См.: Наумов В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий // Российский юридический журнал. 2016. № 2.


[Закрыть].

Приведенные аргументы безусловно представляют интерес, но в целом не выглядят очень убедительными. Сложно оправдать намеренное игнорирование отдельных элементов данной в законе дефиниции стремлением к обеспечению правовой определенности нормы. Можно ли оправдать «узкий» подход к определению объема понятия персональных данных как информации, позволяющей однозначно идентифицировать лицо, в условиях, когда дефиниция прямо указывает на возможность отнесения к персональным данным информации, касающейся косвенно определяемого лица? Здесь уместно привести толкование Суда ЕС по данному поводу, согласно которому использование слова «косвенно» в дефиниции персональных данных означает, что «для квалификации информации в качестве персональных данных не обязательно, чтобы ее самой по себе было достаточно для идентификации индивида» (Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14. 19 October 2016. § 41).

Что касается аргумента о взаимосвязи понятия персональных данных с целями законодательства о персональных данных, то он также не представляется убедительным, поскольку, во-первых, как было продемонстрировано в комментарии к ст. 2 Закона о персональных данных, исключительно защитой неприкосновенности частной жизни, личной и семейной тайны цели законодательства о персональных данных не исчерпываются, а во-вторых, непонятно, почему только понятие персональных данных должно «увязываться» с целями данного законодательства, ведь, следуя логике сторонников вышеуказанной позиции, надо все дефиниции и положения Закона о персональных данных соотносить с целями, указанными в ст. 2, тем самым сводя его юридическое содержание к политико-правовым соображениям.

Также сложно согласиться с тем, что при использовании «широкого» подхода к дефиниции персональных данных практически любая информация приобретет статус персональных данных. Абстрактная информация, статистическая информация, исключительно техническая информация (если только она не связана с устройствами, принадлежащими конкретным физическим лицам), как правило, не будут охватываться понятием персональных данных. Иллюстрацией служит дело, рассматривая которое суд вполне обоснованно не признал персональными данными информацию о количестве зарегистрированных жителей в почтовых адресах в цифровом значении, поскольку это не «конкретная информация, прямо или косвенно относящаяся к какому-либо конкретному лицу» (Апелляционное определение Московского областного суда от 12 октября 2016 г. по делу № 33а-25712/2016).