Текст книги "Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»"

Перепост информации в социальных сетях, равно как и проставление «лайка», который влечет появление данного материала в ленте «друзей» пользователя, также могут быть квалифицированы в качестве распространения такой информации, за исключением случаев, когда настройки приватности ограничивают доступ к информации этого пользователя определенным кругом лиц («друзей»). В последнем случае при совершении перепостов и проставлении «лайков» корректнее говорить о предоставлении персональных данных.

3. Правовой режим распространения персональных данных практически идентичен режиму предоставления данных, поскольку в большинстве специальных норм Закона о персональных данных они обычно упоминаются совместно (см., например, ст. 7, ч. 1, 10, 11 ст. 19, п. 2 и 3 ч. 2 ст. 22). Однако в одном случае речь идет исключительно о распространении – при обработке персональных данных участников религиозной организации без согласия субъекта (см. комментарий к п. 5 ч. 2 ст. 10 Закона).

Понятие предоставления персональных данных

1. Предоставление персональных данных является частным случаем передачи персональных данных и означает действия по раскрытию таких данных определенному лицу или определенному кругу лиц. Частным случаем предоставления персональных данных является их передача по запросу уполномоченного государственного органа. При этом имеет место обработка таких данных, которая может осуществляться без согласия субъекта (п. 2 ч. 1 ст. 6 Закона о персональных данных).

2. В некоторых случаях в качестве синонима понятия «предоставление персональных данных» Закон использует термин «раскрытие третьим лицам» (ст. 7, п. 3 ч. 2 ст. 22 Закона о персональных данных). По-видимому, это следует объяснить недочетами юридической техники закона, в котором фрагментарно сохранились «остатки» прежней терминологии после поправок 2011 г.

3. В отношении персональных данных, которые одновременно выступают объектом иного режима охраняемой законом тайны, правовые акты, регулирующие такие виды тайны, также используют термин «предоставление», правда, без его дефиниции. В частности, согласно ст. 13 Федерального закона от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных ч. 3 и 4 указанной статьи. При этом в ст. 4 данного Закона говорится о «предоставлении сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя». Представляется, что понятие «предоставление», использованное в приведенной норме, должно толковаться в том же значении, что и в Законе о персональных данных, и охватывать только случаи передачи сведений, составляющих врачебную тайну, лишь конкретным лицам, исключая возможность предоставления к ним доступа неопределенному кругу лиц.

Понятие блокирования персональных данных

1. Блокирование персональных данных выступает одним из способов обработки персональных данных и в самом общем виде представляет собой намеренное создание невозможности доступа и использования таких данных при одновременном обеспечении их сохранности. Последний признак отличается от уничтожения, которое предполагает необратимое прекращение существования таких данных.

2. Блокирование персональных данных представляет собой временную меру, принимаемую либо на период проверки наличия или отсутствия оснований для уничтожения таких данных в связи с возможной неправомерностью их обработки (см. комментарий к ст. 21 настоящего Закона), либо на период, необходимый для уточнения обрабатываемых данных по запросу субъекта персональных данных. Именно поэтому дефиниция «блокирование персональных данных», приведенная в Законе, предусматривает исключение из общего принципа недоступности заблокированных данных для обработки в отношении единственного способа обработки – уточнения персональных данных.

Понятие уничтожения персональных данных

1. Под уничтожением персональных данных в комментируемой статье понимается (1) необратимое прекращение существования персональных данных, которое может принимать форму уничтожения носителя таких данных, либо 2) необратимое уничтожение данных с носителя без ликвидации самого носителя. Последняя форма актуальна для цифровых данных, где носитель может быть использован многократно. В данном случае уничтожение данных должно осуществляться по определенным алгоритмам, чтобы предотвратить возможность их восстановления с использованием специального программного обеспечения. Алгоритмы уничтожения информации стандартизированы. Во многих государствах изданы национальные стандарты, нормы и правила, регламентирующие использование программных средств для уничтожения информации и описывающие механизмы его реализации. В России к числу таких документов можно отнести руководящий документ Государственной технической комиссии России от 30 марта 1992 г. «Автоматизированные системы. Защита от несанкционированного доступа к информации.

Классификация автоматизированных систем и требования по защите информации»6060
  http://fstec.ru/component/attachments/download/296/RD_1992.03.30_1.pdf


[Закрыть], предусматривающий ряд требований к механизму уничтожения информации для систем определенных классов защищенности. В частности, для классов 3А и 2A «очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов)», для класса 1Г предусмотрена однократная перезапись.

2. Согласно разъяснениям Роскомнадзора порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом. Комиссия создается на основании приказа уполномоченного лица оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта являются оформление соответствующего акта о прекращении обработки персональных данных и регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждается самим оператором6161
  Информация Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных» // СПС «КонсультантПлюс».


[Закрыть].

Понятие обезличивания персональных данных

1. Под обезличиванием персональных данных понимается один из способов обработки персональных данных, в результате которого становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

Обезличивание персональных данных является одной из мер, направленных на минимизацию рисков причинения вреда гражданам в случае «утечки» их персональных данных из информационных систем6262
  См. подп. «з» п. 1 постановления Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».


[Закрыть]. Обезличивание персональных данных выполняет важную социальную функцию, обеспечивая автономию личности человека и его «недосягаемость» для тех, кто не согласен с высказанным лицом мнением либо является потенциально враждебным к тем чертам, которые у этого лица имеются (наличие определенных заболеваний, происхождение, убеждения и т.д.)6363
  Nissenbaum H. The Meaning of Anonymity in an Information Age // The Information Society. No. 15:2. 1999. P. 142.


[Закрыть].

2. В настоящее время требования и методы по обезличиванию персональных данных утверждены приказом Роскомнадзора от 5 сентября 2013 г. № 9966464
  Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ»).


[Закрыть]. Сфера применения данного приказа формально ограничена государственными и муниципальными органами, однако de facto применяется в качестве ориентира и частными операторами за неимением иных источников. Среди методов обезличивания этот приказ упоминает следующие:

● введение идентификаторов (замена части сведений, составляющих персональные данные, идентификаторами с созданием таблицы соответствия таких идентификаторов исходным данным);

● изменение состава или семантики (обобщение, изменение значений атрибутов персональных данных или удаление части сведений, позволяющих идентифицировать субъекта);

● декомпозиция (разделение массива персональных данных на несколько составляющих частей с последующим их раздельным хранением);

● перемешивание (перестановка отдельных значений атрибутов персональных данных в массиве).

Конкретный метод выбирается оператором в зависимости от целей и задач обработки персональных данных, учитывая, что обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.

3. Одним из наиболее важных вопросов, возникающих при применении законодательства о персональных данных, является следующий: относятся ли обезличенные данные к категории персональных данных или представляют собой особый вид данных, на который не распространяется режим персональных данных? Закон о персональных данных не дает прямого ответа на данный вопрос. Систематический анализ положений, содержащихся в вышеназванном приказе Роскомнадзора, позволяет сделать вывод о том, что обезличивание персональных данных выводит их за рамки действия Закона о персональных данных. Это следует из приведенного в указанном документе понятия «де-обезличивание», определенного как «действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными» (курсив мой. – А.С.).

В отечественной судебной практике также возникает немало споров, во время которых суды соглашаются с тем, что обезличенные данные не являются персональными (см., например, решение Верховного Суда РФ от 26 января 2011 г. № ГКПИ10-1510; Постановление Девятого арбитражного апелляционного суда от 12 марта 2008 г. по делу № А40-33797/07-47-306; решение Арбитражного суда Удмуртской области по делу № А71-6910/2013 от 25 сентября 2013 г.).

Вместе с тем в судебной практике существует и иной подход. Ранее уже приводились примеры споров, в которых информация, не позволяющая однозначно идентифицировать лицо, признавалась персональными данными. Представляется, что такой подход более соответствует букве и духу положений Закона о персональных данных. Во-первых, само понятие обезличивания предполагает приведение информации к тому состоянию, которое характеризует возможность косвенной идентификации лица посредством привлечения дополнительной информации. Во-вторых, одна из немногих статей, посвященных особенностям обезличенных данных, касается случаев обработки персональных данных без согласия субъекта (п. 7 ч. 1 ст. 6 Закона о персональных данных): «…обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных (курсив мой. – А.С.)». При этом данное положение использует формулировку «хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных (курсив мой. – А.С.)», тем самым намекая на возможность существования персональных данных в форме, не позволяющей определить субъекта персональных данных. Иными словами, закон сам говорит о том, что обработка обезличенных данных является обработкой персональных данных. Наконец, в-третьих, такой подход соответствует европейскому, согласно которому, если обезличенные данные являются обратимыми, т.е. могут быть возвращены к исходному состоянию, то они относятся к категории информации, которая может косвенно определить лицо, а следовательно, являются персональными данными6565
  Opinion 4/2007 On the concept of personal data. WP 136, 20 June 2007. Article 29 Data Protection Working Party. P. 18. URL: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf


[Закрыть].

4. В зарубежной литературе подчеркивается, что в эпоху «больших данных» информация может либо представлять ценность для обработки, либо быть анонимной, но одновременно и тем, и другим она не может быть никогда6666
  Ohm P. Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization // UCLA Law Review No. 57. 2010. P. 1704.


[Закрыть]. Чем больше степень обезличивания данных, тем меньше ценность таких данных для анализа. Таким образом, в новых технологических реалиях обезличивание данных уже не может выполнять функцию эффективного средства защиты персональных данных и в более глобальном смысле – в частной жизни граждан. Рост производительности и доступности вычислительных мощностей, а также огромный массив доступной в сети «Интернет» личной информации обусловливают техническую возможность деанонимизации даже тщательно обезличенных данных с учетом того, что любые обезличенные данные всегда имеют какой-либо атрибут, относящийся к личности.

В этой связи новое европейское законодательство пошло по пути дифференциации понятий псевдоанонимизации данных и анонимизированных данных. Псевдоанонимизация представляет собой способ обработки персональных данных, в результате которого становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту, при условии, что такая дополнительная информация хранится отдельно и в отношении ее принимаются организационные и технические меры, обеспечивающие ее неиспользование для соотнесения с определенным или определяемым лицом (ст. 4 (5) Регламента 2016 г.). Анонимизированность данных предполагает такую степень обезличенности данных, при которой последние не относятся к определенному или определяемому лицу. Такие данные не являются персональными и не подпадают под действие законодательства о персональных данных. При разграничении указанных понятий принимается во внимание наличие возможности осуществления их деобезличивания разумными средствами оператором или иным лицом. При этом принимаются во внимание материальные и временные затраты, которые оператор должен понести для этого, а также уровень развития технологий на момент совершения процесса обработки (п. 26 Преамбулы Регламента 2016 г.).

Таким образом, обезличенные (псевдоанонимизированные – по терминологии Регламента 2016 г.) данные по новому европейскому законодательству по общему правилу рассматриваются в качестве персональных данных, а сами действия по обезличиванию − как одно из средств защиты персональных данных, при обработке которых в ряде случаев действуют некоторые послабления6767
  См. п. 26 Преамбулы к Регламенту 2016 г.


[Закрыть].

Понятия информационной системы персональных данных и базы данных

1. Понятие информационной системы персональных данных по сути является воспроизведением понятия информационной системы, которое содержится в Законе об информации, с одним уточнением − указанием на особый характер обрабатываемой в ней информации в виде персональных данных. Согласно п. 3 ст. 2 Закона об информации под информационной системой понимается совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Таким образом, в соответствии с данной трактовкой рассматриваемого понятия информационная система персональных данных имеет место только при автоматизированной обработке, в отличие от прежней дефиниции этого понятия, которое охватывало и обработку данных без использования средств автоматизации.

2. База данных является всего лишь одним из элементов информационной системы наряду с техническими средствами и иными информационными технологиями, используемыми при обработке информации. Данное разграничение особенно важно с учетом требования о локализации отдельных процессов обработки персональных данных (ч. 5 ст. 18 Закона о персональных данных), которое предусматривает обязанность нахождения на территории Российской Федерации именно базы данных, а не всей информационной системы персональных данных. Понятие «информационная система персональных данных» используется для «обслуживания» вопросов, связанных с информационной безопасностью – при формулировании организационных и технических мер по обеспечению безопасности персональных данных в ходе их обработки в информационных системах персональных данных и уровней защищенности таких данных (см. ст. 19 Закона о персональных данных и комментарий к ней).

3. Ни Закон о персональных данных, ни Закон об информации не содержат определения базы данных, в связи с чем следует обратиться к дефиниции базы данных, используемой в гражданском законодательстве. В соответствии с п. 2 ст. 1260 ГК РФ базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ). Стоит отметить, что отдельные представители Роскомнадзора дают более широкое толкование понятия «база данных», понимая под ней «упорядоченный массив данных, независимый от вида материального носителя информации, и используемых средств его обработки (архивы, картотеки, электронные базы данных)». Так, например, базой данных, по их мнению, «можно считать таблицу в форматах Excel или Word, в которой содержатся персональные данные граждан»6868
  См.: Комментарий к Федеральному закону от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». C. 10.


[Закрыть]. Данный подход объясняется представителями Роскомнадзора тем, что «в законодательстве Российской Федерации существует много понятий баз данных, тем не менее все они сводятся к одному общему значению, которое и приведено выше». Оставляя в стороне весьма спорное заявление о наличии множества понятий баз данных в российском законодательстве, обратим внимание на тот факт, что предлагаемое представителями Роскомнадзора понятие «база данных» дословно совпадает с дефиницией, которая содержится в Модельном законе СНГ «О персональных данных» 1999 г.6969
  Принят в г. Санкт-Петербурге на 14-ом пленарном заседании Межпарламентской ассамблеи государств − участников СНГ Постановлением от 16 октября 1999 г. № 14-19.


[Закрыть] Данный документ хотя и можно рассматривать в качестве авторитетного источника, но формально он не имеет юридической силы и не может выступать в качестве акта, регулирующего «в рамках СНГ международные отношения в сфере защиты прав субъектов персональных данных»7070
  Иная позиция у представителей Роскомнадзора. См.: Федеральный закон «О персональных данных»: Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 25.


[Закрыть].

Понятие трансграничной передачи персональных данных

1. Трансграничная передача персональных данных представляет собой отдельный вид обработки таких данных, заключающийся в передаче их «на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». Ранее содержавшееся в указанной дефиниции указание на пересечение Государственной границы Российской Федерации было удалено как не соответствующее реалиям информационных процессов, происходящих в сети «Интернет», которая в силу своего трансграничного, децентрализованного и виртуального характера не позволяет четко обозначить географические границы определенной деятельности. В европейском законодательстве используется несколько иное, чуть более широкое понимание трансграничной передачи данных – как действий по передаче данных на территорию третьих стран (не являющихся членами Европейского Союза) или международных организаций (ст. 25 (1) Директивы 1995 г.; ст. 45 (1) Регламента 2016 г.). При этом национальная принадлежность получателя таких данных в третьей стране не имеет значения.

2. Квалифицирующими признаками трансграничной передачи персональных данных по российскому праву являются факты попадания персональных данных:

1) на территорию иностранного государства;

2) под контроль иностранного лица и

3) в результате целенаправленной деятельности оператора.

Указанные признаки позволяют выделить основной критерий трансграничной передачи данных: результатом такой передачи является попадание персональных данных под юрисдикцию другого государства с одновременным выбытием из-под юрисдикции Российской Федерации. Таким образом, если оператор − российское юридическое лицо передает персональные данные в свое представительство, находящееся за рубежом, то трансграничной передачи нет, поскольку данные не передаются иностранному лицу, а передаются самому себе (отсутствует признак 2). По этой же причине не будет трансграничной передачи данных в ситуациях, когда сотрудник организации едет в зарубежную командировку с ноутбуком, на котором записаны персональные данные иных лиц.

Нельзя говорить о трансграничной передаче персональных данных и в тех случаях, когда данные остаются на территории Российской Федерации, хотя и попадают к иностранному лицу, которое находится на его территории (отсутствие признака 1). Размещение персональных данных на интернет-сайте, хостинг которого осуществляется в России, но доступен по всему миру, само по себе не является трансграничной передачей данных. В данном случае инициатором передачи информации будет являться не владелец интернет-сайта, а пользователь, который «сам приходит» на данный ресурс и тем самым инициирует процесс передачи ему соответствующих данных (отсутствие признака 3). Аналогичным образом осуществляемый вследствие алгоритмов протокола TCP/IP «транзит» данных через территорию третьих стран при передаче данных в сети «Интернет» также не является их трансграничной передачей. Иной подход вступал бы в противоречие с архитектурой сети «Интернет» и информационных процессов, происходящих в ней, превращая нормы о трансграничной передаче данных в неисполнимые на практике. Подробнее о трансграничной передаче данных см. комментарий к ст. 12 Закона о персональных данных.