Аннотация. В статье освещаются особенности российского законодательства в контексте отношения к международному регулированию автоматизированной обработки данных в цифровой среде, проводится сравнение и противопоставление этого подхода защите персональных данных. Кроме того, авторы стремятся подчеркнуть одно из основных противоречий, присущих стремительно развивающейся цифровой эпохе: публичный доступ к информации создает противоречие между прозрачностью и неприкосновенностью частной жизни из-за приоритета общедоступных данных (информации) в российской практике.
Ключевые слова: права человека, интернет, персональные данные, защита частной жизни, большие данные
Введение
В наш цифровой век безопасность персональных данных, которая считается основным конституционным правом, приобретает все большее значение. На правовом уровне это означает разрешение типичного конфликта между общественными и частными интересами — между открытостью и секретностью.
Система защиты прав человека сложна, динамична и постоянно меняется под влиянием внешних факторов. Именно интернет, как мощный неполитический фактор, коренным образом изменил законодательство, создав новые так называемые цифровые права — например, право на забвение или право доступа. С другой стороны, цифровой капитализм и искусственный интеллект в настоящее время сталкиваются с правовой реальностью и теоретическими соображениями о том, может ли робот обладать правами.
Таким образом, поиск адекватного баланса внутри самой системы защиты прав человека приобретает первостепенное значение. Практика, например, решения Конституционного суда Российской Федерации, показывает, что ограничение распространения персональных данных направлено на достижение справедливого баланса между ценностями, защищаемыми на уровне конституции.
Наиболее интересными областями исследования являются согласование прав человека с другими глобальными интересами, например, с глобальной торговлей; с быстро развивающимися технологиями, а также с правовой организацией прав; не только с точки зрения их внутреннего, но и внешнего баланса.
Правовое регулирование защиты персональных данных.
Сейчас все страны и международные организации активно занимаются переводом всего в цифру. Если посмотреть, какие законы они при этом принимают, можно понять, что сейчас в мире происходит в этой сфере.
В Европе, например, защита личных данных считается важной частью права на частную жизнь, которое там всегда ценилось. Во Франции говорят, что соцсети, хоть и созданы для общения, могут нарушать личное пространство человека. Европейский суд даже подтвердил, что право на общение включает и переписку в интернете. Поэтому в Евросоюзе приняли закон, который обязывает страны защищать сообщения, которые люди отправляют через интернет.
Защита личных данных важна во всём мире, это видно даже по работе ООН. Комитет по правам человека согласился со Специальным докладчиком, который занимается защитой личных данных. До этого Верховный комиссар тоже говорил о важности права на личную жизнь в интернете.
Государство и компании вместе отвечают за то, чтобы личные данные были в безопасности и права людей не нарушались. Компании должны хорошо защищать эту информацию.
Особенно важно, как защищают данные, когда их обрабатывают автоматически. Такие организации, как ОЭСР, придумывают правила, чтобы всё было справедливо. Например, в Канкунской декларации государства договорились сочетать свободный обмен информацией с защитой личных данных.
Защита личных данных очень важна для развития экономики и общества в интернете. Сейчас всё больше компаний собирают, хранят и анализируют личную информацию. Люди должны понимать, как используют их данные, и сами решать, что с ними делать. Правила защиты должны быть понятными и одинаковыми во всём мире (как в Руководящих принципах ОЭСР). Правительства должны стараться, чтобы законы разных стран были похожи.
Такие принципы лежат в основе управления цифровыми технологиями, где важна защита личных данных и безопасность. Например, в Канаде сделали специальный сайт, где люди могут легко запросить информацию о себе у любого государственного органа.
Европейский подход к защите персональных данных.
27 апреля 2016 года Евросоюз утвердил Общий регламент о защите данных (GDPR) под номером (ЕС) 2016/679. Он начал действовать 25 мая 2018 года. Этот документ нужен, чтобы защищать людей, когда кто-то обрабатывает их личные данные, и разрешить этим данным свободно перемещаться. Он показывает, как сейчас регулируются отношения в цифровом мире.
Благодаря новым технологиям, GDPR действует не только в странах Евросоюза, но и за его пределами, включая Россию. Главная цель – защитить тех, кто находится на территории ЕС.
Если компания или человек, обрабатывающие личные данные, находятся вне ЕС, GDPR действует в двух случаях:
1. Когда они предлагают товары или услуги людям в ЕС. Неважно, платные эти услуги или нет. Если компания использует языки или валюты, принятые в ЕС, дает возможность заказывать товары на этих языках или прямо говорит о том, что нацелена на потребителей в ЕС, это может служить доказательством того, что они хотят предлагать свои услуги в ЕС. Специалисты считают, что если у российской компании есть сайт на языке страны ЕС или она принимает платежи в валюте ЕС, этого уже достаточно, чтобы к ней применялись требования GDPR. К этой категории относятся, например, онлайн-магазины, IТ-компании, банки и соцсети.
2. Когда они следят за поведением людей в ЕС. Если компания или человек, обрабатывающие данные, находятся в третьих странах и следят за тем, как обрабатываются личные данные людей в ЕС, на них тоже распространяются правила GDPR. Под слежкой подразумевается, что они постоянно используют технологии, чтобы создавать профили людей, например, чтобы решать что-то на основе анализа их личных предпочтений или предсказывать их поведение.
Ещё регламент применяют к тем, кто обрабатывает данные, но не зарегистрирован в ЕС, если это основано на международном праве. Например, к дипломатическим или консульским учреждениям.
GDPR заставляет соблюдать свои правила, когда данные передаются третьим странам или международным организациям. Регламент помогает защититься от ситуаций, когда законы других стран требуют передать данные. Такая передача (например, по решению суда) будет законной только если это нужно для защиты важных общественных интересов и соответствует законам ЕС или страны-члена.
Так как обработка данных – дело сложное и требует точности, нужно принимать не только технические, но и организационные меры. Тот, кто контролирует данные, должен ввести правила, которые соответствуют принципам защиты данных по умолчанию. Здесь важна роль Сотрудника по защите данных (DPO), которого должны назначать все, кто контролирует и обрабатывает данные.
Правовая защита персональных данных в России.
Российское законодательство, которое занимается защитой личных данных, изначально строилось на основе европейских законов. Это видно из того, что Россия подписала Конвенцию о защите людей при автоматической обработке данных.
Потом, в 2013 году, появился Федеральный закон № 142-ФЗ, который добавил в Уголовный кодекс статью 152.2 Нарушение неприкосновенности частной жизни. Это был важный шаг в развитии нашего собственного законодательства.
Но есть одна проблема: нашим правоохранительным органам не всегда понятно, что именно считать личными данными. В Европе суды обычно трактуют это понятие очень широко, а у нас больше полагаются на определения, которые дают разные ведомства.
Например, Роскомнадзор выпустил рекомендации о том, как сообщать о начале обработки личных данных. Они делят данные на несколько категорий:
1. Общие данные: Это любая информация, которая может прямо или косвенно указать на конкретного человека. Сюда относятся имя, фамилия, отчество, дата рождения, адрес, семейное положение, социальное положение, доходы и так далее.
2. Особые категории: Это сведения о расе, национальности, политических взглядах, религиозных убеждениях, здоровье и личной жизни.
3. Биометрические данные: Сюда относятся отпечатки пальцев, радужная оболочка глаза, анализ ДНК, рост, вес, а также фотографии и видеозаписи, если они используются для определения личности.
При этом в законе до сих пор нет чёткого определения биометрических данных. Единственное, что у нас есть, – это разъяснение от Роскомнадзора от 2013 года, которое, правда, не является законом.
Юристы говорят, что наши суды довольно осторожно подходят к вопросу о том, что считать личными данными. Но всё же суды признают, что к личным данным относится многое: имя, фамилия, отчество, сумма долга за коммунальные услуги, а также подробная информация, которую человек указывает в заявлении на кредит (паспортные данные, сведения о супруге и детях, адрес регистрации и проживания).
К личным данным, которые нужно защищать, также относятся сведения из пенсионного дела, данные технического паспорта на дом, информация о том, когда человек пересекал границу России, и данные из трудового договора.
В современном мире всё становится цифровым, и правительства разных стран активно стараются защитить данные своих граждан. В России это привело к тому, что в Федеральный закон О персональных данных были внесены изменения, которые обязывают компании хранить базы данных россиян на территории России. Ещё Россия одной из первых стран закрепила в законе право на забвение (то есть право потребовать удалить информацию о себе из интернета). И, конечно, принимаются меры для защиты российского сегмента интернета.
В целом, наше законодательство о защите личных данных похоже на европейское. Но в Европе поняли, что нужно пересматривать эти стандарты, потому что сейчас все пользуются цифровыми технологиями, и защитить данные на самом деле очень сложно. Анонимность уже не помогает.
На практике, по данным Роскомнадзора, почти каждая вторая проверка выявляет какие-то нарушения. Например, в 2015 году проверили 195 компаний и выяснили, что в инструкциях для сотрудников, ответственных за защиту данных, даже не было обязанности сохранять конфиденциальность и обеспечивать безопасность данных.
В докладе Уполномоченного по правам человека в России за 2016 год тоже говорилось о проблемах с защитой личных данных. Там был целый раздел о правах человека в эпоху развития информационных технологий.
Когда объявили о будущем создании единого регистра населения (это такая база данных, где будет собрана информация обо всех гражданах), Уполномоченный выразил опасения, что будет сложно обеспечить её надёжную защиту. Ведь в этом регистре планируется объединить очень много разных сведений из разных ведомств (ЗАГС, ФНС и других). Поэтому важно принять меры, чтобы исключить незаконное использование этих данных государственными органами.
Создание единого регистра означает, что каждому гражданину будет присвоен уникальный код. Это затрагивает право на выбор способов идентификации. Обязательное включение в регистр противоречит не только требованию о согласии на обработку данных, но и праву на свободу вероисповедания для тех, кто против электронной идентификации по религиозным причинам.
Поэтому, когда будут разрабатывать закон о едином регистре населения, нужно обязательно советоваться с организациями гражданского общества, общественными и религиозными объединениями, а также учитывать мнение людей.
Кроме того, есть опасения по поводу того, как крупные международные компании собирают информацию. У них много пользователей технических устройств, и современные технологии позволяют им хранить огромные объемы данных о людях на протяжении всей их жизни. Поэтому важно разработать стратегию кибербезопасности, чтобы выявлять возможные угрозы, защищать личную и семейную тайну, а также принять законы, которые будут реализовывать российскую доктрину информационной безопасности.
Многообразие аспектов безопасности персональных данных в цифровом мире.
Развитие технологий в цифровом формате привело к тому, что у людей появились новые права, связанные с тем, чтобы их личные данные были в безопасности. Сейчас в интернете очень просто нарушить чьи-то права, поэтому законы должны постоянно меняться, чтобы за этим следить. Раньше, если кто-то нарушал чьи-то права, обычно писали опровержение в газете, но сегодня самое главное – чтобы информацию, которую распространили в интернете, удалили. Это сложно, потому что в интернете всё копируется моментально. Поэтому придумали право на забвение. Это значит, что каждый человек имеет право на то, чтобы его уважали в интернете.
В обычной жизни очень важно, чтобы твои личные данные были в безопасности, когда ты общаешься с государственными организациями, работаешь, живешь с семьей, занимаешься деньгами, лечишься, а еще когда идешь к юристу или нотариусу.
Как защитить личные данные и при этом учитывать интересы общества?
Тут возникает вопрос: что важнее – интересы общества или право человека на личную жизнь? Во многих странах есть законы, которые говорят о том, как хранить личные данные людей. И тут встает вопрос: кому принадлежат эти данные? Или кто имеет право ими распоряжаться? Например, как во Франции. Получается, что личная свобода человека может противоречить тому, что требует закон в интересах общества. Часто это связано с безопасностью страны и тем, чтобы данные хранились на её территории.
Например, в России есть закон, который говорит, что все компании должны хранить личные данные россиян на серверах, которые находятся в России. Даже если они собирают эту информацию через интернет. Но при этом закон не требует, чтобы люди давали согласие на то, чтобы их данные передавали за границу. А это уже противоречит Конституции России. За нарушение этого закона могут оштрафовать (до 75 000 рублей), но если иностранная компания не имеет офиса в России, то взыскать этот штраф очень сложно.
Как соотносятся защита личных данных и информация, доступ к которой ограничен?
Личные данные и информация, доступ к которой ограничен – это разные вещи, но они связаны между собой. С одной стороны, это личные права человека, с другой – требования государства. Это можно увидеть на примере Конституционного Суда России. Однажды человек обратился в суд с просьбой удалить его данные из больницы. Суд решил, что данные о здоровье можно хранить только для того, чтобы заботиться о здоровье человека. И что врачебная тайна гарантирует, что эти данные не будут разглашены. То есть суд решил, что врачебная тайна полностью защищает личные данные человека, и он не может требовать их уничтожения.
Как защитить личные данные, когда используются технологии для обработки больших объемов информации?
Тут возникает вопрос о том, как защитить личные данные, когда используются технологии, которые обрабатывают очень много информации. Обычно, чтобы обрабатывать данные, нужно получить согласие человека. Но когда используется большие данные, человек не может знать заранее, к чему приведут его решения, когда он дает свои данные. Поэтому получается, что согласие вроде бы и есть, но на самом деле оно не имеет большого значения.
Один из способов защитить данные – сделать их анонимными. Но технологии развиваются, и этот способ уже не всегда работает. Даже в Совете Европы есть рекомендации для тех, кто контролирует и обрабатывает данные. Они советуют следить за тем, как развиваются технологии, и придумывать новые способы сделать данные анонимными.
Как сочетаются защита личных данных, свобода и нейтралитет интернета?
Нейтралитет интернета – это очень важный принцип, который говорит о том, что у всех должен быть равный доступ ко всем сайтам. Но этот принцип может конфликтовать с защитой личных данных, особенно когда в интернете распространяется неточная или устаревшая информация о человеке.
Этот конфликт рассматривался судом в Европе по делу Google Spain против Гонсалеса. Этот человек хотел, чтобы из результатов поиска удалили ссылку на старую газетную статью о том, как он продал свое имущество за долги. Он говорил, что эта информация уже не актуальна. Google отвечал, что они не должны контролировать контент, так как это нарушает нейтралитет интернета и свободу информации.
Суд решил, что то, чем занимается Google (поиск, хранение и предоставление информации) – это обработка данных. И компания должна следить за этим процессом и гарантировать, чтобы люди могли пользоваться своими правами, в том числе правом на забвение. В итоге суд решил, что в данном случае защита личных данных важнее, чем принцип нейтралитета интернета.
Но на этом история не закончилась. Французская комиссия, которая занимается вопросами информатики и свободы, потребовала, чтобы Google применял право на забвение во всем мире. То есть, чтобы ссылки, которые удалили во французской версии поисковика, не показывались и в версиях для других стран.
Как соотносятся защита данных и другие права человека?
Часто возникает конфликт между правом на защиту личных данных и правом на свободу слова. Защита личных данных тесно связана с уважением к личной жизни. Европейский суд по правам человека (ЕСПЧ) определил несколько критериев, которые помогают найти баланс между свободой слова и правом на личную жизнь. К ним относятся: важность этого вопроса для общества, статус человека (известный или нет), как была получена информация и насколько она правдива, как она была опубликована и какие последствия это может иметь, а также насколько суровое наказание. Репутация также важна и должна быть защищена. То, что суды решили по поводу личной жизни, можно применять и к защите личных данных. Степень защиты зависит от того, является ли человек известным (тогда его поведение рассматривают под микроскопом) или обычным (тогда государство должно особенно заботиться о нем). Не существует универсального решения этой проблемы. В Общем регламенте по защите данных (GDPR) это учитывается. В статье 85 говорится, что страны-члены ЕС должны согласовывать право на защиту данных со свободой слова и распространения информации, в том числе когда данные обрабатываются в журналистских, научных, художественных и литературных целях. То есть, несмотря на то, что есть общий регламент, у стран есть возможность устанавливать свои правила.
Как защитить личные данные и при этом не нарушить права работодателей?
Работодатели часто имеют дело с большим количеством личных данных. В последнее время часто возникают споры о том, насколько работодатель имеет право контролировать переписку сотрудников. Это отражено в решениях ЕСПЧ. В одном деле ЕСПЧ защитил право сотрудника на личную жизнь, потому что не было закона, который бы регулировал, как государство может контролировать служебный телефон, почту и интернет. Но потом законы изменились, и мнение суда тоже изменилось. В другом деле ЕСПЧ встал на сторону заявителя, но уточнил, что его задача – объяснить, как государство должно обеспечивать право на уважение личной жизни и тайны переписки на работе. Суд решил, что нужно смотреть в каждом конкретном случае, насколько сильно работодатель вмешивается в личную жизнь сотрудника. Важно отличать, контролирует ли работодатель сам факт переписки или её содержание. Нужно стараться использовать менее навязчивые методы, например, проверять анонимные данные. В то же время ЕСПЧ признал, что если компания запрещает использовать служебные средства в личных целях, то этого достаточно, чтобы проверять личные сообщения сотрудника. Этот вывод был воспринят как то, что права работников стали меньше защищать.
Конституционный Суд России решил, что пользовательское соглашение не может давать право владельцу интернет-сервиса ограничивать доступ к информации в электронных сообщениях.
Суд указал, что если человек отправляет информацию, которая ему не принадлежит, на свою личную почту, то это создает условия для неконтролируемого распространения этой информации. Если сотрудник передал корпоративную информацию на свой личный адрес, несмотря на запрет, то это будет считаться нарушением прав компании, если компания приняла все необходимые меры для защиты информации.
Это решение дало возможность компаниям прописывать в своих внутренних документах прямой запрет на пересылку данных с корпоративной почты на личную. Конституционный Суд также поручил законодателям усовершенствовать законы, которые регулируют ответственность в этой сфере.
Также был рассмотрен вопрос о том, как соотносятся общедоступность информации (например, в государственных реестрах) и защита личных данных. Конституционный Суд отказался рассматривать жалобу человека, который считал, что включение его личных данных (ФИО и даты рождения) в открытые сведения в выписке из Единого государственного реестра индивидуальных предпринимателей (ЕГРИП) нарушает его права.
Суд решил, что в данном случае важнее специальный закон, который говорит, что сведения из ЕГРИП являются открытыми и общедоступными, даже если они содержат личные данные. Суд счел, что это необходимо для стабильности экономики.
Таким образом, в этом деле важнее был открытый доступ к информации, а не защита личных данных.
Это показывает, что между тем, чтобы государство было прозрачным, и тем, чтобы личные данные были в безопасности, есть противоречие.
Заключение
Законы в России, которые защищают личные данные, в целом соответствуют нормам Европы. Единственное, чего не хватает, – это независимого органа, который бы следил за соблюдением этих законов. Сейчас всё больше процессов переходят в онлайн, и из-за этого стало больше случаев, когда права людей на защиту их данных нарушаются. Поэтому очень важно, чтобы люди доверяли системе защиты данных и чтобы между всеми участниками были нормальные отношения.
Создание организации, которая будет заниматься защитой личных данных, – это логичный и, наверное, неизбежный шаг для развития наших законов. Скорее всего, скоро появится новая профессия – инспектор по защите личных данных. Для этого нужно будет разработать соответствующие правила и законы. Так как личные данные есть у всех, эти изменения коснутся и государства, и частных компаний.
Важно следить за тем, что происходит в этой области, например, за тем, как люди коллективно контролируют использование своих данных и как распределяется прибыль от этого. С точки зрения теории, интересно изучить, как права человека влияют друг на друга. Суды показывают, что сейчас нет чёткой иерархии прав, как было раньше. Если нет баланса между разными правами, то это самое слабое место во всей системе.
Конечно, суды стараются поддерживать этот баланс, но так как права человека важны для всех, нужно улучшать законы как на международном уровне, так и внутри страны. Это поднимает вопрос о том, как соотносятся публичное и частное право, и тут ещё много нерешённых проблем.