Problems of applying of legislation on personal data in the light of the development of information technologies

ИПАТОВ В.Д.,
директор Национального центра законодательства и правовых исследований Республики Беларусь

САВАНОВИЧ Н.А.,
заместитель начальника управления конституционного и международного права Национального центра законодательства и правовых исследований Республики Беларусь, кандидат юридических наук, доцент

В статье рассмотрены вопросы определения понятия «персональные данные», работы с «Большими данными» и данными в технологии блокчейн. Авторами отмечена тенденция постепенного расширения круга сведений, которые относятся к персональным данным, рассмотрена проблема отнесения к последним данных, полученных в результате обезличивания. Проанализированы возникающие на практике трудности в применении норм отечественного и зарубежного законодательства о персональных данных при использовании новейших информационных технологий. Сделан вывод о необходимости учета интересов операторов и субъектов персональных данных в процессе совершенствования законодательства о персональных данных.

The article discusses the issues of defining the concept of «personal data», working with «Big data» and with data in blockchain technology. The authors noted the tendency of a gradual expansion of the range of information that relate to personal data, the problem of referring to the latter data obtained as a result of depersonalization is considered. The difficulties arising in practice in the application of the norms of domestic and foreign legislation on personal data when using the latest information technologies are analyzed. It is concluded that it is necessary to take into account the interests of operators and subjects of personal data in the process of improving legislation on personal data.

ВВЕДЕНИЕ

Ни для кого не секрет, что XXI век – это время бурного развития информационных технологий, которые повсеместно проникают во все сферы деятельности государства и общества. Причиной такого массового спроса является уникальная способность информационных технологий совершенствовать и автоматизировать многие рутинные процессы.

Однако цифровизация как универсальный способ решения возникающих в обществе проблем вызывает определенные опасения, связанные с появлением новых способов контроля и управления, где персональные данные выступают инструментом. Новая реальность такова, что на всех уровнях взаимодействия человека и информационных технологий создается «цифровой портрет» человека.

Традиционные способы защиты персональной информации, например получение согласия на действия с персональными данными, становятся все менее действенными. Люди настолько перегружены просьбами о согласии на использование их данных, что информированный выбор, особенно при отсутствии альтернативы, становится в значительной степени иллюзией.

В итоге граждане постепенно утрачивают контроль за личной информацией, а риски и угрозы для сферы частной жизни возрастают.

Вместе с тем право на защиту персональных данных – фундаментальное право человека. Неспособность гарантировать право на защиту личных данных ставит под удар другие смежные права и свободы, включая свободу выражения, свободу доступа к информации, принцип недискриминации.

Следует учесть, что с развитием информационных технологий вопрос защиты персональных данных становится намного шире, чем дача (отказ от дачи) согласия на обработку персональных данных.

Угроза современных информационных технологий состоит в том, что обработка персональных данных может осуществляться без уведомления человека, а сам процесс обработки происходить за рубежом. Усугубляется ситуация и тем, что граждане могут самостоятельно предоставлять свои персональные данные, размещая их в социальных сетях в открытом доступе.

В связи с этим необходим пересмотр устоявшихся традиционных механизмов защиты персональных данных с целью создания действенных инструментов защиты персональных данных физических лиц и адаптации их под реалии современного информационного общества. Республика Беларусь в этом ряду не является исключением. Как и другие страны, государство стоит перед необходимостью совершенствования правового регулирования работы с персональной информацией.

АНАЛИЗ ЗАКОНОДАТЕЛЬСТВА

В рамках настоящей статьи остановимся на трех аспектах работы с персональными данными, имеющих существенное значение в связи с развитием новейших информационных технологий, а именно на вопросах определения понятия «персональные данные», работы с «Большими данными» и данными в технологии блокчейн.

Так, одним из ключевых вопросов построения системы защиты персональных данных является определение круга сведений, которые охватываются понятием персональных данных.

Согласно Закону Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» (далее – Закон «Об информации») под персональными данными понимаются основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами Республики Беларусь внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо.

Вместе с тем данное определение не соответствует современному этапу развития информационных технологий. Так, исходя из буквального толкования данного понятия, идентификационный номер физического лица не относится к персональным данным, так как не позволяет без дополнительных сведений идентифицировать его обладателя. Однако с учетом развития современных информационных технологий путем сопоставления идентификационного номера с иными данными установить конкретное лицо уже не является невыполнимой задачей.

Таким образом, узость трактовки данного понятия заключается в том, что указание на данные, позволяющие идентифицировать лицо, оставляет за рамками рассматриваемого понятия косвенную идентификацию, то есть случаи, когда сами по себе данные лицо не идентифицируют, но вместе с иной имеющейся информацией или информацией, которая может быть получена, позволяют это сделать.

В международных правовых актах, законодательстве зарубежных стран (к примеру, в принятом в 2018 году Общем регламенте по защите персональных данных (далее – GDPR)) используется широкий подход в определении персональных данных как любой информации, которая прямо или косвенно относится к определенному или определяемому физическому лицу, являющемуся субъектом персональных данных [1]. Данный подход учитывает потенциальную возможность каких-либо данных, появляющихся в связи с использованием новейших информационных технологий, идентифицировать лицо. В этом случае такие данные автоматически подпадают под режим защиты персональных данных по признаку косвенной идентификации, что не требует внесения частых корректировок в законодательство.

Аналогичный подход использован в Законе Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон «О защите персональных данных»), где под персональными данными понимается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Таким образом, развитие законодательства идет по пути постепенного расширения круга сведений, признаваемых персональными данными. В целом эта тенденция соответствует европейскому подходу широкой трактовки персональных данных.

Избранный в законодательстве широкий подход в определении персональных данных вызывает в доктрине многочисленную критику, связанную с отсутствием формальной определенности данного понятия. По мнению ряда исследователей, «за минувшие 20 лет произошло решительное расширение, а вернее, ликвидация границ информации, относящейся к персональным данным физических лиц, и такое расширение, по нашему мнению, имеет скорее негативное, чем позитивное значение» [2, c. 11].

Кроме того, отмечается, что цели законодательства о персональных данных не учитывают права и свободы третьих лиц, в частности операторов персональных данных, которые заинтересованы в прозрачности и определенности правового регулирования, чтобы законным образом осуществлять обработку информации, относящейся к персональным данным [3, с. 77].

Персональные данные на современном этапе охватывают не только традиционные данные, такие как паспортные данные, данные об образовании, обладании недвижимостью и другие аналогичные сведения, но и субъективные мнения, касающиеся определенного лица (например, служебная характеристика, докладная о привлечении к дисциплинарной ответственности), фотографии, видеозаписи, на которых указано лицо, а также при определенных обстоятельствах сведения, которые, на первый взгляд, к человеку имеют опосредованное отношение (например, IP-адрес компьютера) в различных формах их существования.

Следует учитывать и вариативность отнесения информации к понятию «персональные данные». Одни и те же сведения в одних случаях могут быть персональными данными, а в других – нет. Например, фамилия того или иного лица сама по себе персональными данными не является, поскольку в обычной ситуации не дает возможности выделить конкретное лицо среди других, но указание на лицо, имеющее такую фамилию, применительно к небольшому трудовому коллективу позволяет с легкостью идентифицировать лицо [4].

В такой ситуации с учетом высокой динамики и многообразия отношений, связанных с обработкой персональных данных, принципиально невозможно дать точное определение персональных данных путем закрепления исчерпывающего перечня сведений и, соответственно, альтернативы обозначенному определению персональных данных на сегодняшний день нет.

Определение круга сведений, относящихся к персональным данным, связано и с проблемой обезличенных данных, т.е. данных, полученных в результате действий, при которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Следует отметить, что постепенно появляются специальные технические средства и механизмы, позволяющие обеспечить полную анонимизацию персональных данных [5, с. 36]. При этом следует различать обезличенные и анонимизированные персональные данные, поскольку анонимизация представляет собой процесс, при котором получаемые данные необратимо теряют свою способность быть связанными с конкретным субъектом, даже если будет использована какая-то дополнительная информация.

В отечественном законодательстве (к примеру, в законах Республики Беларусь от 13 июля 2006 г. № 144-З «О переписи населения», от 21 июля 2008 г. № 418-З «О регистре населения», Законе «Об информации») установлен подход, согласно которому данные, полученные в результате обезличивания персональных данных, не защищаются. Так, в статье 32 Закона «Об информации» установлено, что меры по защите персональных данных от разглашения должны приниматься до обезличивания персональных данных.

Как показали исследования, проведенные в Великобритании и Соединенных Штатах Америки, обезличенные данные могут быть легко деобезличены, а практика даже крупных бизнес-компаний не гарантирует соблюдения тайны частной жизни. Модели искусственного интеллекта, разрабатываемые в настоящее время, по утверждению их создателей могут с высокой точностью определять на основании нескольких параметров конкретное лицо [6].

Для того чтобы понять, о каком именно лице идет речь в базе данных, совсем не обязательно знать имя и фамилию. Достаточно собрать воедино несколько параметров. Зная даже всего три показателя, например почтовый индекс, дату рождения и пол, можно выявить очень узкий круг лиц. При наличии же большего количества показателей, собранных из баз данных (по результатам опросов, с социально-демографическими характеристиками людей, из медицинских баз), можно точно определить конкретного человека.

Так, показательной является ситуация, произошедшая в 2018 году в Соединенных Штатах Америки с пользователями одной популярной социальной сети и вызвавшая широкий общественный резонанс. Данные их профилей попали в обладание другой компании, специализирующейся на политической психометрии, что позволило ей использовать такие данные для манипулирования избирателями и создания целевой политической рекламы.

Обезличенные данные, исходя из определения персональных данных в Законе «О защите персональных данных», также подпадают под определение персональных данных и на них распространяются все ограничения по работе с персональными данными, установленные в данном Законе. При этом согласно статье 6 Закона «О защите персональных данных» использование обезличенных данных только в научных и иных исследовательских целях не требует получения согласия субъекта персональных данных. Таким образом, наличие различного правового регулирования в работе с обезличенными данными требует внесения соответствующих корректировок в действующее законодательство.

Развитие информационных технологий предопределяет не только трудности, связанные с отнесением тех или иных сведений к персональным. Правовое регулирование иных отношений, связанных с использованием новейших информационных технологий при обработке персональных данных, также вызывает ряд вопросов относительно возможности их регулирования.

Как отмечалось ранее, процессы, осуществляемые в реальном мире, постепенно переходят в виртуальную среду. Вследствие этого любое действие человека в сети Интернет оставляет цифровой след, что ведет к дальнейшему накоплению огромных массивов информации.

Не только наличие больших объемов цифровой информации характеризует современное информационное общество. Постепенно возрастает и роль информации в различных сферах деятельности: массивы персональных данных, которые и представляют собой технологии «Больших данных», и инструменты их сбора и обработки активно используются как в предпринимательской деятельности (зачастую в маркетинговых целях), так и в отдельных сферах государственного управления.

В банковской сфере посредством использования «Больших данных» осуществляется анализ платежеспособности потенциального кредитополучателя; страховыми организациями осуществляется анализ рисков наступления страхового случая при определении размеров страховых взносов; торговые компании осуществляют анализ оценки потребительского поведения, предлагая им определенные товары и услуги [7, c. 47–50].

Однако технологии «Больших данных» наряду с бесспорным положительным эффектом создают серьезную угрозу нарушения прав человека.

В 2020 году Европейской комиссией было предложено «смягчить» правила работы с обезличенными персональными данными в целях развития единого цифрового рынка Европейского союза, облегчения создания компаниями новых продуктов и сервисов, а также использования данных для некоммерческих исследований. В то же время было отмечено, что использование технологий «Больших данных» связано с большой ответственностью и при их использовании должны быть приняты соответствующие меры по их защите [8].

Применительно к персональным данным угрозы негативных последствий применения технологий «Больших данных» могут заключаться в неправомерном сборе персональных данных, утрате контроля лица над своими данными, принятии ошибочных решений вследствие обработки неточных или некорректных данных, дискриминации отдельных лиц.

В этой связи особый интерес представляет вопрос о возможности сосуществования рассматриваемой технологии и законодательства о персональных данных. Так, не всегда соблюдается принцип соразмерности обработки «Больших данных» конкретным, заранее заявленным законным целям, поскольку зачастую компании не могут заранее предопределить ценность сохраненных данных физических лиц и, как следствие, цели их дальнейшей обработки.

Получение свободного, однозначного, информированного согласия от субъектов персональных данных также не всегда представляется возможным по отношению к «Большим данным». Это связано с тем, что организации, накапливая массивы персональных данных, не могут заранее предоставить исчерпывающий перечень целей, на которые такие данные будут использоваться. Это привело к тому, что компании стараются излагать цели обработки персональных данных довольно размыто, чтобы иметь в дальнейшем возможность маневрирования с ними. Кроме того, фактически невозможен и отзыв согласия субъекта персональных данных.

В такой ситуации требуется выработка новых моделей защиты персональных данных, учитывающих вызовы, порождаемые использованием технологий «Больших данных».

В Российской Федерации неоднократно предпринимались попытки регулирования «Больших данных». Так, в 2018 году в Государственную Думу вносился законопроект, предусматривающий создание реестра операторов «Больших данных», а в 2020 году был подготовлен проект федерального закона, в котором была осуществлена попытка легального определения «Больших данных» и выведения правового регулирования «Больших данных» из-под действия Федерального закона «О персональных данных». Указанные законопроекты не были поддержаны как научным сообществом по причине отсутствия достаточной проработки вопроса выделения «Больших данных» в отдельную категорию, так и бизнесом, увидевшим в них барьер для дальнейшего развития рынка цифровых технологий [9, с. 23].

Аналогичная попытка была предпринята в Казахстане в 2020 году при рассмотрении законопроекта о внесении изменений и дополнений в некоторые законодательные акты по вопросам регулирования цифровых технологий. Впоследствии нормы законопроекта, предусматривающие детальное правовое регулирование технологий обработки «Больших данных» субъектами рынка, были исключены, поскольку содержали, по мнению участников рабочей группы, «регуляции, которые могли бы затормозить развитие цифровых процессов и отбросить казахстанскую IT-отрасль на несколько лет в прошлое» [10].

Наиболее известной попыткой создания правовых рамок для «Больших данных» являются положения GDPR. Регламентация использования «Больших данных» осуществляется с помощью таких инструментов, как формирование профиля (профилирование) и процесс автоматического принятия решений.

Под термином «формирование профиля» понимается любая форма автоматизированной обработки персональных данных, состоящая из использования персональных данных в целях оценки определенных индивидуальных аспектов, касающихся физического лица. Целью профилирования является определение, анализ или прогнозирование поведения лица. Простая классификация без привязки к анализу или оценке поведения лица не подпадает под данное определение. Нередко о формировании профиля лицо может даже не знать.

Очень важной нормой применительно к регламентации «Больших данных» являются положения статьи 22 GDPR, фактически запрещающей формирование профиля, а также автоматическое принятие решений, если такие действия порождают юридические последствия в отношении лица или существенно воздействуют на такое лицо. Нормами, частично легализирующими использование «Больших данных», являются положения о том, что допускается использование таких данных при условии их обезличивания в научных целях, а также в целях исторического исследования или в статистических целях.

В отечественном Законе «О защите персональных данных» данный подход реализован частично. Так, согласно статье 6 Закона «О защите персональных данных» допускается использование данных без согласия субъекта персональных данных в статистических, научных и иных исследовательских целях при условии их обезличивания. Представляется, что регулирование института формирования профиля является актуальным направлением развития отечественного законодательства о персональных данных.

Еще одним проблемным вопросом является возможность применения законодательства о персональных данных в отношении технологии блокчейн.

Блокчейн представляет собой выстроенную на основе заданных алгоритмов в распределенной децентрализованной информационной системе, использующей криптографические методы защиты информации, последовательность блоков с информацией о совершенных в такой системе операциях. Разновидностью блокчейна является публичный (открытый) блокчейн, характеризующийся наличием у всех участников данной сети права доступа к содержащейся в блоках информации.

Появление блокчейна продиктовано в первую очередь необходимостью сохранения информации, внесенной в блоки, в неизменном виде на всех этапах передачи такой информации. При этом указанные блоки могут содержать сведения, позволяющие при условии совершения с ними определенных манипуляций идентифицировать пользователя системы блокчейн. Таким образом, сложность правового регулирования оборота сведений, внесенных в публичный (открытый) блокчейн, где все участники имеют право доступа к сведениям, состоит в следующем.

Во-первых, круг лиц, являющихся операторами персональных данных, не определен, поскольку оператором публичного (открытого) блокчейна может стать любое лицо, загрузившее данную систему. Более того, представляется невозможным выполнение оператором обязанностей, предусмотренных законодательством о персональных данных (к примеру, обеспечение надлежащей защиты данных, получение согласия субъекта персональных данных).

Во-вторых, не могут быть реализованы в полной мере права субъектов персональных данных (на уточнение, удаление персональных данных), что связано с архитектурой системы блокчейн [11, c. 47–48].

В-третьих, неприменимыми являются нормы Закона о трансграничной передаче данных, устанавливающей дополнительные условия передачи персональных данных за рубеж.

В-четвертых, обостряется и без того сложный вопрос определения юрисдикции в случаях, когда участниками публичного (открытого) блокчейна являются жители разных стран.

ЗАКЛЮЧЕНИЕ

Подводя краткий итог проведенному в настоящей статье анализу, можно сделать вывод о том, что развитие новейших информационных технологий постоянно ставит перед правоприменителями вопросы, не урегулированные в законодательстве.

Представляется, что в целях дальнейшего развития цифровой экономики совершенствование законодательства о персональных данных должно строиться на поиске баланса между интересами оператора и субъекта персональных данных. С одной стороны, установленные ограничения на обработку персональных данных и предоставленные субъекту персональных данных права должны обеспечить контроль за использованием персональных данных, а с другой – исключая излишние обременения, оставлять возможность для развития бизнеса с использованием новых технологий.

СПИСОК ЦИТИРОВАННЫХ ИСТОЧНИКОВ

1. General Data Protection Regulation [Electronic resource]. – Mode of access: https://eur-lex.europa.eu/eli/reg/2016/679/oj. – Date of access: 05.07.2021.

2. Михайлова, И. А. Персональные данные и их правовая охрана: некоторые проблемы теории и практики / И. А. Михайлова // Законы России: опыт, анализ, практика. – 2017. – № 10. – С. 11–18.

3. Мираев, А. Г. Понятие персональных данных в Российской Федерации и Европейском союзе / А. Г. Мираев // Юридическая наука. – 2019. – № 5. – С. 76–82.

4. Саванович, Н. А. Эволюция подходов к определению персональных данных [Электронный ресурс] : [по состоянию на 10.04.2019 г.] / Н. А. Саванович // ЭТАЛОН. Правоприменительная практика / Нац. центр правовой информ. Респ. Беларусь. – Минск, 2021.

5. Кузнецова, С. С. Право на анонимность в сети Интернет: актуальные вопросы реализации и защиты / С. С. Кузнецова // Российское право: образование, практика, наука. – 2020. – № 5. – С. 33–41.

6. Rocher, L. Estimating the success of re-identifications in incomplete datasets using generative models [Electronic resource] / L. Rocher // Nature Communications. – Mode of access: https://www.nature.com/articles/s41467-019-10933-3.pdf. – Date of access: 05.07.2021.

7. Савельев, А. И. Проблемы применения законодательства о персональных данных в эпоху «Больших данных» / А. И. Савельев // Право. Журнал Высшей школы экономики. – 2015. – № 1. – С. 43–66.

8. Opinion 3/2020 on the European strategy for data [Electronic resource]. – Mode of access: https://edps.europa.eu/sites/edp/files/publication/20-06-16_opinion_data_strategy_en.pdf. – Date of access: 05.07.2021.

9. Романова, А. Ю. К вопросу о правовом режиме Больших данных / А. Ю. Романова // Конституционное и муниципальное право. – 2019. – № 8. – С. 20–25.

10. Регулирование электронной торговли: обзор изменений в законодательстве [Электронный ресурс]. – Режим доступа: https://www.zakon.kz/5034687-regulirovanie-elektronnoy-torgovli.html. – Дата доступа: 05.07.2021.

11. Савельев, А. И. Некоторые риски токенизации и блокченизации гражданско-правовых отношений / А. И. Савельев // Закон. – 2018. – № 2. – С. 36–51.

Дата поступления статьи в редакцию 15.07.2021.