Особенности регулирования вопросов, связанных с защитой персональных данных в сети «Интернет» в Российской Федерации и в США. Сравнительно-правовой анализ.
США - одно из немногих государств, в котором отсутствует чёткое и ясное понимание персональных данных, и именно поэтому вопрос их защиты стоит достаточно остро, поскольку на территории всего государства нет выработанного единого подхода. Вместе с тем существует такое понятие, как личная информация, то есть всякая информация, относящаяся к физическому лицу. В разных государственных органах, штатах и нормативно-правовых актах её определение трактуется по-разному.
В данной статье я хотела бы рассмотреть функционирование правового регулирования защиты персональных данных в сети «Интернет» в США. Наиболее интересным является тот факт, что Всемирная телекоммуникационная сеть (которой и является «Интернет») развилась именно в США, поэтому исследование данного вопроса было особенно интересным и актуальным.
Как уже отмечено выше, подход к определению личной информации очень многообразен и варьируется в первую очередь в зависимости от области правового регулирования. Например, Федеральная комиссия по торговле (FTC) определяет её как связанную с определённым лицом информацию, которая может включать в себя IP-адреса и идентификаторы устройств.
Ключевым нормативно-правовым актом, регулирующим права физических лиц в отношении защиты персональных данных, является Акт о персональных данных (1974), в котором закреплены требования к получению и сбору ведомствами и агентствами личной информации граждан - при нём необходимо руководствоваться принципами минимизации данных – информация должна поступать в наименьшем объёме, будучи сугубо “релевантной и необходимой” для выполнения определённых задач.
Калифорнийский закон о защите прав потребителей (CCPA, 2018) определяет личную информацию как любую информацию, которая относится к конкретному потребителю (имя, фамилия, контактные, банковские, биометрические, геолокационные данные), которым может считаться исключительно житель Калифорнии.
В законах же других штатов потребителем считается лицо, которое занимается бизнесом в личных, семейных и домашних целях. Исходя из их анализа можно сделать вывод, что они преимущественно охватывают понятие потребителя в контексте защиты личной информации.
Особое внимание уделяется защите личной информации, собранной от детей в возрасте от 13 лет, что регулируется законом о защите конфиденциальности детей в сети «Интернет» (COPPA, 2000).
Очень важным в сфере регулирования защиты конфиденциальной информации физических лиц нужно уделить закону о переносимости и подотчетности медицинского страхования (HIPAA, 1996), принятый с целью усовершенствования безопасности хранения персональных данных в медицинских учреждениях и медицинских страховых отраслях для защиты от их кражи, что особенно актуально с учётом их переноса в Сеть.
Общепринятым считается определение нарушения персональных данных как несанкционированного доступа или получения автоматизированных данных, которые ставят под угрозу целостность, безопасность и конфиденциальность личной информации.
Самым логичным способом пресечения нарушений персональных данных является предоставление их субъектам права на дачу явного согласия до начала сбора персональных данных в Сети с помощью файлов cookie.
В США существует правовая доктрина, которая создаёт оговорку относительно защиты персональных данных — это так называемая доктрина третьей стороны, согласно которой человек, добровольно предоставляющий персональные данные третьим лицам, к которым принадлежат сервера электронной почты, банков, интернет-провайдеров, не может рассчитывать на их защиту, закреплённую в положениях четвёртой поправки к Конституции США, гласящей, что ордеры на обыск и задержания могут выдаваться судом исключительно при наличии веских на то оснований.
В судебной практике достаточно распространены дела, связанные с исполнением четвёртой поправки. Для подтверждения этому обратимся к делу Federal Trade Comission V. Wyndham Worldwide Corp., решение по которому было вынесено в 2015 году. Так, Федеральная торговая комиссия (FTC) подала иск в суд против сети отелей Wyndham Worldwide Corporation в связи с неоднократными случаями завладения хакерами персональных данных клиентов, и причиной тому была недостаточная защищённость программного обеспечения компании. Ответчик, в свою очередь, пытался оспорить решение, апеллируя к тому, что Федеральная торговая комиссия не вправе регулировать данный вопрос в частной корпорации, однако, ходатайство было отклонено со ссылкой на закон “О Федеральной Торговой Комиссии” (15 USC § 41).
В качестве примера аналогичного нарушения со стороны компаний можно привести произошедшую в 2018 году утечку данных агрегатора такси Uber. Ключевым отличием от ситуации с Wyndham является то, что компания пришла к соглашению с Федеральной торговой комиссией по исправлению недостатков системы, вызвавших утечку персональных данных клиентов и водителей, и поэтому штрафов удалось избежать.
Исходя из анализа судебной практики и нормативно-правовых актов, в том числе конституционных, мы можем прийти к выводу, что даже несмотря на отсутствие единого подхода к определению личной и конфиденциальной информации, в США очень развита система защиты персональных данных в сети «Интернет». В то же время мы обнаруживаем ключевую проблему, а именно отсутствие строго определённого правового регулирования. Наиболее благоприятным способом решения данной проблемы было бы введение унифицированного понимания персональных данных, что позволило бы урегулировать их защиту во всех сферах общественной жизни и прийти к равным правам граждан в этой сфере на территории всего государства.
Теперь стоит перейти к анализу данной проблемы в Российской Федерации. В настоящее время вопрос защиты персональных данных в сети «Интернет» является важным не только для медийных личностей, государственных служащих, чья личная информация может стать выгодной для мошенников, но и для обычных граждан.
Тематика нашего выступления связана с правовым регулированием в сети «Интернет». «Интернет» является информационно-телекоммуникационной сетью. Такой вывод можно сделать исходя из п 13 ст 2 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ, в котором говорится о том, что доступ к сайту в сети «Интернет» обеспечивается посредством информационно-телекоммуникационной сети «Интернет».
Для начала стоит разобраться, какое понятие персональных данных дает нам законодательство Российской Федерации. Из п 1 ст 3 ФЗ «О персональных данных» можно понять, что персональные данные -- информация, которая идентифицирует физическое лицо прямо или косвенно. В редакции от 25.07.2011 Федерального закона перестал оговариваться открытый перечень персональных данных. До 2011 года в него входили фамилия, имя, отчество; год, месяц, дата, место рождения; адрес, семейное, социальное, имущественное положение, образование, профессия, доходы. Но с 2011 года это определение трактуется законодателем шире, теперь достаточно того, чтобы информация относилась к субъекту прямо или косвенно. Но из Указа Президента РФ от 6 марта 1997 г №188 «Об утверждении перечня сведений конфиденциального характера» можно узнать, что к такой информации относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
Следовательно, позиция Федерального закона – любая информация, которая хоть как-то затрагивает лицо, а позиция Указа Президента – только та информация, которая позволяет идентифицировать личность.
Но здесь у правоприменителя может возникнуть вопрос: «Какую норму применять при разрешении конкретного спора?». Во-первых, Указ Президента РФ является подзаконным нормативно-правовым актом, который имеет меньшую юридическую силу, чем Федеральный закон. Во-вторых, Федеральный закон по отношению к Указу Президента является lex specialis, так как Федеральный закон полностью посвящён только персональным данным, а Указ оговаривает виды конфиденциальной информации в общем. Следовательно, правоприменитель будет руководствоваться именно Федеральным законом. Но на практике имеется абсолютно другая ситуация, где большая часть судов не признаёт конфиденциальной информацией ИНН, СНИЛС, номер паспорта, так как по такой информации нельзя идентифицировать определенное лицо.
Стоит рассмотреть Апелляционное определение Московского городского суда от 28 января 2014 г. по делу N 33-5461, в котором истец обратился в суд с требованием компенсации морального вреда из-за того, что ответчик разгласил его телефонный номер. Суд пришел к выводу о том, что разглашение телефонного номера не является информацией для идентификации конкретного лица. Таким образом, в нашей стране остается нерешенным вопрос определения понятия персональных данных, так как в первую очередь такая неопределенность влияет на судебные решения.
Теперь стоит перейти к обсуждению опасности использования персональных данных в сети «Интернет». Каждое действие пользователя сети «Интернет» остается в данном цифровом пространстве навсегда. Человек может сознательно делиться какой-то информацией в социальных сетях, публикуя фотографии, ставя «лайки» новостям, постам других пользователей, а также может неосознанно оставлять информацию о посещенных сайтах, о совершенных покупках, о своем географическом расположении. Обладая этой информацией и навыками «профайлинга», можно получить весьма точный портрет пользователя. Не всегда такое завладение данными может повлечь негативные последствия, например, при директивной рекламе, но каждый день происходят случаи, когда именно из-за такой информации кандидаты получают отказ в приеме на работу. Интернет-сеть состоит из множества социальных сетей, доступ к одной можно получить через другую. Например, если мошенник получит пароль от почтового аккаунта, тогда он может завладеть всеми социальными сетями личности. Статистика показывает, что большинство социальных сетей используют именно почтовые сервисы для восстановления логинов и паролей.
Был проведен эксперимент, в ходе которого интернет-сервис Netflix выпустил сто миллионов записей о прокате от пятисот тысяч пользователей, удалив их личные идентификаторы. Исследователи сделали вывод о том, что, обладая только шестью оценками фильмов, можно установить личность пользователя в 84% случаев.
По поводу данной проблемы высказался бывший министр Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, помощник Президента РФ, Игорь Щёголев, который отметил, что информация о посещенных сайтах, геоданные дают представление о взглядах личности, поэтому должны входить в понятие «персональные данные».
Проблема использования широкого или узкого определения персональных данных является наиболее важной для дальнейшего правового регулирования. Законодатель должен принять во внимание опасность принятия множества юридически значимых решение на основе данных, полученных в цифровом мире. Как показывают исследования, компаниям необязательно знать имя, фамилию и отчество человека, чтобы иметь существенное влияние на него. Но на основании изучения судебной практики нельзя сделать вывод о том, что российская правоприменительная практика готова принять во внимание широкий подход данного понятия.