ИНФОРМАЦИОННОЕ ОБЩЕСТВО И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
СЕРГЕЙ АЛЕКСЕЕВИЧ КАРПОВ
Институт государства и права Российской академии наук
119019, Российская Федерация, Москва, ул. Знаменка, д. 10
E-mail: sergei.a.karpov@gmail.com
SPIN-код: 6181-5345
DOI: 10.35427/2073-4522-2024-19-2-karpov
КОНЦЕПЦИЯ ИНФОРМАЦИОННОГО САМООПРЕДЕЛЕНИЯ И ВОССТАНОВЛЕНИЕ БАЛАНСА СИЛ В СФЕРЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Аннотация. В статье исследуется проблема распределения сил между операторами и субъектами в сфере обработки персональных данных и возможность восстановления баланса сил с использованием концепции информационного самоопределения. Автор отмечает, что в настоящее время неограниченная обработка данных несет угрозы ущемления права на самоопределение личности и манипулирования поведением субъекта данных.
Для минимизации угроз предлагается усиление контроля субъектов над данными через практическую реализацию концепции информационного самоопределения. В статье проводится анализ содержания, преимуществ и недостатков концепции информационного самоопределения, ее сравнение с концепцией пропертизации персональных данных. Автор приходит к выводу, что наиболее эффективным для защиты прав граждан представляется смешанный подход, сочетающий базовые правовые гарантии в сфере обработки данных с возможностями реализации информационного самоопределения сверх обозначенных пределов.
Ключевые слова: информационное самоопределение, персональные данные, баланс сил, контроль над данными, управление данными, частная жизнь, манипулирование поведением, пропертизация персональных данных
SERGEY A. KARPOV
Institute of State and Law, Russian Academy of Sciences
10, Znamenka str., Moscow 119019, Russian Federation
E-mail: l sergei.a.karpov@gmail.com
SPIN-code: 6181-5345
THE RIGHT TO INFORMATION SELF-DETERMINATION AS A LEGAL EMBODIMENT OF THE IDEA OF CONTROL OVER PERSONAL DATA
Abstract. The article examines the problem of power distribution between operators and subjects in the field of personal data processing and the possibility of restoring the balance of power using the concept of information self-determination. The author notes that, at present, unrestricted data processing carries the threat of infringement of the right to personal self-determination and manipulation of the data subject's behaviour.
To minimize the threats it is proposed to strengthen the control of subjects over the data through the practical implementation of the concept of informational self-determination. The article analyzes the content, advantages and disadvantages of the concept of informational self-determination, comparing it with the concept of propertization of personal data. The author concludes that the most effective way to protect the rights of citizens seems to be a mixed approach, combining basic legal guarantees in the field of data processing with the possibility of informational self-determination beyond specified limits.
Keywords: informational self-determination, personal data, balance of power, data control, data management, privacy, behavioural manipulation, personal data propertisation
1. Введение
Вопросы оборота персональных данных в условиях цифровизации привлекают внимание большого количества исследователей по всему миру. К сожалению, однако, они чаще всего рассматриваются в контексте оборота данных между частными компаниями, затрагивая вопросы защиты частной жизни граждан как немаловажный, но все же второстепенный аспект. В то же время на рынке данных имеется важная проблема, которой в отечественной литературе не уделяется достаточного внимания.
На международном уровне эта проблема была поднята в докладе Верховного комиссара ООН по правам человека «Право на неприкос-
новенность частной жизни в цифровой век» от 2018 г. Среди прочего там указывается, что люди оказываются бессильны против массового сбора и использования различной информации о них со стороны государств и частных корпораций, поскольку объемы такой информации огромны, а постоянные обмен и сведение данных из разных баз не позволяют физическим лицам контролировать, кто и какой информацией о них владеет и как эта информация используется. Из-за этого возникает угроза создания «интрузивной среды», в которой государства и крупные частные предприятия могут осуществлять масштабное наблюдение за гражданами, анализировать и прогнозировать их поведение и даже манипулировать им1.
Контроль субъекта над персональными данными является важной предпосылкой их защиты. Правовым выражением идеи контроля над собственными данными является концепция информационного самоопределения. Она впервые была сформулирована в решении Федерального конституционного суда Германии от 1983 г. по делу о переписи населения как новое фундаментальное право человека, которое суд вывел из права на свободное развитие личности (ст. 2.1 Основного закона) в совокупности с правом на достоинство личности (ст. 1.1 Основного закона). Основным содержанием этого права, как отметил сам Суд, является возможность лица самостоятельно решать, раскрывать ли данные о своей частной жизни, и если да, то до каких пределов, с целью защитить лицо от неограниченного сбора, хранения, использования и передачи персональных данных. По мнению Суда, иной подход означал бы, что у индивида нет возможности с достаточной степенью уверенности предполагать, какая информация о нем известна в определенных частях его социального окружения, что существенно повлияет на его возможность самостоятельно строить планы и принимать решения2.
Концепция информационного самоопределения широко известна в зарубежной литературе, а с недавнего времени она стала привлекать внимание также и отечественных исследователей. В то же время
1 Право на неприкосновенность частной жизни в цифровой век. Доклад Верховного комиссара Организации Объединенных Наций по правам человека. https://documents-dds-ny.un.org/doc/UNDOC/GEN/G18/239/60/PDF/G1823960. pdf? OpenElement (дата обращения: 18.01.2023).
2 BVerfG, Urteil des Ersten Senats vom 15. Dezember 1983-1 BvR209/83. Rn. 1-215. BVerfGE65, 1-71. § 145-148. URL: https://www.bundesverfassungsgericht. de/SharedDocs/Entscheidungen/DE/1983/12/rs19831215_1bvr020983.html; jsessionid= B5045B1C00574166D3C1965AA355180D.1_cid329 (дата обращения: 18.01.2023).
она ставится под сомнение многими исследователями, которые полагают, что контроль над данными со стороны пользователей уже давно потерян3.
В рамках нашей статьи мы постараемся дать ответ на вопрос о том, возможно ли решить проблему ослабления позиций субъекта данных в современном информационном обществе при помощи реализации концепции информационного самоопределения и тем самым снизить риски ущемления прав граждан. Однако прежде, чем мы перейдем к этой части, представляется важным дать некоторое разъяснение относительно угроз, которые несет неконтролируемая обработка персональных данных.
2. Угрозы правам человека, связанные с неконтролируемой обработкой персональных данных
В литературе нередко отмечается, что широкое использование персональных данных несет угрозу неприкосновенности частной жизни лица, однако зачастую исследователи не объясняют, в чем именно состоит опасность, ограничиваясь общими фразами про необходимость защиты международно и конституционно признанного права на частную жизнь.
На современном этапе развития цифровых технологий персональные данные позволяют создать фактически цифровой портрет человека, отражающий личность во всем ее многообразии. Персональные данные позволяют не только узнать, где человек бывает, на какие сайты заходит, какие товары ищет, но и зачастую его интересы, увлечения, особенности. Ценность персональных данных невероятно высока: бизнесу они позволяют, например, предлагать широкий спектр персонализированных товаров и услуг, снижать риски и издержки, а государствам — эффективно обеспечивать общественную безопасность, предотвращать, пресекать и раскрывать правонаруше-ния4. Более того, на основе обработки данных уже выстроена фактически новая отрасль экономики, предоставляющая неограниченный доступ к различным сервисам и сайтам в обмен на персональные
3 См., например: Veil W The GDPR: The Emperor's New Clothes-On the Structural Shortcomings of Both the Old and the New Data Protection Law // Neue Zeitschrift für Verwaltungsrecht. 2018. Vol. 10. S. 691; Vivarelli A. The Crisis ofthe Right to Informational Self-Determination // Italian Law Journal. 2020. Vol. 6. No. 1. P. 307.
4 Кто и зачем собирает большие данные? URL: https://trends.rbc.ru/trends/ industry/5ea9bfdf9a7947678acbf8b1 (дата обращения: 18.01.2023).
данные пользователей5. Как и в случае с большинством новых технологий, масштабная обработка данных сама по себе не является злом или благом: многое зависит от того, кто и с какой целью использует ее результаты.
Опасность обработки данных в чрезмерно больших объемах наиболее коротко и емко, на наш взгляд, формулирует в своей книге К. Велиз: «Конфиденциальность значима, поскольку ее нехватка дает другим власть над вами»6. Возможность создания «интрузивной среды» еще в 1970-е гг. предсказал итальянский мыслитель С. Родота, отмечавший, что аккумулирование данных приведет к расширению возможностей оценки людей и контроля за их поведением через смешение данных из различных источников7.
Нам представляется наиболее удачной модель английского исследователя Л. Рофтона, который разделил существующие угрозы, проистекающие из чрезмерной обработки персональных данных, на три типа: дискриминация, прямая манипуляция поведением и действие «охлаждающего эффекта»8.
Наиболее часто упоминаемая угроза правам человека и публичным интересам в контексте обработки персональных данных проистекает из возможности дискриминации лиц на основании данных о них. Проблема «загрязнения» наборов персональных данных, используемых для обучения различных алгоритмов, существующими в обществе предрассудками относительно определенных этнических, расовых, религиозных и иных групп достаточно широко обсуждается в контексте технологий больших данных9. Однако широкое использование дан-
5 См.: Symons T., Bass T. Me, my data and I: The future of the personal data economy // European Union. 2017. P. 17-20.
6 Veliz C. Privacy is Power: Why and How You Should Take Back Control of Your Data. New York, 2021. P. 48.
7 См.: Rodotä S. Democracy, innovation, and the information society // The information society: Innovation, legitimacy, ethics and democracy in Honor of Professor Jacques Berleur. Boston, 2007. P. 17-25. Краткий обзор идей С. Родоты по этому вопросу также см.: Mahieu R. The right of access to personal data: A genealogy // Technology and Regulation / R. Leenes & A. Martin (eds.). Open Press TiU. 2021. P. 69-72.
8 См.: Roughton L. Informational Self-Determination in Context: Privacy and Data Protection in the Age of Big Data and Surveillance Capitalism: MPhil thesis. Oxford, 2021. Р. 27.
9 См., например: Ntoutsi E. et al. Bias in data-driven artificial intelligence systems — an introductory survey // Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery. 2020. Vol. 10. No. 3. P. 14; Gillis T.B, Spiess J.L. Big data and discrimination // The University of Chicago Law Review. 2019. Vol. 86. No. 2. P. 459-488.
ных за пределами целей, для которых они изначально собирались, позволит, к примеру, выявлять неочевидные закономерности и ограничивать (или делать более дорогим) доступ к определенным услугам для определенных лиц10. В этом смысле дискриминация может рассматриваться не только как ущемление достоинства человека и права на равенство, но и как ограничение права индивидуума на самоопределение, поскольку в таком случае некоторые варианты действий оказываются недоступными или труднодоступными для него исключительно в силу его принадлежности к некой группе.
К более прямым угрозам ограничения возможностей для самоопределения личности относятся так называемый охлаждающий эффект и возможность прямого управления поведением человека.
«Охлаждающий эффект» — это выражающееся в самоограничении изменение личностью своего поведения в ситуации, когда она чувствует себя находящейся под наблюдением11. Иначе говоря, исключительно в силу психологического дискомфорта, связанного с излишним вниманием со стороны общества и (или) государства, человек может отказываться от совершения законных действий, которые, однако, воспринимаются как социально или политически неодобряемые. При разработке этой идеи предполагалось, что она будет применяться в контексте отношений между личностью и государством. Однако в настоящее время частные акторы обладают сопоставимыми, а иногда и более широкими возможностями в сфере обработки данных, чем государство. Безусловно, «охлаждающий эффект» не является прямым воздействием на поведение личности и не подталкивает человека непосредственно к действию или бездействию, однако в этом случае очевидны ограничения, которые накладываются на возможности для самоопределения индивида и влияние на принятие им определенных решений.
Прямое манипулирование также вызывает озабоченность исследователей. Пока что оно проявляется в относительно «безопасных» с точки зрения публичного порядка формах: так, известно, что цифровые интерфейсы сайтов и приложений могут подстраиваться под вкусы пользователей, например, предлагая им определенные товары или показывая им в первую очередь новости по интересующим их темам. Отмечается, что подобный подход направлен на изменение по-
10 См.: Symons T., Bass Т. Op. cit. P. 21.
11 См.: SchauerF. Fear, risk and the first amendment: Unraveling the chilling effect // Boston University Law Review. 1978. Vol. 58. P. 689-690; Btichi M, Festic N, Latzer M. The Chilling Effects of Digital Dataveillance: A Theoretical Model and an Empirical Research Agenda // Big Data & Society. 2022. Vol. 9. No. 1. P. 10.
ведения людей12. Однако в публичном поле это может создавать также риски повторения ситуаций, подобных произошедшей с компанией Cambridge Analityca13. Необходимо также помнить, что манипулирование общественным мнением и поведением — это манипулирование мнением и поведением множества частных лиц, эффективность которого повышается благодаря, с одной стороны, созданию возможностей для объединения и общения этих лиц, а с другой — запиранию их в «информационных пузырях».
Сейчас интерес к проблемам обработки персональных данных в контексте отношений субъектов и операторов данных возвращается14. В этой связи американскими исследователями Н. Ричардсом и В. Харцогом введено в науку понятие «релятивисткий поворот в сфере защиты персональных данных»15. Важным отличием этого взгляда на обработку персональных данных является перенесение значительной части проблем в плоскость публичного. Так, идеологи этого подхода утверждают: «В правильном понимании конфиденциальность данных — это вопрос гражданских прав, свободы самовыражения, свободы от преследований, интересов коллективной автономии, а также того, как личная информация используется для ослабления нашего внимания, нашего психического благополучия и наших общественных институтов»16. Об этом же ранее говорили и европейские исследователи И. Пуле и А. Рувруа, которые отмечали, что неприкосновенность частной жизни не является самоценностью: она важна постольку, поскольку защищает право на самоопределение личности, являющееся основой демократического порядка в любой стране17.
12 См.: ZuboffS. «We Make Them Dance»: Surveillance Capitalism, the Rise of Instrumentarian Power, and the Threat to Human Rights // Human rights in the age of platforms / Ed. by R.F. Jorgensen Cambridge, 2019. P. 20.
13 См. : Борисова А.Р. Скандал вокруг Cambridge Analytica — почему это важно для нас? URL: https://www.imemo.ru/news/events/text/cambridge-analytica-scandal-why-is-it-important-for-us (дата обращения: 18.01.2022).
14 См., например: Veliz C. Op. cit.; Austin L.M. Enough about me: why privacy is about power, not consent (or harm) // A World Without Privacy: What Law Can and Should Do? / Ed. by A. Sarat. Cambridge, 2014. P. 131-190; Rauhofer J. Round and round the garden? Big data, small government and the balance of power in the information age. Edinburgh School of Law Research Paper. Edinburgh, 2014. No. 2014/06.
15 Richards N., Hartzog W A Relational Turn for Data Protection? // European Data Protection Law Review. 2020. Vol. 6. Iss. 4. P. 493.
16 Richards N., Hartzog W. Op. cit. P. 495.
17 См.: Poullet Y., RouvroyA. Le droit à l'autodétermination informationnelle et la valeur du développement personnel. Une reevaluation de l'importance de la vie privée pour la démocratie / État de droit et virtualité. Montreal. 2009. P. 160-161.
Таким образом, главной угрозой чрезмерно широкого использования данных в современной практике является возможность манипулирования поведением людей в силу существования «охлаждающего эффекта», при помощи прямого манипулирования либо ограничения или полного лишения лица возможности лица совершать определенные действия вследствие дискриминации. Все это влечет ограничение возможности личности свободно самовыражаться и самоопределяться в самом широком смысле слова, а возможности самовыражения и самоопределения среди прочего лежат в основе демократических право-порядков. Так, вопрос защиты частной жизни тесно связывается с основами государственного и общественного устройства. Возможным решением видится усиление субъектов персональных данных через усиление их контроля над данными, что может помочь сместить баланс сил в сторону субъектов данных.
3. Право на информационное самоопределение как одно из выражений идеи контроля над персональными данными
Контроль над персональными данными может существовать в различных формах. Мы возьмем за основу классификацию К. Лазаро и Д. Ле Метайера, которые выделяют два возможных типа контроля над персональными данными: контроль как собственность и контроль как самоопределение18.
Идея о взгляде на персональные данные как на собственность зародилась в США, откуда впоследствии перекочевала в Европу19. Отмечается, что в американском дискурсе существует множество предложений по вопросу ограниченного применения правил о собственности к персональным данным, а некоторые авторы, основываясь на том, что в некоторых штатах признаются права собственности на информацию, пусть и в ограниченных пределах, просто предполагают, что вся информация является собственностью по умолчанию20. В Европе эта концепция в целом также достаточно активно обсуждалась и продолжает обсуждаться в научной дискуссии. Предполагается, что те, кто
18 См.: Lazaro C., MetayerD.L. Control over personal data: True remedy or fairy tale // SCRIPTed. 2015. Vol. 12. P. 7-9.
19 См.: Schwartz P.M., Peifer K.-N. Transatlantic Data Privacy Law // The Georgetown Law Journal. 2017. Vol. 106. Issue No. 1. P. 121-137.
20 См.: Legal study on ownership and access to data / European Commission, Directorate General of Communications Networks, Content & Technology. Luxembourg, 2016. P. 79.
ценит свою приватность выше, будут требовать большей цены за свои данные, и в процессе таких переговоров, а равно поиска технологических решений для этой проблемы оптимальный уровень приватности установится сам собой21. Иначе говоря, привлекательность такого подхода для исследователей заключается в возможности использовать рыночные механизмы для установления баланса сил между операторами и субъектами данных по модели спроса-предложения.
На наш взгляд, самым сильным аргументом против «контроля как собственности» является замечание о несовместимости концепции персональных данных как собственности с европейской концепцией собственности в целом22. Однако в контексте нашей статьи нам представляется важным также отметить, что в долгосрочной перспективе модель пропертизации данных предоставляет гражданам меньше защиты, чем ее альтернативы.
Концепция собственности подразумевает абсолютное господство субъекта над объектом. Это означает, что после выбытия объекта из-под контроля предыдущего собственника последующие собственники могут делать с ним все, что посчитают нужным. Это лишь дополнительно усиливает позиции крупных операторов, которые могут пользоваться отсутствием у субъектов понимания ценности данных и достаточных для оценки рисков знаний и организовывать массовую скупку данных без возможности дальнейшего контроля за ними со стороны субъекта. Таким образом, подход, основанный на пропер-тизации, не послужит заявленным нами целям и даже наоборот, сделает сильную сторону еще сильнее, развязав ей руки, а слабую сторону — еще слабее за счет создания искушения получения дополнительной выгоды из субъективно недостаточно ценного актива.
Вышеописанной идее противостоит идея о контроле над данными на основе самоопределения. Она заключается в возможности лица контролировать свои данные на основе некоторого особого права, не являющегося правом собственности — права на информационное самоопределение. В своем решении Федеральный конституционный суд также сформулировал ряд принципов, которые должны быть соблюдены для того, чтобы лица могли реализовать свое право на информационное самоопределение. Так, лицо должно знать об обработ-
21 Cm.: Buitelaar J.C. Privacy: Back to the roots // German Law Journal. 2012. Vol. 13. No. 3. P. 193-194.
22 Cm.: Purtova N. Property in personal data: A European perspective on the instrumentalist theory of propertisation // European Journal of Legal Studies. 2008. Vol. 2. P. 210-211.
ке своих данных и свободно давать согласие на такую обработку. Такое согласие дается только по отношению к строго ограниченным целям, а в случае обработки данных в других целях требуется отдельное согласие субъекта. Сбору подлежат только те данные, которые реально необходимы для исполнения конкретной цели. Более того, у лица есть возможность повлиять на обработку данных через корректировки, блокировки или удаление его данных. Также провозглашались принципы транспарентности и прав участия и утверждалось, что обработка данных должна контролироваться независимым органом власти23.
Как мы уже упомянули ранее, концепция информационного самоопределения развивается с 1980-х гг. Несмотря на то что она изначально формулировалась как право, мы предпочитаем оперировать термином «концепция», поскольку право на информационное самоопределение тесно связано с особенностями немецкой правовой системы и трудно представляемо именно в качестве права за ее пределами. В 1980-е гг. концепция информационного самоопределения проникла в судебную практику Швейцарии, где постепенно было признано юридическим сообществом как особое право24. В Швейцарии право на информационное самоопределение пытались даже внести в Конституцию, однако соответствующая инициатива не была до конца реализована25. В то же время стратегические документы, посвященные развитию страны, в тех частях, где речь идет о персональных данных и их защите, часто указывают, что их целью является в том числе защита права на информационное самоопределение26.
23 См.: Voigtmann C. et al. Prospects for context prediction despite the principle of informational self-determination // Third International Conference on Advances in Human-Oriented and Personalized Mechanisms, Technologies and Services. 2010. P. 90.
24 См.: Métille S. Le droit au respect de la vie privée: les défis digitaux, une perspective de droit comparé. Suisse. Bruxelles, 2018. P. 32.
25 См.: Initiative parlementaire 14.413. Droit fondamental à l'autodétermination en matière d'information // L'Assemblée fédérale — Le Parlement suisse. URL: https://www. parlament.ch/fr/ratsbetrieb/suche-curia-vista/geschaeft? AffairId=20140413 (дата обращения: 18.01.2023); Initiative parlementaire 14.434. Protéger l'identité numérique des citoyens // L'Assemblée fédérale — Le Parlement Suisse. URL: https://www.parlament. ch/fr/ratsbetrieb/suche-curia-vista/geschaeft? AffairId=20140434 (дата обращения: 18.01.2023).
26 См., например: Stratégie suisse de cyberadministration 2020-2023 // Administration numérique Suisse. URL: https://www.egovernment.ch/files/5515/9406/6538/E-Government-Strategie-Schweiz-2020-2023_F_def.pdf#:~: text=La%20mise%20en%20 %C5%93uvre%20de%20la%20strat%C3%A9gie%20suisse%20de%20cyberadminis, r%C3%A9unit%20Conf%C3%A9d%C3%A9ration%2C%20cantons%20et%20
В литературе распространена точка зрения о том, что Общий регламент по защите данных основан на идее информационного само-определения27, как и о том, что право на информационное самоопределение существенным образом повлияло на развитие европейского законодательства о данных28. Мы в целом склонны согласиться с подобной позицией, поскольку такие типичные для правового воплощения идеи контроля над данными права, как право знать о сборе данных, требование предоставления информированного согласия на сбор данных, право на доступ к данным, право на изменение и удаление данных, присутствуют и в Общем регламенте по защите данных, и в других более ранних общеевропейских документах, посвященных этому вопросу.
Одной из немногих стран, где право на информационное самоопределение было закреплено в законе, стала Венгрия. С 2011 г. в этой стране действует закон, который называется «Закон о праве на информационное самоопределение и о свободе информации» (Act CXII of 2011 on the Right of Informational Self-Determination and on Freedom of Information). В преамбуле этого Закона указано, что он принимается для обеспечения права на информационное самоопределение29. Однако при более глубоком исследовании выясняется, что по сути этот Закон оказывается законом о защите персональных данных, закрепляющим стандартные для таких законов в европейских странах положения, касающиеся прав и обязанностей субъектов персональных данных и принципов обработки данных.
communes.&text=Cette%20strat%C3%A9gie%20servira%20aussi%20de,%C3%A0%20 la%20mise%20en%20%C5%93uvre. P. 10. (дата обращения: 18.01.2023).
27 См.: Van der Sloot B. Do data protection rules protect the individual and should they? An assessment of the proposed General Data Protection Regulation // International Data Privacy Law. 2014. Vol. 4. No. 4. P. 319; TalapinaE.V. The Right to Informational Self-Determination: On the Edge of Public and Private // Legal Issues in the Digital Age. 2022. No. 4. P. 37-38.
28 См., например: Kiss A., Szoke G.L. Evolution or revolution? Steps forward to a new generation of data protection regulation // Reforming European data protection law / Ed. By Gutwirth S., Leenes R., De Hert P. Dordrecht: Springer, 2015. P. 317-318; Thouvenin F Informational Self-Determination: A Convincing Rationale for Data Protection Law? // Journal of Intellectual Property, Information Technology and Electronic Commerce Law. 2021. Vol. 12. P. 248.
29 Act CXII on on the Right of Informational Self-Determination and on Freedom of Information // Hungarian National Authority for Data Protection and Freedom of Information. URL: https://www.naih.hu/files/Privacy_Act-CXII-of-2011_EN_201310.pdf (дата обращения: 18.01.2023).
Примером позитивации концепции информационного самоопределения в США служит Закон Калифорнии о конфиденциальности потребителей 2018 г. (California Consumer Privacy Act)30. В этом Законе, в частности, отмечается, что люди стремятся к частной жизни и большему контролю над своей информацией, что калифорнийские потребители должны иметь контроль над своей персональной информацией, что целью Легислатуры является создание для потребителей способа для эффективного контроля над их информацией через осуществление ряда конкретных прав: права знать, какая информация о них собирается, права знать, продается или раскрывается ли их персональная информация и кому, право запрещать продажу своей персональной информации, право доступа к их персональной информации, право на равное обслуживание и цены.
Широко признано право на информационное самоопределение в доктрине в Латинской Америки. Там его нередко связывают с распространенным в законодательствах стран этого региона институтом habeas data: эта связь упоминается не только в литературе31, но и в практике конституционных судов Колумбии и Перу32. В Латинской Америке же была предпринята самая последняя попытка кон-ституционализации этого права: недавний проект новой Конституции Чили в ст. 87 предполагал возможность включения права на информационное самоопределение33.
30 Assembly Bill № 375. URL: https://www.pbwt.com/content/uploads/2018/06/ California-Consumer-Privacy-Act1.pdf (дата обращения: 18.01.2023).
31 См., например: Lode S.L. You Have the Data: The Writ of Habeas Data and Other Data Protection Rights: Is the United States Falling Behind // Indiana Law Journal. The Supplement. 2018. Vol. 94. Iss. 5. P. 44; Vargas Lima A.E. Del hábeas data a la acción de protección de privacidad en Bolivia. Su evolución y desarrollo en la jurisprudencia del Tribunal Constitucional Plurinacional // El hábeas data en la actualidad. Lima, Peru, 2020. P. 85; De La Cueva P.L.M. La construcción del derecho a la autodeterminación informativa // Revista de estudios Políticos. 1999. № . 104. P. 35-60; Bazán V. El hábeas data, su autonomía respecto del amparo y la tutela del derecho fundamental de autodeterminación informativa // Anuario de Derecho constitucional latinoamericano. 2012. P. 85-139; QuirozPapa de García R. El Hábeas Data, protección al derecho a la información ya la autodeterminación informativa // Letras (Lima). 2016. Vol. 87. № . 126. P. 23-27.
32 См.: GonzálezM.T. Habeas data: comparative constitutional interventions from Latin America against neoliberal states of insecurity and surveillance // Chicago-Kent Law Review. 2015. Vol. 90. No. 2. P. 653, 655.
33 Propuesta. Constitución política de la República de Chile. URL: https:// guiaconstitucional.cl/wp-content/uploads/2022/07/Texto-Definitivo-CPR-2022-Tapas. pdf (дата обращения: 18.01.2023).
Таким образом, концепция информационного самоопределения нашла свое отражение в большом количестве законодательств в разных странах по обе стороны Атлантики. С точки зрения восстановления баланса сил на первый взгляд подобное решение кажется идеальным: с одной стороны, оно создает для граждан возможности по управлению своими данными, тем самым расширяя их возможности для противостояния крупным операторам, а с другой стороны, дает гражданам свободу в этом вопросе, не навязывая им каких-либо заранее разработанных решений и в этом смысле уважая их свободу воли.
К сожалению, контроль над данными на основе информационного самоопределения также имеет свои недостатки и подвергается критике.
4. Контроль над данными невозможен?
В одной из опубликованных ранее статей нами уже было произведено разделение основных проблем, связанных с информационным самоопределением, на две категории: экономико-технические, т.е. связанные с технологическими и экономическими изменениями, и социальные, связанные с поведением людей в отношении их собственных данных34. Однако дальнейший анализ показывает, что, в сущности, критику информационного самоопределения можно свести к одному «супераргументу»: информационное самоопределение нереализуемо (по крайней мере, на современном этапе). И уже причины этой невозможности, в свою очередь, делятся на связанные с особенностями устройства цифровой экономики и с отношением людей к их персональным данным.
Исключением, которое трудно вписать в предложенную нами классификацию, является позиция о том, что контроль над данными вообще не имеет значимости. Такую позицию поддерживает, например, Ф. Тувенен. Он, в частности, указывает, что все взаимодействие людей строится на обмене разного рода информацией. В этом смысле Ф. Тувенен не видит принципиальной разницы между владельцем небольшого магазина, который запоминает привычки своих постоянных покупателей, и крупными операторами. Он полагает, что персональные данные являются общественным благом, и необходимость в соз-
34 См.: Карпов С.А. Пропертизация и информационное самоопределение как современные концепции защиты персональных данных // Российская юстиция. 2022. № 11. С. 11.
дании контроля над ними со стороны субъекта данных отсутствует, пока такая обработка не наносит вреда индивиду35.
В целом подобная позиция, хотя на первый взгляд и не лишена логики, не учитывает, как нам представляется, проблему концентрации данных и современных технологий у крупных операторов как основную особенность современного состояния рынка данных. Именно благодаря такой концентрации возможности государств и крупных игроков рынка информационных технологий так велики: они получают информацию о множестве аспектов жизни индивида и могут находить в них корреляции, на основе которых в дальнейшем «цифровые портреты» могут достраиваться и модифицироваться. Любые действия рассматриваются не в контексте посещения физическим лицом конкретного магазина, но в контексте всего, что известно или с высокой точностью может быть предположено о его жизни. Никакой владелец небольшого предприятия не обладает и физически не может обладать таким объемом данных о своих клиентах. Поэтому придание персональным данным статуса общественного блага и разрешение свободно и неограниченно обрабатывать их лишь повысит риск ущемления прав человека.
Возвращаясь к нашей классификации, необходимо отметить, что в современных условиях данные имеют ценность только в том случае, если они собираются в больших количествах36. В силу уже отмеченного эффекта концентрации данных и технологий в руках крупных операторов последние получают возможность сочетать эти данные и получать важную информацию о людях на основе технологий больших данных37: к примеру, информация о пищевых привычках может дать информацию о религиозных воззрениях, определенных болезнях или состоянии здоровья в целом, составе семьи, достатке38. Более того, даже при отказе пользователя в раскрытии определенных данных развитые прогностические технологии позволяют предсказывать такие данные39, что, на наш взгляд, также негативно влияет на возможности лиц по контролю за своими данными. Безусловно, эти данные не собираются напря-
35 См.: Thouvenin F. Op. cit. P. 253-255.
36 См.: Mouron P. Pour ou contre la patrimonialité des données personnelles // Revue Européenne des Médias et du Numérique. 2018. № 46-47. P. 95.
37 См.: СавельевА.И. Проблемы применения законодательства о персональных данных в эпоху «Больших данных» (Big Data) // Право. Журнал Высшей школы экономики. 2015. № 1. C. 47-51.
38 См.: Vivarelli A. Op. cit. P. 312.
39 См.: CustersB. Predicting data that people refuse to disclose // Privacy Observatory Magazine. 2012. No. 3. P. 3.
мую от субъектов, а всего лишь выводятся из уже собранных и, по сути, представляют собой всего лишь вероятностные предположения. Однако точность современных методов анализа такова, что эти предположения в подавляющем большинстве случаев оказываются достоверными. Таким образом, человек становится все «прозрачнее», что лишь расширяет возможности по управлению его поведением.
При этом интерес к сбору данных со стороны операторов не снижается, поэтому сами цифровые сервисы конструируются таким образом, что ограничивают нашу возможность выбора — ведь именно их владельцы решают, контроль над какими опциями следует предоставить пользователю. Владельцы сайтов и приложений активно оперируют различными способами склонения пользователя к более выгодным для операторов решениям в отношении персональных данных: повторно и по много раз запрашивают возможность расширения объема запрашиваемых данных при входе на сайт или в приложение, раскрашивают кнопки, разрешающие доступ к большему количеству данных, в более привлекающие внимание цвета, размещают разрешения в определенном порядке40. Согласия на обработку персональных данных и политики конфиденциальности зачастую предлагаются по принципу «все или ничего», т.е. без принятия их в полном объеме пользование сайтами и сервисами невозможно41. В отсутствие у операторов реального интереса к глубинным ценностям, защита которых является основной целью всей системы, соблюдение ими законодательства все больше сводится к формальному соблюдению процедуры. Это снижает значимость такого важного фактора контроля над данными, как согласие: нередко пользователь недостаточно хорошо понимает, на что именно он соглашается, а зачастую даже и соглашается бездумно, поскольку понимает, что реального варианта отказаться от сбора данных у него нет.
С другой стороны, сами пользователи также не уделяют достаточно внимания вопросам защиты данных. В научной литературе широко распространено понятие «парадокса конфиденциальности», которое означает, что люди, с одной стороны, знают о том, что бесконтрольное распространение персональных данных ставит под угрозу их частную жизнь, но с другой — показывают высокую готовность делиться дан-
40 Cm.: Hartzog W. The case against idealising control //European Data Protection Law Review. 2018. Vol. 4. Iss. 4. P. 426-428.
41 Cm.: Solove D.J. Privacy self-management and the consent dilemma // Harvard Law Review. 2013. Vol. 126. P. 1898.
ными в обмен на предоставляемые им услуги и сервисы 42. Зачастую пользователи не читают или невнимательно читают политики конфиденциальности и обработки персональных данных, которые предоставляют им различные сайты и сервисы, а сами такие документы пишутся сложным, не всегда понятным языком43. В современных условиях связи между операторами данных носят сложный и запутанный характер. Процессы перемещения данных становятся все более сложными, и ситуации, в которых относительно небольшие наборы данных передаются одному-единственному оператору, становятся все более редкими; обработка данных включает множество операторов, обменивающихся наборами данных, зачастую с неясными целями, а механизмы автоматизированной обработки данных нередко не до конца понимаются даже самими их создателями и пользователя-ми44. Количество же сервисов и приложений, которыми пользуется среднестатистический человек в современном мире, достаточно велико, и возможности уделять внимание контролю над персональными данными в каждом из них у пользователя просто физически нет45. Это влечет за собой информационную перегрузку и в итоге может снизить интерес пользователя к контролю за своими данными.
Таким образом, не только технологический ландшафт складывается в пользу операторов, но и у граждан нет стремления к повышению уровня контроля над своими данными. Именно эти две характеристики делают реализацию информационного самоопределения затруднительной.
В частности, В. Харцог пишет: «Не следует идеализировать контроль как будущее приватности, поскольку он часто выражается как "выбор", но таким образом, который подрывает его собственную миссию. ...люди должны иметь некий базовый, фундаментальный уровень защиты независимо от тех выборов, которые они делают. Сейчас мы имеем систему, которая позволяет компаниям перекладывать риски, связанные с данными, на самих субъектов данных. Оправдание мер контроля соображениями конфиденциальности требует столько обоснований, столь сложных оправданий, что кажется, будто это просто
42 См.: Kokolakis S. Privacy attitudes and privacy behaviour: A review of current research on the privacy paradox phenomenon // Computers & security. 2017. Vol. 64. P. 122-134.
43 См.: Solove D.J. Op. cit. P. 1888.
44 См.: KoopsB.J. The trouble with European data protection law // International data privacy law. 2014. Vol. 4. No. 4. P. 254.
45 Hartzog W The case against idealising control. P. 428-430.
служит косвенным подтверждением какой-то другой цели защиты, которая просто недостижима. Контроль кажется интуитивно правильным и обладает продающей силой, поэтому мы используем его.
Но на какой результат надеются разработчики политики, промышленность, защитники и субъекты данных? Конечно, это не может быть контроль ради контроля, по причинам, описанным выше. Контроль якобы служит автономии, но в опосредованной среде, включающей персональные данные, идеализация контроля кажется губительной для автономии...
Является ли идеализация контроля просто искаженным и косвенным способом убедить компании отказаться от рискованных методов работы с данными? Если это так, то почему бы не отказаться от требования формы контроля, которая, похоже, обречена направить усилия отрасли по неверному пути формального соблюдения требований без существенного изменения поведения операторов данных?
У законодателей есть более прямые варианты. Запретить сбор данных. Обязать удалять информацию. Серьезно подойти к вопросам ограничения целей и концепции «законного интереса». Изменить характер отношений между пользователями и компаниями, которым доверены их данные, на фидуциарный. Ввести не подлежащие делегированию обязанности лояльности, заботы и честности. Другими словами, поскольку практически невозможно, чтобы люди были адекватно информированы о рисках, связанных с данными, и осуществляли контроль в больших масштабах, правила должны гарантировать, что компании не смогут необоснованно преследовать свои собственные интересы за наш счет»46.
Некоторые из выдвинутых выше предложений кажутся нам, мягко говоря, небесспорными. Например, предложения о введении фидуциарных обязанностей в отношениях между крупными операторами данных и пользователями47 представляются нам не совсем адекватно отражающими суть отношений между субъектами данных и операторами. Важнейшей характеристикой фидуциарных отношений является особое доверие сторон сделки друг к другу. Более того, как указывают К.М. Григорьев и А.А. Хаваяшхов: «В английском праве ключевым признаком фидуциарных обязанностей является обязанность действовать в интересах другого лица (в отличие от общего контракт-
46 Hartzog W The case against idealising control. P. 431-432.
47 Cm.: Hartzog W, Richards N. The Surprising Virtues of Data Loyalty Loyalty // Emory Law Journal. 2021. Vol. 71. P. 986-1033.
ного права, которое в целом исходит из того, что каждая сторона договора действует в первую очередь к собственной выгоде)»48. В то же время трудно предположить существование некоторых особых доверительных отношений между субъектами и операторами персональных данных. Нельзя оставить без внимания и то, что крупные операторы являются в основном коммерческими компаниями, ставящими своей основной целью получение прибыли, а не действия в интересах их пользователей: сам факт предоставления пользователям условно-бесплатного (а на самом деле «оплачиваемого» возможностью доступа оператора к широким категориям персональных данных)49 доступа к платформам и сервисам не может рассматриваться как действие в интересах пользователя, а все остальные действия совершаются оператором исключительно в собственном интересе. Наконец, высокая степень монополизации рынка интернет-сервисов ограничивает возможность реального выбора контрагента. В этих условиях пользователь не может выбрать, какому из сервисов довериться: он вынужден будет соглашаться на условия Facebook, Twitter, YouTube, поскольку отказ закроет ему доступ в эти сервисы, а реальных альтернатив с точки зрения охвата аудитории и предоставляемых возможностей для них не существует. В контексте же оказания государственных услуг у субъекта нет даже призрачной альтернативы. Стоит ли распространять фидуциарные обязанности на отношения индивида и государства или придется создать некоторый разрыв в регулировании, придав отношениям между субъектом и государством, с одной стороны, и субъектом и частным оператором, с другой стороны, различное содержание? Ответы требуют проведения дальнейших исследований.
Таким образом, концепция информационного самоопределения лучше решает проблему возврата субъектам контроля над их персональными данными и снижения дисбаланса сил на рынке персональных данных. С другой стороны, право на информационное самоопределение труднореализуемо, а сторонники «релятивистского поворота» вообще выступают против самой идеи контроля над данными, предполагая, что это не даст существенного выигрыша субъектам данных. Некоторые из новых решений, такие как, например, создание фиду-
48 Григорьев К.М., Хаваяшхов А.А. Фидуциарные обязанности в российском и английском праве // Акционерное общество: вопросы корпоративного управления. 2015. № 1. URL: https://gaap.ru/articles/Fidutsiarnye_obyazannosti_v_rossiyskom_i_ angliyskom_prave/ (дата обращения: 15.01.2023).
49 См.: СавельевА.И. Гражданско-правовые аспекты регулирования оборота персональных данных // Вестник гражданского права. 2021. Т. 21. № . 4. С. 128—129.
циарных обязанностей для операторов персональных данных, являются крайне спорными. Однако существуют и другие, и они заслуживают более внимательного рассмотрения.
5. Смешанный подход для восстановления баланса сил на рынке персональных данных
Итак, для усиления контроля субъектов над их данными необходимо либо решить проблемы, связанные с реализацией контроля над данными, либо попробовать разработать некоторый альтернативный подход.
Заметим, что некоторые решения для дальнейшей имплементации концепции информационного самоопределения уже существуют. Технические проблемы могут быть решены, например, посредством создания интерфейсов, позволяющих облегчить контроль пользователя над своими данными. Подобные идеи высказывались в литературе еще более десятилетия назад50. Относительно недавно исследователями предложено базирующееся на блокчейне решение, которое позволит пользователям поддерживать контроль над данными в соответствии со всеми требованиями ОБРЯ, пусть исключительно и в рамках интернета вещей. В рамках этого решения операторы смогут запрашивать у субъектов данных согласия и прозрачным и однозначным образом информировать их об обрабатываемых персональных данных и целях, времени и законном основании для такой обработки, лицах, которые будут заниматься обработкой, а равно получателях или категориях получателей данных. Субъекты же данных, со своей стороны, будут получать информацию обо всех запросах на обработку их данных, смогут определять специальные правила обработки данных и давать согласие на такую обработку, получат возможность осуществлять права доступа к данным, исправления, удаления данных, ограничения и возражения против обработки данных и будут осведомлены о безопасности и качестве предоставленных ими лицензий и согласий51.
50 См.: Whitley E.A. Informational privacy, consent and the "control" of personal data // Information security technical report. 2009. Vol. 14. No. 3. P. 158. Также об усилении контроля пользователя над данными см. проект EnCoRe (Ensuring Consent and Revocation) и публикации его участников: https://www.cs.ox.ac.uk/projects/encore/ index.html.
51 См.: Rantos K. et al. ADvoCATE: a consent management platform for personal data processing in the IoT using blockchain technology // International Conference on Security for Information Technology and Communications. 2019. P. 304-309.
Набирает также силу и популярность идея динамического управления согласием, которая уже сейчас широко используется в сфере здраво-охранения52. Представляется, что подобные практики могут использоваться в других отраслях общественной деятельности.
Отчасти создание интерфейсов поможет решить и те проблемы, которые мы описали как связанные с отношением людей к данным. В то же время нельзя недооценивать и перспективы дальнейшего образования и просвещения людей в сфере управления их конфиденциальностью. В этом мы согласимся с позицией Ф. Мазура, который предлагает модель грамотности в области онлайн-конфиденциально-сти, состоящую из четырех взаимосвязанных измерений: фактическое знание о социальных, экономических, институциональных, технических и правовых аспектах конфиденциальности и защиты данных; умение рефлексировать о рисках, связанных с собственным поведением; умения по защите своей конфиденциальности и своих данных; умение критически оценивать процессы, социальные структуры и нормы, которые влияют на конфиденциальность всех индивидов и мотивируют стать агентами социальных изменений. Подобная модель, по его мнению, может быть как средством для расширения возможностей отдельных людей по самозащите, так и основополагающей движущей силой в мотивации гражданской активности и, следовательно, общественных изменений в направлении установления информационного самоопределения53.
Однако процесс создания и внедрения в практику соответствующих сервисов и образовательных программ является вопросом отдаленного будущего. В то же время ответ на возникающие вызовы необходимо дать уже сейчас.
С учетом этого интерес представляет альтернативный подход к регулированию данных. Он основывается на иных философских предпосылках и имеет целью надлежащую охрану частной жизни лиц, даже если их осведомленность о возможностях в этой сфере достаточно
52 О концепции динамического согласия см., например: Teare H.J.A., Pric-torM., Kaye J. Reflections on dynamic consent in biomedical research: the story so far // European journal of human genetics. 2021. Vol. 29. No. 4. P. 649—656; Prictor M. et al. Consent for data processing under the General Data Protection Regulation: Could «dynamic consent» be a useful tool for researchers? // Journal of Data Protection & Privacy. 2019. Vol. 3. No. 1. P. 93-112.
53 См.: MasurP.K. How online privacy literacy supports self-data protection and self-determination in the age of information // Media and Communication. 2020. Vol. 8. No. 2. P. 265-266.
ограничена и они не предпринимают никаких усилий для самостоятельной защиты. Как полагают А. Кисс и Г. Сёке, акцент в нем необходимо сместить с прав субъектов на обязанности операторов, подобно тому, как это случилось в потребительском праве, которое также направлено на защиту более слабой стороны54. На наш взгляд, именно такой подход, в котором свободный выбор и самоопределение связываются с некоторыми минимальными гарантиями, установленными государством, является оптимальным.
Подобный подход можно счесть патерналистским и ограничивающим. Но, как верно замечают некоторые исследователи, концепт контроля над данными основывается на либеральных подходах и ассоциируется с фигурой «рационального автономного агента», который способен обдумывать свои цели, контролировать ход событий и действовать в соответствии со своим целеполаганием55. В то же время сейчас в научной литературе господствует идея ограниченной рациональности субъекта, которая, в переложении на проблемы защиты данных, приводит к рациональному игнорированию вопросов обработки их данных в силу уже упомянутых сложности документов об обработке данных и нехватки времени56. В подобных условиях протекционистские инициативы можно признать в достаточной степени оправданными.
6. Выводы
Одной из ключевых проблем, влияющих на развитие законодательства о персональных данных в настоящее время, является вопрос восстановления контроля субъектов данных над своими данными для восстановления баланса сил между ними и операторами. Отсутствие внимания к ней может повлечь за собой воздействие на поведение субъекта и ограничение права на самоопределение личности, которое лежит в основе всего демократического порядка.
Ни один из господствующих ныне подходов к регулированию персональных данных — пропертизация и информационное самоопределение — не позволяет в полной мере разрешить данную проблему.
54 См.: Kiss A., Szoke G.L. Op. cit. P. 317.
55 См.: Lazaro C, MetayerD.L. Op. cit. P. 8.
56 Об ограниченной рациональности в контексте защиты персональных данных см., например: Van Alsenoy B, Kosta E, Dumortier J. Privacy notices versus informational self-determination: Minding the gap // International Review of Law, Computers & Technology. 2014. Vol. 28. No. 2. P. 189.
Однако если первый скорее склоняет чашу весов и далее в сторону операторов, то второй позволяет реализовать цель по усилению субъектов путем возвращения им контроля над их данными. Основные сложности с имплементацией концепции информационного самоопределения обусловлены трудностями с ее реализацией в краткосрочной перспективе, поскольку она предъявляет очень высокие требования к технологиям и субъектам данных.
В долгосрочной перспективе многообещающим видится создание сервисов, облегчающих менеджмент данных со стороны пользователей, и дальнейшее обучение и просвещение в области персональных данных. В то же время для более быстрого ответа на вызовы представляется более перспективной разработка гибридного подхода, сочетающего минимальные государственные гарантии с возможностью субъектов данных принимать свободные решения об их использовании сверх этого предела. Возможно, его реализация позволит сгладить недостатки информационного самоопределения и предоставить субъектам данных столько контроля над данными, сколько они смогут реализовать.
БИБЛИОГРАФИЯ
Борисова А.Р. Скандал вокруг Cambridge Analytica — почему это важно для нас? URL: https://www.imemo.ru/news/events/text/cambridge-analytica-scandal-why-is-it-important-for-us (дата обращения: 18.01.2022).
Григорьев К.М., Хаваяшхов А.А. Фидуциарные обязанности в российском и английском праве // Акционерное общество: вопросы корпоративного управления. 2015. № 1. URL: https://gaap.ru/articles/Fidutsiarnye_obyazannosti_v_rossiyskom_i_ angliyskom_prave/ (дата обращения: 08.04.2024).
Карпов С.А. Пропертизация и информационное самоопределение как современные концепции защиты персональных данных // Российская юстиция. 2022. № 11. С. 8-15.
Савельев А.И. Гражданско-правовые аспекты регулирования оборота персональных данных // Вестник гражданского права. 2021. Т. 21. № 4. С. 104-129.
Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху «Больших данных» (Big Data) // Право. Журнал Высшей школы экономики. 2015. № 1. С. 43-66.
Austin L.M. Enough about me: why privacy is about power, not consent (or harm) // A World Without Privacy: What Law Can and Should Do? / Ed. by A. Sarat. New York, NY: Cambridge University Press, 2014.
Bazán V. El hábeas data, su autonomía respecto del amparo y la tutela del derecho fundamental de autodeterminación informativa // Anuario de Derecho constitucional latinoamericano. 2012. P. 85-139.
Büchi M., Festic N., Latzer M. The Chilling Effects of Digital Dataveillance: A Theoretical Model and an Empirical Research Agenda // Big Data & Society. 2022. Vol. 9. No. 1. Р. 1-14.
Buitelaar J.C. Privacy: Back to the roots // German Law Journal. 2012. Vol. 13. No. 3. P. 171-202.
Custers B. Predicting data that people refuse to disclose // Privacy Observatory Magazine. 2012. No. 3. URL: https://scholarlypublications.universiteitleiden.nl/handle/1887/ 46935 (дата обращения: 08.04.2024).
De La Cueva P. L.M. La construcción del derecho a la autodeterminación informativa // Revista de estudios Políticos. 1999. № 104. P. 35-60.
Gillis T.B., Spiess J.L. Big data and discrimination // The University of Chicago Law Review. 2019. Vol. 86. No. 2. P. 459-488.
GonzálezM.T. Habeas data: comparative constitutional interventions from Latin America against neoliberal states of insecurity and surveillance // Chicago-Kent Law Review. 2015. Vol. 90. No. 2. P. 641-668.
Hartzog W The case against idealising control // European Data Protection Law Review. 2018. Vol. 4. Iss. 4. P. 423-432.
Hartzog W, Richards N. The Surprising Virtues of Data Loyalty // Emory Law Journal. 2021. Vol. 71. P. 985-1033.
Kiss A., Szoke G. L. Evolution or revolution? Steps forward to a new generation of data protection regulation. // Reforming European data protection law / Eds. by S. Gutwirth, R. Leenes, P. De Hert. Dordrecht: Springer, 2015. P. 311-331.
Kokolakis S. Privacy attitudes and privacy behaviour: A review of current research on the privacy paradox phenomenon // Computers & security. 2017. Vol. 64. P. 122-134.
Koops B.J. The trouble with European data protection law // International data privacy law. 2014. Vol. 4. No. 4. P. 250-261.
Lazaro C., Metayer D.L. Control over personal data: True remedy or fairy tale // SCRIPTed. 2015. Vol. 12. P. 3-25.
Legal study on ownership and access to data // European Commission, Directorate-General of Communications Networks, Content & Technology. Luxembourg: Publications Office, 2016.
Lode S.L. You Have the Data: The Writ of Habeas Data and Other Data Protection Rights: Is the United States Falling Behind // Indiana Law Journal. The Supplement. 2018. Vol. 94. Iss. 5. P. 41-63.
Mahieu R. The right of access to personal data: A genealogy // Technology and Regulation / R. Leenes & A. Martin (eds.). Open Press TiU. 2021. P. 62-75.
Masur P.K. How online privacy literacy supports self-data protection and self-determination in the age of information // Media and Communication. 2020. Vol. 8. No. 2. P. 258-269.
Métille S. Le droit au respect de la vie privée: les défis digitaux, une perspective de droit comparé. Suisse. Bruxelles. Union européenne. 2018. URL: https://serval.unil.ch/ resource/serval: BIB_25D40801BCE2.P001/REF.pdf (дата обращения: 08.04.2024).
Mouron P. Pour ou contre la patrimonialité des données personnelles // Revue Européenne des Médias et du Numérique. 2018. № 46-47. P. 90-96.
Ntoutsi E. et al. Bias in data-driven artificial intelligence systems — an introductory survey // Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery. 2020. Vol. 10. No. 3. Р. 1-14.
Poullet Y., RouvroyA. Le droit à l'autodétermination informationnelle et la valeur du développement personnel. Une reevaluation de l'importance de la vie privée pour la démocratie // État de droit et virtualité. Montreal: Les Éditions Thémis, 2009. P. 157-222.
Prictor M. et al. Consent for data processing under the General Data Protection Regulation: Could «dynamic consent» be a useful tool for researchers? // Journal of Data Protection & Privacy. 2019. Vol. 3. No. 1. P. 93-112.
Purtova N. Property in personal data: A European perspective on the instrumentalist theory of propertisation // European Journal of Legal Stuies. 2008. Vol. 2. P. 193-211.
Quiroz Papa de García R. El Hábeas Data, protección al derecho a la información ya la autodeterminación informativa // Letras (Lima). 2016. Vol. 87. № 126. P. 23-27.
Rantos K. et al. ADvoCATE: a consent management platform for personal data processing in the IoT using blockchain technology / International Conference on Security for Information Technology and Communications. Cham: Springer, 2019. P. 300-313.
Rauhofer J. Round and round the garden? Big data, small government and the balance of power in the information age // Edinburgh School of Law Research Paper. 2014. No. 2014/06. Р. 1-14.
Richards N., Hartzog W A Relational Turn for Data Protection? // European Data Protection Law Review 2020. Vol. 6. Iss. 4. P. 492-497.
Rodotä S. Democracy, innovation, and the information society // The information society: Innovation, legitimacy, ethics and democracy in Honor of Professor Jacques Ber-leur sj. Boston: Springer, 2007. P. 17-25.
Roughton L. Informational Self-Determination in Context: Privacy and Data Protection in the Age of Big Data and Surveillance Capitalism: MPhil thesis. Oxford: University of Oxford, School of Law, 2021.
Schauer F. Fear, risk and the first amendment: Unraveling the chilling effect //Boston University Law Review. 1978. Vol. 58. P. 685-732.
Schwartz P.M., Peifer K.-N. Transatlantic Data Privacy Law // The Georgetown Law Journal. 2017. Vol. 106. Iss. No. 1. P. 115-179.
Solove D.J. Privacy self-management and the consent dilemma // Harvard Law Review. 2013. Vol. 126. P. 1880-1903.
Symons T., Bass T. Me, my data and I: The future of the personal data economy. European Union, 2017. URL: https://apo.org.au/node/113751 (дата обращения: 08.04.2024).
TalapinaE.V. The Right to Informational Self-Determination: On the Edge of Public and Private // Legal Issues in the Digital Age. 2022. No. 4. P. 34-51.
Teare H.J.A., Prictor M., Kaye J. Reflections on dynamic consent in biomedical research: the story so far // European journal of human genetics. 2021. Vol. 29. No. 4. P. 649-656.
Thouvenin F. Informational Self-Determination: A Convincing Rationale for Data Protection Law? // Journal of Intellectual Property, Information Technology and Electronic Commerce Law. 2021. Vol. 12. P. 246-256.
Van Alsenoy B., Kosta E., Dumortier J. Privacy notices versus informational self-determination: Minding the gap // International Review of Law, Computers & Technology. 2014. Vol. 28. No. 2. P. 185-203.
Van der Sloot B. Do data protection rules protect the individual and should they? An assessment of the proposed General Data Protection Regulation // International Data Privacy Law. 2014. Vol. 4. No. 4. P. 307-325.
Vargas Lima A.E. Del hábeas data a la acción de protección de privacidad en Bolivia. Su evolución y desarrollo en la jurisprudencia del Tribunal Constitucional Plurinacional / El hábeas data en la actualidad. Lima, Peru: Tribunal Constitucional (Centro de estudios constitucionales), 2020. P. 75-145.
Veil W The GDPR: The Emperor's New Clothes-On the Structural Shortcomings of Both the Old and the New Data Protection Law // Neue Zeitschrift für Verwaltungsrecht. 2018. Vol. 10. S. 686-696.
Veliz C. Privacy is Power: Why and How You Should Take Back Control of Your Data. New York: Melville House, 2021.
Vivarelli A. The Crisis of the Right to Informational Self-Determination // Italian Law Journal. 2020. Vol. 6. No. 1. P. 301-319.
Voigtmann C., David K., Zirfas J., Skistims H., Rossnagel A. Prospects for Context Prediction Despite the Principle of Informational Self-Determination. Third International Conference on Advances in Human-Oriented and Personalized Mechanisms, Technologies and Services. IEEE. 2010. P. 89-92.
Whitley E.A. Informational privacy, consent and the "control" of personal data // Information security technical report. 2009. Vol. 14. No. 3. P. 154-159.
ZuboffS. 'We Make Them Dance': Surveillance Capitalism, the Rise of Instrumentarian Power, and the Threat to Human Rights // Human rights in the age of platforms / Ed. by R.F. Jorgensen. Cambridge: The MIT Press, 2019. P. 3-51.
REFERENCES
Austin, L.M. (2014). Enough about me: why privacy is about power, not consent (or harm). In Austin Sarat, ed. A World Without Privacy. New York, NY: Cambridge University Press. (in Eng.)
Bazán, V. (2012). El hábeas data, su autonomía respecto del amparo y la tutela del derecho fundamental de autodeterminación informativa [Habeas data, its autonomy with respect to amparo and the protection of the fundamental right to informational self-determination]. Anuario de Derecho constitucional latinoamericano [Yearbook of Latin American Constitutional Law], pp. 85-139 (in Sp.).
Borisova, A.R. Skandal vokrug Cambridge Analytica — pochemu jeto vazhno dlja nas? [The Cambridge Analytica scandal — why does it matter to us?] [online] Available at: https:// www.imemo.ru/news/events/text/cambridge-analytica-scandal-why-is-it-important-for-us [Accessed: 18.01.2022]. (in Russ.)
Büchi, M., Festic, N., Latzer, M. (2022). The Chilling Effects of Digital Dataveil-lance: A Theoretical Model and an Empirical Research Agenda. Big Data & Society, 9(1), pp. 1-14 (in Eng.)
Buitelaar, J.C. (2012). Privacy: Back to the roots. German Law Journal, 13(3), pp. 171-202.
de la Cueva, P. L. M. (1999). La construcción del derecho a la autodeterminación informativa [The construction of the right to informational self-determination]. Revista de estudios Políticos [Journal of Political Studies], (104), pp. 35-60. (in Sp.)
Custers B. (2012) Predicting data that people refuse to disclose. Privacy Observatory Magazine, (3). Available at: https://scholarlypublications.universiteitleiden.nl/handle/ 1887/46935 [Accessed 8 April 2024].
Gillis, T.B., Spiess, J.L. (2019). Big data and discrimination. The University of Chicago Law Review, 86(2), pp. 459-488. (in Eng.)
González, M.T. (2015). Habeas data: comparative constitutional interventions from Latin America against neoliberal states of insecurity and surveillance. Chicago-Kent Law Review, 90, pp. 641-668. (in Eng.)
Grigor'ev K.M., Havajashhov A.A. (2015). Fiduciarnye objazannosti v rossijskom i an-glijskom prave [Fiduciary duties in Russian and English law]. Akcionernoe obshhestvo: voprosy korporativnogo upravlenija [Joint-stock company: corporate governance issues], (1). Available at: https://gaap.ru/articles/Fidutsiarnye_obyazannosti_v_rossiyskom_i_angliyskom_ prave/ [Accessed 8 April 2024] (in Russ.).
Hartzog, W. (2018). The case against idealising control. European Data Protection Law Review, 4, pp. 423-432. (in Eng.)
Hartzog, W., & Richards, N. (2021). The Surprising Virtues of Data Loyalty. Emory Law Journal, 71, pp. 986-1033. (in Eng.)
Karpov, S.A. (2022) Propertizacija i informacionnoe samoopredelenie kak sovremen-nye koncepcii zashhity personal'nyh dannyh [Propertization and informational self-determination as modern concepts of personal data protection]. Rossijskaja justicija [Russian Justice], (11), pp. 8-15. (in Russ.)
Kiss, A., Szóke, G.L. (2015). Evolution or revolution? Steps forward to a new generation of data protection regulation. In: Reforming European data protection law. Dordrecht: Springer, pp. 311-331. (in Eng.)
Kokolakis, S. (2017). Privacy attitudes and privacy behaviour: A review of current research on the privacy paradox phenomenon. Computers & security, 64, pp. 122-134. (in Eng.)
Koops, B.J. (2014). The trouble with European data protection law. International data privacy law, 4(4), pp. 250-261. (in Eng.)
Lazaro, C., Metayer, D.L. (2015). Control over personal data: True remedy or fairy tale. SCRIPTed, 12, pp. 3-25. (in Eng.)
Lode, S.L. (2018). You Have the Data. The Writ of Habeas Data and other Data Protection Rights: Is the United States Falling Behind. pp. 41-63. (in Eng.)
Mahieu, R. (2021). The right of access to personal data: A genealogy. In: Technology and Regulation. Tilburg: Open Press TiU. pp. 62-75. (in Eng.)
Masur, P.K. (2020). How online privacy literacy supports self-data protection and self-determination in the age of information. Media and Communication, 8(2), pp. 258-269. (in Eng.)
Métille, S. (2018). Le droit au respect de la vie privée: les défis digitaux, une perspective de droit comparé. Suisse [The right to privacy: digital challenges, a comparative law perspective. Switzerland]. Unité Bibliothèque de droit comparée, Direction générale des services de recherche parlementaire (DG EPRS), Secrétariat général du Parlement européen. Available at: https://serval.unil.ch/resource/serval: BIB_25D40801BCE2.P001/ REF.pdf [Accessed 8 April 2024] (in Fr.)
Mouron, P. (2018). Pour ou contre la patrimonialité des données personnelles [For or against the patrimoniality of personal data]. Revue européenne des médias et du numérique [European Journal of Media and Digital Affairs], (46-47), pp. 90-96. (in Fr.)
Ntoutsi, E., Fafalios, P., Gadiraju, U., Iosifidis, V., Nejdl, W., Vidal, M. E., ... & Sta-ab, S. (2020). Bias in data-driven artificial intelligence systems — An introductory survey. Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery, 10(3), e1356. (in Eng.)
Osborne Clarke, L.L.P. (2016). Legal study on ownership and access to data. European Commission, Directorate-General of Communications Networks, Content & Technology. Luxembourg: Publications Office. (in Eng.)
Rouvroy, A., & Poullet, Y. (2009). Le droit à l'autodétermination informationnelle et la valeur du développement personnel: une réévaluation de l'importance du droit à la protection de la vie privée pour la démocratie [The Right to Informational Self-Determination and the Value of Personal Development: A Reassessment of the Importance of the Right to Privacy for Democracy]. In: Etat de droit et virtualité [Rule of law and virtuality]. Montreal: Thémis, pp. 157-222 (in Fr.).
Prictor, M., Teare, H. J., Bell, J., Taylor, M., & Kaye, J. (2019). Consent for data processing under the General Data Protection Regulation: Could 'dynamic consent'be a useful tool for researchers? Journal of Data Protection & Privacy, 3(1), pp. 93-112. (in Eng.)
Purtova, N. (2008). Property in personal data: A European perspective on the instrumentalist theory of propertisation. European Journal of Legal Studies, 2, pp. 193-211. (in Eng.)
Quiroz Papa de García, R. (2016). El Hábeas Data, protección al derecho a la información ya la autodeterminación informativa [Habeas Data, protection of the right to information and the right to informational self-determination]. Letras (Lima) [Letters (Lima)], 87(126), pp. 23-27. (in Sp.)
Rantos, K., Drosatos, G., Demertzis, K., Ilioudis, C., Papanikolaou, A., Kritsas, A. (2019). ADvoCATE: a consent management platform for personal data processing in the IoT using blockchain technology. In: International Conference on Security for Information Technology and Communications. Cham: Springer, pp. 300-313. (in Eng.)
Rauhofer, J. (2014). Round and round the garden? Big data, small government and the balance of power in the information age. Big Data, Small Government and the Balance of Power in the Information Age (February 1, 2014). Edinburgh School of Law Research Paper, (2014/06). (in Eng.)
Richards, N., Hartzog, W. (2020). A Relational Turn for Data Protection? European Data Protection Law Review, 4, pp. 492-497. (in Eng.)
Rodotä, S. (2007). Democracy, innovation, and the information society. In: The information society: Innovation, legitimacy, ethics and democracy in Honor of Professor Jacques Berleur sj. Boston, MA: Springer, pp. 17-25. (in Eng.)
Roughton, L. (2021). Informational self-determination in context:privacy and data protection in the age of big data and surveillance capitalism (MPhil Thesis, University of Oxford). (in Eng.)
Savel'ev, A.I. (2015). Problemy primenenija zakonodatel'stva o personal'nyh dannyh v jepohu «Bol'shih dannyh» (Big Data) [Problems of applying the law on personal data in the era of «Big Data» (Big Data)]. Pravo. Zhurnal Vysshey shkoly ekonomiki [Law. Journal of the Higher School of Economics], (1), pp. 43-66. (in Russ.)
Savel'ev, A.I. (2021). Grazhdansko-pravovye aspekty regulirovanija oborota perso-naTnyh dannyh [Civil law aspects of regulating personal data circulation]. Vestnik grazh-danskogoprava [Civil Law Bulletin], 21(4), pp. 104-129. (in Russ.)
Schauer, F. (1978). Fear, risk and the first amendment: Unraveling the chilling effect. Boston University Law review, 58, pp. 685-732. (in Eng.)
Schwartz, P.M., Peifer, K.N. (2017). Transatlantic data privacy law. Georgetown Law Journal, 106, pp. 115-179. (in Eng.)
Solove, D.J. (2013). Introduction: Privacy self-management and the consent dilemma. Harvard Law Review, 126, pp. 1880-1903. (in Eng.)
Symons, T., & Bass, T. (2017). Me, my data and I: The future of the personal data economy.
Talapina, E.V. (2022). The Right to Informational Self-Determination: On the Edge of Public and Private. Legal Issues in the Digital Age, (4), pp. 34-51.
Teare, H. J., Prictor, M., Kaye, J. (2021). Reflections on dynamic consent in biomedical research: the story so far. European journal of human genetics, 29(4), pp. 649-656. (in Eng.)
Thouvenin, F. (2021). Informational Self-Determination: A Convincing Rationale for Data Protection Law? J. Intell. Prop. Info. Tech. & Elec. Com. L., 12, pp. 246-256. (in Eng.)
Van Alsenoy, B., Kosta, E., & Dumortier, J. (2014). Privacy notices versus informational self-determination: Minding the gap. International Review of Law, Computers & Technology, 28(2), pp. 185-203. (in Eng.)
Van der Sloot, B. (2014). Do data protection rules protect the individual and should they? An assessment of the proposed General Data Protection Regulation. International Data Privacy Law, 4(4), pp. 307-325. (in Eng.)
Vargas Lima, A.E. (2020). Del hábeas data a la acción de protección de privacidad en Bolivia. Su evolución y desarrollo en la jurisprudencia del Tribunal Constitucional Pluri-nacional [From habeas data to the action for the protection of privacy in Bolivia. Its evolution and development in the jurisprudence of the Plurinational Constitutional Court.]. In: El hábeas data en la actualidad [Habeas data today] Lima, Peru: Tribunal Constitucional (Centro de estudios constitucionales), pp. 75-145. (in Eng.)
Veil, W. (2018). The GDPR: The Emperor's New Clothes-On the Structural Shortcomings of Both the Old and the New Data Protection Law. Neue Zeitschrift für Verwaltungsrecht, 10(2018), pp. 686-696. (in Eng.)
V6liz, C. (2021). Privacy is power. New York: Melville House. (in Eng.)
Vivarelli, A. (2020). The Crisis of the Right to Informational Self-Determination. Italian Law Journal, 6, pp. 301—319. (in Eng.)
Voigtmann, C., David, K., Zirfas, J., Skistims, H., Rossnagel, A. (2010). Prospects for context prediction despite the principle of informational self-determination. In: 2010 Third International Conference on Advances in Human-Oriented and Personalized Mechanisms, Technologies and Services. IEEE. Los Alamitos: IEEE CPS, pp. 89—92. (in Eng.)
Whitley, E.A. (2009). Informational privacy, consent and the "control" of personal data. Information security technical report, 14(3), pp. 154—159. (in Eng.)
Zuboff, S. (2019). 'We Make Them Dance': Surveillance Capitalism, the Rise of Instrumentarian Power, and the Threat to Human Rights. Human rights in the age of platforms, pp. 3—51. (in Eng.)
СВЕДЕНИЯ ОБ АВТОРЕ:
Карпов Сергей Алексеевич — аспирант сектора прав человека Института государства и права РАН.
AUTHOR'S INFO:
Sergey A. Karpov — Post Graduate Student of the Human Rights Department, Institute of State and Law, Russian Academy of Sciences.
ДЛЯ ЦИТИРОВАНИЯ:
Карпов С.А. Концепция информационного самоопределения и восстановление баланса сил в сфере обработки персональных данных // Труды Института государства и права РАН / Proceedings of the Institute of State and Law of the RAS. 2024. Т. 19. № 2. С. 113-141. DOI: 10.35427/2073-4522-2024-19-2-karpov
FOR CITATION:
Karpov, S.A. (2024). The Right to Information Self-Determination as a Legal Embodiment of the Idea of Control over Personal Data. Trudy Instituta gosudarstva i prava RAN — Proceedings of the Institute of State and Law of the RAS, 19(2), pp. 113-141. DOI: 10.35427/ 2073-4522-2024-19-2-karpov