КРИТЕРИЙ «НАПРАВЛЕННОЙ ДЕЯТЕЛЬНОСТИ» ПРИМЕНИТЕЛЬНО К ОТНОШЕНИЯМ, СВЯЗАННЫМ С ЗАЩИТОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ1
Терентьева Л. В.*
Ключевые слова: персональные данные, судебная юрисдикция, направленная деятельность, защита прав потребителей, экстратерриториальная юрисдикция, киберпространство, контролер, лицо, обрабатывающее персональные данные.
Аннотация.
Цель работы: уточнение сферы распространения Закона РФ «О персональных данных» (2006 г.) и выявление соотношения сферы применения указанного закона с основанием установления юрисдикции российского суда, предусмотренного в п. 10 ч. 3 ст. 402 ГПК РФ.
Метод: сравнительно-правовой анализ законодательных и доктринальных подходов к определению понятия «направленная деятельность»: при установлении судебной юрисдикции по делу о защите персональных данных, определении сферы применения Закона РФ «О персональных данных», и применении механизма коллизионной защиты в отношении потребителя, предусмотренной в ст. 1212 ГК РФ.
Результаты: установлена необходимость дифференциации подходов к определению содержания критерия «направленной деятельности» как условия применения законодательства о персональных данных и как условия предоставления специальной коллизионной защиты потребителю, принимая во внимание отличный механизм защиты при поиске применимого права к потребительским договорам и распространения законодательства о персональных данных в отношении иностранных операторов; доказывается, что, принимая во внимание общие тенденции проявления экстратерриториальной законодательной (предписывающей) и судебной юрисдикции, основания распространения ФЗ «О персональных данных» должны совпадать с основаниями установления судебной юрисдикции по делу о защите прав субъекта персональных данных.
001:10.21681/1994-1404-2021-1-61-69
Масштабное развитие киберпространства [10] способствовало смешению границ национальных правовых пространств и количественному увеличению случаев установления экстратерриториальной юрисдикции.
Возможность наступления последствий на территории одного государства в результате принятия актов на территории других государств послужила обоснованием доктринальной позиции о том, что концепции расширенной юрисдикции становятся частью правовой системы России и многих других государств [1].
В этой связи критерий разграничения территориального или экстратерриториального проявления юрисдикции в современных условиях в большей степени становится зависимым не от четкой территориаль-
ной демаркации между государствами, а от того, затрагиваются ли значимые интересы одного государства в результате реализации юрисдикционных полномочий другого государства. Иллюстрацией установления экстратерриториальной предписательной юрисдикции может служить законодательство государств о персональных данных.
Закон Австралии о конфиденциальности (1988 г.) распространяется на любую организацию или оператора малого бизнеса, имеющих связь с Австралией, в частности, осуществляющих предпринимательскую деятельность в Австралии (Sec. 56, par.3(b))2. Закон о защите персональных данных 2012 г. Сингапура распространяется на организации, собирающие персональные
2 Privacy Act Australia of 1988. URL: https://www.legislation.gov.au/
Details/C2014C00076// (дата обращения: 20.11.2020).
1 Статья подготовлена при финансовой поддержке Российского фонда фундаментальных исследований в рамках научно-исследовательского проекта № 18-29-16061.
* Терентьева Людмила Вячеславовна, кандидат юридических наук, доцент, доцент кафедры международного частного права Московского государственного университета имени О. Е. Кутафина, Российская Федерация, г. Москва. E-mail: [email protected]
данные физических лиц в Сингапуре, независимо от того, присутствует ли сама организация в Сингапуре3.
Экстратерриториальная сфера действия была заложена и в Регламенте Европейского Парламента и Совета ЕС (2016 г.) о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (далее — Регламент о персональных данных)4.
В ст. 3 Регламента, носящей название «территориальное действие», раскрывается как территориальная, так и экстратерриториальная сфера распространения Регламента в зависимости от того, учреждены ли контролер (оператор) или лица, обрабатывающие персональные данные, в Европейском союзе. В соответствии с п. 2 ст. 3 Регламента он применяется в отношении обработки персональных данных субъектов данных, находящихся в Союзе, контролером или обрабатывающим данные лицом, не учрежденными в Союзе, если обработка данных касается:
(a) предоставления товаров и услуг субъектам данных в Союзе вне зависимости от того, требуется ли оплата от указанного субъекта данных, или
(b) мониторинга их деятельности при условии, что деятельность осуществляется на территории Союза.
Обращение в Регламенте к такому критерию объясняется возможностью обработки персональных данных лиц, находящихся практически в любой точке мира, в результате использования современных инфор-мационно-коммуникационныхтехнологий [6].
В соответствии с п. 23 и п. 24 Преамбулы Регламента, а также ст. 3 (b), 27 (3) Регламента о персональных данных под мониторингом деятельности субъектов понимается потенциальная возможность последовательного использования технологий обработки персональных данных, посредством которых осуществляется составление профиля физического лица, для принятия решений относительно анализа либо прогнозирования его личных предпочтений, особенностей поведения, а также личностных характеристик. Под мониторинг активности граждан попадает и использование файлов cookies5.
В п. 23 Преамбулы Регламента о персональных данных поясняется, что для того, чтобы определить, предлагает ли контролер или оператор, обрабатывающий данные, товары или услуги субъектам данных, которые находятся в Европейском союзе, необходимо установить очевидность их намерения по предложению услуг субъектам данных в одном или нескольких
3 Personal Data Protection Act Singapore of 2012 (No. 26 of 2012)// Personal Data Protection Act of 2012 (No. 26 of 2012). URL: www. dlapiperdataprotection.com/index.html?t=law&c=SG. (дата обращения: 20.11.2020).
4 General Data Protection Regulation (GDPR) // GDPR Archives. URL: GDPR.eu (дата обращения: 20.11.2020).
5 Файлы cookies — это часть текстовых данных, хранящаяся в браузере. В них содержится информация, которую пользователь передает сайтам при их посещении. Именно она помогает запомнить все действия, чтобы при очередном входе на сайт облегчить навигацию. URL: proudalenku.ru) (дата обращения: 30.11.2020).
государствах-членах Европейского союза. При этом одна лишь доступность интернет-сайта контролера или оператора, обрабатывающего данные, адреса электронной почты или иных контактных данных, или же использование языка государства, в котором учрежден оператор, не являются достаточными для обозначения намерения.
Намерение оператора предлагать товары или услуги субъектам данных в Европейском союзе в п. 23 Регламента обозначается в качестве возможности заказа товаров или услуг на языке, используемом в одном или нескольких государствах-членах Европейского союза, или использования валюты, распространенной в одном или нескольких государствах-членах Европейского союза. К числу факторов, указывающих на намерение оператора предлагать товары или услуги субъектам данных в Европейском союзе, также относятся упоминание покупателей или пользователей, находящихся в Европейском союзе.
Обозначение намерения предлагать товары или услуги не является принципиально новым для европейского законодательства. Такого рода критерий был использован применительно к потребительским отношениям в Регламенте Европейского парламента и Совета Европейского Союза 1215/2012 от 12 декабря 2012 г. «О юрисдикции, признании и исполнении судебных решений по гражданским и коммерческим делам» (далее — «Брюссель I bis»)6 и в Регламенте Европейского Парламента и Совета Европейского Союза от 17 июня 2008 г. «О праве, подлежащем применению к договорным обязательствам» (далее — "Рим I")7.
В соответствии с указанными регламентами факт осуществления «направленной деятельности» является основанием предоставления потребителю защитной юрисдикции и специального коллизионного регулирования. Само понятие «направленная деятельность» не раскрывалось ни в Регламенте "Брюссель I (bis)", ни в Регламенте "Рим I". Уточнение и конкретизация его содержания имели место в предложении Европейского парламента 1999 г.8 и в совместном заявлении Совета и Комиссии в отношении применения ст. 15 Регламента (ЕС) № 44/2001 (ст. 17 в редакции от 12 декабря 2012 г.)9.
6 Regulation (eu) no 1215/2012 of the European Parliament and of the Council of 12 December 2012 on jurisdiction and the recognition and enforcement of judgments in civil and commercial matters. URL: https:// eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2012:351:0001:003 2:en:PDF (дата обращения: 16.06.2020).
7 Регламент Европейского Парламента и Совета Европейского Союза от 17 июня 2008 г. N 593/2008 «О праве, подлежащем применению к договорным обязательствам» // СПС «Гарант».
8 European Parliament, "Proposal for a Council Regulation (EC) on Jurisdiction and the Recognition and Enforcement of Judgments in Civil and Commercial Matters (Presented by the Commission)", COM (1999) 348 final 99/0154 (CNS). URL: https://1library.net/document/rz34nxmy-proposal-regulation-jurisdiction-recognition-enforcement-judgments-commercial-commission.html (дата обращения: 03.08.2020).
9 European Commission, Justice and Home Affairs DG Statement on Articles 15 and 73. URL: http://ec.europa.eu/civiljustice/homepage/ homepage_ec_en_declaration.pdf (дата обращения: 03.08.2020).
В предложении Европейского парламента 1999 г. был сформулирован отказ от подхода, основанного на постулате, что электронная торговля товарами и услугами, доступными в другом государстве-члене, составляет деятельность, направленную на это государство.
В соответствии с совместным заявлением Европейской комиссии по вопросам юстиции и внутренних дел в отношении ст. 15 Регламента (ЕС) № 44/2001 для применения п. (с) 1 ст. 15 (в текущей редакции п. 1(с) ст. 17 "Брюсселя I bis") одиночный факт осуществления направленной деятельности профессиональной стороны на государство-участник по месту жительства потребителя считается недостаточным, необходим также факт заключения договора между потребителем и профессиональной стороной в рамках её деятельности. Данное положение Европейская комиссия распространяет и в отношении контрактов, заключенных дистанционным способом, в том числе и посредством сети Интернет. Только лишь факт доступности интернет-сайта потребителю не будет считаться достаточным для применения данной статьи. Должно быть также принято во внимание то обстоятельство, что, во-первых, такой интернет-сайт способствует заключению дистанционных договоров и, во-вторых, договор был заключен дистанционно с помощью любых средств связи. Язык сайта или используемая при оплате услуг или товаров валюта также не должны являться значимыми факторами10.
Концепция целенаправленно ориентированной деятельности была детализирована в судебных делах Peter Pammer v. Reederei Karl Schlüter GmbH & Co KG (C-585/08) и Hotel Alpenhof GesmbH v Oliver Heller (C-144/09), рассмотренных Европейским судом 07.12.201011.
При рассмотрении данных дел судом были выработаны содержательные характеристики критерия «направленной деятельности» профессиональной стороны на страну места жительства потребителя, к которым Европейский суд отнес, в частности:
- ориентирование профессиональной стороны на заключение трансграничных потребительских контрактов;
- использование доменного имени верхнего уровня, отличного от национального домена соответствующего государства места нахождения профессиональной стороны;
- демонстрацию наличия клиентов-потребителей, проживающих в иностранных государствах;
- обозначение маршрута к месту нахождения профессиональной стороны с территории других государств;
10 В иностранной доктрине было отмечено, что язык сайта и используемая валюта расчетов в ряде случаев могут демонстрировать намерение профессиональной стороны заниматься маркетингом в конкретной стране. Если в данной стране используется весьма специфический язык или валюта, то он может быть принят во внимание при решении вопроса о том, что профессиональная сторона целенаправленно ориентирована на данную страну [16].
11 Joined cases C-585/08 and C-144/09 Pammer/Alpenhof [2010]
ECR I-12527. URL: https://eur-lex.europa.eu/legal-content/EN/ ALL/?uri=CELEX%3A62008CJ0585 (дата обращения: 19.05.2020).
- возможность использования языка или валюты, отличных от используемых в государстве места нахождения профессиональной стороны, с возможностью осуществления и подтверждения бронирования на другом языке;
- указание телефонных номеров с международным кодом;
- наличие расходов на поисковую систему ссылок (например, Google), в целях облегчения доступа к сайту профессиональной стороны или его посредника для потребителей, проживающих в других государствах12.
Необходимо добавить, что в решении Европейского суда не было установлено, достаточно ли лишь одного критерия для признания факта целенаправленного ориентирования сайта состоявшимся или необходима их совокупность. В то же время перечисление столь широкого перечня обстоятельств, положенных в основу критерия «направленной деятельности», позволяет допустить, что содержание направленной деятельности как проявления тесной связи отношения с правопорядком страны потребителя должно включать в себя как объективную составляющую — в виде ориентирования деятельности предпринимателя на страну потребителя, так и субъективную — в виде предвидения предпринимателем распространения на него законодательства страны потребителя (подробнее о юрисдикционной и коллизионной защите потребителя в [11-13]).
Именно такой подход, позволяющий учитывать совокупность обстоятельств, в большей степени способствует как предоставлению защитной юрисдикции, так и предотвращению ситуации злоупотребления потребителями своими правами, недобросовестного поведения потребителей и прочих действий, подпадающих под понятие потребительского экстремизма [2, 5]. В работе [15] целевой подход к определению сферы юрисдикции признается наиболее приемлемым.
Между тем наделение равным содержанием критерия «направленной деятельности» как условия распространения законодательства о персональных данных и как условия предоставления специальной коллизионной защиты потребителю не является целесообразным. Это может быть объяснимо использованием отличных механизмов защиты потребителя от применения иностранного права и защиты субъектов персональных данных. Если потребительские отношения преимущественно лежат в частноправовой плоскости, то в отношении защиты персональных данных, как обоснованно показано в [3], превалируют меры публично-правового регулирования и административная ответственность.
Беспрецедентный масштаб сбора и обмена персональными данными в рамках государственных и частных компаний при осуществлении ими своей де-
12 Judgment of the Court (Grand Chamber) of 7 December 2010 (references for a preliminary ruling from the Oberster Gerichtshof (Austria)) — Peter Pammer v Reederei Karl Schlüter GmbH & Co KG (C-585/08) and Hotel Alpenhof GesmbH v Oliver Heller (C-144/09). URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX% 3A62008CA0585 (дата обращения: 10.06.2020).
ятельности, а также коммерческая ценность подобной информации способствовали появлению на рынке различных баз данных, содержащих персональные данные. Такого рода информация может быть востребована как компаниями, которые предоставляют товары и услуги потребителям, так и лицами, занимающимися незаконной деятельностью (мошенничество, вымогательство и др.) [8].
Последствия использования критерия «направленной деятельности» при предоставлении потребителю коллизионной защиты и решении вопроса о распространении закона о персональных данных не одинаковы. Если в первом случае суд стоит лишь перед выбором применимого права страны потребителя или права профессиональной стороны, то во втором случае решается вопрос предоставления или не предоставления защиты субъекту персональных данных в результате оценки направленной деятельности иностранного оператора.
Это обусловливает необходимость дифференцированного подхода к установлению содержания критерия направленной деятельности как условия применения законодательства о персональных данных и как условия предоставления специальной коллизионной защиты потребителю. Такого рода подход можно усмотреть и в европейском праве.
Если, как было указано, в совместном заявлении Европейской комиссии по вопросам юстиции и внутренних дел в отношении статьи 15 Регламента (ЕС) № 44/2001, язык сайта или используемая при оплате услуг или товаров валюта не являются значимыми факторами при установлении защитной юрисдикции и выбора применимого права в отношении потребителей, то в п. 23 Преамбулы Регламента о персональных данных язык, используемый в одном или нескольких государствах-членах Европейского союза, может являться самостоятельным основанием для сферы его применения.
Обработка персональных данных может иметь место и при отсутствии заключенного договора между иностранным лицом, обрабатывающим данные, и физическим лицом, тогда как защита потребителя от применения иностранного права может предоставляться только при направленной деятельности предпринимателя на территорию страны потребителя при наличии договора между ними. Если контролер или обработчик предлагают товары или услуги или осуществляют мониторинг субъектов данных в Союзе, то Регламент может быть применим к их деятельности.
Пункт «а» ч. 2 ст. 3 Регламента о персональных данных применяется к предложению товаров независимо от того, требуется ли оплата. Бизнес в Интернете все чаще ведется бесплатно для потребителя. Facebook представляет собой пример деятельности, в рамках которой услуги предлагаются бесплатно, при этом обрабатываются огромные объемы персональных данных. Такого рода компании имеют другие способы монетизации своих предложений, например, доход от
рекламы. В доктрине было определено, что ограничение применимости Регламента о персональных данных к предложениям, требующим оплаты, ставит под угрозу возможность защиты персональных данных лиц, которые являются своего рода «товаром» в том случае, если они не оплачивают предоставляемые им услуги13.
В п. 23 Преамбулы Регламента о персональных данных не говорится о том, что изложенные в нем обстоятельства должны исследоваться в совокупности, из чего следует, что каждый отдельный фактор — использование валюты, языка, упоминание покупателей — может являться самостоятельным критерием, обозначающим намерение оператора предлагать товары или услуги субъектам данных в Европейском союзе.
В российской юридической доктрине было определено, что доказательствами намерения предложения услуги в ЕС может стать наличие у российских компаний (интернет-магазинов, финансовых компаний, социальных сетей) сайта на языке хотя бы одного из государств — членов Союза или сайта, поддерживающего платежи в валюте стран ЕС [9].
Принимая во внимание положения Регламента, достаточно хотя бы одного из перечисленных условий. В случае нарушения Регламента о персональных данных ст. 83 предусматривает штраф до € 20 000 000, а в случае если нарушителем является предприятие, может быть взыскано до 4% от общего годового оборота предыдущего финансового года, в зависимости от того, что выше. Столь высокие штрафы, не представляющие собой угрозы для крупного бизнеса, но создающие большие проблемы для малого и среднего бизнеса, подвергались критике в литературе [14].
В доктрине по-разному решается, должна ли включаться субъективная составляющая при оценке направленной деятельности, а именно, должно ли учитываться «предвидение» контролера или лица, обрабатывающего данные, о предложении их услуг субъектам данным, находящимся в иностранном государстве.
В работе [15] показана необходимость сбалансированных критериев, которые, с одной стороны, обеспечивали бы достаточную степень определенности и предсказуемости, позволяя участникам рынка предвидеть возможность применения законодательства о персональных данных, а с другой — создавали бы необходимую степень гибкости применения, тем самым сводя к минимуму соблазны для уклонения от закона.
Вместе с тем можно заметить, что в Преамбуле Регламента о персональных данных говорится не столько о предсказуемости, сколько о необходимости повышения уровня правовой определенности и практической достоверности [4, 6] для физических лиц, субъектов экономической деятельности и органов государственной власти (Пар. 7).
13 Gullaker H. The extraterritorial scope of European data protection law: The changes in extraterritorial scope between the Data Protection Directive and the General Data Protection Regulation. URL: https://www.duo.uio.no/bitstream/handle/10852/60636/586. pdf?sequence=1&isAllowed=y.
Субъективный подход к направленной деятельности был подвергнут критике в иностранной доктрине. В частности, в [16] обосновывается необходимость учета результата деятельности контролера или лица, обрабатывающего данные. По мнению автора, фокусирование на субъективных аспектах может способствовать возникновению ситуации, когда данные субъектов обрабатываются, тогда как субъекты данных лишаются своей защиты в соответствии с Регламентом в связи с тем, что контролер или лицо, обрабатывающее данные, смогли доказать свою неосведомленность и отсутствие намерения ориентировать информацию на лиц государств — членов ЕС.
Можно согласиться с данным подходом. Как было сказано, последствия нераспространения закона о персональных данных, принимая во внимание их впечатляющие массивы и легкость трансграничного обращения, являются не соизмеримыми с постановкой вопроса о выборе юрисдикции и применимого права к потребительским спорам. В последнем случае речь идет именно о выборе, а не о факте предоставления или непредоставления юрисдикционной и коллизионной защиты.
В этой связи при квалификации направленной деятельности контролера или лица, обрабатывающего данные, на субъекта персональных данных именно наличие объективных факторов в виде оценки последствий указанной деятельности играет доминирующую роль по отношению к субъективной составляющей.
В российском законодательстве о персональных данных воспринят ряд положений европейского законодательства в связи с тем, что Федеральный закон «О персональных данных» 2006 г. (далее — Закон РФ о персональных данных)14 был принят сразу после ратификации Россией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г.15. При этом, в отличие от Регламента о персональных данных, в российском законе отсутствуют специальные положения, регламентирующие сферу его действия по территории и кругу лиц. В этой связи была сформирована специальная рабочая группа, возглавляемая А. И. Савельевым, при Консультативном совете Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Результаты, к которым пришли члены рабочей группы, были отражены в отчете для внутреннего использования Роскомнадзора и в официальных комментариях Министерства цифрового развития, связи и массовых коммуникаций РФ (Министерства связи) Федерального закона от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части
уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (далее — Федеральный закон № 242-ФЗ)16.
В рамках подхода, обозначенного в рекомендациях Министерства связи, предписывается руководствоваться критерием направленной деятельности. В пояснительной записке Министерства связи наличие направленности интернет-сайта на территорию РФ предложено определять следующими факторами:
1) использование доменного имени, связанного с РФ или субъектом РФ (.ги, .рф, ^и, .москва, moscow и др.) и (или)
2) наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков, не должно приниматься во внимание).
А. И. Савельев регистрацию и фактическое использование географических доменных имен, связанных с Российской Федерацией или ее регионами (.ги, ^и, .рф, .Москва и др.), считал оправданными, поскольку такого рода условия должны быть истолкованы как воля компании осуществлять свою деятельность «имея в виду Россию», принимая во внимание устойчивую связь таких доменных имен с территорией Российской Федерации [15].
Что касается второго пункта, то в пояснительной записке установлено, что поскольку русский язык широко используется в некоторых странах за пределами РФ, для определения направленности интернет-сайта именно на территорию РФ дополнительно необходимо наличие как минимум одного из следующих элементов:
- возможности осуществления расчетов в российских рублях;
- возможности исполнения заключенного на таком интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России);
- использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту;
- использование иных обстоятельств, явно свидетельствующих о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.
Использование функции автоматического перевода, позволяющей переводить на несколько выбранных пользователем языков, по мнению А.И. Савельева, не может быть основанием для вывода о том, что веб-сайт ориентирован на Российскую Федерацию. Скорее можно утверждать, что он ориентирован на международ-
14 Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» // СЗ РФ. 2006. № 31 (часть I). Ст. 3451.
15 Конвенция Совета Европы о защите физических лиц при авто-
матизированной обработке персональных данных 1981 г. // СЗ РФ.
2014. № 5. Ст. 419.
16 Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации. Пояснительная записка. Сфера действия ФЗ-242 по территории и кругу лиц. иВ1_:ИН^:/^1дИ:а1.доу.ги/ги/ personaldata/ (дата обращения: 20.08.2020).
ную аудиторию в целом, без ее национальной дифференциации [15].
Таким образом, в рамках указанного подхода только факт размещения информации в национальной доменной зоне РФ является самостоятельным критерием, свидетельствующим о направленности сайта. Русскоязычная версия сайта, размещенная в функциональных доменных зонах или национальных доменных зонах иностранных государств, может быть принята во внимание в качестве критерия направленной деятельности сайта только при наличии дополнительных обстоятельств в виде осуществления расчетов в российских рублях, исполнения договора в РФ и др.
В пояснительной записке также обозначено, что одной лишь доступности интернет-сайта на территории РФ недостаточно для вывода о том, что на него распространяется законодательство РФ. В этой связи рекомендовано обращение к критерию направленности деятельности лица на территорию РФ, используемого в международном частном праве и законодательстве о защите прав потребителей (ст. 1212 Гражданского кодекса РФ) как условия применения законодательства РФ к отношениям с иностранным субъектом.
Статья 1212 ГК РФ, хотя и оперирует понятием направленной деятельности, но содержание данного понятия не раскрывает. Впервые уточнение содержательных аспектов данного понятия имело место в Постановлении Пленума Верховного Суда РФ № 24 от 9 июля 2019 г. «О применении норм международного частного права судами РФ» (далее — Постановление Пленума ВС РФ от 2019 г. № 24)17. В п. 45 указанного Постановления сказано, что «...профессиональная сторона считается направляющей свою деятельность на территорию страны места жительства потребителя, в частности, в том случае, когда она поддерживает в сети «Интернет» сайт, содержание которого свидетельствует о его ориентации на потребителей из соответствующей страны».
К квалифицирующим признакам ориентирования сайта в сети Интернет на российских потребителей в Постановлении Пленума ВС РФ № 24 от 2019 г. относятся: использование на сайте среди прочих русского языка, указание цен в российских рублях, а также контактных телефонов с российскими кодами. Перечень не является исчерпывающим, поскольку суду предлагается также оценить и иные аналогичные доказательства (например, владелец сайта заказывал услуги, направленные на повышение цитируемости его сайта у российских пользователей сети Интернет). При этом в Постановлении Пленума ВС РФ № 24 от 2019 г. установлено, что достаточно соблюдения одного из указанных условий для применения судом по своей инициативе защиты прав потребителя, предоставляемой импера-
17 Постановление Пленума Верховного Суда РФ от 9 июля 2019 г. «О применении норм международного частного права судами РФ» // РГ. 2019. 17 июл.
тивными нормами права страны места жительства потребителя.
Как можно заметить, предложенное в Постановлении Пленума понимание «направленной деятельности» является более широким по сравнению с толкованием, приведенным в пояснительной записке Министерства связи РФ, где расчеты и используемый язык предлагается относить к факультативным признакам, требующим наличия дополнительных факторов.
Впоследствии Роскомнадзором был уточнен подход о действии российского закона о персональных данных18. На официальном сайте Роскомнадзора размещен комментарий к Федеральному закону № 242-ФЗ19.
Хотя в комментарии отмечено, что критерии направленности сайтов на территорию России пока еще только вырабатываются, в то же время сформулировано предложение, какие факторы к ним можно относить:
1) использование доменного имени, связанного с Россией (.ги, .рф, .бы); и/или
2) наличие русскоязычной версии сайта, созданной владельцем сайта или по его поручению иным лицом; и/или
3) возможность исполнения на территории России заключенного на сайте договора (доставка товара, оказание услуги, пользование цифровым контентом).
Указанные обстоятельства отделяются друг от друга как соединительным, так и разделительным союзом, что позволяет сделать вывод о возможности использования каждого из них в качестве самостоятельного критерия. Из этого следует более широкое содержание оснований, предусмотренных в рамках второго подхода по сравнению с подходом, предложенным ранее Министерством связи РФ.
Именно второй подход в большей степени соответствует сложившемуся в праве ЕС толкованию намерения оператора предлагать товары или услуги субъектам данных в Европейском союзе. Между тем применительно к российским реалиям определение сферы применения российского закона о персональных данных, исходя только из факта наличия русскоязычной версии сайта, представляется не совсем корректным. Русский язык является широко используемым в других государствах. Размещение коммерческой рекламы на русском языке в доменных зонах иностранных государств может свидетельствовать об ориентировании данной информации не на российских потребителей, а на русскоговорящих потребителей того или иного иностранного государства, как это имеет место в национальных доменных зонах Белоруссии, Казахстана, Украины и др.
В этой связи более точным представляется подход, который предложен ранее в пояснительной записке
18 Федеральная служба по надзору в сфере связи информационных технологий и массовых коммуникаций. Методические рекомендации. URL: https://pd.rkn.gov.ru/library/p195/ (дата обращения: 20.08.2020).
19 Там же.
Министерства связи РФ, в рамках которого устанавливаются как самостоятельные критерии (размещение информации в рамках национальной доменной зоны), так и факультативные критерии (язык, валюта), требующие дополнительных оснований подтверждения направленной деятельности иностранного оператора на российских физических лиц.
Общие тенденции проявления экстратерриториальной законодательной (предписывающей) юрисдикции сказываются и на особенностях реализации судебной юрисдикции в отношении рассмотрения трансграничных споров. Используя фразеологизм американского судьи Х. Кабранеса о том, что ограничение судебной власти должно следовать в кильватере законодательной власти20, нужно заметить, что установление экстратерриториальной судебной юрисдикции берет свое начало в экстратерриториальном проявлении законодательной (предписывающей) юрисдикции.
Между тем необходимо обратить внимание на то, что, если распространение Закона РФ о персональных данных в отношении интернет-сайтов операторов персональных данных ограничивается критерием направленности сайта, исходя из предложенных критериев Министерством связи и Роскомнадзором, иной подход предусмотрен при установлении юрисдикции суда по делу о защите прав субъекта персональных данных.
В соответствии с п. 10 ч. 3 ст. 402 ГПК РФ суды РФ вправе рассматривать дела с участием иностранных лиц, в случае если по делу о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, истец имеет место жительства в РФ.
Отсутствие в указанном основании учета специфики деятельности операторов персональных данных в киберпространстве предполагает, что судебная юрисдикция может быть установлена в отношении оператора персональных данных на основании простого доступа к информации. Столь широкие основания реализации юрисдикции применительно к отношениям, связанных с защитой персональных данных, способствуют обострению конфликта юрисдикции.
В российской судебной практике при установлении юрисдикции суда по делам о защите персональных данных также не ставится вопрос о направленности деятельности ответчика на территорию РФ, что обусловливает широкие основания для установления экстратерриториальной судебной юрисдикции. При обращении Роскомнадзора РФ с иском в суд на основании п. 5 ч. 3 ст. 23 ФЗ «О персональных данных» 2006 г., а также ч. 2 ст. 46 ГПК РФ с исковыми заявлениями в защиту прав субъектов персональных данных, Роскомнадзор пользуется всеми процессуальными правами истца, в
20 Cabranes J.A. Withholding Judgment. Why U.S. Courts Shouldn't Make Foreign Policy. Foreign Affairs. 2015. URL: https://www. foreignaffairs.com/articles/2015-08-18/withholding-judgment (дата обращения 7.03.2020).
том числе правом выбора подсудности, предусмотренным п. 10 ч. 3 ст. 402 ГПК РФ21.
В целях установления сбалансированного подхода, основания распространения ФЗ «О персональных данных» 2006 г. в отношении иностранного оператора должны коррелировать с основаниями установления судебной юрисдикции по делу о защите прав субъекта персональных данных.
В качестве наиболее адекватного механизма по установлению юрисдикции можно использовать алгоритм, предложенный в пояснительной записке Министерства связи РФ, в соответствии с которым размещение информации в рамках национальной доменной зоны устанавливается в качестве основного критерия, имеющего самостоятельное значение, тогда как использование русскоязычной версии сайта предлагается в качестве факультативного критерия, который требует дополнительных оснований подтверждения направленной деятельности иностранного оператора на российских физических лиц в виде доставки товара, оказания услуги или пользования цифровым [7] контентом на территории России и др.
При этом целесообразно дифференцированное понимание направленной деятельности как критерия предоставления потребителю коллизионной защиты и как условия применимости законодательства о персональных данных к иностранному оператору. В связи с чем представляется ошибочной рекомендация обращения к критерию направленности деятельности лица на территорию РФ, используемого в международном частном праве и законодательстве о защите прав потребителей (ст. 1212 Гражданского кодекса РФ) как условия применения законодательства РФ к отношениям с иностранным субъектом, которая размещена на сайте Министерства связи. Здесь также заметим, что в рамках Европейского союза отсутствуют рекомендации при определении такого рода намерения апеллировать к пониманию критерия «направленной деятельности», который в Регламентах "Брюссель I (bis)" и Регламенте "Рим I" используется в качестве основания предоставления потребителю защитной юрисдикции и специального коллизионного регулирования.
Таким образом, общим подходом оценки направленной деятельности при решении вопроса о предоставлении потребителю коллизионной защиты и при решении вопроса о распространении законодательства о персональных данных должно являться то, что оценка направленной деятельности не должна исходить из возможности простого доступа к сайту. Отличие проявляется в том, что если при решении вопроса о предоставлении потребителю коллизионной защиты оценка направленной деятельности профессиональной стороны исходит из субъективной (предвидение
21 Постановление Московского городского суда от 20 июня 2014 г. № 44г-70/14; Апелляционное определение Московского городского суда от 16 декабря 2014 г. № 33-40431/14; Апелляционное определение СК по гражданским делам Свердловского областного суда от 15 июня 2017 г. по делу № 33-10343/2017.
предпринимателем ориентирования его деятельности на страну потребителя) и объективной («принципа эффекта», выраженного в реальном фактическом взаимодействии потребителя и предпринимателя) составляющих, то при исследовании квалификации направленной деятельности иностранного оператора должна превалировать объективная составляющая в виде оценки последствий обработки иностранными операторами персональных данных. Такого рода подход не позволяет оператору персональных данных необоснованно ссылаться на отсутствие намерения ориентировать информацию на лиц иностранных государств и не лишает физических лиц защиты, на которую они имеют право рассчитывать в соответствии с законодательством о персональных данных.
Литература
К объективной составляющей критерия направленной деятельности иностранного оператора представляется целесообразным относить как самостоятельные критерии (размещение информации в рамках национальной доменной зоны), так и факультативные критерии (язык, валюта), требующие дополнительных оснований подтверждения направленной деятельности иностранного оператора на российских физических лиц.
Такого же рода условия должны лежать и в содержании основания установления судебной юрисдикции по делу о защите прав субъекта персональных данных, принимая во внимание общие тенденции проявления экстратерриториальной законодательной (предписывающей) и судебной юрисдикции.
1. Бабаев А.Б., Бабкин С.А., Бевзенко Р.С., Белов В.А., Тарасенко Ю.А. Гражданское право. Актуальные проблемы теории и практики. В 2-х тт. Т. 2 / Под общ. ред. В. А. Белова. М.: Юрайт, 2015. 1161 с.
2. Бежан А. Потребительский экстремизм // Корпоративный юрист. 2009. № 3. С. 53-57.
3. Долинская В. В. Защита прав в сфере персональных данных в России и ЕС // Журнал «Законы России: опыт, анализ, практика». 2019. № 9. С. 22-29.
4. Ершов В. В. Правовое и индивидуальное регулирование общественных отношений: Монография. М.: РГУП, 2018. 628 с. ISBN 978-5-93916-631-7
5. Кусков А. С., Сирик Н. В. Потребительский экстремизм в сфере туризма // Гражданин и право. 2017. № 9. С. 71-78.
6. Ловцов Д. А. Системология правового регулирования информационных отношений в инфосфере: Монография. М.: Росс. гос. ун-т правосудия, 2016. 316 с. ISBN 978-5-93916-505-1.
7. Ловцов Д. А. Информационно-правовые основы правоприменения в цифровой сфере // Мониторинг правоприменения. 2020. № 2(35). С. 44-52. DOI: 10.21681/2226-0692-2020-2-44-52
8. Ловцов Д. А., Галахова А. Е. Защита интеллектуальной собственности в сети Интернет // Информационное право. 2011. № 4. С. 13-20.
9. Талапина Э. В. Защита персональных данных в цифровую эпоху: российское право в европейском контексте // Труды института государства и права Российской академии наук. 2018. № 5. С. 117-150.
10. Терентьева Л. В. Понятие киберпространства и очерчивание его территориальных контуров // Правовая информатика. 2018. № 4. С. 66-71. D0I:10.21681/1994-14042018-4-66-71
11. Терентьева Л. В. Соглашение о международной подсудности с участием потребителя: предоставление защитной юрисдикции потребителю в цифровую эпоху // Вестник МГЮА. 2019. № 10. С. 110-125.
12. Терентьева Л. В. Основания установления международной судебной юрисдикции применительно к трансграничным потребительским спорам в цифровую эпоху // Lex Russica. Закон русский. 2019. № 11. С. 96-107.
13. Терентьева Л. В. Критерий направленной деятельности профессиональной стороны на территорию страны места жительства потребителя как условие специального коллизионного регулирования потребительских отношений //Актуальные проблемы российского права. 2020. Т. 15. № 4. С. 142-154.
14. Mercen A. G. The extraterritorial application of European Union data protection law // The Spanish Yearbook of International Law. 2019. № 23. Р. 413-425.
15. Savelyev A. Russia's new personal data localization regulations: A step forward or a self-imposed sanction? // ^mputer law & security review. 2016. Vol. 32. P. 128-145.
16. Svantesson D. J. Extraterritoriality and targeting in EU data privacy law: the weak spot undermining the regulation // International Data Privacy Law. 2015. Vol. 5. P. 226-234.
17. Tang Z. S. Consumer contracts and the Internet in EU private international law // А. Savin, J. Trzaskowski, ed. Research Handbook on EU Internet Law. Cheltenham: Edward Elgar, 2014. P. 254-284.
Рецензент: Чубукова Светлана Георгиевна, доцент кафедры информационного права и цифровых технологий Московского государственного юридического университета имени О.Е. Кутафина (МГЮА), Москва, Россия. E-mail: [email protected]
THE CRITERION OF "TARGETED ACTIVITIES" AS APPLIED TO RELATIONS LINKED TO PERSONAL DATA PROTECTION
Ludmila Terent'eva, Ph.D., Associate Professor of the Chair of International Private Law in Kutafin Moscow State Law University, Russian Federation, Moscow. E-mail: [email protected]
Keywords: personal data, judicial jurisdiction, directed activity, consumer protection, extraterritorial jurisdiction, cyberspace, controller, person processing personal data.
Abstract.
Purpose of the article: The purpose of the work is to clarify the scope of the Act "On Personal Data" of the Russian Federation" (2006). The author also compares the scope of this act with the basis for establishing the jurisdiction of the Russian court, provided for in paragraph 10 of Part 3 of Article 402 of the Civil Code of the Russian Federation.
Method used: This study uses the comparative and legal analysis of legislative and doctrinal approaches to the definition of "directed activity" regarding to the establishment of jurisdiction in the case on protection of personal data; to the determining the scope of application of the Act "On Personal Data"; and to the application of the mechanism of collision protection to the consumer provided for in article 1212 of the civil code.
Results: The author has established the need to differentiate approaches to determining the content of the criterion of "directed activity" as a condition for applying the legislation on personal data and as a condition for providing special conflict of laws protection to the consumer. This article argues that the basis of the scope of the Act "On Personal Data" should coincide with the bases of establishing jurisdiction in the case of the protection of the data subject.
References
1. Babaev A.B., Babkin S.A., Bevzenko R.S., Belov V.A., Tarasenko lu.A. Grazhdanskoe pravo. Aktual'ny'e problem/ teorii i praktiki. V 2-kh tt. T. 2 / Pod obshch. red. V. A. Belova. M.: lurai t, 2015. 1161 s.
2. Bezhan A. Potrebitel'skii' e'kstremizm // KorporativnyT iurist. 2009. № 3. S. 53-57.
3. Dolinskaia V. V. Zashchita prav v sfere personal'ny'kh danny'kh v Rossii i ES // Zhurnal «Zakony' Rossii: opy't, analiz, praktika». 2019. № 9. S. 22-29.
4. Ershov V. V. Pravovoe i individual'noe regulirovanie obshchestvenny'kh otnosheniP: monografiia. M.: RGUP, 2018. 628 s. ISBN 978-5-93916-631-7
5. Kuskov A. S., Sirik N. V. PotrebitePskiP e'kstremizm v sfere turizma // Grazhdanin i pravo. 2017. № 9. S. 71-78.
6. Lovtcov D. A. Sistemologiia pravovogo regulirovaniia informatcionny'kh otnosheniP v infosfere : monografiia. M.: Ross. gos. un-t pravosudiia, 2016. 316 s. ISBN 978-5-93916-505-1.
7. Lovtcov D. A. Informatcionno-pravovy'e osnovy' pravoprimeneniia v tcifrovoP sfere // Monitoring pravoprimeneniia. 2020. № 2(35). S. 44-52. DOI: 10.21681/2226-0692-2020-2-44-52
8. Lovtcov D. A., Galahova A. E. Zashchita intellektuaPnoP sobstvennosti v seti Internet // Informatcionnoe pravo. 2011. № 4. S. 13-20.
9. Talapina E\ V. Zashchita personal'ny'kh danny'kh v tcifrovuiu e'pohu: rossiPskoe pravo v evropePskom kontekste // Trudy' instituta gosudarstva i prava RossiPskoP akademii nauk. 2018. № 5. S. 117-150.
10. Terent'eva L. V. Poniatie kiberprostranstva i ocherchivanie ego territorial'ny'kh konturov // Pravovaia informatika. 2018. № 4.- S. 66-71. D0I:10.21681/1994-14042018-4-66-71
11. Terent'eva L. V. Soglashenie o mezhdunarodnoi' podsudnosti s uchastiem potrebitelia: predostavlenie zashchitnoi' iurisdiktcii potrebiteliu v tcifrovuiu e'pohu // Vestneyk MGIUA. 2019. № 10. S. 110-125.
12. Terent'eva L. V. Osnovaniia ustanovleniia mezhdunarodnoi' sudebnoi' iurisdiktcii primenitel'no k transgranichny'm potrebitel'skim sporam v tcifrovuiu e'pohu // Lex Russica. Zakon russkii'. 2019. № 11. S. 96-107.
13. Terent'eva L. V. Kriterii' napravlennoi' deiatel'nosti professional'noi' storony' na territoriiu strany' mesta zhitel'stva potrebitelia kak uslovie spetcial'nogo kollizionnogo regulirovaniia potrebitel'skikh otnoshenii' //Aktual'ny'e prob-lemy' rossii'skogo prava. 2020. T. 15. № 4. S. 142-154.
14. Mercen A. G. The extraterritorial application of European Union data protection law // The Spanish Yearbook of International Law. 2019. № 23. P. 413-425.
15. Savelyev A. Russia's new personal data localization regulations: A step forward or a self-imposed sanction? // Som-puter law & security review. 2016. Vol. 32. P. 128-145.
16. Svantesson D. J. Extraterritoriality and targeting in EU data privacy law: the weak spot undermining the regulation // International Data Privacy Law. 2015. Vol. 5. P. 226-234.
17. Tang Z. S. Consumer contracts and the Internet in EU private international law // A. Savin, J. Trzaskowski, ed. Research Handbook on EU Internet Law. Cheltenham: Edward Elgar, 2014. P. 254-284.