НЕКОТОРЫЕ ПРОБЛЕМЫ ЗАКОНОДАТЕЛЬНОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Текст научной статьи по специальности «Право»

КРИМИНАЛИСТЪ. 2023. № 3 (44). С. 126-132 • CRIMINALIST. 2023;3(44):126-132

Научная статья УДК 342.72/.73

НЕКОТОРЫЕ ПРОБЛЕМЫ ЗАКОНОДАТЕЛЬНОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ

ПЕРСОНАЛЬНЫХ ДАННЫХ

Юлия Ивановна ТАРАСОВА1, Денис Михайлович ПЛУГАРЬ2

1 Прокуратура Пустошкинского района Псковской области, Пустошка, Псковская область, Россия, sgapnauka@yandex.ru

2 Санкт-Петербургский юридический институт (филиал) Университета прокуратуры Российской Федерации, Санкт-Петербург, Россия, plugdm@mail.ru

Аннотация. В статье анализируется состояние законности в сфере защиты персональных данных. Приводятся данные об основных нарушениях, допускаемых в рассматриваемой сфере, и последние изменения законодательства. Анализируются проблемы понимания категории «персональные данные». Делается вывод о необходимости отнесения к персональным данным сведений, позволяющих потенциально установить информацию о конкретном физическом лице. Раскрыты проблемы законодательного определения автоматизированной обработки персональных данных, а также распространения категории «персональные данные» только на живых лиц. Формулируется вывод о необходимости регламентации требований к письменной форме согласия на обработку персональных данных.

Ключевые слова: персональные данные, защита персональных данных, индивидуальный номер налогоплательщика, правовая неопределенность, автоматизированная обработка

Для цитирования: Тарасова Ю. И., Плугарь Д. М. Некоторые проблемы законодательного регулирования защиты персональных данных // Криминалистъ. 2023. № 3 (44). С. 126 — 132.

Original article

SOME PROBLEMS OF LEGISLATIVE REGULATION OF PERSONAL DATA PROTECTION

Yuliya I. TARASOVA1, Denis M. PLUGAR2

1 Prosecutor's Office of the Pustoshkinsky district of the Pskov region, Pustoshka, Pskov region, Russia, sgapnauka@yandex.ru

2 St. Petersburg Law Institute (branch) of the University of prosecutor's office of the Russian Federation, St. Petersburg, Russia, plugdm@mail.ru

Abstract. The article analyzes the state of legality in the field of personal data protection. The data on the main violations committed in the area under consideration and the latest legislative changes are provided. The problems of understanding the category of «personal data» are analyzed. The author concludes that it is necessary to attribute to personal data information that potentially allows to establish information about a specific physical person. The problems of the legislative definition of automated processing of personal data, as well as the extension of the category «personal data» only to living persons are disclosed. The conclusion is formulated about the need to regulate the requirements for the written form of consent to the processing of personal data.

© Тарасова Ю. И., Плугарь Д. М., 2023

Keywords: personal data, personal data protection, individual taxpayer's no-measure, legal uncertainty, automated processing

For citation: Tarasova Y. I., Plugar D. M. Some problems of legislative regulation of personal data protection. Criminalist. 2023;3(44):126-132. (In Russ.).

Расширение применения цифровых технологий привело к новым вызовам в сфере защиты персональных данных, в том числе в сети «Интернет». Рост количества сервисов в Интернете, предоставляющих информацию в отношении российских граждан, является реальной угрозой совершения преступлений, правонарушений, кибербуллинга и т. д.1 Более 2,5 тыс. операторов персональных данных осуществляют трансграничную передачу данных российских граждан в недружественные страны2. Названные обстоятельства требуют вмешательства государства в регулирование вопросов защиты персональных данных, а государственных органов — в деятельность операторов персональных данных, допускающих нарушения законодательства о персональных данных.

Нарушения закона в сфере информационной безопасности и защиты персональных данных напрямую связаны с нарушением конституционных прав граждан. Как указывает Ю. С. Телина, «современная трактовка права на частную жизнь, личную и семейную тайну при обработке персональных данных ... предполагает защиту не только информации о конкретном человеке (его персональных данных), но и конституционного права на неприкосновенность частной жизни, личную и семейную тайну в целом» [1, с. 189].

1 О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных : проект федерального закона № 101234-8 // СОЗД : Система обеспечения законодательной деятельности : сайт. URL: https://sozd.duma. gov.ru/bill/101234-8#bh_note (дата обращения: 26.03.2023).

2 Там же.

Из положений Конституции Российской Федерации следует, что граждане имеют право на сохранение конфиденциальности информации о своей частной жизни, чем гарантируется законодательное обеспечение режима тайны. Подобные нормы закреплены и в международных правовых актах. В преамбуле Конвенции о защите физических лиц при автоматизированной обработке персональных данных 1981 года в качестве основ защиты называется уважение принципа господства права, уважение частной жизни и свободное распространение информации между народами3.

Отечественный законодатель уделяет внимание защите персональных данных. В 2006 году принят Федеральный закон «О персональных данных»4, впоследствии регламентированы распространение российского законодательства на осуществляемую иностранными лицами обработку персональных данных российских граждан, утверждение уполномоченным органом по защите прав субъектов персональных данных перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, сокращен перечень случаев неуведомления уполномоченного органа о начале обработки пер-

3 Конвенция о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981)

(вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999) // Собрание законодательства Российской Федерации. 2014. № 5. Ст. 419.

4 О персональных данных : Федеральный закон от 27 июля 2006 г. № 152-ФЗ : текст с изм. и доп. на 6 февр. 2023 г. Ст. 3, п. 1. Доступ из справ.-правовой системы «КонсультантПлюс».

сональных данных1. Ужесточена административная ответственность за нарушение законодательства о персональных данных2.

Однако учеными отмечается недостаточная правовая регламентация рассматриваемых правоотношений [1, с. 17—19; 2, с. 24; 3, с. 35], неразрешенность вопросов соотношения защиты персональных данных и публичного интереса [4, с. 137], а развитие законодательства о персональных данных характеризуется как стадия становления [5, с. 4].

В настоящее время имеются проблемы, связанные с несовершенством законодательного регулирования защиты персональных данных: отсутствие четких критериев признания информации о человеке персональными данными, а системы обработки персональных данных — автоматизированной; нераспространение законодательства о персональных данных на умерших лиц в связи с прекращением статуса физического лица; отсутствие такого требования к согласию на обработку персональных данных, как его письменная форма.

В науке информационного права персональные данные определяются как информация на любом носителе о конкретном человеке, отождествляемая с ним [6, с. 283]. В соответствии с Конвенцией о защите физических лиц при автоматизированной обработке персональных данных 1981 года персональные данные — это любая информация об определенном или поддающемся определению физическом лице. Российское законодательство определяет персональные

1 О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» : Федеральный закон от 14 июля 2022 г. № 266-ФЗ. Доступ из справ.-пра-вовой системы «КонсультантПлюс».

2 О внесении изменений в Кодекс Российской Федерации об административных правонарушениях : Федеральный закон от 24 февраля 2021 г. № 19-ФЗ. Доступ из справ.-правовой системы «КонсультантПлюс».

данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Однако решения судов свидетельствуют о проблемах, связанных с пониманием категории «персональные данные» и ее содержанием, а также отграничением персональных данных от иных сведений о лице.

Спорным в правоприменении является вопрос об отнесении к персональным данным IP-адреса (от англ. Internet Protocol), который в соответствии с общедоступными источниками определяется как «уникальный числовой идентификатор устройства в компьютерной сети, работающий по протоколу IP»3.

Вопреки отнесению IP-адреса к конкретному оборудованию, а не к физическому лицу Определением Московского городского суда от 10 ноября 2016 года решение Таганского районного суда города Москвы от 4 августа 2016 года оставлено без изменения, вывод об отнесении IP-адреса к персональным данным признан законным и обоснованным4. Такое решение суда обусловлено одновременным сбором не только информации о подключенных устройствах, но и информации о фамилии, имени, адресе электронной почты, что бесспорно относится к персональным данным. В другом решении суда информация, идентифицирующая оборудование абонента, названа сведениями об абоненте5.

Приведенные примеры свидетельствуют о том, что суды учитывают при вынесении решения потенциальную возможность получить информацию о конкретном лице, что в полной мере согласуется с позицией

3 Википедия : Свободная энциклопедия : сайт. URL: https://ru.wikipedia.org/wiki/IP-адрес/ (дата обращения: 20.03.2023).

4 Определение Московского городского суда от 10 ноября 2016 г. по делу № 33-38783/2016 // Судебные и нормативные акты РФ : сайт. URL: https://sudact.ru/ (дата обращения: 14.04.2023).

5 Постановление Верховного Суда Российской Федерации от 28 декабря 2015 г. по делу № А36-5713/2014 // Судебные и нормативные акты РФ : сайт. URL: https://sudact.ru/ (дата обращения: 14.04.2023).

М. В. Бундина, предлагающего для отграничения персональных данных от иных видов информации использовать в качестве основного признака персональных данных наличие взаимосвязи (очевидной или потенциальной) между субъектом и содержанием соответствующей информации о нем [2, с. 9].

Необходимо отметить, что в настоящее время не решен вопрос в правоприменении об отнесении идентификационного номера налогоплательщика (ИНН) к персональным данным. Согласно положениям ст. 84 Налогового кодекса Российской Федерации, каждому налогоплательщику присваивается единый на всей территории Российской Федерации по всем видам налогов и сборов идентификационный номер налогоплательщика. ИНН для организации представляет собой десятизначный цифровой код; для физического лица — двенад-цатизначный1.

В решении Санкт-Петербургского городского суда от 3 февраля 2015 года сделан вывод о том, что идентификационный номер налогоплательщика не относится к категории персональных данных2. Из другого судебного акта следует, что идентификационный номер налогоплательщика подлежит использованию наряду с другими сведениями о налогоплательщике исключительно в целях налогового учета и не заменяет имя человека3. Идентификационный номер налогоплательщика применяется только для реализации контроля за выполнением гражданами обязанности по уплате установленных законом

1 Об утверждении Порядка и условий присвоения, применения, а также изменения идентификационного номера налогоплательщика : Приказ ФНС России от 29 июня 2012 г. № ММВ-7-6/435@ // Российская газета. 2012. № 192. С. 3.

2 Апелляционное определение Санкт-Петербургского городского суда от 3 февраля 2015 г. № 33-1644/2015 по делу № 2-3097/2014 // Судебные и нормативные акты РФ : сайт. URL: https:// sudact.ru/ (дата обращения: 14.04.2023).

3 Определение Судебной коллегии по гражданским делам Верховного Суда Российской Федерации от 1 марта 2006 г. № 13-В05-13 // Судеб-

ные и нормативные акты РФ : сайт. URL: https://

sudact.ru/ (дата обращения: 14.04.2023).

налогов4. Разъяснения о неотнесении ИНН к персональным данным в связи с его использованием для учета налогоплательщиков внутри системы налоговых органов и ускорения обработки огромного потока информации в интересах соблюдения прав налогоплательщиков содержатся в Письме Министерства финансов Российской Федерации от 23 июня 2021 года № 03-01-11/493315.

Однако с доводом об использовании ИНН только в целях осуществления налогового учета и обработки информации сложно полностью согласиться. В настоящее время интернет-сервисы государственных органов и коммерческие ресурсы позволяют по ИНН установить лицо и его принадлежность к определенной категории (например, через ЕИС «Закупки» можно установить недобросовестность поставщика по его ИНН и другие необходимые данные; через электронные ресурсы SPARK и RUSPROFILE -сведения о руководителях организаций, их связях и аффилированности). Установление по ИНН иной информации, позволяющей идентифицировать лицо, нарушает права граждан на защиту их персональных данных. В рассматриваемом случае ИНН служит данными, позволяющими потенциально установить субъекта персональных данных.

Обратим внимание на то, что поскольку перечень с очень ограниченным количеством наименований персональных данных, содержавшийся в Федеральном законе от 27 июля 2006 года № 152-ФЗ «О персональных данных», 25 июля 2011 года был исключен в связи с недостижением целей Федерального закона [7, с. 9], законодательная регламентация персональных данных, как создающих в том числе потенциальную возможность для установления сведений о

4 Апелляционное определение Санкт-Петербургского городского суда от 3 февраля 2015 г. № 33-1644/2015 по делу № 2-3097/2014 // Судебные и нормативные акты РФ : сайт. URL: https:// sudact.ru/ (дата обращения: 14.04.2023).

5 Письмо М-ва финансов Российской Федерации от 23 июня 2021 г. № 03-01-11/49331. Доступ из справ.-правовой системы «КонсультантПлюс».

лице, могла бы способствовать защите конституционных прав граждан.

Еще одной проблемой является то, что не разрешены на законодательном уровне в связи с отсутствием четких критериев вопросы разграничения автоматизированной и неавтоматизированной обработки персональных данных.

Конвенция о защите физических лиц при автоматизированной обработке персональных данных 1981 года к автоматизированной обработке персональных данных относит операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и (или) арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение. В России под автоматизированной обработкой персональных данных понимается обработка с помощью средств вычислительной техники1. В подзаконных нормативных правовых актах конкретизируются положения федерального закона, указывается на использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных без непосредственного участия человека2. Обработка персональных данных не признается автоматизированной в случае использования информационных систем персональных данных3. Таким образом, единственным критерием для отграничения автоматизированной обработки персональных данных от неавтоматизированной является отсутствие воздействия человека на процессы обработки, однако степень участия человека в процессах автоматизации

1 О персональных данных : Федеральный закон от 27 июля 2006 г. № 152-ФЗ : текст с изм. и доп. на 6 февр. 2023 г. Доступ из справ.-правовой системы «КонсультантПлюс».

2 Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации : утв. Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687. Доступ из справ.-пра-вовой системы «КонсультантПлюс».

3 Там же.

не конкретизирована. Как отмечают ученые, работа любой автоматизированной системы зависит от профессионализма и ответственности обслуживающего ее персонала [8, с. 36]. На практике возникает вопрос: является ли настроенная обработка персональных данных в Excel или 1С автоматизированной обработкой? В таких системах ввод и формирование данных осуществляются при непосредственном участии человека. Однако впоследствии возможна их автоматическая обработка путем использования соответствующих фильтров. Указанное обстоятельство свидетельствует о необходимости выработки четких критериев для определения автоматизированной обработки персональных данных, так как нельзя исключать человеческий фактор при работе любой автоматизированной системы.

Отдельные споры возникают по поводу защиты персональных данных умерших лиц, на защиту которых федеральное законодательство прямо не указывает. Определяя категорию «персональные данные», законодатель соотносит их с конкретным физическим лицом, статусу которого посвящены положения главы 3 Гражданского кодекса Российской Федерации (далее — ГК РФ). Прекращение статуса физического лица гражданское законодательство связывает с наступлением смерти последнего (ст. 17 УК РФ), а статья 128 ГК РФ в качестве объекта гражданских прав не предусматривает информацию или сведения о физическом лице. В связи с чем возникает вопрос о возможности распространения категории «персональные данные» на сведения об умерших лицах.

Мы полагаем, что персональные данные умерших лиц также подлежат защите, несмотря на утрату статуса физического лица. Наступление смерти не свидетельствует об исключении действия конституционной гарантии на сохранение в тайне сведений о частной жизни человека, в том числе его персональных данных.

Судебная практика также подтверждает защиту государством данных умерших граждан. Так, 27 мая 2020 года Ленинским район-

ным судом города Комсомольска-на-Амуре Хабаровского края вынесен приговор, согласно которому Г. признан виновным в совершении преступления, предусмотренного ч. 3 ст. 290 Уголовного кодекса Российской Федерации, и ему назначено наказание в виде лишения свободы условно с дополнительным наказанием. Судом установлено, что Г., выполняя функции представителя государственной власти и будучи должностным лицом органов внутренних дел Российской Федерации, был обязан не разглашать сведения, ставшие ему известными в связи с выполнением служебных обязанностей, касающиеся частной жизни граждан. Должностной инструкцией была предусмотрена персональная ответственность за разглашение сведений конфиденциального характера или служебной информации. Достоверно зная о возложенных обязанностях, Г. договорился и впоследствии получил взятку в вице денег в размере 35 000 рублей за передачу персональных данных умерших лиц сотруднику организации, оказывающей ритуальные услуги, для последующего заключения договоров с родственниками умерших1. В вынесенном судебном решении суд распространил категорию «персональные данные» на лицо, которое уже утратило статус физического лица в связи со смертью, обеспечив защиту сведений о нем.

Обоснованные вопросы вызывает положение законодательства о форме согласия на обработку персональных данных. Критериями соответствия согласия на обработку персональных данных требованиям федерального законодательства являются его конкретность, предметность, информированность, сознательность и однозначность2. Форма согласия должна позволять подтвердить факт

1 Приговор Ленинского районного суда г. Комсомольск-на-Амуре (Хабаровский край) № 1-439/2019 1-47/2020 от 27 мая 2020 г. по делу № 1-439/2019 // Судебные и нормативные акты РФ : сайт. URL: https://sudact.ru/ (дата обращения: 14.04.2023).

2 О персональных данных : Федеральный закон от 27 июля 2006 г. № 152-ФЗ : текст с изм. и доп. на 6 февр. 2023 г. Ст. 9, ч. 1. Доступ из справ.-правовой системы «КонсультантПлюс».

его получения3. При этом однозначность и предметность появились в требованиях к согласию только в 2022 году4. Пояснительная записка к закону не содержит обоснования добавления новых вышеуказанных критериев, лексическое значение которых говорит само за себя: согласие должно иметь одно значение и относиться к предмету.

Тем не менее определение формы согласия так и осталось достаточно расплывчатым. Не содержит указания на форму согласия на обработку персональных данных и трудовое законодательство. Типовые формы согласия на обработку персональных данных1 свидетельствуют о его письменной форме, однако в законе норма, закрепляющая письменную форму согласия на обработку персональных данных, отсутствует.

В связи с изложенным предлагаем на законодательном уровне:

в качестве персональных данных определить также данные, позволяющие потенциально установить информацию о конкретном физическом лице;

разработать критерии отнесения обработки персональных данных к автоматизированной, избегая общих формулировок: «с использованием вычислительной техники» и «без непосредственного участия человека», конкретизировав степень участия человека в автоматизированных процессах;

с учетом необходимости защиты персональных данных умерших лиц исключить из определения персональных данных термин «физическое лицо», заменив его на декларативное «человек»;

в статье 9 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» предусмотреть получение согласия на обработку персональных данных исключительно в письменной форме.

3 Там же.

4 О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» : Федеральный закон от 14 июля 2022 г. № 266-ФЗ. Доступ из справ.-пра-вовой системы «КонсультантПлюс».

Список источников

1. Телина Ю. С. Конституционное право гражданина на неприкосновенность частной жизни,

личную и семейную тайну при обработке персональных данных в России и зарубежных странах : специальность 12.00.02 «Конституционное право; муниципальное право» : дис. ... канд. юрид. наук / Телина Юлия Сергеевна. Москва, 2016. 267 с.

2. Бундин М. В. Персональные данные в системе информации ограниченного доступа : специальность 12.00.13 «Управление в социальных и экономических системах» : дис. ... канд. юрид. наук / Бундин Михаил Вячеслалович. Москва, 2017. 218 с.

3. Солдатова В. И. Защита персональных данных в условиях применения цифровых технологий // Lex russica. 2020. № 2. С. 35-40.

4. Талапина Э. В. Защита персональных данных в цифровую эпоху. Российское право в европейском контексте // Труды Института государства и права Российской академии наук. 2018. Т. 13, № 5. С. 117-150.

5. Кучеренко А. В. Правовое регулирование персональных данных в Российской Федерации :

специальность 12.00.14 «Административное право, административный процесс» : автореф. дис. ... канд. юрид. наук / Кучеренко Анна Вячеславовна. Челябинск, 2010. 22 с.

6. Бачило И. Л., Лопатин В. Н., Федотов М. А. Информационное право : учебник / под ред. Б. Н. То-порнина. Санкт-Петербург : Юрид. центр Пресс, 2001. 789 с.

7. Назаров Д. М., Саматов К. М. Основы обеспечения безопасности персональных данных в организации : учеб. пособие. Екатеринбург : Урал. гос. экон. ун-т, 2019. 118 с.

8. Крюкова Д. Ю., Мокрецов Ю. В. Актуальные проблемы правового регулирования оборота и защиты персональных данных в России // Пенитенциарная наука. 2017. № 38. С. 34 — 38.

Информация об авторах

Ю. И. Тарасова - заместитель прокурора Пустошкинского района Псковской области; Д. М. Плугарь - декан факультета подготовки научных кадров Санкт-Петербургского юридического института (филиала) Университета прокуратуры Российской Федерации, кандидат юридических наук.

Information about the authors

Y. I. Tarasova - Deputy Prosecutor of Pustoshkinsky district of the Pskov region; D. M. Plugar - Dean of the faculty of training of the research staff of the St. Petersburg Law Institute (branch) of the University of prosecutor's office of the Russian Federation.