CC BY
70ЭЛЕКТРОННАЯ КОММЕРЦИЯ
DOI: 10.31107/2075-1990-2020-1-117-130
От денежных транзакций к неденежным: персональные данные потребителя в электронной коммерции
Мария Георгиевна Гирич, младший научный сотрудник Российского центра компетенций и анализа стандартов ОЭСР РАНХиГС, г. Москва E-mail: girichmari@mail.com, ORCID: 0000-0001-8093-2665 Антонина Давидовна Левашенко, старший научный сотрудник, руководитель Российского центра компетенций и анализа стандартов ОЭСР РАНХиГС, г. Москва
E-mail: antonina.lev@gmail.com, ORCID: 0000-0003-2029-3667 Александра Александровна Коваль, младший научный сотрудник Российского центра компетенций и анализа стандартов ОЭСР РАНХиГС, г. Москва E-mail: chil57@mail.ru, ORCID: 0000-0002-0431-1725
Аннотация
В настоящее время активно развивается сфера электронной коммерции, которая стимулирует использование безналичных платежей. Между тем платежи за приобретаемые в Интернете товары и услуги не всегда могут выражаться в финансовом эквиваленте. Например, в случае неденежных транзакций потребитель получает продукт (товар или услугу) в обмен на свои персональные данные. Сегодня страны Организации экономического сотрудничества и развития, в частности США и государства — члены ЕС, поднимают вопрос о возможности применения к неденежным транзакциям с использованием персональных данных законодательства о защите прав потребителей, включая возможность вернуть товар или услугу в обмен на удаление персональных данных. В России же вопрос защиты персональных данных не рассматривается через призму законодательства о защите прав потребителей. Цель данного исследования — анализ применения законодательства о защите прав потребителей в отношении использования персональных данных потребителей в неденежных транзакциях. Сравнение мировых трендов с существующим российским законодательством и разработка предложений для России является основным результатом исследования.
Ключевые слова: средство платежа, электронная коммерция, права потребителей, персональные данные, неденежные транзакции
JEL К24, К32, К33
Для цитирования: Гирич М. Г., Левашенко А. Д., Коваль А. А. От денежных транзакций к неденежным: персональные данные потребителя в электронной коммерции// Финансовый журнал. 2020. Т. 12. № 1. С. 117-130. DOI: 10.31107/2075-1990-2020-1-117-130.
DOI: 10.31107/2075-1990-2020-1-117-130
From Monetary Towards Non-Monetary Transactions: Consumer Personal Data Protection in E-commerce
Maria G. Girich1
E-mail: girichmari@mail.com, ORCID: 0000-0001-8093-2665
1 Russian Center for competence and analysis of OECD standards of the Russian Presidential Academy of National Economy and Public Administration (RANEPA), Moscow, 119571, Russian Federation Antonina D. Levashenko1
E-mail: antonina.lev@gmail.com, ORCID: 0000-0003-2029-3667
1 Russian Center for competence and analysis of OECD standards of the Russian Presidential Academy of National Economy and Public Administration (RANEPA), Moscow, 119571, Russian Federation Alexandra A. Koval1
E-mail: chil57@mail.ru, ORCID: 0000-0002-0431-1725
1 Russian Center for competence and analysis of OECD standards of the Russian Presidential Academy of National Economy and Public Administration (RANEPA), Moscow, 119571, Russian Federation
Abstract
The field of electronic commerce nowadays is actively developing and stimulating the use of cashless payments. At the same time, payments for goods and services purchased via the Internet may not always be expressed in financial terms. For example, in the case of non-monetary transactions consumers receive products (goods or services) in exchange for their personal data. At the current stage countries of the Organisation for Economic Co-operation and Development (OECD), in particular the United States and European Union member states, have been raising the issue of the possibility of applying consumer protection legislation to non-monetary transactions (when consumers acquire goods or services in exchange for their personal data), including the possibility to return goods or get a refund for a service by demanding personal data deletion. In Russia, the problem of personal data protection is not examined through the prism of consumer protection legislation. The present research methodology is based on methods of logical, systematic and comparative analysis. The purpose of this study is to analyze the application of consumer protection legislation with regard to regulation of consumer personal data in non-monetary transactions. Comparison of global trends with existing Russian legislation and development of regulation proposals for Russia are the main results of this study.
Keywords: means of payment, electronic commerce, consumer rights, personal data, non-monetary transactions
JEL: K24, K32, K33
For citation: Girich M.G., Levashenko A.D., Koval A.A. From Monetary Towards Non-Monetary Transactions: Consumer Personal Data Protection in E-commerce. Financial Journal, 2020, vol. 12, no. 1, pp. 117-130. DOI: 10.31107/2075-1990-2020-1-117-130.
ВВЕДЕНИЕ
Около 15 % мировой торговли потребительскими товарами в настоящее время осуществляется в рамках международной электронной коммерции. Этот показатель постоянно растет. Электронная коммерция является частью цифровой экономики, которая обеспечивает возможность онлайн-покупки товаров и услуг с использованием Интернета [OECD, 2019а]. Мировой объем электронной коммерции по состоянию на 2018 г. составил 2,86 трлн долл. США1.
1 Global retail e-commerce sales 2014-2023 / Statista. URL: https://www.statista.com/statistics/379046/ worldwide-retail-e-commerce-sales/.
Ожидается, что годовой темп роста объемов рынка в 2019-2023 гг. составит 8,9 %, что приведет к увеличению его объема на 2,8 трлн долл. США к 2023 году. Объем российского рынка электронной торговли в 2018 г. составил 1,28 трлн руб.2 Его доля в общем торговом обороте России составила 4,07 %. При этом отметку в 1 трлн руб. российский рынок электронной коммерции преодолел только в 2017 г. По данным Евразийской экономической комиссии, в странах ЕАЭС электронная коммерция растет в среднем на 30 % в год [ЕАЭС, 2019, с. 16]. Таким образом, электронная коммерция сегодня набирает обороты в России и в мире.
ДЕНЕЖНЫЕ ТРАНЗАКЦИИ В ЭЛЕКТРОННОЙ КОММЕРЦИИ
Одним из важных вопросов в электронной коммерции является безопасность платежей, особенно трансграничных. В рамках электронной коммерции используется ряд способов оплаты товаров, работ и услуг: платежи по банковским картам, банковские переводы, оплата с использованием электронных денег, таких как PayPal и Alipay, оплата наличными денежными средствами (при получении товара или услуги офлайн), оплата с использованием виртуальных валют, в т. ч. криптовалют. Способы оплаты с использованием электронных денег и виртуальных валют стали возможны благодаря развитию новых цифровых финансовых технологий и роста финтеха. Онлайн-транзакции конечных потребителей товаров и услуг (особенно в отношении трансграничных транзакций), а также электронные и мобильные платежи создают ряд проблем в сфере защиты потребителей [OECD, 2014]. Поэтому в Рекомендациях по защите прав потребителей в электронной коммерции 2016 г. Организации экономического сотрудничества и развития (далее — ОЭСР) отмечается важность обеспечения разнообразных и безопасных способов оплаты [OECD, 2016].
Что касается использования наличных расчетов в электронной коммерции, то такие расчеты возможны только при офлайн-доставке. Между тем такой способ расчета устаревает. В России, по данным ЦБ РФ, наблюдается тенденция снижения объемов использования наличных денежных средств. Так, с 2009 г. доля использования банковских карт возросла с 3 до 30 % в 2016 г. Стоит отметить, что некоторые юрисдикции сознательно ограничивают использование наличных денежных средств. В ряде юрисдикций запрещено проведение операций с наличными денежными средствами, сумма которых больше установленного минимума. Например, такая сумма равна 3000 евро в Бельгии, 3000 евро в Италии, 1500 евро в Греции и 15 тыс. евро в Словении. При этом средний ежедневный чек по безналичным расчетам тоже уменьшается. Это говорит о распространении использования безналичных денег в повседневных бытовых расчетах (покупка продуктов, оплата Интернета и т. д.).
По данным Центрального банка, безналичные расчеты в России в первой половине 2019 г. заняли 90 % всех платежей, хотя еще в 2016 г. их объем был в три раза меньше и составлял 30,5 %3. Стоит отметить, что в соответствии с Федеральным законом от 27.06.2011 № 161-ФЗ «О национальной платежной системе» перевод в рамках национальной платежной системы занимает около трех рабочих дней начиная со дня списания денежных средств с банковского счета плательщика. В связи с этим сегодня стали развиваться системы быстрых платежей, а также системы, в которых меньше посредников, чем
2 Оборот российского рынка интернет-ритейла превысил 1 трлн рублей / АКИТ, 2018. URL: https://www. akit.ru/оборот-российского-рынка-интернет-ри/.
3 Безналичные платежи набирают обороты: статистика Банка России/ Центральный банк Российской Федерации, 2019. URL: https://www.cbr.ru/press/event/?id=3887.
в традиционных банковских переводах, то есть переводы с использованием виртуальных валют.
В качестве хорошей практики обеспечения эффективных платежей ЮНКТАД приводит опыт Китая [UNCTAD, 2017]. В Китае все более распространенной практикой является способ оплаты при посредстве третьей стороны, при котором потребитель вносит причитающуюся сумму третьей стороне, которая хранит ее до тех пор, пока потребитель не получит товар без претензий, после чего оплата переводится продавцу. Эта система условного депонирования также обеспечивает справедливое, доступное, быстрое и недорогое онлайн-посредничество в условиях электронной коммерции.
В 2019 г. начал действовать Закон Китая «Об электронной коммерции», который предъявляет отдельные требования к поставщикам услуг электронных платежей, действующих на электронных торговых площадках. В соответствии со ст. 32 Закона Китая, поставщики услуг электронных платежей обязаны предоставлять безопасные платежные услуги. Если поставщик услуг электронных платежей открывает учетную запись для покупателей, учетная запись должна создаваться с использованием реального имени. Поставщик электронных платежных услуг должен информировать получателя электронной платежной услуги о функциях, методах использования, предостережениях, рисках и тарифах и т. д. Поставщик электронных платежных услуг должен предоставить получателю электронного платежного сервиса бесплатные услуги по сверке и записи транзакций за последние три года4.
В качестве примера можно привести систему Alipay, которая выступает в качестве платежной системы в рамках Alibaba Group и в ряде других компаний. Alipay позволяет удерживать денежные средства, переданные от потребителя к продавцу, до тех пор, пока покупатель не получит товар и будет им удовлетворен или же не разрешатся любые претензии покупателя к продавцу.
НЕДЕНЕЖНЫЕ ТРАНЗАКЦИИ В ЭЛЕКТРОННОЙ КОММЕРЦИИ
Деньги — это не единственный способ платить за товары и услуги в Интернете. Что если в обмен на предоставленные товары и услуги потребитель будет платить, например, своими персональными данными? С учетом того, что потребительское законодательство в электронной коммерции зачастую распространяется только на транзакции с наличными или безналичными расчетами, то как оно может действовать, если оплата товаров и услуг осуществляется путем предоставления личной неимущественной информации? В 2014 г. страны ОЭСР задались вопросом, в каких же случаях персональные данные выступают в качестве средства платежа, а также должно ли применяться к таким транзакциям законодательство о защите прав потребителей [OECD, 2014]?
Потребители могут быть более подвержены риску при совершении покупок в Интернете по сравнению с офлайн-покупками. Так, например, в 2018 г. на американской электронной торговой площадке Amazon произошла серьезная утечка данных, в результате чего имена пользователей и адреса электронной почты были раскрыты на веб-сайте всего за два дня до «черной пятницы»5. Компания сообщила, что отправила по электронной почте соответствующую информацию пострадавшим клиентам, но отказалась сообщить какие-либо подробности о том, сколько людей пострадало или где они находятся.
Использование кредитных и дебетовых карт во время покупок, совершаемых через Интернет, привело к увеличению частоты сбора и продажи личной информации о потребителях поставщиками и посредниками. Согласно анализу IBM за 2018 г., урон от нарушений
4 Закон об электронной коммерции КНР, 2018 г URL http://www.gov.cn/xinwen/2018-08/31/content_ 5318220.htm.
5 Amazon hit with major data breach days before Black Friday / The Guardian, 2018 URL https://www. theguardian.com/technology/2018/nov/21/amazon-hit-with-major-data-breach-days-before-black-friday.
в отношении персональных данных растет каждый год и увеличился по сравнению с показателями за 2017 г. Средняя общая стоимость нарушений в отношении данных выросла с 3,62 млн до 3,86 млн долл. США. Средняя стоимость каждой пропавшей записи выросла с 141 до 148 долл., увеличившись на 4,8 %6.
Персональные данные потребителей являются ценным ресурсом, который позволяет развивать технологии в области искусственного интеллекта, прогнозной аналитики и автоматизации. Потребители получают выгоду от новых и усовершенствованных товаров и услуг, которые были разработаны с использованием потребительских данных. Например, в последнее время активно используется технология «интернета вещей», голосовые помощники с применением искусственного интеллекта и автоматических систем принятия решений, которые значительно облегчают жизнь потребителей [OECD, 2019b]. Персонализированный онлайн-контент и рекомендации помогают потребителю легко и просто выбрать товар, который в наибольшей степени соответствует его предпочтениям. Это возможно за счет использования информации о местоположении потребителя, о его поисковых запросах, кликах и т. д. Например, чтобы создать персонализированные списки просмотра, Netflix учитывает не только то, какие фильмы человек смотрел или рейтинги фильмов, анализируется также и то, какие фильмы просматриваются несколько раз, перематываются и т. д. В 2018 г. Deloitte провела опрос с участием более 500 компаний, в ходе которого обнаружила, что среди всех розничных торговцев, которые использовали искусственный интеллект (ИИ) для персонализации потребительского опыта, 40 % делали это с целью адаптации ценообразования и рекламных акций под потребителя онлайн [Hogan K., 2018].
Персональные данные ценны для онлайн-бизнеса, так как способствуют повышению их осведомленности о рынке, позволяют формировать профили потребителей [UNCTAD, 2017]. Поэтому с 2018 г. ОЭСР готовит Руководство по лучшим практикам в области потребительских данных: недопущение обманной и недобросовестной практики в качестве дополнения к Рекомендации по защите прав потребителей в электронной коммерции 2016 г. В рамках Руководства затрагивается вопрос применения законов о защите прав потребителей к неденежным сделкам. К «неденежным транзакциям» относят передачу продуктов цифрового контента, включая программное обеспечение, приложения, видео, музыку, изображения, электронные книги, облачные вычисления и услуги социальных сетей. При этом неденежные транзакции могут быть частью более сложных договоренностей, в которых базовая услуга предоставляется бесплатно, но полная или премиум-вер-сия предоставляется за плату, например как в приложениях на телефоне [OECD, 2019c, с. 16].
Практика, когда компании собирают потребительские данные в обмен на бесплатное предоставление товаров и услуг, — распространенное явление в электронной коммерции. Это позволяет компаниям предоставлять персонализированную рекламу, цены, анализировать спрос и т. д. [UK CMA, 2015]. Несмотря на преимущества сбора данных о потребителях, их сбор порождает вопросы конфиденциальности и рисков безопасности потребителя. В любом случае существует риск нарушения прав потребителей из-за неисправности продукта, проблем с его доставкой, его низкого качества. Существует риск нарушений в отношении режима использования полученных персональных данных, так как при приобретении продукта в обмен на личные данные потребитель зачастую не знает, как будут храниться, обрабатываться и использоваться эти данные, а также планируется ли передача этих данных третьим лицам. Поэтому возникает вопрос, применяются ли в таких случаях нормы об ответственности продавца за предоставляемые бесплатно товары или услуги? Кроме того, неясно, может ли потребитель, который приобрел товар или
6 2019 Cost of a Data Breach Report / IBM Security, 2019. URL https://www.ibm.com/security/data-breach.
услугу в обмен на персональные данные, вернуть доступ к услуге или товару, потребовав удаление данных, как это работает в случае обмена непродовольственного товара надлежащего качества в течение четырнадцати дней в рамках законодательства о защите прав потребителей?
На данный момент случаи, в которых данные о потребителях выступают способом оплаты, не охватываются существующим законодательством о защите прав потребителей.
В целом регулирование персональных данных началось с 1980 г., когда впервые на площадке ОЭСР были установлены международные принципы регулирования персональных данных с принятием Руководства ОЭСР по защите неприкосновенности частной жизни и трансграничным потокам персональных данных. Руководство определило восемь ключевых принципов сбора данных: ограничение сбора данных, обеспечение качества данных, наличие цели обработки данных, ограничение использования персональных данных, гарантии безопасности, обеспечение открытости политики в отношении данных, участия субъектов персональных данных, отчетность оператора данных [OECD, 2013].
Стоит отметить, что Советом Европы в 1981 г. была принята Конвенция № 108 о защите частных лиц в отношении автоматизированной обработки данных личного характера, в основе которой лежит Руководство ОЭСР по трансграничным потокам данных, принятое в 1980 г. Конвенция является юридически обязательным документом, защищающим физических лиц от злоупотреблений, которые могут иметь место при сборе и обработке данных7. Россия присоединилась к Конвенции в 2001 г. Таким образом, несмотря на то что Россия не является страной — участницей ОЭСР, она должна соблюдать общие принципы, принятые странами — членами ОЭСР, за счет их закрепления в Конвенции.
Политика по защите персональных данных тесно связана с потребительским законодательством. Так, Рекомендации ОЭСР по защите прав потребителей в электронной коммерции 2016 г. устанавливают требования в отношении политики персональных данных [OECD, 2016]. В частности, указывается, что компаниям необходимо защищать конфиденциальность потребителей путем сочетания соответствующих механизмов контроля, безопасности, прозрачности и согласия, касающихся сбора и использования их личных данных. Государствам же необходимо устанавливать или поощрять надлежащие меры контроля для защиты финансовых данных потребителей, в том числе от мошенничества или злоупотреблений.
Европейский союз одним из первых попытался связать защиту персональных данных потребителей в неденежных операциях с применением законодательства о защите прав потребителей в рамках передачи цифрового контента. В соответствии с Директивой ЕС по правам потребителей 2011/83 цифровой контент — это данные, которые производятся и предоставляются в цифровой форме, такие как компьютерные программы, приложения, игры, музыка, видео или тексты, независимо от того, осуществляется ли к ним доступ посредством загрузки или потоковой передачи, с материального носителя или с помощью любых других средств. Директива устанавливает, что по договорам на поставку цифрового контента потребителям предоставляются те же средства правовой защиты в отношении недоброкачественных цифровых продуктов, независимо от того, осуществляет ли потребитель денежный платеж или оставляет потребительские данные.
В целом в ЕС вызвал разногласия вопрос применения Директивы по правам потребителей к неденежным операциям, в том числе при использовании цифрового контента. Стоит отметить, что законодательство о защите прав потребителей редко применяется к бесплатным товарам и услугам, например в случае бесплатного скачивания приложений или доступа к веб-сайту. Так, например, Правительство Германии заявило, что Директива
7 Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера № 108, 1985 г URL: https://www.coe.int/ru/web/conventions/full-list/-/conventions/treaty/108.
по правам потребителей должна применяться, только если потребители оплачивают товар или услугу денежными средствами8. Но в результате потребители, которые получают товары и услуги в обмен на персональные данные, имеют более низкий уровень защиты. Это несправедливо, учитывая экономическую ценность персональных данных на цифровых рынках [Helberger N. et al., 2017].
Поэтому в апреле 2018 г. ЕС принял «Новый курс для потребителей», в рамках которого планируется применять «право на отзыв». То есть при оплате цифровой услуги потребители получают определенные информационные права, при этом они имеют право на отзыв, то есть 14 дней для расторжения договора с последующим удалением их персональных данных. Такое право планируется применять к бесплатным цифровым услугам, за которые потребители предоставляют свои личные данные, а не денежные средства [European Commission, 2018]. Такое правило будет относиться к облачным службам хранения, социальным сетям или учетным записям электронной почты.
Директорат Комиссии ЕС по вопросам правосудия дал широкое толкование сферы действия Директивы о правах потребителей. В Руководстве по Директиве указано, что регулирование прав потребителей будет применяться к купле-продаже онлайн-цифрового контента, даже если потребитель оплачивает стоимость товара без использования денежных средств9. Однако ситуации, в которых потребитель получает доступ к цифровому контенту без прямого заключения договора, не будут попадать под действие Директивы. Например, не будет рассматриваться как заключение договора доступ к веб-сайту или загрузка контента с веб-сайта. Допустим, владелец веб-сайта позволяет другим компаниям собирать данные о посетителях своего сайта путем отслеживания файлов cookie. Поскольку посетители веб-сайта прямо не заключали договор с владельцем сайта, Директива о правах потребителей не будет применяться.
20 мая 2019 г. была принята Директива ЕС 2019/770 о некоторых аспектах, касающихся контрактов на поставку цифрового контента и цифровых услуг. Статья 3 устанавливает, что Директива применяется в случаях, если продавец предоставляет цифровой контент или цифровую услугу потребителю, а потребитель предоставляет личные данные. Таким образом, если потребитель загружает в какое-либо приложение свои данные (список контактов, данные о местоположении, IP-адрес и т. д.), при этом приложение использует эти данные не для работы самого приложения, а для каких-либо своих коммерческих целей, которые не связаны с функциональностью самого приложения, то на такие отношения будет распространяться потребительское законодательство.
Стоит отметить, что в России сегодня принято комплексное законодательство в отношении защиты прав субъектов персональных данных, которое в том числе адресовано случаям обработки персональных данных потребителей в условиях электронной коммерции. В связи с ратификацией Россией Конвенции Совета Европы 1981 г. был принят ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Этот закон определяет условия сбора, обработки, хранения, передачи персональных данных. Используемое в российском законодательстве определение понятия персональных данных является довольно общим и включает любую информацию, которая прямо или косвенно относится к субъекту персональных данных. Между тем отсутствие конкретизации типов персональных данных не позволяет точно сказать, относятся ли некоторые потребительские данные, например история покупок или поисковые запросы, к персональным данным, особенно если эти
8 Gesetzentwurf der Bundesregierung. Entwurf eines Gesetzes zur Umsetzung der Verbraucherrechterichtlinie und zur Änderung des Gesetzes zur Regelung der Wohnungsvermittlung. 6 March 2013. URL: dipbt.bundestag.de/ dip21/btd/17/126/1712637. pdf.
9 DG Justice Guidance document concerning Directive 2011/83/EU of the European Parliament and of the Council of 25 October 2011 on consumer rights. European Commission, 2014. URL: https://ec.europa.eu/info/ sites/info/files/crd_guidance_en_0. pdf.
данные являются обезличенными. В связи с этим сложно распространить законодательство о защите персональных данных на случаи обмена товаров или услуг на персональные данные. Также сложно распространить на неденежные транзакции и Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей», который охватывает транзакции, которые в основном произведены в денежной форме.
Таблица 1
Законодательное регулирование защиты прав потребителей и их персональных данных / Legislative regulation of the protection of consumer rights and personal data
Сфера Российское регулирование Регулирование зарубежных стран Международное регулирование
Защита прав потребителей Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» Кодекс потребления Франции Рекомендация ОЭСР по защите прав потребителей в электронной коммерции 2016 г.
Потребительский кодекс Италии Проект Руководства ОЭСР по лучшим практикам в области потребительских данных: недопущение обманной и недобросовестной практики
Директива ЕС по правам потребителей 2011/83
Регулирование платежных систем Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе»
Электронная коммерция Закон Китая «Об электронной коммерции» Директива ЕС 2019/770 о некоторых аспектах, касающихся контрактов на поставку цифрового контента и цифровых услуг
Персональные данные ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Руководство ОЭСР по защите неприкосновенности частной жизни и трансграничным потокам персональных данных 1980 г.
Конвенция № 108 о защите частных лиц в отношении автоматизированной обработки данных личного характера 1980 г.
Общий регламент по защите данных 2016/679 ЕС
Источник: составлено авторами/ Source: compiled by the authors.
Между тем зарубежная судебная практика показывает, что сегодня законодательство о защите прав потребителей может распространяться на неденежные транзакции и осуществлять защиту в том числе персональных данных потребителей.
Так, в 2018 г. состоялось первое дело, в котором было признано, что законодательство о защите прав потребителей должно применяться при предоставлении потребительских данных в неденежных транзакциях. В августе 2018 г. Парижский трибунал вынес решение по делу, возбужденному Французской ассоциацией потребителей против Twitter, предписав последней удалить более 250 несправедливых и незаконных положений в своих политиках, закрепленных в Общих условиях пользования, Политике конфиденциальности и Правилах Twitter10.
В рамках решения трибунал прежде всего указал, что договор пользования платформой является договором, на который распространяются потребительские отношения. Twitter действует в коммерческих целях, так как собирает данные, размещенные пользователями бесплатно при его доступе к платформе, и продает их за плату в качестве «товара», поэтому по смыслу потребительского законодательства компания Twitter
10 Le Tribunal de Grande Instance de Paris, Décision du 07 août 2018. 1/4 social. № RG 14/07300. URL: https://webservices. wkf.fr/editorial/medias/pdfs/actu-49943-oui_-l_adhesion-a.pdf?_ga=2.141906738. 1032543701.1572123705-1280596558.1570878310.
является «профессионалом» (professionnel). В соответствии с Кодексом потребления Франции профессионал — это любое физическое или юридическое лицо, государственное или частное, которое действует в целях, входящих в сферу его коммерческой, промышленной, сельскохозяйственной и иной деятельности11. Таким образом, Twitter был признан субъектом потребительского законодательства, а значит, он не должен нарушать права потребителей.
Трибунал, в частности, обвинил Twitter в нарушении статей L. 212-1 и L. 212-2 Кодекса, которые предусматривают, что договоры, заключаемые между профессионалами и потребителями (или непрофессионалами), содержащие условия, цель или иной результат, приводящие к ущербу прав потребителя путем создания существенного дисбаланса между правами и обязанностями сторон договора, являются несправедливыми.
Кроме того, трибунал указал, что была нарушена обязанность профессионала перед заключением договора донести до потребителей все сведения о передаче их персональных данных разборчивым и понятным образом. Трибунал счел, что Twitter является лицом, ответственным за обработку персональных данных (контролер по смыслу ст. 5 Общего регламента по защите данных ЕС № 2016/679), поэтому Twitter должна была определить процедуры обработки персональных данных, а также обеспечить их безопасность.
В частности, трибунал посчитал незаконными следующие положения в рамках внутренней политики:
— личные данные рассматриваются как общедоступные данные по умолчанию;
— личные данные могут свободно, без предупреждения пользователя переноситься в другую страну;
— Twitter не является ответственной в случае нарушений безопасности данных, приводящих к утечке персональных данных;
— копирование, адаптация, изменение, продажа размещенного пользователем контента, в том числе защищенного правом интеллектуальной собственности, допускается любым пользователем без предварительного разрешения правообладателя;
— при закрытии учетной записи пользователя имя пользователя сохраняется в течение неограниченного времени.
Трибунал также выявил, что в течение долгого времени Twitter меняла «Общие условия пользования» без систематического информирования пользователей, а также использовала чрезмерное количество гипертекстовых ссылок для доступа к смежным документам, что не позволяло потребителям отслеживать свои права и обязанности.
Социальная сеть была приговорена к выплате 30 тыс. евро в качестве возмещения ущерба, а также была обязана опубликовать это решение на домашней странице своей платформы, чтобы потребители могли ознакомиться с ним. Таким образом, дело Парижского трибунала высокой инстанции против Twitter стало первым делом, где было признано, что законодательство о защите прав потребителей может применяться при предоставлении товаров и услуг в социальных сетях, даже если потребители не платят деньги за такие товары или услуги. В данном случае трибунал применил потребительское законодательство к неденежным сделкам, связанным с предоставлением персональных данных в качестве оплаты12.
Еще одно дело рассматривалось в Италии в 2018 г., когда Итальянское антимонопольное управление наложило на Facebook Ireland Ltd. и его материнскую компанию Facebook Inc. два штрафа на общую сумму 10 млн евро за нарушение Потребительского
11 Code de la consummation. URL: http://codes.droit.org/CodV3/consommation.pdf.
12 Facebook fined 10 million Euros by the ICA for unfair commercial practices for using its subscribers' data for commercial purposes / Autorité Garante della Concorrenza e del Mercato, 2018. URL: https://en.agcm.it/en/ media/press-releases/2018/12/Facebook-fined-10-million-Euros-by-the-ICA-for-unfair-commercial-practices-for-using-its-subscribers%E2%80%99-data-for-commercial-purposes.
кодекса в результате незаконного использования персональных данных потребителей. Управление установило, что Facebook нарушила ст. 21 и 22 Кодекса потребителей, которые регулируют вводящие в заблуждение коммерческие практики, то есть практики, в ходе которых потребителю предоставляется информация, которая не соответствует истине или же изложена таким образом, что может ввести в заблуждение, и при этом четкое знание такой информации влияет на принятие решения потребителем о покупке товара или услуги13. Facebook обвинялась в неадекватном и несвоевременном информировании потребителей при создании учетной записи о том, что предоставленные ими данные будут использоваться в коммерческих целях. Если бы потребители знали, каким образом используются их персональные данные, то это могло бы повлиять на их желание создать аккаунт в социальной сети и продолжать его использовать. Предоставленная Facebook информация о целях сбора персональных данных пользователей была неполной и неточной, поэтому потребители не моги оценить, будут ли использоваться их персональные данные только для возможности доступа к аккаунту или для проведения рекламных кампаний Facebook, а также продажи потребительских данных другим компаниям.
Итальянское антимонопольное управление признало, что Facebook нарушила ст. 24 и 25 Потребительского кодекса, так как применяла «агрессивную практику», то есть коммерческую практику, которая ограничивала выбор или возможности поведения потребителя по отношению к товару, а также побуждала потребителя приобрести товар, даже если он не планировал его приобретение. Формулировки Facebook, предупреждающие субъекта сбора данных об использовании этой социальной сетью его персональных данных, были довольно расплывчатыми и не позволяли лицу выразить четкое и явное согласие на передачу Facebook данных потребителя третьим лицам в коммерческих целях. Если бы потребители знали всю информацию о том, что их персональные данные могут быть переданы Facebook третьим лицам, то могли бы оказаться от использования платформы.
Дела во Франции и в Италии против Facebook стали первыми делами, когда при нарушении персональных данных потребителей применялось законодательство о защите их прав. При этом защита наступила не в случае платного денежного доступа к услугам он-лайн-платформы, а в случае, когда потребитель предоставил свои персональные данные в обмен на услуги платформы, то есть произошла неденежная транзакция. Таким образом, зарубежное законодательство и практика по сути расширяют действие кодексов по защите прав потребителей на случаи, когда потребитель предоставил неденежную плату.
На данный момент Комитет по защите прав потребителей ОЭСР также поднимает вопрос возмещения потребительского вреда в неденежных транзакциях. В тех случаях, когда продукт, приобретенный «бесплатно», не работает должным образом, возврат или снижение цены товара маловероятны. Например, потребители облачных систем хранения данных могут в обмен на свои персональные данные бесплатно загружать в облако личные фотографии, видео и иной контент. Однако что делать, если личные фотографии, хранящиеся в облаке, были удалены или к ним был потерян доступ в результате изменения работы облачного хранилища? Или же, например, сервис передал третьим лицам финансовые данные потребителей, в результате чего возник риск нанесения финансового ущерба при неденежной услуге.
По мнению ОЭСР, в тех случаях, когда бесплатный продукт приводит к ущербу для потребителя, который не может быть устранен заменой продукта (например, нарушение конфиденциальности), следует осуществлять финансовую компенсацию [OECD, 2014; OECD, 2016]. Однако в данном случае возникает вопрос точного измерения ущерба потребителям в неденежных сделках.
13 Codice del consumo, Italy. URL http://www.codicedelconsumo.it/parte-ii-artt-4-32/.
В последнее время некоторые страны изучают возможность введения новых мер защиты и вариантов возмещения ущерба в связи с неденежными сделками. Например, Австралийская комиссия по конкуренции и защите прав потребителей предложила вводить меры против онлайн-платформ в случае нарушения ими конфиденциальности, например путем установления компенсации за экономический и моральный ущерб в случае неправомерного использования персональных данных потребителей, требования по предоставлению отчетов о любой прибыли, полученной в результате использования персональных данных, и т. д.
Одним из интересных вопросов также является применение потребительского законодательства к компьютерным играм, когда потребитель расплачивается бонусами, полученными в ходе игры, за предоставление в рамках игры дополнительных товаров и услуг. С одной стороны, потребитель получил бесплатный доступ к игре, а также бесплатные бонусы, которые он может обменять на товары и услуги. Между тем возникает вопрос, будет ли применяться режим защиты прав потребителя, будет ли в данном случае вообще причинен какой-либо ущерб потребителю. Так, например, в 2019 г. в Великобритании вступило в силу новое законодательство, которое позволяет вернуть деньги за неисправный цифровой товар или воспользоваться правом на ремонт, в том числе в случае некорректной работы онлайн-игры. Однако потребительское законодательство вряд ли будет действовать в случае предоставления бесплатных онлайн-бонусов. Если же потребитель предоставил в обмен на доступ к бесплатным бонусам свои персональные данные, то он всегда может воспользоваться правом на забвение и попросить оператора данных удалить их.
Помимо персональных данных потребитель может предоставлять товары и услуги в обмен на приобретаемые товары и услуги, то есть осуществлять бартерную сделку. В большинстве стран на такие транзакции распространяется потребительское законодательство, например в Великобритании14, Финляндии15.
Таким образом, проблема регулирования неденежных сделок, где платой в обмен на товар или услугу являются личные данные потребителя, вызывает множество вопросов. Некоторые страны пытаются расширить на такие сделки применение законодательства о защите прав потребителей. Однако неразрешенным остается вопрос методики оценки личного ущерба в результате неденежных сделок, особенно в нарушениях, связанных с использованием персональных данных потребителей.
ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ НЕДЕНЕЖНЫХ ТРАНЗАКЦИЙ В РОССИИ
В России национальная программа «Цифровая экономика» включает мероприятия по принятию регулирования в отношении порядка получения согласия на использование персональных данных и обеспечения соблюдения прав и интересов граждан в отношении ответственности за ненадлежащую обработку и безопасность персональных данных, однако вопроса защиты прав потребителей программа не касается. В России проблема защиты персональных данных в неденежных транзакциях государственными органами сегодня не выносится на обсуждение.
Как мы видим на примере стран ЕС, на данный момент в некоторых из них происходит попытка распространить право потребителя на обмен или возврат непродовольственного товара надлежащего качества в течение четырнадцати дней, даже если этот товар был предоставлен бесплатно в обмен на персональные данные. Если потребитель отказывается
14 United Kingdom, Consumer Rights Act, 2015. URL: http://www.legislation.gov.uk/ukpga/2015/15/notes.
15 Ministry of Justice, Finland, Consumer Protection Act. URL: https://www.finlex.fi/en/laki/kaannokset/1978/ en19780038.pdf.
от товара, то плата за товар в финансовом выражении может быть возвращена потребителю. Между тем, когда потребитель предоставляет свои персональные данные, встает вопрос: а можно ли вернуть обратно те персональные данные, которые были предоставлены в обмен на товар или услугу?
В данном случае, например, в Европейском союзе ст. 7 Общего регламента по защите данных № 2016/679 устанавливает право на забвение (right to be forgotten), то есть право субъекта персональных данных потребовать удаления его данных, если такие данные больше не нужны для достижения тех целей, для которых они собирались, либо если субъект данных отозвал свое согласие на обработку данных, либо если личные данные были собраны в связи с предложением услуг информационного общества, в которые входит деятельность в рамках электронной коммерции. Право на забвение действует и в ряде других стран, например, в июле 2018 г. в Калифорнии был принят Закон о защите персональных данных потребителей, который предоставляет им несколько новых прав, в том числе право требовать удаления данных, требовать раскрытия информации о том, как персональные данные собираются и передаются, поручить компании не продавать свои данные третьим лицам16.
Таким образом, в США и ЕС при желании потребителя отказаться от предоставленных в обмен на персональные данные товара или услуги действует возможность потребовать удаления персональных данных. В России Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ четкого механизма реализации права на забвение не устанавливает, поэтому потребителю довольно сложно требовать от оператора персональных данных их удаления.
Также в России существует проблема распределения полномочий между Роспотреб-надзором и Минкомсвязи. Роспотребнадзор осуществляет защиту прав потребителей, но при этом не касается вопросов защиты персональных данных потребителей, так как данный вопрос находится в ведении Минкомсвязи. Между тем защита прав потребителей и их персональных данных являются тесно связанными вопросами, которые требуют усилий одновременно двух государственных органов.
ЗАКЛЮЧЕНИЕ
Наличные расчеты теряют свою актуальность, поскольку на смену им приходят новые формы безналичных платежей, в том числе оплата с использованием электронных денег и различного рода виртуальных валют, включая криптовалюты. Между тем сегодня средством платежа могут стать не только финансовые активы, но и нефинансовые, такие как персональные данные, которые предоставляются за бесплатные товары и услуги, например за получение доступа к онлайн-платформе, за получение скидки.
Таким образом, в связи с ростом электронной коммерции, а также широким использованием персональных данных возникла проблема защиты прав потребителей при предоставлении ими персональных данных в неденежных сделках. Потребительские данные становятся средством платежа, однако возникает вопрос, насколько такие неденежные транзакции охватываются потребительским законодательством, включая возможность вернуть товар или услугу, потребовать возмещение ущерба.
С одной стороны, следует защищать права потребителей при использовании их персональных данных, с другой стороны, во многих случаях данные потребителей необходимы для запуска или обновления продукта или для предоставления услуги, например, если поставщик приложений использует данные геолокации или IP-адрес для предоставления услуг на основе определения местоположения.
16 California Consumer Privacy Act, 2018. URL https://oag.ca.gov/privacy/ccpa.
Страны ЕС и США смотрят на вопрос защиты персональных данных потребителей достаточно широко, пытаясь применять существующее потребительское законодательство к отношениям, связанным с персональными данными, тогда как в России данный вопрос не рассматривается. Более того, существует проблема в разделении полномочий в отношении регулирования потребительских данных между Минкомсвязи и Роспотребнадзором.
Для организации взаимодействия между органами власти ОЭСР предлагает набор мягких инструментов (рекомендаций, руководств и лучших практик), которые могут приниматься совместно несколькими органами власти и будут направлены на защиту персональных данных потребителей в условиях электронной коммерции, в том числе в неденежных транзакциях.
Поэтому Минкомсвязи совместно с Роспотребнадзором следует принять разъяснение, которое будет определять порядок применения законодательства о персональных данных потребителей, а также законодательства по защите прав потребителей в неденежных транзакциях с учетом международных практик. Данная мера позволит предупредить нарушения прав потребителей в отношении их персональных данных, а также реализовать меры, заложенные в Национальной программе «Цифровая экономика», по совершенствованию законодательства, направленного на защиту персональных данных в части порядка их сбора, хранения и обработки.
Более того, в России не существует права на удаление персональных данных в случае возврата товаров и услуг. Данная проблема может быть решена путем внесения изменений в гл. 3 ФЗ «О персональных данных», где в качестве одного из прав субъекта персональных данных следует установить право на забвение.
Стоит отметить, что следовать международным трендам важно в первую очередь для крупных российских компаний, которые работают за рубежом. Например, социальная сеть «ВКонтакте» или поисковик «Яндекс» вынуждены соблюдать положения Общего регламента по защите данных ЕС № 2016/679, если в рамках предложения товаров или услуг будет происходить сбор и обработка персональных данных пользователей из ЕС.
Список источников
Доклад о развитии цифровой {интернет) торговли ЕАЭС. М.: Евразийская экономическая комиссия, 2019. URL: http://www.eurasiancommission.org/ru/act/dmi/workgroup/Documents/цифровая%20торговля.pdf.
A New Deal for Consumers: Commission strengthens EU consumer rights and enforcement / European Commission, 2018. URL: https://europa.eu/rapid/press-release_IP-18-3041_en.htm.
Challenges to Consumer Policy in the Digital Age / OECD, 2019. URL: http://www.oecd.org/sti/consumer/ challenges-to-consumer-policy-in-the-digital-age.pdf.
Commercial use of consumer data / UK CMA, 2015. URL: https://www.gov.uk/cma-cases/commercial-use-of-consumer-data.
Consumer Policy Guidance on Intangible Digital Content Products / OECD Digital Economy Papers No. 241. Paris: OECD Publishing, 2014. URL: https://dx.doi.org/10.1787/5jxvbrjq3gg6-en.
Consumer protection in electronic commerce. Note by the UNCTAD secretariat / UNCTAD, 2017. URL: https:// unctad.org/meetings/en/SessionalDocuments/cicplpd7_en.pdf.
Good Practice Guide on Consumer Data / OECD Digital Economy Papers. 2019. No. 290. URL: https://doi. org/10.1787/e0040128-en.
Helberger N., Borgesius Z. F., Reyna A. The Perfect Match? A Closer Look at the Relationship between EU Consumer Law and Data Protection Law // Common Market Law Review. 2017. Vol. 54. Iss. 5. URL: https://www.ivir. nl/publicaties/download/CMLR_2017.pdf.
Hogan K. Consumer Experience in the Retail Renaissance: How Leading Brands Build a Bedrock with Data / Deloitte Digital, 2018. URL: https://www.deloittedigital.com/us/en/blog-list/2018/consumer-experience-in-the-retail- renaissance--how-leading-brand.html.
Measuring the Digital Economy: A New Perspective. Paris: OECD Publishing, 2014. URL: https://doi.org/ 10.1787/9789264221796-en.
Recommendation of the Council on Consumer Protection in E-commerce. Paris: OECD Publishing, 2016. URL: http://dx.doi.org/10.1787/9789264255258-en.
Summary of Roundtable on Digital Assistants and Voice-Controlled e-commerce / ОЭСR 2019. URL: https:// one.oecd.org/document/DSTI/CP(2019)10/FINAL/en/pdf.
The OECD Privacy Framework / OECD, 2013. URL: www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf.
Поступила в редакцию 1 ноября 2019 г. Принята к публикации 10 февраля 2020 г.
References
EAEU (2019). Report on the Development of Digital (Internet) Trade in the EAEU. Moscow: Eurasian Economic Commission (In Russ.). Available at: http://www.eurasiancommission.org/ru/act/dmi/workgroup/Documents/ цм$роваfl%20торговARpdf.
European Commission (2018). A New Deal for Consumers: Commission strengthens EU consumer rights and enforcement. Available at: https://europa.eu/rapid/press-release_IP-18-3041_en.htm.
Helberger N., Borgesius Z.F., Reyna A. (2017). The Perfect Match? A Closer Look at the Relationship between EU Consumer Law and Data Protection Law. Common Market Law Review. Vol. 54. Iss. 5. Available at: https://www. ivir.nl/publicaties/download/CMLR_2017.pdf.
Hogan K. (2018). Consumer Experience in the Retail Renaissance: How Leading Brands Build a Bedrock with Data. Deloitte Digital. Available at: https://www.deloittedigital.com/us/en/blog-list/2018/consumer-experience-in-the-retail- renaissance--how-leading-brand.html.
OECD (2013). The OECD Privacy Framework. Available at: www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf.
OECD (2014a). Consumer Policy Guidance on Intangible Digital Content Products / OECD Digital Economy Papers. No. 241. Paris: OECD Publishing. Available at: https://dx.doi.org/10.1787/5jxvbrjq3gg6-en.
OECD (2014b). Measuring the Digital Economy: A New Perspective. Paris: OECD Publishing. Available at: https://doi.org/10.1787/9789264221796-en.
OECD (2016). Recommendation of the Council on Consumer Protection in E-commerce: OECD. OECD Publishing. Paris. Available at: http://dx.doi.org/10.1787/9789264255258-en.
OECD (2019a). Challenges to Consumer Policy in the Digital Age. Available at: http://www.oecd.org/sti/ consumer/challenges-to-consumer-policy-in-the-digital-age.pdf.
OECD (2019b). Summary of Roundtable on Digital Assistants and Voice-Controlled e-commerce. Available at: https://one.oecd.org/document/DSTI/CP(2019)10/FINAL/en/pdf.
OECD (2019c). Good Practice Guide on Consumer Data. OECD Digital Economy Papers. No. 290. Available at: https://doi.org/10.1787/e0040128-en.
UK CMA (2015). Commercial use of consumer data. Available at: https://www.gov.uk/cma-cases/commercial-use-of-consumer-data.
UNCTAD (2017). Consumer protection in electronic commerce. Note by the UNCTAD secretariat. Available at: https://unctad.org/meetings/en/SessionalDocuments/cicplpd7_en.pdf.
Received 01.11.2019 Accepted for publication 10.02.2020
