CC BY
26DOI: 10.24412/2076-1503-2022-11-184-188 ЧИПИГИНА Полина Алексеевна,
NIION: 2018-0076-11/22-1131 магистрант
MOSURED: 77/27-023-2022-11-1329 Томского государственного университета,
e-mail: polinka-9@mail.ru
ОТДЕЛЬНЫЕ ВОПРОСЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МОБИЛЬНЫХ
ПРИЛОЖЕНИЯХ
Аннотация. В статье исследуется вопросы правового регулирования обработки персональных данных на мобильных устройствах. Приводится изучение материалов судебной практики с анализом и выражением авторского мнения. Описаны пользовательские соглашения приложений «Локатор» и «Zenly», где проанализированы персональные данные, которые запрашивают приложения. Были рассмотрены и описаны те данные, которые они собирают. По итогам работы сделан вывод, что не любая обработка персональных данных соответствует их пользовательскому соглашению. На основании этого были выявлены неточности политики конфиденциальности данных приложений.
Ключевые слова: IP-адрес, геолокация, информация, обработка, оператор, местоположение, мобильные приложения, персональные данные, пользовательское соглашение.
CHIPIGINA Polina Alekseevna,
master student of Tomsk State University
CERTAIN ISSUES OF LEGAL REGULATION OF THE PROCESSING OF PERSONAL DATA IN MOBILE APPLICATIONS
Annotation. The article examines the issues of legal regulation of the processing of personal data on mobile devices. The study of materials of judicial practice with the analysis and expression of the author's opinion is given. The user agreements of the Locator and Zenly applications are described, where the personal data requested by the applications are analyzed. The data they collect was reviewed and described. Based on the results of the work, it was concluded that not any processing of personal data complies with their user agreement. Based on this, inaccuracies in the privacy policy of these applications were identified.
Key words; IP address, geolocation, information, processing, operator, location, mobile applications, personal data, user agreement.
В настоящее время у людей в мобильном телефоне установлено множество различных приложений. Каждое из них запрашивает определенных набор персональных данных, который необходим для его надлежащей работы. Чаще всего граждане не интересуются вопросом передачи операторам такого объёма персональных при установке мобильных приложений, а также вопросом вероятности утечки таких данных. Также необходимо учитывать, не противоречит ли обработка запрашиваемых персональных данных законодательству Российской Федерации в части передачи их третьим лицам (в том числе при трансграничной передаче данных), обработки данных пользователей, которые они сами предоставляют, а также данных, запрашиваемых самим приложением. Особую актуальность вопросы обработки персональных данных приобретают с учетом распространения приложений,
требующих для своего функционирования довольно большого перечня персональных данных - к таким относятся, в частности, приложения, позволяющие определять геолокацию телефона. На примере таких приложений, в частности, «Локатор» и <^еп!у» и будет проведен анализ.
Легальное определение персональных данных содержится в Федеральном законе «О персональных данных», в соответствии с которым под персональными данными понимается любая информация, которая относится прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) [1]. Под обработкой персональных данных понимается любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хра-
ОБРАЗОВАНИЕ И ПРАВО № 11 • 2022
нение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных.
Следует подчеркнуть, что законодатель не дает исчерпывающего перечня персональных данных, оставляя вопрос об отнесении той или иной информации на усмотрение правоприменителя с учетом постоянно развивающихся технологий идентификации пользователей. К примеру, в судебной практике и в практике административных органов персональными данными признавались - данные геолокации, файлы cookies, номер телефона, «Google Analytics», «Яндекс-метрика» и т.д. Существует также и судебная практика, которая признает IP-адрес персональными данными (Постановление Второго арбитражного апелляционного суда от 08.08.2019 № 02АП-5517/2019 по делу № А31-3955/2019,[9] Решение Октябрьского районного суда г. Самары от 24.09.2015 по делу № 2-5354/2015 [11] и т.д.).
Существует два основания для обработки персональных данных пользователя: согласие на обработку и, в отдельных случаях, предусмотренных п.1 ч.1 ст. 6 Закона «О персональных данных», обработка может осуществляться без согласия пользователей. Так, перед запуском приложений «Локатор» и «Zenly» при прочтении пользовательского соглашения внизу гражданин ставит галочку по согласию на обработку его персональных данных - при этом приложением нельзя начать пользоваться без согласия его на обработку персональных данных. На то есть ряд причин, во-первых, эти приложения работают в основном с местоположением пользователя, то есть с его персональными данными. Во-вторых, без дачи такого согласия произойдет диссонанс между политикой конфиденциальности данных приложений и субъектом персональных данных, ведь как можно пользоваться персональными данными гражданина без его согласия, что представляет собой нарушение Российского законодательства. В настоящее время в судебной практике [3] и доктрине [6] признано, что проставление «галочки», в частности, на сайте, является достаточным выражением воли пользователем для признания таких действий согласием на обработку персональных данных.
В этой связи интерес для изучения представляют приложения отслеживания геолокации «Локатор» и «Zenly», запрашивающие для своей работы довольно большой объем персональных данных.
На сайте приложения «Локатор» размещена политика его конфиденциальности [10]. При входе в iCloud с Apple ID Вы включаете некоторые функции Локатора на поддерживаемых устройствах, в том числе участие в сети «Локатора». Безус-
ОБРАЗОВАНИЕ И ПРАВО № 11 • 2022
ловно, для разных целей собираются разные персональные данные. Так, данные самого пользователя приложением собираются данные через систему iCloud на айфоне, где уже автоматически внесены сведения при регистрации его профиля (ФИО, номер телефона, почта, дата рождения). Далее необходимо дать согласие на определение местоположения приложением гражданина, это необходимо для того, чтобы друзья могли видеть его место нахождение. Для того, чтобы гражданин мог добавлять друзей в данное приложение необходимо также нажать кнопку «поделиться геолокацией» и все пользователи, которые добавлены в это приложение смогут отслеживать его местоположение. Не стоит забывать, что гражданин при необходимости по своему желанию может перестать делиться своей геолокацией с друзьями.
Геопозиция устройства или аксессуара, а также информация об устройстве и учетной записи, могут помочь при поиске устройств, для которых был включен параметр «Найти (устройство)», и поддерживаемых аксессуаров.
В целях соблюдения требований о применении мер защиты персональных данных пользователей сеть Локатора защищена сквозным шифрованием. Apple не имеет доступа к геопозициям устройств в режиме офлайн, а также к геопозиции устройств, сообщающих о местонахождении пропавших устройств.
В случае если пользователь теряет свое мобильное устройство для которых был включен параметр «Найти (устройство)», в Локаторе можно просмотреть местонахождение устройства на карте. С помощью Локатора также можно воспроизвести звуковой сигнал на устройстве, удаленно заблокировать устройство, вывести на экран сообщение или удаленно стереть с устройства все данные. Служба «Локатор» также может определять местоположение поддерживаемых аксессуаров и включить на них громкий звуковой сигнал.
Геолокация пользователя, которая передается «Локатору», раскрывает некоторые из наиболее конфиденциальных сведений о нем - места жительства, работы, отдыха и досуга, и даже получения медицинских услуг. Эти данные помогают разработчикам создавать релевантное персонализированное программное обеспечение, опыт, который поможет приложению лучше выполнять свои функции: определения местоположения пользователя, обнаружения людей, организаций и событий с помощью картографических и других приложений.
Следующим важным аспектом является так называемая «конфиденциальность по дизайну» [13]. Под этим понимается набор принципов, которые позиционируют безопасность пользователя
как фундаментальное соображение при проектировании; интерактивные инструменты оценки для корпоративных и начинающих технологических компаний; ресурсы для инвесторов и финансовых организаций. Так, службы определения местоположения в IOS предоставляют информацию о местоположении пользователя. Для определения местоположения устройства Apple используют GPS и Bluetooth, а также сети Wi-Fi и местоположение вышек сотой связи. Службы определения местоположения разработаны в том числе для защиты конфиденциальности пользователей. Данные обрабатываются на устройстве пользователя, где это возможно, например, при создании прогнозируемой маршрутизации трафика, которая отображает расчетное время в пути на экране блокировки устройства. Архитектура служб определение местоположения помогает свести к минимуму объем данных о местоположении, который собирает Apple или третьи лица. Apple обеспечивает функцию прозрачности и контроля над тем, как передаются данные. Суть безопасности по дизайну состоит в том, чтобы технологические компании могут минимизировать онлайн-угрозы, обнаруживая и устраняя онлайн-вред до их возникновения. В основе данной концепции лежит три принципа, которые помогают сохранять безопасности: ответственность поставщика услуг; расширение прав и возможностей пользователей и их автономия; прозрачность и подотчётность.
Необходимо отметить, что в данном случае важен контроль над службами определения местоположения. Службы определения местоположения действуют как связующее звено между данными о местоположении пользователя и приложениями, которые используют эти данные. Данные о местоположении позволяют разнообразить персонализированный опыт, например приложение может использовать местоположение пользователя вместе с поисковым запросом пользователя, чтобы помочь пользователю найти близлежащие кофейни или библиотеки. Кроме того, устройство может устанавливать автоматически свой часовой пояс в зависимости от текущего местоположения для того, чтобы будильники, напоминания о встречах оставались точными во время международных поездок [12].
Приложение «Локатор» собирает следующие персональные данные:
1. Сведение об учетной записи (адрес электронной почты, зарегистрированные устройства, статус учетной записи и возраст);
2. Сведение об устройстве (данные об устройстве, его серийный номер и т.п.);
3. Контактная информация (имя, адрес электронной почты, физический адрес, телефонный номер);
4. Сведения о местоположении (для поддержки работы «Локатора») [8]. Особенности данного сервиса в том, что Apple стремиться помочь защитить клиентов с помощью технологии конфиденциальности и безопасности, которые предназначены для защиты личной информации. Службы определения местоположения созданы с учетом данных аспектов.
Следующие принципы конфиденциальности Apple интегрированы в службы определения местоположения:
1. Обрабатывать данные на устройстве, где это возможно;
2. Минимизация объема данных, которые собирает Apple и передает третьим лицам;
3. Обеспечение прозрачности и контроля данных, которыми обмениваются;
4. Защита личности пользователя при обмене конфиденциальности информации с Apple;
5. Внедрение лучших практик безопасности для защиты пользовательских данных. Другим приложением для обработки персональных данных и определения местоположения пользователей является приложение «Zenly», создатели которого находят в Европейском Союзе.
Довольно интересным представляется соответствие этого пункта отечественному законодательству. Так, согласно ст. 12 Федерального Закона «О персональных данных» трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Так, например, с 1 марта 2023 года вступают новые правила трансграничной передачи данных, где введено обязательное предварительное уведомление регулятора о намерении передать персональные данные за пределы Российской Федерации. Согласно Приказу Роскомнадзора от 15.03.2013 N 274 (ред. от 14.09.2021) «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных» (Зарегистрировано в Минюсте России 19.04.2013 N 28212 Южно-Африканская
ОБРАЗОВАНИЕ И ПРАВО № 11 • 2022
Республика и ряд других стран не являются сторонами Конвенции Совета Европы, но при этом обеспечивают адекватную защиту прав субъектов персональных данных[2].
До подачи уведомления оператор должен провести оценку получателя ПД, собрать сведения о правовом регулировании в области ПД иностранного государства (если страна не является государством, обеспечивающим адекватную защиту прав субъектов персональных данных). Так, например, не может быть осуществлена передача персональных данных в Африку, так как государство не может обеспечить сохранность таких данных во избежание их утечки. При этом данное приложение работать там может, что образует противоречие в области персональных данных.
Приложение <^еп!у» собирает три категории информации:
1. Предоставляет самим пользователем;
2. Получаемая <^еп!у» при использовании
приложения;
3. Переданная третьими сторонами [7].
Проблематика данных приложений заключается в избыточным предоставлении данных пользователю этим приложениям. В приложении «Локатор» данной проблемы не наблюдается, но касаемо <^еп!у» вопрос является актуальным. Так, пользователю приложения, при условии добавления контакта в список друзей видно не только его местоположение, а с какой скоростью он двигается (при езде на автомобиле, самокате, велосипеде), стоит ли на зарядке его мобильное устройство. В пользовательском соглашении данной информации нет, поэтому ставиться вопрос является ли данные сведения персональными данными. Безусловно такие данные мы не можем отнести к персональным, так как они не обладают идентифицирующим потенциалам. То есть они не неразрывно связаны с личностью по которым мы можем определить кто перед нами и идентифицировать лицо.
Как отмечают исследователи, сведения об установленном программном обеспечении и режиме работы компьютера идентифицируют информационные технологии, а не самого пользователя [5]. Тем самым невозможно говорить о том, что эти сведения являются персональными данными поскольку они относятся не непосредственно или опосредованно к субъекту персональных данных, а к техническому устройству, не позволяя идентифицировать каким-либо образом субъекта персональных данных [4].
Таким образом, можно сделать вывод, что сбор персональных данных приложения не противоречат законодательству о персональных данных, но есть ряд недоработок в политики конфиденциальности приложения <^еп!у» в частности
ОБРАЗОВАНИЕ И ПРАВО № 11 • 2022
не все данные, которые оно предоставляет есть в пользовательском соглашении.
Список литературы:
[1] Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 14.07.2022) «О персональных данных» // Собрание законодательства РФ. 31.07.2006. № 31 (1 ч.). Ст. 3451.
[2] Приказ Роскомнадзора от 15.03.2013 N 274 (ред. от 14.09.2021) «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных» (Зарегистрировано в Минюсте России 19.04.2013 N 28212) // Российская газета. N 92. 26.04.2013.
[3] Постановление Двадцатого арбитражного апелляционного суда от 03.09.2021 № 20АП-5047/2021 по делу № А09-3313/2021; Постановление Восемнадцатого арбитражного апелляционного суда от 31.01.2022 № 18АП-18623/2021 по делу № А76-26038/2021.
[4] Гутник С.И. Преступные посягательства в отношении персональных данных: монография. Москва: Проспект, 2021. С. 28.
[5] Наумов В.Б. Право и Интернет: очерки теории и практики. М., 2002. С. 132.
[6] Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных». 2-е изд., перераб. и доп. Москва: Статут, 2021. 468 с.
[7] Официальный сайт «Zenly». [Электронный ресурс]. URL: https://zenly.com/ru/privacy (Дата обращения: 05.11.2022).
[8] Персональные данные, которые собирает «Локатор» [Электронный ресурс]. URL: https:// www.apple.com/legal/privacy/ru/ (Дата обращения: 05. 11.2022).
[9] Постановление Арбитражного суда Волго-Вятского округа от 05.12.2019 N Ф01-6495/2019 по делу N А31-3955/2019 // СПС «Консультант-Плюс».
[10] Политика конфиденциальности приложения «Локатор» [Электронный ресурс]. URL: https://www.apple.com/ru/legal/privacy/data/ru/ find-my/ (Дата обращения: 05.11.2022).
[11] Решение № 2-5354/2015 от 24 сентября 2015 г. по делу № 2-5354/2015 [Электронный ресурс]. URL: https://sudact.ru/regular/doc/ qDLA8usnf5l8/ (Дата обращения: 05.11.2022).
[12] Location Services Privacy Overview [Электронный ресурс]. URL: https://www.apple.com/ru/ privacy/docs/Location_Services_White_Paper_ Nov_2019.pdf (Дата обращения: 30. 10.2022).
[13] Privacy by design.
Spisok literatury:
[1] Federal'nyj zakon ot 27.07.2006 № 152-FZ (red. ot 14.07.2022) «O personal'nyh dannyh» // Sobranie zakonodatel'stva RF. 31.07.2006. № 31 (1 ch.). St. 3451.
[2] Prikaz Roskomnadzora ot 15.03.2013 N 274 (red. ot 14.09.2021) "Ob utverzhdenii perechnya ino-strannyh gosudarstv, ne yavlyayushchihsya storo-nami Konvencii Soveta Evropy o zashchite fizicheskih lic pri avtomatizirovannoj obrabotke personal'nyh dannyh i obespechivayushchih adekvatnuyu zash-chitu prav sub"ektov personal'nyh dannyh" (Zaregis-trirovano v Minyuste Rossii 19.04.2013 N 28212) // Rossijskaya gazeta. N 92. 26.04.2013.
[3] Postanovlenie Dvadcatogo arbitrazhnogo apellyacionnogo suda ot 03.09.2021 № 20AP-5047/2021 po delu № A09-3313/2021; Postanovlenie Vosemnadcatogo arbitrazhnogo apellyacionnogo suda ot 31.01.2022 № 18AP-18623/2021 po delu № A76-26038/2021.
[4] Gutnik S.I. Prestupnye posyagatel'stva v otnoshenii personal'nyh dannyh: monografiya. Moskva: Prospekt, 2021. S. 28.
[5] Naumov V.B. Pravo i Internet: ocherki teorii i praktiki. M., 2002. S. 132.
[6] Savel'ev A.I. Nauchno-prakticheskij postate-jnyj kommentarij k Federal'nomu zakonu «O personal'nyh dannyh». 2-e izd., pererab. i dop. Moskva: Statut, 2021. 468 s.
[7] Oficial'nyj sajt «Zenly». [Elektronnyj resurs]. URL: https://zenly.com/ru/privacy (Data obrash-cheniya: 05.11.2022).
[8] Personal'nye dannye, kotorye sobiraet «Lokator» [Elektronnyj resurs]. URL: https://www. apple.com/legal/privacy/ru/ (Data obrashcheniya: 05. 11.2022).
[9] Postanovlenie Arbitrazhnogo suda Vol-go-Vyatskogo okruga ot 05.12.2019 N F01-6495/2019 po delu N A31-3955/2019 // SPS «Konsul'tantPlyus».
[10] Politika konfidencial'nosti prilozheniya «Lokator» [Elektronnyj resurs]. URL: https://www. apple.com/ru/legal/privacy/data/ru/find-my/ (Data obrashcheniya: 05.11.2022).
[11] Reshenie № 2-5354/2015 ot 24 sentyabrya 2015 g. po delu № 2-5354/2015 [Elektronnyj resurs]. URL: https://sudact.ru/regular/doc/qDLA8usnf5l8/ (Data obrashcheniya: 05.11.2022).
[12] Location Services Privacy Overview [Elektronnyj resurs]. URL: https://www.apple.com/ru/pri-vacy/docs/Location_Services_White_Paper_ Nov_2019.pdf (Data obrashcheniya: 30. 10.2022).
[13] Privacy by design.
ОБРАЗОВАНИЕ И ПРАВО № 11 • 2022
