ГРАЖДАНСКОЕ И СЕМЕЙНОЕ ПРАВО
DOI: 10.17803/1994-1471.2023.149.4.086-092
Е. Б. Подузова*
Персональные данные пациента и его законного представителя: специфика электронного предоставления в контексте применения технологий «искусственного интеллекта» в digital-медицине
Аннотация. Технологии «искусственного интеллекта» широко применяются в digital-медицине, в частности используются для обработки персональных данных пациентов и их законных представителей. Персональные данные относятся к информационному элементу big data. В регулировании отношений, связанных с персональными данными, выявлены определенные пробелы. Не имеют однозначного решения в доктрине и правоприменительной практике следующие проблемы: правовая природа персональных данных, юридическая квалификация согласия на предоставление и обработку персональных данных, содержание такого согласия, минимальный возраст для его самостоятельного выражения. В статье исследованы данные проблемы, предложены пути их решения. В частности, обосновывается, что согласие на предоставление и обработку персональных данных является гражданско-правовой сделкой, минимальным возрастом для выражения такого согласия является возраст приобретения полной дееспособности (18 лет). При написании статьи было учтено современное состояние законодательства, цивилистической доктрины, правоприменительной практики.
Ключевые слова: согласие; digital-медицина; технологии «искусственного интеллекта»; big data; информационный элемент; содержание; правовая природа; дееспособность; сделка; законный представитель. Для цитирования: Подузова Е. Б. Персональные данные пациента и его законного представителя: специфика электронного предоставления в контексте применения технологий «искусственного интеллекта» в digital-медицине // Актуальные проблемы российского права. — 2023. — T. 18. — № 4. — С. 86-92. — DOI: 10.17803/1994-1471.2023.149.4.086-092.
© Подузова Е. Б., 2023
* Подузова Екатерина Борисовна, кандидат юридических наук, доцент кафедры гражданского права, доцент кафедры нотариата Московского государственного юридического университета имени О.Е. Кута-фина (МГЮА)
Садовая-Кудринская ул., д. 9, г. Москва, Россия, 125993 [email protected]
Personal Data of the Patient and His Legal Representative: The Specifics of Electronic Provision in the context of the Use of «Artificial Intelligence» Technologies in Digital Medicine
Ekaterina B. Poduzova, Cand. Sci. (Law), Associate Professor, Department of Civil Law; Associate Professor, Department of Notary, Kutafin Moscow State Law University (MSAL) ul. Sadovaya-Kudrinskaya, d. 9, Moscow, Russia, 125993 [email protected]
Abstract. Artificial intelligence technologies are widely used in digital medicine, in particular, they are used to process personal data of patients and their legal representatives. Personal data refers to the Big Data information. Certain gaps have been identified in the regulation of relations related to personal data. The following problems do not have an unambiguous solution in the doctrine and law enforcement practice: the legal nature of personal data, the legal qualification of consent to the provision and processing of personal data, the content of such consent, the minimum age for its independent expression. The paper examines these problems and suggests ways to solve them. In particular, it is substantiated that consent to the provision and processing of personal data is a civil transaction, the minimum age for expressing such consent is the age of acquiring full legal capacity (18 years). When writing the article, the author relied on the current legislation, civil doctrine, and law enforcement practice. Keywords: consent; digital medicine; artificial intelligence technologies; Big Data; information element; content; legal nature; legal capacity; transaction; legal representative.
Cite as: Poduzova EB. Personalnye dannye patsienta i ego zakonnogo predstavitelya: spetsifika elektronnogo predostavleniya v kontekste primeneniya tekhnologiy «iskusstvennogo intellekta» v digital-meditsine [Personal Data of the Patient and His Legal Representative: The Specifics of Electronic Provision in the context of the Use of «Artificial Intelligence» Technologies in Digital Medicine]. Aktual'nye problemy rossijskogo prava. 2023;18(4):86-92. DOI: 10.17803/1994-1471.2023.149.4.086-092. (In Russ., abstract in Eng.).
Персональные данные1 пациента являются основой персонифицированного учета в информационных системах здравоохранения, они представляют собой важную составляющую big data в сфере digital-медицины. Сами информационные системы как формы закрепления big data функционируют с помощью технологий «искусственного интеллекта»2. Согласно п. 1 ст. 92 Федерального закона от 21.11.2011 № 342-Ф3 «Об основах охраны здоровья граждан в Российской Федерации»3 при осуществлении медицинской деятельности ведется учет персональных данных следующих субъектов:
— лиц, участвующих в осуществлении медицинской деятельности;
— лиц, которым оказывается медицинская помощь;
— а также лиц, в отношении которых проводятся медицинские экспертизы, медицинские осмотры и медицинские освидетельствования.
Персонифицированный учет ведется операторами информационных систем в сфере здравоохранения из следующих источников информации:
— органов и организаций государственной и муниципальной систем здравоохранения;
— организаций частной системы здравоохранения;
— иных организаций.
В рамках персонифицированного учета в области обязательного медицинского страхования осуществляется сбор, хранение и обработка информационной составляющей big data, относящейся к персональным данным пациента, а
См.: Цифровизация гражданского оборота: big data в механизме гражданско-правового регулирования (цивилистическое исследование) : монография : в 5 т. / отв. ред. д-р юрид. наук, проф. Л. Ю. Василевская. М. : Проспект, 2022. Т. 5. § 1 (автор параграфа — д-р юрид. наук, проф. Л. Ю. Василевская). См.: Цифровизация гражданского оборота... Т. 5. § 1. СЗ РФ. 2011. № 48. Ст. 6724.
2
3
также к сведениям, составляющим врачебную тайну. При этом обезличивание этой информации не производится. В то же время обезличивание больших данных — основополагающий принцип их обработки, он не реализуется в рамках персонифицированного учета.
Персонифицированный учет в ходе оказания медицинской помощи по системе добровольного медицинского страхования, а также по прямым договорам возмездного оказания медицинских услуг, оплачиваемых за счет частных средств, не регламентирован действующим законодательством. Конфиденциальность персональных данных и безопасность указанных сведений не может быть обеспечена в полной мере без правового регулирования отношений, связанных с персонифицированным учетом информации при оказании медицинской помощи по системе добровольного медицинского страхования и по прямым договорам возмездного оказания медицинских услуг, оплачиваемых за счет средств частных лиц.
Безопасность персональных данных пациентов во многом зависит от своевременного обновления программных алгоритмов их идентификации и аутентификации. Предполагается хранение персональных данных на удаленных серверах, при этом специальных правил функ-
ционирования и защиты этих серверов не устанавливается4.
Предлагаемое в законодательстве и подзаконных актах фиксирование в хронологическом порядке действий сотрудников оператора ЕСИА по хранению и обработке персональных данных пациентов полностью не исключает утечки этой информации. Данная мера может быть использована только в совокупности с иными средствами защиты персональных данных пациента, например использование программного обеспечения, препятствующего копированию и передаче персональных данных третьим лицам. Большинство подзаконных актов не распространяются на операторов частных информационных систем. В отсутствие специальных требований к действиям операторов, к их электронному протоколированию существует угроза неправомерного распространения персональных данных пациента, его законного представителя, а также использования этой информации в противоправных целях.
При обработке персональных данных пациента посредством применения технологий «искусственного интеллекта» должны обеспечиваться меры информационной безопасности. В перечне данных мер5 не закреплено постоянное обновление программ и алгоритмов
См.: постановление Правительства РФ от 15.10.2021 № 1753 «Об утверждении требований к организационным и техническим условиям осуществления многофункциональными центрами предоставления государственных и муниципальных услуг размещения или обновления в единой системе идентификации и аутентификации сведений, необходимых для регистрации физических лиц в данной системе, размещения биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, с использованием программно-технических комплексов» // СПС «КонсультантПлюс» ; постановление Правительства РФ от 29.06.2018 № 747 «Об установлении требований к фиксированию действий при размещении в электронной форме в единой системе идентификации и аутентификации сведений, необходимых для регистрации физического лица в указанной системе, и иных сведений, предусмотренных федеральными законами, а также при размещении биометрических персональных данных физического лица в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица» // СПС «КонсультантПлюс».
П. 2 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» // СЗ РФ. 2006. № 31 (ч. 1). Ст. 3451.
4
5
информационной безопасности. В отсутствие данной меры третьи лица имеют возможность получить несанкционированный доступ к способам защиты персональных данных и с помощью вредоносного программного обеспечения осуществить взлом ресурсов хранения этого вида big data.
С 1 сентября 2022 г. вступили в силу изменения, внесенные в ст. 16 Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»6. Возникает проблема применения данной новеллы в случае отказа пациента дать согласие на предоставление и обработку персональных данных. В отсутствие персональных данных пациента представляется затруднительным заполнение всей необходимой медицинской документации, в том числе документации, передаваемой Фонду социального страхования для производства выплат по больничным листам. В то же время действующим законодательством в области здравоохранения допустимо оказание медицинской помощи анонимно (см., например, п. 5 ст. 84 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации»). Представляется, что в тех случаях, когда медицинская помощь не может быть оказана анонимно (к примеру, при оказании телемедицинской помощи7), применение норм п. 4 ст. 16 Закона «О защите прав потребителей» не представляется возможным. В иных случаях
медицинская организация обязана разъяснить пациенту последствия непредоставления им персональных данных и отсутствия согласия на их передачу и обработку. В частности, необходимо дать разъяснения в отношении невозможности оформления больничного листа.
С 1 сентября 2022 г. обработка персональных данных несовершеннолетних (включая несовершеннолетних пациентов) осуществляется с ограничениями, теперь запрещается включение в договор условий об обработке персональных данных несовершеннолетних (п. 5 ст. 6 Федерального закона «О персональных данных» в редакции Федерального закона от 04.07.2022 № 266-ФЗ8). Таким образом, если договор возмездного оказания медицинских услуг содержит условие о принудительном предоставлении и обработке персональных данных несовершеннолетнего, такое условие является недействительным как противоречащее закону (ст. 168 ГК РФ).
В юридической литературе выделяется ряд проблем, связанных с персональными данными пациента9.
Персональные данные пациента и его законного представителя являются источником big data, их передача, хранение и обработка преследует, в частности, общественно полезные цели. В статье 7 Конвенции о защите физических лиц при автоматизированной обработке пер-
СЗ РФ. 1996. № 3. Ст. 140.
См.: письмо Минздрава России от 09.04.2018 № 18-2/0579 «О порядке организации и оказания медицинской помощи с применением телемедицинских технологий» // СПС «КонсультантПлюс». Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности"» // Официальный интернет-портал правовой информации. URL: http://pravo.gov.ru. 14.07.2022. См., например: Защита данных : научно-практический комментарий к судебной практике / отв. ред. В. В. Лазарев, Х. И. Гаджиев/ М. : ИЗиСП, Контракт, 2020 (автор главы — м. н. с. В. С. Черенкова) ; Челы-шева Н. Ю. Особенности правового регулирования применения цифровых технологий в здравоохранении как гарантия обеспечения надлежащего качества медицинских услуг // Право и цифровая экономика. 2021. № 2. С. 18-22.
Конвенция о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981) (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ № 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999). Для Российской Федерации данный документ вступил в силу с 1 сентября 2013 г. // СПС «КонсультантПлюс».
6
7
8
9
10
сональных данных10 содержатся лишь общие требования к мерам обеспечения безопасности передачи, хранения и обработки персональных данных. В то же время в российском законодательстве преобладает формальный подход к разработке и применению мер защиты персональных данных, что является одной из причин взломов серверов хранения, а также утечки персональных данных.
Пациент и его законный представитель обладают информацией о наименовании государственной информационной системы предоставления персональных данных (ЕСИА, ЕМИАС и др.). В то же время сведений о существовании автоматизированного файла персональных данных, о виде технологии «искусственного интеллекта», обрабатывающей персональные данные, о названии и месте обычного проживания или местонахождении контролера файла пациенту и его законному представителю не предоставляется, они не размещены очевидным образом в интерфейсе информационной системы, в которой заполняется автоматизированный файл персональных данных. При передаче персональных данных для обработки, хранения ресурсами и серверами частных информационных систем пациенту (его законному представителю) в большинстве случаев даже неизвестно наименование информационной системы, а также название применимой для обработки информации технологии «искусственного интеллекта».
Персональные данные пациента при оказании медицинских услуг имеют двойной правовой режим, к регулированию отношений, связанных с персональными данными пациента, должны также применяться нормы законодательства о врачебной тайне11.
Легально закрепленные признаки согласия на обработку персональных данных дают основание квалифицировать его в качестве сделки (см. п. 46 постановления Пленума Верховного
Суда РФ от 23.06.2015 № 25). Общие положения ГК РФ о сделках распространяются на данное согласие12. Согласие на обработку персональных данных должно быть явно выраженным, а не подразумеваемым.
Классическими признаками нематериальных благ (ст. 150 ГК РФ) является их непередавае-мость и неотчуждаемость. Персональные данные таким признаком, как непередаваемость, не обладают. В пункте 1 ст. 3 Федерального закона «О персональных данных» эти сведения определяются как информация о личных свойствах определенного или определяемого лица. Персональные данные представляют собой информацию о свойствах нематериальных благ, относящихся к определенному либо определяемому лицу.
Выражение согласия пациентом (его законным представителем) на предоставление и обработку персональных данных является необходимым условием для исполнения договора возмездного оказания медицинских услуг. Такая односторонняя сделка нового правоотношения не порождает. Право на дачу согласия не обладает всеми признаками секундарных прав. Теория секундарных прав разрабатывалась немецкими цивилистами. По мнению Э. Зек-келя, частное секундарное право следует определить как субъективное (конкретное)частное право, содержанием которого является, во-первых, возможность установить (преобразовать) конкретное юридическое отношение посредством односторонней сделки. Секундарные права осуществляются посредством частного волеизъявления — сделки, как сопряженной с принятием государственного акта, так и без такового. Во-вторых, их содержанием является возможность в одностороннем порядке создать, прекратить или изменить, (пре)образовать одно из прав господства (die Herrschaftsrechte) или иное правоотношение13.
11 См.: определение Конституционного Суда РФ от 24.09.2013 № 1333-О «Об отказе в принятии к рассмотрению жалобы гражданина Скипакевича Игоря Самуиловича на нарушение его конституционных прав пунктом 10 части 4 статьи 13, пунктом 5 статьи 78, статьями 87 и 90 Федерального закона "Об основах охраны здоровья граждан в Российской Федерации"» // СПС «КонсультантПлюс».
12 О соотношении понятий «соглашение» и «согласие» см.: Цифровизация гражданского оборота. Т. 5. § 1.
13 См.: Зеккель Э. Секундарные права в гражданском праве // Вестник гражданского права. 2007. № 2.
Специального возраста, с которого субъект гражданского права (пациент) самостоятельно дает согласие на предоставление и обработку персональных данных, в законодательстве не предусмотрено. В медицинской сфере возраст для выражения пациентом этого согласия, на наш взгляд, должен составлять 18 лет (с приобретения дееспособности в полном объеме). Медицинское вмешательство не предполагает обработку персональных данных. Применять по аналогии нормы о 15-летнем возрасте для предоставления согласия на медицинское вмешательство к отношениям, связанным с выражением согласия на передачу и обработку персональных данных, юридически некорректно.
В отношении пациентов в возрасте до 18 лет (по общему правилу не дееспособных в полном объеме) согласие на обработку и, соответственно, предоставление персональных данных дают их законные представители и попечитель.
В ГК РФ статус попечителя полностью не раскрыт, он не признается законным представителем другого лица (несовершеннолетнего в возрасте от 14 до 18 лет либо ограниченно недееспособного). Данный подход нашел свое отражение в п. 5.5 Методических рекомендаций по оформлению наследственных прав14, однако различий в статусе законного представителя и попечителя в этом акте не выделяется. В контексте выражения согласия на предоставление и обработку персональных данных правомочия попечителя и законного представителя являются одинаковыми. В судебной практике попечитель относится к категории законных представите-
лей15. В деловой практике содержится аналогичный подход16.
Подводя итоги рассмотрения проблем, связанных с персональными данными пациента и его законного представителя, необходимо отметить следующее:
1) в законодательстве не проводится разграничения понятий «персональные данные пациента» и «информация, составляющая врачебную тайну». На практике все эти сведения квалифицируются как персональные данные. Пациент (его законный представитель) дает согласие на обработку этих сведений как персональных данных для оказания медицинских услуг;
2) для обработки персональных данных требуется их предоставление. Пациент, его законный представитель должны давать согласие на предоставление и обработку персональных данных, а не только на их обработку. В то же время в законодательстве в качестве обязательного закреплено лишь согласие на обработку персональных данных;
3) в случае оказания телемедицинской помощи участником дистанционных отношений выступает не только пациент, но и его законный представитель. Законом не предусмотрена дача согласия представителя на обработку персональных данных;
4) само понятие «законный представитель» не имеет однозначного раскрытия в законодательстве. В ГК РФ остается неопределенным статус попечителя, однако в законодательстве о персональных данных попечитель квалифицируется как законный представитель, дающий
14 Методические рекомендации по оформлению наследственных прав (утв. решением Правления ФНП от 25.03.2019, протокол № 03/19) // СПС «КонсультантПлюс».
15 См.: п. 8 постановления Пленума Верховного Суда РФ от 29.06.2010 № 17 «О практике применения судами норм, регламентирующих участие потерпевшего в уголовном судопроизводстве» // СПС «Консультант-Плюс» ; определение Третьего кассационного суда общей юрисдикции от 29.01.2020 № 88-1462/2020 // СПС «КонсультантПлюс».
16 См.: Каковы особенности переоформления права собственности на недвижимое имущество на несо-
вершеннолетнего? // Азбука права : электрон. журн. 2022 ; Форма : Согласие законного представителя (родителя, усыновителя, попечителя) на совершение сделки несовершеннолетним в возрасте от 14 до
18 лет. Подготовлена В. А. Керенской для системы «КонсультантПлюс», 2022 ; Форма : Заявление законных представителей (родителей, усыновителей, попечителей) о согласии на сдачу несовершеннолетним кандидатом в водители экзамена и выдачу ему российского национального водительского удостоверения. Подготовлен О. М. Кабановым для системы «КонсультантПлюс», 2022.
согласие на обработку персональных данных подопечного в возрасте от 14 до 18 лет либо ограниченно дееспособного;
5) в п. 1 ст. 9 Федерального закона «О персональных данных» предусмотрены следующие признаки согласия на их обработку: свобода дачи согласия; волевой характер такого согласия; дача согласия в интересах субъекта персональных данных; конкретность содержания согласия; информированность субъекта, дающего согласие, о целях, способах и операторе обработки персональных данных; осознанность дачи согласия; дача согласия в форме, позволяющей подтвердить факт его получения; дача согласия
лично или через представителя. В то же время требований к обязательной письменной форме согласия на обработку персональных данных не предусмотрено, является допустимым с точки зрения законодательства включение согласия на обработку персональных данных в текст другого документа. На практике допускается совершение согласия на обработку персональных данных в форме конклюдентных действий. Совершение согласия в устной и конклюдентной форме, включение согласия в текст иного документа не соответствует легальным признакам согласия. Обработка персональных данных на основании такого согласия противоречит закону.
БИБЛИОГРАФИЯ
1. Защита данных : научно-практический комментарий к судебной практике / отв. ред. В. В. Лазарев, Х. И. Гаджиев. — М. : ИЗиСП, Контракт, 2020.
2. Цифровизация гражданского оборота : big data в механизме гражданско-правового регулирования (цивилистическое исследование) : монография : в 5 т. Т. 5 / отв. ред. д-р юрид. наук, проф. Л. Ю. Василевская. — М. : Проспект, 2022.
3. Челышева Н. Ю. Особенности правового регулирования применения цифровых технологий в здравоохранении как гарантия обеспечения надлежащего качества медицинских услуг // Право и цифровая экономика. — 2021. — № 2. — С. 18-22.
Материал поступил в редакцию 7 сентября 2022 г.
REFERENCES (TRANSLITERATION)
1. Zashchita dannykh: nauchno-prakticheskiy kommentariy k sudebnoy praktike / otv. red. V. V. Lazarev, Kh. I. Gadzhiev. - M.: IZiSP, Kontrakt, 2020.
2. Tsifrovizatsiya grazhdanskogo oborota: big data v mekhanizme grazhdansko-pravovogo regulirovaniya (tsivilisticheskoe issledovanie): monografiya: v 5 t. T. 5 / otv. red. d-r yurid. nauk, prof. L. Yu. Vasilevskaya. — M.: Prospekt, 2022.
3. Chelysheva N. Yu. Osobennosti pravovogo regulirovaniya primeneniya tsifrovykh tekhnologiy v zdravookhranenii kak garantiya obespecheniya nadlezhashchego kachestva meditsinskikh uslug // Pravo i tsifrovaya ekonomika. — 2021. — № 2. — S. 18-22.