CC BY
309
DOI: 10.12737/jflcl.2020.010
ПРАВО НА ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ: ИСТОРИЧЕСКИЙ АСПЕКТ И СОВРЕМЕННАЯ КОНЦЕПТУАЛИЗАЦИЯ В ЭПОХУ BIG DATA
ОГАНЕСЯН Тигран Давидович, научный сотрудник отдела зарубежного конституционного, административного, уголовного законодательства и международного права Института законодательства и сравнительного правоведения при Правительстве Российской Федерации, кандидат юридических наук
Россия, 117218, г. Москва, ул. Большая Черемушкинская, 34
E-mail: t.oganesian@mail.ru
Эффективность некоторых традиционных подходов, гарантирующих защиту данных, в настоящее время существенно снижается, и идет поиск новых современных подходов. Вопросы защиты персональных данных приобретают еще большее значение в контексте развития и массового внедрения программ и методов автоматизированной обработки данных. Возникает необходимость переосмысления природы права на защиту данных и выработки новых стандартов международной защиты от соответствующих злоупотреблений в связи с использованием новых информационно-коммуникационных технологий.
Цели исследования: провести периодизацию становления и развития национальных и международных правовых основ защиты персональных данных; проанализировать различные подходы к изучению природы права на защиту данных в контексте связи с правом на уважение частной жизни; выявить целесообразность выделения права на защиту данных в качестве самостоятельного права; определить тенденции развития прецедентной практики Европейского суда по правам человека и Суда Европейского Союза в области защиты данных.
Методы исследования: системный, сравнительно-правовой, историко-правовой, а также методы логического и структурного анализа.
Автор приходит к выводу, что право на защиту персональных данных сегодня находится в промежуточном состоянии: его уже нельзя в полной мере рассматривать ни как часть права на уважение частной жизни, ни в качестве полноценного и самостоятельного права. В качестве неотложной меры государствам следует пересмотреть национальные законы, политику и практику в целях обеспечения их полного соответствия стандартам защиты данных, выработанных Советом Европы и Европейским Союзом. Для повышения стандартов национальной правовой системы и установления достаточных гарантий в области защиты данных рекомендуется ратифицировать и имплементировать новые положения Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Конвенции 108). Особое внимание следует уделить вопросу создания на национальном уровне должности комиссара (инспектора) по защите данных, а также системы независимых органов, осуществляющих эффективный надзор за деятельностью государственных органов и крупных корпораций в сфере сбора персональных данных.
Ключевые слова: защита персональных данных, конфиденциальность, право на уважение частной жизни, Интернет, Совет Европы, Европейский суд по правам человека, Суд Европейского Союза, Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Конвенция 108).
Для цитирования: Оганесян Т. Д. Право на защиту персональных данных: исторический аспект и современная концептуализация в эпоху Big Data // Журнал зарубежного законодательства и сравнительного правоведения. 2020. № 2. С. 48—63. DOI: 10.12737/jflcl.2020.010
THE RIGHT TO PERSONAL DATA PROTECTION: HISTORICAL ASPECT AND MODERN CONCEPTUALIZATION IN THE AGE OF BIG DATA
T. D. OGANESYAN, Institute of Legislation and Comparative Law under the Government of the Russian Federation, Moscow 117218, Russian Federation
E-mail: t.oganesian@mail.ru
The effectiveness of some traditional approaches, which guarantee data protection, is now significantly reduced and there is a search for new approaches able to meet the realities of today. In this regard, personal data protection issues become even more important in the context of the development and mass introduction of programs and methods of automated data processing. There is also a particular need to rethink the nature of the right to data protection and to develop new standards of international protection against relevant abuses in connection with the use of new information and communication technologies.
The present article pursues the following objectives: to conduct a periodization of formation and development of national and international legal framework for the protection of personal data, the analysis of different approaches to study nature of the right to data protection in the context of the right to respect private life, to identify the appropriateness of the allocation of the right to data protection as an independent and separate right to determine trends in the development of ECtHR and CJEU case law on data protection.
The methods used are systemic, comparative-legal, historical and legal methods, as well as logical and structural analysis.
The article analyses international legal framework of doctrinal research and legal positions of national and international courts in the field of data protection in the age of Big Data. Thus, it shows the importance of data protection in terms of Internet development and the new transnational ways to collect and process data. While international community hasn't faced these issues yet, these dictate the need for continued development and improvement of international and national standards of data protection. Here the ECtHR and the CJEU play a special role for progressive development of European case-law.
Today, the right to the protection of personal data is in an intermediate state: it can no longer be fully considered either as part of the right to respect privacy or as a full and independent right. As a matter of urgency, States should review their national laws, policies, and practices to ensure that they fully comply with the data protection standards developed by the Council of Europe and the EU. To improve the standards of the national legal system and establish sufficient safeguards in the field of data protection, it is recommended that the new provisions of the Convention 108 should be ratified and implemented. It is proposed to pay a particular attention to establishment of a data protection Commissioner (inspector) at the national level and a system of independent bodies that exercise independent and effective oversight of the activities of public authorities and large corporations in the field of personal data collection.
Keywords: protection of personal data, confidentiality, right to respect private life, Internet, Council of Europe, ECtHR, CJEU, Convention 108.
For citation: Oganesyan T. D. The Right to Personal Data Protection: Historical Aspect and Modern Conceptualization in the Age of Big Data. Zhurnal zarubezhnogo zakonodatel'stva i sravnitel'nogopravovedeniya = Journal of Foreign Legislation and Comparative Law, 2020, no. 2, pp. 48—63. DOI: 10.12737/jflcl.2020.010 (In Russ.)
Становление и развитие права на защиту персональных данных
Первые законы о защите данных: начало компьютеризации. За несколько десятилетий до того, как Интернет и смарт-устройства превратились в основные средства коммуникации, в Европе в 1970-х гг. возникли первые дискуссии о способах защиты персональных данных, которые основывались на положениях конфиденциальности и уважения частной жизни, заложенных в ст. 8 Европейской конвенции о защите прав человека и основных свобод 1950 г. (далее — ЕКПЧ). 1970-е гг. характеризуются эпохой научного развития компьютерных технологий и временем, когда домашний компьютер стал хоть и роскошью, но вполне доступной мечтой. Вот лишь некоторый перечень достижений компьютерной мысли того времени: получен патент на изобретение манипулятора «мышь» (1970), создан первый коммерческий микропроцессор Intel 4004 (1971), выпущен родоначальник линии персональных компьютеров Altair 8800 (1975), на выставке был представлен самый массовый персональный компьютер Apple II (1977), начались массовые продажи домашних персональных компьютеров Atari 400/800 (1979). Эти и многие другие новшества, меняющие жизнь простого гражданина, заставили также задуматься о тех угрозах, которые могут возникнуть при автоматизированной обработке данных ЭВМ.
Принятие первых национальных законов о защите данных было обусловлено возникшей компьютеризацией, поэтому большинство национальных законов ограничивались автоматизированной обработкой данных. В 1970-х гг. в нескольких европейских странах (ФРГ, Швеция и Франция) стали появляться различные положения, регулирующие автоматизированную обработку данных. Принимаемые законы устанавливали собственные подходы защиты
физических лиц в отношении автоматизированной обработки данных, применяя различную терминологию. В качестве символической отправной точки защиты данных на национальном уровне в Европе определяется принятие в 1970 г. германской федеральной землей Гессен первого закона о защите данных (Datenschutz). Последовав данному примеру, спустя пару лет Швеция в 1973 г. также приняла подобный закон Datalag, а в 1978 г. французский парламент одобрил закон о компьютерах и свободах (Loi informatique et libertés)1. Важным аспектом изучения является то, что принятые положения не связывали право на защиту данных с каким-либо иным основополагающим правом. Например, шведский закон 1973 г., регулирующий автоматизированную обработку данных, не увязывал защиту данных с правом на уважение частной жизни и конфиденциальностью. Заявленная цель шведского акта заключалась в защите неприкосновенности личности. Французский закон, в свою очередь, был нацелен на защиту vie privée (частной жизни) и связывал защиту данных с правом на уважение частной жизни. Аналогичным образом австрийские конституционные положения о защите персональных данных 1978 г., закрепив впервые право на защиту данных (datenschutz) в качестве конституционного права, связывали защиту данных с правом на уважение частной и семейной жизни2.
Таким образом, в большинстве случаев, когда государства решались на закрепление положений об обработке данных, это осуществлялось в форме отдельных законов (например, во Франции), однако в некоторых случаях положения об автоматизи-
1 Loi № 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. URL: https://www.legifrance.gouv.fr/ affichTexte.do?cidTexte=LEGITEXT000006068624&dateTexte=vig.
2 Data Protection Act. BGBl. 1978. No. 565.
рованной обработке данных находили отражение в принятых конституциях (например, в Португалии, Испании). Заметим, что в 1970-е гг. принятые акты касались прежде всего автоматизированной обработки данных и содержали именно данную формулировку. Подобные законы о защите данных, принятые в Европе на национальных уровнях в 1970-е гг., характеризовались расплывчатостью формулировок относительно преследуемых целей или задач. Однако в конечном счете все эти нормы и правила заложили основу для развития национальных законодательств в сфере защиты данных, а также для создания средств правовой защиты. Позже разработанные положения и практика в области защиты данных вышеперечисленных государств послужат основой для разработки Конвенции 108 и Директивы ЕС 1995 г.
Дискуссии 1980-х: компьютеризация 2.0. Защите персональных данных западные ученые продолжили уделять пристальное внимание также в 1980-е гг., поскольку компьютеризация перешла на качественно иной уровень: были запущены операционная система для персональных компьютеров фирмы IBM (1981), операционные системы Mac OS (1984) и Windows 1.0 (1985), появился компакт-диск (CD) в качестве носителя информации (1982), была создана Всемирная паутина (1989). Кроме положительных сторон компьютеризации, в 1986 г. впервые был зафиксирован компьютерный вирус. Как верно отметил П. Раймон, достижения человечества в области информационных технологий лишь усилили страхи, которые испытывали люди3.
В 1984 г., спустя два года после того, как был изобретен Интернет в современном виде4, американский исследователь К. Голден задался вопросом: каким образом законодательства многих стран о защите данных могут защитить от произвольной трансграничной передачи данных личного характера, подвергающихся автоматизированной обработке? Отмечая свое критическое отношение к сложившейся трансграничной системе произвольной передачи данных, К. Голден приводит пример незащищенности германских граждан: в начале 1980-х гг. информация о сделках в немецких банках подлежала разглашению, поскольку банки были обязаны раскрывать информацию о своих клиентах, в случае если данная информация запрашивалась иностранным правительством5.
3 См.: Raymont P. New Technology and Data Protection // Y.B.L. Computers & Tech. 1986. Vol. 2. P. 119.
4 Первый канал связи со всемирной сетью был проложен в 1982 г., он использовался исключительно в научных целях — для доступа к архивам главных библиотек.
5 См.: Golden K. Transborder Data Flows and the Possibility of Guidance in Personal Data Protection by the ITU // Houston Journal of International Law. 1984. Vol. 6. Р. 221.
В целях регулирования автоматизированной обработки данных в 1981 г. была принята Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных6 (далее — Конвенция 108), которая стала первым юридически обязательным международным документом по защите данных. Закрепленные в Конвенции 108 правила защиты данных представлены как элемент права на уважение частной жизни, что, по мнению профессора Брюссельского университета Г. Гонса-лес Фустер, отражает американский подход к пониманию права на защиту данных. Идея защиты данных как элемента права на уважение частной жизни, которое должно быть защищено ст. 8 ЕКПЧ, позднее была подкреплена Директивой о защите персональных данных 95/46/ЕС от 24 октября 1995 г. (далее — Директива 95/46/EC)7.
Помимо Совета Европы к созданию механизма защиты персональных данных подключилась также Организация экономического сотрудничества и развития (далее — ОЭСР), которая сформировала группу экспертов для изучения взаимосвязи между компьютерами и конфиденциальностью. Группа экспертов приступила к разработке формальных положений о персональных данных физических лиц, подлежащих ручной или автоматизированной обработке в частном и государственном секторах. ОЭСР выпустила рекомендации8 с изложением семи ключевых принципов9, которые в последующем были включены Европейским Союзом в Директиву 95/46/EC.
В дополнение к этим международным актам значительное влияние на развитие европейских норм о защите данных оказало также вынесенное в 1983 г. решение Конституционного суда ФРГ о переписи населения (Population Census Decision), в котором было признано «право на информационное самоопределе-
6 URL: https://www.coe.int/ru/web/conventions/full-list/-/ conventions/treaty/108.
7 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data OJ 1995 L281/31 (Data Protection Directive).
8 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. URL: https://www.oecd.org/sti/ieconomy/ oecdguidelinesontheprotectionofprivacyandtransborderflowsofpe rsonaldata.htm
9 В частности: 1) субъекты данных должны уведомляться при сборе их данных; 2) данные должны использоваться только для указанной цели; 3) данные не должны раскрываться без согласия субъекта данных; 4) собранные данные должны быть защищены от возможных злоупотреблений; 5) данные должны раскрываться субъекту данных, данные которого собираются; 6) субъекты данных должны иметь доступ к своим данным и иметь возможность исправлять неточности; 7) распорядитель данных должен нести ответственность за соблюдение этих принципов.
ние» в качестве правового ориентира для защиты данных в Германии10. В последующем еще несколько государств — членов ЕС прямо признали право на защиту личных данных непосредственно в своих конституциях (например, Венгрия, Словакия и Чехия).
1990-е: компьютер — не роскошь, а средство коммуникации. 1990-е гг. стали эпохой широкого распространения персональных компьютеров и Интернета. Впервые в мире Тимом Бернерс-Ли был создан и запущен веб-сайт (1991), спроектирована культовая операционная система Windows 95 с кнопкой «Пуск» (1995), разработан язык программирования Java (1995). Идея признания права на защиту данных для противодействия угрозам технологического прогресса на уровне ЕС впервые появилась в докладах экспертов в контексте Амстердамского договора в конце 1990-х гг.11
К этому времени «защита данных» означала защиту данных, подвергающихся лишь автоматизированной обработке, дефиниция была заимствована из немецкого слова "Datenschutz". Данное значение, по наблюдению Г. Гонсалес Фустер, было утрачено в последующем при переводе транснациональных документов о защите данных, и перечень данных был существенно расширен12.
Одним из значимых векторов развития дискуссий о защите данных в 1980—1990-е гг. явилось понимание разницы между данными и информацией: данные — это необработанный набор фактов о субъекте данных, в то время как информация представляет собой обработанные сведения о пользователе, которые «приобрели смысл»13. Соответствующие дефиниции нашли и нормативное закрепление: как в руководящих принципах ОЭСР, так и в Конвенции 108 и Директиве 95/46/EC: «персональные данные» определяются как любая информация, касающаяся идентифицированного или идентифицируемого физического лица. Исходя из этого определения, очевидно, что юридические лица были исключены из сферы международной защиты персональных данных14.
В 1997 г. была принята Директива 97/7/ЕС о защите потребителей в отношении дистанционных
10 Cm.: HornungG., SchnabelC. Data Protection in Germany I: The Population Census Decision and the Right to Informational Self- Determination // Computer Law & Security Review. 2009. Vol. 25. P. 85.
11 Treaty of Amsterdam amending the Treaty on European Union, the Treaties establishing the European Communities and certain related acts [1997] OJ C340/1 (Treaty of Amsterdam).
12 Cm.: Gonzalez Fuster G. The Emergence of Personal Data Protection as a Fundamental Right of the EU. Cham, Switzerland, 2014. P. 84.
13 Cm.: GroshanR. M. Transnational Data Flows: is the Idea ofan International Legal Regime Relevant in Establishing Multilateral Control and Legal Norms // Law and Technology. 1981. Vol. 14. P. 7.
14 Cm.: Gonzalez Fuster G. Op. cit. P. 138.
соглашений15, в которой, ссылаясь на ст. 8 ЕКПЧ, указывалось, что должно быть признано право потребителя на уважение частной жизни. Директива установила ограничения на использование определенных средств дистанционной связи и требовала предварительного согласия потребителя на пользование автоматизированными системами как средствами дистанционной связи для заключения договоров.
XXI век: время обновлений. В последующем Хартия ЕС об основных правах 2000 г. (Charter of Fundamental Rights) превратила право на защиту данных в отдельное право. В Хартии содержится не только положение о праве на уважение частной и семейной жизни (ст. 7), но и отдельное положение о защите персональных данных (ст. 8). А уже в 2012 г. в целях гармонизации трансграничного потока персональных данных и повышения уровня защиты данных в ЕС началась разработка новых стандартов защиты для замены Директивы 95/46/EC. В апреле 2016 г. Советом Европейского Союза и Европейским парламентом был принят Генеральный регламент о защите персональных данных (General Data Protection Regulation, далее — GDPR)16, вступивший в силу 25 мая 2018 г. В принятом акте расширено понятие персональных данных, введены понятия «трансграничная передача данных», «псевдони-мизация», установлено «право быть забытым», определена роль должностного лица по защите данных.
Сегодня очевидно, что право на защиту персональных данных тесно связано с другими правами и явлениями. Э. В. Талапина выделяет некоторые «грани» защиты персональных данных, которые приводят к различным конфликтам: между защитой персональных данных и публичным интересом; между защитой персональных данных и информацией ограниченного доступа; между защитой персональных данных и технологией обработки больших данных; между защитой персональных данных и свободой и нейтральностью Интернета; между защитой персональных данных и другими правами человека; между защитой персональных данных и правами работодателя; между защитой персональных данных и общедоступностью данных17.
15 См. Directive 97/7/EC of the European Parliament and of the Council of 20 May 1997 on the Protection of consumers in respect of Distance Contracts. URL: https://eur-lex.europa.eu/ legal-content/EN/TXT/PDF/?uri=CELEX:01997L0007-20071225.
16 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679.
17 См.: Талапина Э. В. Защита персональных данных в цифровую эпоху: российское право в европейском контексте //
Особую актуальность приобретает также вопрос поиска необходимого баланса между защитой данных и свободой выражения мнения в Интернете, требующего в каждом случае тщательного анализа всех фактов и обстоятельств конкретного дела. Нельзя не согласиться с Е. Е. Юркиной в том, что на интернет-платформах должна иметь место свобода слова, но при этом соответствующие платформы должны действовать добросовестно в вопросах модерирования контента и премодерация серьезно угрожает свободе слова18.
Одной из тенденций сегодняшнего времени является принятие государствами законов, предусматривающих возможности ограничения права на защиту данных «в целях борьбы с терроризмом». Не стала исключением и российская нормативная база в области защиты данных, которая в 2016 г. обязала сотовых операторов и организаторов распространения информации в Интернете хранить не только сами факты приема, передачи, доставки или обработки информации в течение года, но и их содержимое в течение шести месяцев19. В связи с этим в постановлении по делу "Roman Zakharov v. Russia" Европейский суд отметил, что российское законодательство не предоставляет адекватных и эффективных правовых гарантий от возможных нарушений права на защиту данных, недостаточно четко определяя ситуации, в которых правоохранительные органы имеют право проводить негласные оперативно-розыскные мероприятия, и ситуации, в которых данные мероприятия должны быть прекращены, а собранные данные уничтожены20.
Проведенный анализ эволюции национальных и общеевропейских норм о защите данных свидетельствует, что длительное время они рассматривались юристами, политиками и учеными как «маргинальные и технические»21. Тем не менее такое восприятие быстро исчезло, поскольку защита данных оказалась в центре внимания по ряду причин. Во-первых, резкое увеличение масштабов обработ-
Труды Института государства и права РАН. 2018. Т. 13. № 5. С. 118.
18 См.: Юркина Е. Е. Ответственность за публикацию в блогах и комментарии в Интернете: практика Европейского суда // Судья. 2019. № 2. С. 61.
19 См. Федеральный закон от 6 июля 2016 г. № 374-ФЗ «О внесении изменений в Федеральный закон "О противодействии терроризму" и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности».
20 ECtHR, Roman Zakharov v. Russia. Жалоба № 47143/06. 4 декабря 2015.
21 См.: Lynskey O. The "Europeanisation" of Data Protection
Law // Cambridge Yearbook of European Legal Studies. 2017.
Vol. 19. Р. 283.
ки персональных данных неизбежно привело к необходимости установления единых стандартов и норм сбора и обработки данных. Во-вторых, право на защиту данных было признано на международном уровне в прецедентных практиках Суда ЕС и ЕСПЧ22. Ариэль Э. Уэйд, рассматривая четыре различных подхода к регулированию права на защиту персональных данных (в США, ЕС, Африканском Союзе и Азии), приходит к выводу, что ни у одной системы нет совершенного механизма, обеспечивающего защиту данных от произвольного вмешательства со стороны государства23. Действительно, несмотря на усилия международных организаций и государств, в настоящее время ни одно государство или международная организация не обладают совершенной системой защиты персональных данных. Каждый механизм, создаваемый как на национальном, так и на международном уровнях, по-своему порочен и ограничен и нуждается в постоянном совершенствовании.
"Habeas data" Совета Европы и Конвенция 108+. С появлением информационно-коммуникационных технологий в 1970-х гг., за которыми последовала автоматизированная обработка данных, европейские государства постепенно все больше и больше беспокоились о защите персональных данных. Предвидя неизбежность наступления цифровой эры и расширения методов сбора и обработки данных, Совет Европы осознавал необходимость принятия международных обязательных норм, которые также послужили бы моделью для национальных норм государств-членов о защите данных.
Принцип "habeas data" имеет очень короткую историю, и его становление можно проследить преимущественно в рамках развития европейских правовых механизмов, защищающих право на уважение частной жизни и конфиденциальность. Это принцип предусматривает право гражданина в судебном порядке требовать доступа к любым касающимся его документам, хранящимся в архивах и учреждениях, в том числе специальных службах. Можно сказать, что "habeas data", являющийся неотъемлемой частью права на защиту данных, был впервые закреплен на международном уровне в Конвенции 108 Совета Европы, которая предусмотрела право доступа к личным данным, хранящимся в автоматизированной базе данных.
22 См. постановления Суда ЕС по делам: Volker und Markus Schecke and Hartmut Eifert, Joined Cases C-92/09 and C-93/09, EU: C:2010:662; Digital Rights Ireland Ltd v. Minister for Communications, Marine and Natural Resources and Others and Kärntner Landesregierung and Others, Joined Cases C-293/12 and C-594/12, EU: C:2014:238.
23 См.: Wade A. E. A New Age of Privacy Protection: A Proposal for an International Personal Data Privacy Treaty // The George Washington International Law Review. 2010. Vol. 42. Р. 659.
Конвенция 108 является первым имеющим обязательную силу международным документом по защите данных, и поскольку она открыта для присоединения к нему государств, в том числе не являющихся членами Совета Европы, по сути, служит универсальным международным договором. Первой неевропейской страной, ратифицировавшей Конвенцию 108, стал Уругвай в 2013 г. В последующем к ней присоединились еще семь неевропейских государств: Кабо-Верде, Маврикий, Мексика, Сенегал, Тунис, Марокко, Аргентина. Следует отметить, что в свое время в США также были предприняты определенные инициативы, призванные побудить власти присоединиться к Конвенции 108.
Конвенция 108 в определенной степени является итогом всех достижений европейской правовой мысли и опыта, касающихся обработки персональных данных, к началу 1980-х гг. по нескольким причинам: во-первых, на международном уровне была закреплена дефиниция "data protection" (во французском варианте — protection des données), выведенная за рамки строго немецкого слова datenschutz; во-вторых, была сформулирована особая связь защиты данных с правом на уважение частной жизни, закрепленным в ст. 8 ЕКПЧ. Главная цель, которую преследует Конвенция 108, состоит не только в обеспечении защиты данных, но и свободного потока данных, включая различные положения о трансграничных передачах данных.
Конвенция 108 содержит принципы обработки персональных данных, которые призваны усилить защиту данных. Данные принципы инкорпорированы во внутренние законодательства (не только государств — членов СЕ) для обеспечения законности обрабатываемых данных и только с указанием конкретных целей. Конвенция предусматривает меры контроля, доступные физическим лицам, такие как право знать, хранятся ли их персональные данные, право на исправление данных и т. д. Помимо принципов, касающихся сбора и обработки персональных данных, Конвенция также предусматривает правила обработки так называемых «чувствительных» данных: о национальности, политических взглядах, религиозных убеждениях, интимной жизни, судимости, медицинских данных и т. д.
Несмотря на вступление в силу в 2004 г. дополнительного протокола к Конвенции 108, призывающего государства к созданию независимых органов по контролю за соблюдением принципов защиты данных, тем не менее Конвенция 108 должна постоянно «поддерживать себя в форме», чтобы быть в состоянии отвечать современным вызовам. В связи с этим в модернизированной Конвенции 108+ установлены некоторые новые гарантии, которые по замыслу Совета Европы должны применяться к новым реалиям онлайнового мира. Одно из основных нововведений Конвенции 108+ является то, что сфера применения стала включать не только автоматизированную, но
и неавтоматизированную обработку персональных данных24. Отметим, что именно ограничение действия норм Конвенции 108 в отношении лишь автоматизированной обработки данных в свое время стало причиной принятия Директивы 95/46/ЕС для восполнения данного пробела. Кроме того, государствам больше не предоставляется возможность делать заявления, направленные на освобождение от применения Конвенции в отношении некоторых видов данных (например, в целях национальной безопасности и обороны). Важным фактором является и то, что международные организации также получили возможность присоединиться к Конвенции (ст. 27).
Конвенция 108+ имеет все шансы стать единственным международным документом, открытым для подписания для всех государств и закрепляющим гарантии защиты данных, отвечающих реалиям сегодняшнего дня. Для повышения стандартов национальной правовой системы и установления достаточных гарантий в области защиты данных можно предложить ряд мер. Во-первых, ратифицировать и им-плементировать новые положения Конвенции 108+. В 2018 г. специальный докладчик ООН по вопросу о праве на неприкосновенность частной жизни в своем ежегодном докладе рекомендовал всем государствам — членам ООН присоединиться к Конвенции 108+25. Во-вторых, создать единую систему независимых органов среди всех государств — участников данной Конвенции для проведения эффективного надзора за любой деятельностью разведывательных служб в сфере сбора и обработки данных.
Правовые основы защиты данных в Европейском Союзе. В феврале 1975 г. на основе доклада, подготовленного Л. Мэнсфилдом, Европейский парламент принял резолюцию26, в которой депутаты Европарламента пришли к выводу о необходимости принятия соответствующей директивы об обработке данных. В докладе Л. Мэнсфилд пояснил, что государства-члены уже активно работают в этой области, ссылаясь на имеющийся опыт германской земли Гессен (ФРГ).
В мае 1979 г. Европейский парламент принял еще одну резолюцию27, обратившись к Европейской ко-
24 Под неавтоматизированной, или «ручной», обработкой данных понимается обработка, когда данные являются частью системы, позволяющей осуществлять поиск по субъекту данных в соответствии с заранее определенными критериями.
25 Report of the Special Rapporteur on the Right to Privacy A/HRC/40/63. 2018. URL: https://www.ohchr.org/EN/Issues/ Privacy/SR/Pages/SRPrivacylndex.aspx.
26 Resolution of the European Parliament on the Protection of the Rights of the Individual in the Face of Developing Technical Progress in the Field of Automatic Data Processing (1975).
27 Resolution of the European Parliament on the Protection of
the Rights of the Individual in the Face of Technical Developments
in Data Processing (1979).
миссии с просьбой подготовить директиву, гармонизирующую законодательство в области защиты данных. Резолюция включала ряд рекомендаций, описывающих основные принципы, которые, по мнению Европейского парламента, должны были стать основой для будущих норм в области защиты данных.
Некоторое время после этого Комиссия и Европар-ламент, как представляется, ожидали принятия Советом Европы Конвенции 108. После ее принятия в 1981 г. Европейская комиссия заявила, что Конвенция 108 является надлежащим инструментом для создания единообразного уровня защиты данных в Европе28. Таким образом, вместо разработки собственных стандартов защиты данных ЕС рекомендовал всем государствам-членам подписать и ратифицировать Конвенцию 108.
Несмотря на существование Конвенции 108, к концу 1980-х гг. с учетом имеющихся коллизий у государств-членов в сфере защиты данных Европейская комиссия приняла решение внести собственные законодательные предложения по этому вопросу. Принятие Директивы 95/46/ЕС в 1995 г. привело к включению в законодательство ЕС некоторых положений, которые отсутствуют в Конвенции 108. В частности, Директива вышла за рамки Конвенции 108 и в отличие от последней стала регулировать обработку персональных данных независимо от того, является обработка автоматизированной или нет.
Следует также отметить, что Директива 95/46/ЕС принималась в контексте двух законодательных актов: ЕКПЧ и рекомендаций ОЭСР, касающихся руководящих принципов, регулирующих защиту данных в рамках трансграничных потоков29. Даже несмотря на то, что положения ОЭСР не имеют обязательной силы, эти основополагающие принципы рассматривались в качестве основных начал для стран, в которых сфера защиты данных детально не регламентировалась. Новые технологии и современные сети связи привели к необходимости обновления правил с целью повышения уровня защиты. В 2013 г. ОЭСР выпустила обновленные руководящие принципы30, касающиеся защиты данных, которые продолжают оказывать значительное влияние на законодательства государств — членов ОЭСР.
Директива 95/46/ЕС долгое время выступала в качестве основного инструмента защиты персональ-
28 Commission Recommendation of 29 July 1981 relating to the Council of Europe Convention for the protection of individuals with regard to automatic processing of personal data (1981).
29 The OECD Guidelines have since been updated. 2013 OECD Privacy Guidelines, (2013). URL: http://www.oecd.org/ sti/ieconomy/oecd- privacy-framework.pdf.
30 Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data (2013).
ных данных в ЕС31. Лишь через два десятилетия после вступления Директивы в силу стало очевидно, что защита данных в новой реальности будет поставлена под сомнение и что этой Директивы не будет достаточно. Директива 95/46/EC была принята в тот момент, когда Интернет как массовое явление только набирал обороты, а так называемая цифровая революция только начиналась. В течение нескольких десятилетий правила защиты данных, установленные в директиве ЕС, были предметом судебных разбирательств, длительных дискуссий и реформ, которые ознаменовались принятием нового положения о защите данных (General Data Protection Regulation) в мае 2016 г.32 Хотя Директива 95/46/EC заложила прочную основу для защиты персональных данных, в 2012 г. Европейский Союз предложил реформировать правила защиты данных «вследствие огромных технологических достижений, которые имели место быть»33. Вступившие в силу в мае 2018 г. Общие положения о защите данных (далее — GDPR) заменили Директиву и, можно сказать, началась новая эра или новый этап для стран ЕС в сфере защиты данных.
GDPR: без ограничения срока годности? Дальнейшее развитие технологий и Интернета породило новые проблемы, и вскоре стало очевидно, что необходима новая реформа в рамках ЕС. Работа над новым положением о защите данных началась в 2012 г. и соответствовала идее о необходимости более глубокого изменения правовой среды ЕС в условиях ци-фровизации и создания так называемого единого цифрового рынка. GDPR, фактически заменив Директиву 95/46/EC, стал нормативным актом, а не директивой, что подразумевает его непосредственное применение без трансформации в национальные законодательства государств-членов. Важной особенностью территориального действия GDPR является то, что положения реламента применяются даже в случае, когда обработка данных граждан ЕС осуществляется за пределами ЕС.
Понятие «персональные данные» в GDPR получило универсальное определение: это любая информация, касающаяся человека, независимо от того, относится она к его или ее частной, профессиональной или общественной жизни. Это может быть что угодно: от имени, домашнего адреса, фотографии, адреса электронной почты до банковских реквизитов, сообщений в социальных сетях, медицинской информа-
31 Article 1(1) of Directive 95/46/EC. URL: https://eur-lex. europa.eu/eli/dir/1995/46/oj
32 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation) (2016).
33 Protection of Personal Data, Eur. Commission. URL: http://
ec.europa.eu/justice/data-protection.
ции или IP-адреса компьютера. Точные определения таких терминов, как «персональные данные», «обработка», «субъект данных», «контроллер» и «обработчик», приведены в ст. 4 GDPR.
В GDPR более детально регламентированы несколько прав, одним из которых стало «право быть забытым» (ст. 17), изначально появившееся в культовом решении Суда ЕС по делу "Google v. Spain". После данного решения "right to be forgotten" стало частью GDPR и, как отмечает Л. Эдвардс, одним из его самых противоречивых положений34. Уже сейчас очевидно, что положения ст. 17 довольно расплывчаты и нуждаются в последующем развитии в практике Суда ЕС, а само «право быть забытым» является частью глобальной дискуссии о сбалансировании различных прав и интересов в Интернете. И, наконец, одним из нововведений стало право на переносимость данных (right to data portability). Статья 20 предусматривает, что субъект данных имеет право получать персональные данные, предоставленные контроллеру, а также передавать соответствующие данные другому контроллеру. Что касается тех прав, которые были закреплены в Директиве 1995 г. и получили детализацию в GDPR, то это право на информацию и право на справедливую обработку информации, заключающиеся в расширении списков информации, которая должна быть доступна в интересах прозрачности.
Один из главных принципов GDPR — запрет собирать и хранить персональные данные европейских граждан за пределами Евросоюза. В связи с этим критики GDPR называют этот акт «очередным печальным свидетельством полной оторванности бюрократии ЕС от реальной жизни», указывая, что «Брюссель идет по пути примитивного запрета, сдерживающего цифровую экспансию США и Китая» вместо поддержки и стимулирования развития собственных онлайн-сервисов в противовес монополии американских компаний в сфере IT35.
Сегодня рано говорить о том, обеспечивают ли новые правила GDPR достаточные гарантии в ответ на современные вызовы в области защиты данных. Очевидно одно: с технической точки зрения GDPR вряд ли можно рассматривать как акт, содержащий всеобъемлющие и упрощенные правила. Несмотря на внедрение новых положений и прав, GDPR все еще не предлагает идеальный механизм защиты персональных данных в ответ на интенсивное развитие цифровой реальности. Очевидно также то, что, несмотря на наличие всех инструментов защиты, предлагаемых GDPR, контроль над персональными данными сло-
34 См.: Edwards L. Data Protection: Enter the General Data Protection Regulation // Law, Policy and the Internet. Oxford, 2018. URL: https://ssrn.com/abstract=3182454.
35 См.: Приватность по-европейски // Новая газета. 2018. 23 мая. URL: https://www.novayagazeta.ru/articles/2018/05/22/ 76554-privatno st-po-evropeyski.
жен, и даже если такой вариант теоретически возможен, нельзя ожидать, что он может осуществляться постоянно. Поэтому есть также мнения, отличные от тех, которые выражены в официальных документах властей ЕС, где GDPR не представлен как революционный шаг в защите персональных данных, который поможет как отдельным лицам, так и компаниям эффективно защищать данные в сложившихся условиях.
В любом случае практическая реализация GDPR всегда должна начинаться и заканчиваться идеей права на уважение частной жизни как основополагающего права. Осознание последнего имеет решающее значение для обеспечения того, чтобы ОБРК был не «мертвой буквой, а живым инструментом защиты данных»36. Специальный докладчик ООН Дж. Кан-натачи по вопросу о праве на неприкосновенность частной жизни в докладе за 2018 г. также критически отмечает, что GDPR хотя и важен, тем не менее недостаточен для защиты конфиденциальности, включая надзор за разведывательной деятельностью, осуществляемой в целях национальной безопасности37. Очевидно также и то, что положения GDPR имеют «срок годности», поскольку развитие технологического прогресса, усиливающего риски произвольного сбора и обработки данных, намного опережает действия законодателей по установлению (зачастую обновлению) гарантий. В связи с этим есть большая вероятность того, что GDPR прослужит намного меньше времени, чем Директива 95/46 ЕС, и потребуется принятие новых правил.
Право на защиту данных как самостоятельное право и его концептуализация. Оживленная дискуссия среди европейских ученых связана также с вопросом: можно ли рассматривать право на защиту данных как автономное, «отдельное»38 или «отделенное»39 от
36 Markovinovic Zunko I. EU Personal Data Protection Rules for Digital Age // Economic and Social Development. 22nd International Scientific Conference on Economic and Social Development "The Legal Challenges of Modern World". Book of Proceedings. Split, 2017. P. 65.
37 Cm.: Report of the Special Rapporteur on the Right to Privacy A/HRC/40/63. 2018. URL: https://www.ohchr.org/EN/Issues/ Privacy/SR/Pages/SRPrivacyIndex.aspx
38 Cm.: ScandamisN., SigalasF., StratakisS. Rival Freedoms in terms of Security: The Case of Data Protection and the Criterion of Connexity // Research Paper. 2007. No. 7. URL: https://www. researchgate.net/publication/29997340_Rival_Freedoms_ in_terms_of_Security_The_Case_of_Data_Protection_and_ the_Criterion_of_Connexity_CEPS_Challenge_Paper_No_7_ December_2007.
39 Cm.: Gonzalez Fuster G., Hert P., Gutwirth S. Privacy
and Data Protection in the EU Security Continuum // INEX
Policy Brief. 2011. No. 12. URL: https://www.researchgate.net/
publication/301228068_Privacy_and_Data_Protection_in_the_
EU_Security_Continuum.
права на уважение частной жизни, или же его следует рассматривать как один из элементов права на уважение частной жизни? «Рождение» из права на уважение частной жизни права на защиту данных оценивается неоднозначно. В настоящее время ведутся споры о различиях между данными правами и целесообразности выделения защиты данных в качестве самостоятельного права. Например, в ходе обсуждений в рамках заседания Комитета министров Совета Европы в 2012 г. представители Германии отметили, что трудно отделять право на защиту данных от права на уважение частной жизни, поскольку «в немецком понимании право на защиту данных вытекает из права на уважение частной жизни»40.
В поисках ответа на данный вопрос нужно учитывать несколько важных моментов, возникших за короткий, но насыщенный период развития европейского законодательства и судебной практики в области защиты данных. Прежде всего исторический контекст: законодательство о защите данных относительно новое, берущее начало лишь с 1970-х гг., при этом в большинстве случаев принимаемые законы регламентировали защиту данных, «просто ссылаясь на традиционные концепции права на уважение частной жизни»41.
Нельзя также упускать из виду то, что защита данных была закреплена в качестве основополагающего права наряду с правом на уважение частной жизни в Хартии основных прав ЕС. Это означает, что, по крайней мере, в 28 государствах — членах ЕС защита данных формально рассматривается как отдельное право, соседствуя с правом на уважение частной жизни. Право на защиту персональных данных (ст. 8) в Хартии ЕС об основных правах следует сразу же после права на уважение частной жизни (ст. 7). Исходя из этого, некоторые исследователи подчеркивают, что Хартия не делает право на защиту данных более заметным, а фактически превращает ее в дополнение к праву на неприкосновенность частной жизни42. Другие ученые отмечают, что становление права на защиту данных как отдельного права уже произошло, что находит подтверждение в прецедентном праве Суда ЕС43.
40 Comments ofthe German Federal Government regarding the planned overhaul of Council of Europe Convention 108 (30 May 2012) // Consultative Committee on the Protection of Individuals with Regard to Automatic Processing of Personal Data (T-PD). 2012. P. 86).
41 Simitis S. Reviewing Privacy in an Information Society // University of Pennsylvania Law Review. 1987. Vol. 135. No. 3. P. 709.
42 Cm.: Gonzalez Fuster G. The Emergence of Personal Data Protection as a Fundamental Right of the EU. P. 56.
43 Cm.: MostertM. et al. From Privacy to Data Protection in the EU: Implications for Big Data Health Research // European Journal of Health Law. 2018. Vol. 25. Iss. 1. P. 48.
На сегодняшний день немало ученых склонны полагать, что право на защиту данных не следует рассматривать как составляющий элемент права на уважение частной жизни, отмечая, что между данными правами существуют различия44. В связи с этим можно выделить несколько различий между правом на защиту данных и правом на уважение частной жизни, которые мы считаем наиболее актуальными. Самое простое отличие состоит в том, что право на защиту данных было разработано в прецедентной практике Суда ЕС и ЕСПЧ в значительной степени как позитивное обязательство государств. Для выполнения данного обязательства правительствам необходимо принимать позитивные меры по защите персональных данных. Это противоречит праву на уважение частной жизни, которое первоначально представлялось лишь негативным обязательством государственных органов воздерживаться от произвольного вмешательства в частную жизнь отдельных лиц45. ЕСПЧ не раз подтверждал и подтверждает в своей прецедентной практике, что рассматривает это негативное обязательство в качестве важного элемента права на уважение частной жизни46.
Несмотря на тесную связь права на уважение частной жизни с правом на защиту данных, их не следует рассматривать как идентичные. С одной стороны, защита данных — один из аспектов права на уважение частной жизни, являясь более широким понятием, которое воплощает в себе целый ряд других прав и ценностей47. С другой стороны, как справедливо заметил Баварский суд ФРГ, «не все личные данные по своей природе способны подорвать частную жизнь соответствующего лица»48. Как отмечают нидерландские исследователи, право на защиту данных «добавляет важный уровень защиты, выхо-
44 Cm.: Kokott J., Sobotta C. The Distinction Between Privacy and Data Protection in the Jurisprudence of the CJEU and the ECtHR // International Data Privacy Law. 2013. Vol. 3. P. 224; Gellert R., Gutwirth S. The Legal Construction of Privacy and Data Protection // Computer Law & Security Review. 2013. Vol. 29. P. 523; De Hert P., Gutwirth S. Data Protection in the Case Law of Strasbourg and Luxembourg: Constitutionalism in Action // Reinventing Data Protection / S. Gutwirth et al. (eds.). New York, 2009. P. 16.
45 Cm.: Sloot van der B. Privacy as human flourishing: Could a shift towards virtue ethics strengthen privacy protection in the age of Big Data? // Journal of Intellectual Property, Information Technology and Electronic Commerce Law. 2014. Vol. 5. P. 237.
46 ECtHR, Hä mä lä inen v. Finland, App no. 37359/09. 16 July 2014.
47 Cm.: Kuner C. An International Legal Framework for Data Protection: Issues and Prospects // Computer Law & Security Review. 2009. Vol. 25. P. 310.
48 Case T-194/04 Bavarian Lager, judgment ofthe Court of First
Instance of 8 November 2007, paras 118—119.
дящий за рамки негативных обязательств, индивидуальных прав, присущих праву на уважение частной жизни»49. Право на защиту данных направлено на более всеобъемлющее и системное обеспечение права на уважение частной жизни.
Немецкий юрист С. Симитис отмечает, что право на уважение частной жизни является «старым и почтенным»50, закрепленным на протяжении многих лет в качестве основополагающего права в национальных конституциях и международных документах. Мария Цану в связи с этим полагает, что право на защиту данных должно быть «реконструировано» для того, чтобы функционировать в качестве полноценного фундаментального права наравне с правом на уважение частной жизни, отмечая, что «как и любой ребенок — защита данных пытается найти свой собственный путь в жизни... если мы хотим развивать защиту данных, мы должны воспринимать это право в качестве самостоятельного»51.
Однако является ли защита данных достаточно «зрелой», чтобы стать самостоятельным правом? На наш взгляд, право на защиту персональных данных нельзя в полной мере признавать в качестве полноценного и самостоятельного права. Оно уже прошло стадию зарождения и закрепления на международном уровне, но пока еще не может обладать необходимыми элементами, присущими только ему, которые позволили бы полностью отделиться от права на уважение частной жизни. Для того, чтобы соответствующее право на защиту данных стало полностью «дееспособным», нужно также, чтобы оно было сбалансировано настолько, чтобы не было необходимости обращаться к элементам права на уважение частной жизни. Будущее права на защиту данных во многом зависит от ЕСПЧ и Суда ЕС, которым принадлежит доминирующая роль в толковании данного права, обогащении его новыми элементами и последующем влиянии на развитие прецедентной практики и законодательства в государствах — членах Совета Европы и ЕС.
Прецедентная практика Европейского суда по правам человека. Статья 8 ЕКПЧ предусматривает, что каждый имеет право на уважение частной и семейной жизни, жилища и корреспонденции. Логику ЕСПЧ в признании того, что защита данных непосредственно связана со ст. 8 Конвенции, можно проследить в постановлении по делу "Klass v. Germany" 1978 г., в котором отмечено: «...в самом существовании законодательства для всех, к кому оно может быть применено, существует угроза слежки; эта угроза неизбежно наносит удар по сво-
49 MostertM. et al. Op. cit. P. 49.
50 Simitis S. Op. cit. P. 707.
51 Tzanou M. Data Protection as a Fundamental Right Next to Privacy? 'Reconstructing' a Not so New Right // International Data Privacy Law. 2013. Vol. 3. No. 2. P. 88, 89.
боде связи между пользователями почтовых и телекоммуникационных услуг и тем самым представляет собой "вмешательство государственного органа" в осуществление права заявителей на уважение частной и семейной жизни»52. Логическим продолжением этого анализа является также вывод, сделанный Судом спустя почти 30 лет в деле "S. and Marper v. The United Kingdom", что «простое хранение персональных данных государственными органами должно рассматриваться как оказывающее непосредственное влияние на интересы частной жизни заинтересованного лица, независимо от того, используются ли эти данные или нет»53.
Как отмечает Г. Нарделл, ЕСПЧ толкует п. 1 ст. 8 ЕКПЧ достаточно «щедро и широко»54. Эволютив-ное толкование положений ст. 8 Конвенции в свете «современных условий» позволяет Страсбург-скому суду включать в нее и право на защиту персональных данных. В связи с этим «классикой» в прецедентной практике ЕСПЧ по вопросам защиты данных является постановление 1987 г. по делу "Leander v. Sweden", в котором Суд заявил, что простое хранение со стороны полиции информации, относящейся к частной жизни лица, представляет собой вмешательство в право на уважение частной жизни. В другом постановлении по делу "Rotaru v. Romania" Суд прямо указал, что публичная информация может подпадать под сферу частной жизни, в случае если она систематически собирается и хранится в файлах, находящихся в распоряжении властей55. ЕСПЧ, в частности, отметил, что различные сведения о жизни заявителя (об учебе, политической деятельности и судимости), которые систематически собирались и хранились у государства на протяжении более 50 лет, подпадают под сферу частной жизни для целей ст. 8 Конвенции.
Как отмечается в постановлениях ЕСПЧ, автоматизированная обработка данных может влиять на свободу выражения мнения и право на уважение частной жизни56. С. Вахтер и Б. Миттельштадт, называя это «ловушкой автономии» (an autonomy trap), указывают, что автоматизированное принятие решений подрывает самоопределение и свободу выра-
52 ECtHR, Klass and Others v. Federal Republic of Germany. App. no. 5029/71, 6 September 1978, § 41.
53 ECtHR, S. and Marper v. the United Kingdom. App. no. 30562/04 and 30566/04. 4 December 2008, § 121.
54 Cm.: Nardell G. Q. Levelling up: Data privacy and the European Court of Human Rights // Data protection in a profiled world / ed. by S. Gutwirth, Y. Poullet, P. De Hert. Dordrecht, 2010. P. 46.
55 ECtHR, Rotaru v. Romania. App. no. 28341/95, 4 May 2000, § 43.
56 URL: https://rm.coe.int/case-law-on-data-
protection/1680766992.
жения мнений, требуя пристального контроля57. Ответом ЕСПЧ на развитие автоматизированной обработки данных явилось эволютивное толкование п. 1 ст. 8 Конвенции, ярко проявившееся в деле "M. S. v. Sweden", в котором было отмечено, что защита персональных данных «имеет основополагающее значение для осуществления лицом его права на уважение частной и семейной жизни, гарантированного статьей 8 Конвенции»58. Таким образом, не будет преувеличением сказать, что европейские стандарты защиты данных были укреплены и расширены благодаря эволютивному толкованию ЕСПЧ конвенционного права на уважение частной жизни.
Особое внимание следует уделить двум постановлениям, вынесенным ЕСПЧ в 2018 г., по делам "Big Brother Watch and Others v. the United Kingdom" и "Centrum För Rättvisa v. Sweden", которые имеют все шансы в будущем существенно повлиять на дальнейшее развитие прецедентной практики ЕСПЧ.
Дело "Big Brother Watch and Others v. the United Kingdom" касалось жалоб журналистов и организаций, занимающихся вопросами гражданских свобод, на три вида слежки со стороны британских служб: массовый перехват сообщений, обмен разведывательными данными с иностранными правительствами и получение коммуникационных данных от поставщиков услуг. Суду впервые было предложено рассмотреть вопрос о соответствии режима обмена разведывательными данными Конвенции. Адаптируя минимальные требования, установленные ранее в деле "Weber and Saravia v. Germany", Суд изучил обстоятельства, при которых могут быть запрошены данные; процедуру, применяемую для изучения, использования и хранения полученных данных; меры предосторожности, принятые при передаче данных другим сторонам; а также обстоятельства, при которых данные должны быть удалены, и пришел к выводу об отсутствии существенных недостатков в применении и функционировании американо-британского режима обмена разведывательными данными.
Европейский суд установил, что режим массового перехвата нарушает ст. 8 Конвенции, поскольку не обеспечивается достаточный надзор за «фильтрацией, поиском и отбором перехваченных сообщений», а гарантии, регулирующие отбор соответствующих данных, являются «неадекватными». Тем не менее, придя к этому выводу, Суд отметил, что режим массового перехвата сам по себе не является нарушением Конвенции и программы перехвата данных оправданы международным общественно-политическим климатом.
57 Cm.: Wachter S., Mittelstadt B. A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Data and AI // Columbia Business Law Review. 2019. Vol. 2. P. 20.
58 ECtHR, MS. v. Sweden. App. no. 20837/92. 27 August 1997.
В предыдущих постановлениях ЕСПЧ отмечал, что разрешение на проведение наблюдения должно быть предоставлено либо судьей (предпочтительный вариант), либо независимым административным органом59. Однако в деле Big Brother Watch Суд игнорирует это процессуальное требование. В постановлении говорится, что, хотя в Соединенном Королевстве разрешение на проведение массового наблюдения не было выдано ни судьей, ни независимым административным органом, проблем не возникает, поскольку некоторые элементы показывают, что исполнительная власть не злоупотребляет данным правом (§ 381).
Использование судом принципов и минимальных требований, установленных много лет назад, в отношении которых следует оценивать современные цифровые режимы наблюдения, является проблематичным и устаревшим. Эта критика была высказана судьей Костело, к которой присоединился судья Тур-кович в их частично совпадающем мнении. Как справедливо замечает М. Цану, отклонив просьбу заявителей «обновить» перечень минимальных требований, в соответствии с которыми должны рассматриваться режимы надзора, Страсбургский суд упустил шанс в настоящем деле сделать свою прецедентную практику более адаптированной к нынешним и будущим проблемам надзора60.
Другое постановление ЕСПЧ по делу "Centrum För Rättvisa v. Sweden" касалось законодательства, разрешающего массовый перехват электронных сигналов в Швеции для целей иностранной разведки. Суть жалобы заключается в том, обеспечивает ли шведская система наблюдения (далее — FRA) адекватную защиту личной жизни: FRA способна отслеживать мобильные телефоны отдельных лиц, электронную почту и другие сообщения с целью выявления «внешних угроз для страны».
Палата ЕСПЧ постановила, что в данном случае не было нарушения ст. 8 Конвенции, указав, что шведская система массового перехвата в целом обеспечивает адекватные и достаточные гарантии против произвола и риска злоупотреблений. В частности, в законодательстве четко определены сфера применения мер радиотехнической разведки и порядок обработки перехваченных данных, выдачи разрешения на перехват сообщений. Кроме того, Суд обратил внимание на то, что существуют несколько независимых органов, в частности инспекция,
59 Cm.: ECtHR, Szabo and Vissy v. Hungary. App. No. 37138/14. 12 February 2016.
60 Cm. : Tzanou М. Big Brother Watch and Others v. the United
Kingdom: A Victory of Human Rights over Modern Digital
Surveillance? Yerfassungsblog. 2018. 18 September. URL:
https://verfassungsblog.de/big-brother-watch-and-others-v-the-united-kingdom-a-victory-of-human-rights-over-modern-digital-
surveillance.
которой поручено осуществлять надзор. А отсутствие уведомления о мерах по надзору компенсируется наличием ряда механизмов подачи жалоб, в частности через инспекцию, парламентских омбудс-менов и канцлера юстиции. Придя к такому выводу, Суд принял во внимание дискреционные полномочия государства в области защиты национальной безопасности, особенно с учетом современных угроз глобального терроризма и серьезных трансграничных преступлений.
ЕСПЧ неуклонно формировал «прогрессивный подход к защите частной жизни, который обещал строго ограничить постоянно растущее желание государств собирать как можно больше информации о физических лицах, насколько это технически возможно»61. Однако, как отмечает В. Н. Русинова, постановления ЕСПЧ по рассмотренным выше двум делам имеют леденящий эффект (chilling effect)62 вследствие констатации того, что массовый надзор как таковой не нарушает положения Конвенции. Значение данных двух дел заключается в том, что ЕСПЧ расширил пределы усмотрения государств при введении режима перехвата в целях защиты национальной безопасности. Учитывая влияние ЕСПЧ на национальные правовые системы, следует согласиться с В. Русиновой в том, что правовые позиции ЕСПЧ, изложенные в данных делах, «снизят порог требований по защите частной жизни»63 и в некоторой степени развяжут руки правительственным структурам в осуществлении массового наблюдения. И если Большая палата ЕСПЧ не пересмотрит данные постановления, есть вероятность того, что правовые позиции Суда смогут в некоторой степени приостановить ту прогрессивную роль в области защиты данных, которую Страсбургский суд сам же на себя возложил.
Правовые позиции Суда Европейского Союза. Особая значимость защиты данных была подчеркнута Судом ЕС в решении по делу Digital Rights Ireland, в котором отмечено, что защита персональных данных играет важную роль «в свете основополагающего права на уважение частной жизни»64. Позиции Суда ЕС в разграничении понятий «уважение частной жизни» и «защита персональных данных» претерпевали изменения: сначала Суд ЕС не выделял право на защиту данных в качестве отдельного права, но затем фактически признал эти две категории самостоятельными, но «тесно взаимосвязан-
61 Rusinova V. A European Perspective on Privacy and Mass Surveillance at the Crossroads // Higher School of Economics Research Paper No. WP BRP 87/LAW/2019. 2019. March 6. URL: https://ssrn.com/abstract=3347711.
62 Ibid.
63 Ibid.
64 CJEU, Decision of the Court in joined cases C-293/12 and C-594/12 Digital Rights Ireland of 8 April 2014. Para. 48.
ными»65. В решении по делу Schecke Суд ЕС связал понятие права «на уважение частной жизни с обработкой персональных данных»66, которое, по утверждению Г. Занфир, является симбиотическим продуктом ст. 7 и 8 Хартии ЕС об основных правах без четко определенного содержания67.
Особое внимание следует уделить двум решениям Суда ЕС, вынесенным в апреле и мае 2014 г., которые определили последующее развитие права на защиту данных в правовой системе ЕС. Эти два решения Г. Занфир рассматривает как "privacy spring", указывая, что ст. 7 (право на уважение частной жизни) и ст. 8 (право на защиту личных данных) Хартии основных прав ЕС были эффективно применены в обоих случаях68.
В первом решении по делу Digital Rights Ireland Суд ЕС признал недействительной Директиву 2006/24/EC69, которая предусматривала хранение персональных данных, включая данные о трафике и местоположении или иных метаданных в целях расследования, выявления и судебного преследования серьезных преступлений70. Суд ЕС пришел к выводу, что положения директивы выходят за рамки цели «борьбы с международным терроризмом в целях поддержания международного мира и безопасности». Суд также постановил, что стандарт, установленный Директивой, является расплывчатым и, следовательно, не может быть истолкован как «строго необходимый»71. Директива 2006/24/EC предоставляла произвольный доступ ко всей информации, обеспечивая минимальные гарантии защиты72.
Во втором решении "Google v. Spain"73 Суд ЕС в результате толкования положений Директивы 95/46/EC и ст. 8 Хартии ЕС об основных правах
65 CJEU, Judgment of the Court in Joined Cases C-468/10 and C-469/10 ASNEF and FECEMED of 24 November 2011.
66 CJEU, Judgment of the Court in Joined Cases C-92/09 Volker und Markus Schecke and C-93/09 Hartmut Eifert of 9 November 2010.
67 Cm.: Zanfir G. How CJEU's "Privacy Spring" Construed the Human Rights Shield in the Digital Age // European judicial systems as a challenge for democracy. Cambridge; Antwerpen; Portland, 2015. P. 114.
68 Ibid. P. 118.
69 Council Directive 2006/24/EC of 15 March 2006 on the Retention of Data Generated or Processed in Connection with the Provision of Publicly Available Electronic Communications Services or of Public Communications Networks and Amending Directive 2002/58/EC [2006] OJ L105/54, Art. 1(1).
70 Council Directive 2006/24/EC (n 49) art 1(1).
71 Joined Cases C-293/12 and C-594/12 Digital Rights Ireland Ltd v. Minister for Communications, Marine and Natural Resources (CJEU, 8 April 2014).
72 Digital Rights Ireland v. Minister (n 48). 60, 64.
73 CJEU, Decision of the Court in Case C-131/12 Google v. Spain of 13 May 2014.
пришел к выводу, что законодательство ЕС о защите данных применяется ratione personae к американской компании Google Inc. вследствие «неразрывной связи» со своей дочерней компанией Google Spain74. Кроме того, Суд ввел в действие «право на забвение» ("right to erasure"), согласно которому физические лица могут просить об удалении ссылок, связанных с их именем и отображающихся на странице результатов поисковой системы Google.
Рассмотренные два решения Суда ЕС существенным образом повлияли на последующее развитие законодательства и практики в области защиты данных. Спустя некоторое время ряд конституционных судов государств — членов ЕС «эффектом домино» признали неконституционными законы, принятые на основе Директивы 2006/24/EC (Румыния75, Словения76, Австрия77). Это подчеркивает также роль Суда ЕС, который выступает координатором среди государств — членов ЕС в толковании норм о защите прав человека в цифровую эпоху.
Несмотря на то что с момента вынесения «весенних» решений Суда ЕС по делам Google и Digital Rights Ireland прошло уже более пяти лет, отголоски этого решения все еще слышны. Например, компания Google создала консультативный совет по праву быть забытым, чтобы «помочь» своим пользователям «ориентироваться в вопросе» о том, «как право одного человека быть забытым должно быть сбалансировано с правом общественности на информацию»78. Google также создала специальную страницу поддержки для пользователей, которые хотят «быть забытыми», и периодически публикует статистику по количеству полученных запросов.
Среди прочего решение по делу Digital Rights Ireland является хорошим примером того, как национальные суды и Суд ЕС могут субсидиарно сотрудничать в сфере защиты данных. В связи с этим национальные суды и конституционные суды государств — членов ЕС призваны сыграть важную роль в столь внимательном применении критериев, разрабатываемых Судом ЕС и ЕСПЧ. Принципы и гарантии, излагаемые в рассматриваемых ЕСПЧ и Судом ЕС делах, не только подчеркивают ведущую роль европейской системы в рассмотрении дел, связанных с защитой данных, но и в определении векторов будущей концептуализации права на защиту данных.
74 Google v. Spain, § 56.
75 Constitutional Court of Romania, Decision No. 440/2014 from 8 July 2014.
76 Constitutional Court of the Republic of Slovenia, Judgement U-I-65/13-19 from 3 July 2014.
77 Austrian Constitutional Court, Decision G47/2012 and others, from 27 June 2014.
78 URL: https://www.google.com/advisorycouncil.
Заключение. Как отмечает А. И. Ковлер, пришествие «человека цифрового» (homo numericus) на смену «человеку разумному» (homo sapiens) произошло довольно быстро79. В связи с этим механизмы защиты персональных данных не совершенны ни на национальном, ни на международном уровнях. Однако международные стандарты, выработанные Советом Европы и Европейским Союзом, стремятся предоставить минимальные гарантии защиты данных. На фоне этого практика многих государств свидетельствует об отсутствии адекватного национального законодательства и (или) правоприменительной практики, слабых процедурных гарантиях и неэффективном надзоре, что в совокупности способствует отсутствию ответственности за произвольный или незаконный сбор и обработку данных. Тенденциями последних лет служат случаи, когда национальные власти обязывают телекоммуникационные компании собирать и хранить данные о пользователях в течение определенного времени, а в случае необходимости — передавать данные государству, оправдывая подобные запросы мерами по борьбе с терроризмом. В связи с этим эффективное решение проблем, связанных с правом на защиту данных в контексте современных коммуникационных технологий, потребует постоянного и согласованного участия многих заинтересованных сторон, включая государства-члены, гражданское общество, научно-технические круги, предпринимательский сектор, ученых и экспертов по правам человека.
На сегодняшний день стандарты Совета Европы и Европейского суда являются той минимальной ступенью, от которой государствам следует отталкиваться при установлении тех же стандартов на национальном уровне. Например, в правовых позициях Европейского суда по правам человека четко установлено, каким образом должно соблюдаться право на уважение частной жизни в контексте защиты данных. В них также подчеркивается обязанность государств обеспечивать эффективные средства правовой защиты от злоупотреблений со стороны властей.
Отметим также, что каждый уровень судебного надзора играет определенную роль в защите персональных данных, при этом ЕСПЧ и Суд ЕС разрабатывают подробные критерии для определения того, соответствует ли то или иное национальное положение основным правам, закрепленным в ст. 7 и 8 Хартии ЕС об основных правах или ст. 8 ЕКПЧ. С одной стороны, национальные суды играют первостепенную роль в рассмотрении основных прав на защиту данных и уважение частной жизни, поскольку они находятся ближе всего к лицам, ищущим защиты своих прав. С другой стороны, конституционные
79 См.: Ковлер А. И. Права человека в цифровую эпоху // Бюллетень Европейского суда по правам человека. 2019. № 6. С. 146.
суды государств также должны периодически проверять совместимость национальных норм с международными стандартами и «сверять часы» со стандартами, выработанными ЕСПЧ и Судом ЕС.
Принимая во внимание вышеизложенные замечания, существует четкая и настоятельная необходимость разработки эффективных гарантий против злоупотреблений со стороны государственных служб и крупных ИКТ-компаний. В качестве неотложной меры государствам следует пересмотреть свои национальные законы, политику и практику в целях обеспечения их полного соответствия стандартам защиты данных, выработанным Советом Европы и ЕС. Для повышения стандартов национальной правовой системы и установления достаточных гарантий в области защиты данных рекомендуется ратифицировать и имплементировать новые положения Конвенции 108+.
В качестве одной из мер по обеспечению эффективной защиты права на защиту данных на национальном уровне поддерживаем предложение А. И. Ковлера и Э. В. Талапиной о создании органа, принимающего юридически обязательные решения по жалобам граждан на действия государственных органов по сбору и хранению персональных данных80 (инспектора или комиссара по защите персональных данных). Особое внимание также следует уделить вопросу создания единой системы независимых органов среди всех государств — членов Совета Европы для проведения эффективного надзора за любой деятельностью, нарушающей неприкосновенность частной жизни, в отношении разведывательных служб и правоохранительных органов.
80 См.: Ковлер А. И. Указ. соч. С. 149; Талапина Э. В. Указ. соч. С. 131.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
De Hert P., Gutwirth S. Data Protection in the Case Law of Strasbourg and Luxembourg: Constitutionalism in Action // Reinventing Data Protection / S. Gutwirth et al. (eds.). New York: Springer, 2009.
Edwards L. Data Protection: Enter the General Data Protection Regulation // Law, Policy and the Internet. Oxford, 2018. URL: https:// ssrn.com/abstract=3182454.
Gellert R., Gutwirth S. The Legal Construction of Privacy and Data Protection // Computer Law & Security Review. 2013. Vol. 29.
Golden K. Transborder Data Flows and the Possibility of Guidance in Personal Data Protection by the ITU // Houston Journal of International Law. 1984. Vol. 6.
Gonzalez Fuster G. The Emergence of Personal Data Protection as a Fundamental Right of the EU. Cham, Switzerland, 2014.
Gonzalez Fuster G., Hert P., Gutwirth S. Privacy and Data Protection in the EU Security Continuum // INEX Policy Brief. 2011. No. 12. URL: https://www.researchgate.net/publication/301228068_Privacy_and_Data_Protection_in_the_EU_Security_Continuum.
Groshan R. M. Transnational Data Flows: is the Idea of an International Legal Regime Relevant in Establishing Multilateral Control and Legal Norms // Law and Technology. 1981. Vol. 14.
Hornung G., Schnabel C. Data Protection in Germany I: The Population Census Decision and the Right to Informational Self-Determination // Computer Law & Security Review. 2009. Vol. 25.
Kokott J., Sobotta C. The Distinction Between Privacy and Data Protection in the Jurisprudence of the CJEU and the ECtHR // International Data Privacy Law. 2013. Vol. 3.
Kuner C. An international Legal Framework for Data Protection: Issues and Prospects // Computer Law & Security Review. 2009. Vol. 25.
Lynskey O. The "Europeanisation" of Data Protection Law // Cambridge Yearbook of European Legal Studies. 2017. Vol. 19.
Markovinovic Zunko I. EU Personal Data Protection Rules for Digital Age // Economic and Social Development. 22nd International Scientific Conference on Economic and Social Development "The Legal Challenges of Modern World". Book of Proceedings. Split, 2017.
Mostert M. et al. From Privacy to Data Protection in the EU: Implications for Big Data Health Research // European Journal of Health Law. 2018. Vol. 25. Iss. 1.
Nardell G. Q. Levelling up: Data privacy and the European Court of Human Rights // Data protection in a profiled world / ed. by S. Gutwirth, Y. Poullet, P. De Hert. Dordrecht, 2010.
Raymont P. New Technology and Data Protection // Y. B. L. Computers & Tech. 1986. Vol. 2.
Rusinova V. A European Perspective on Privacy and Mass Surveillance at the Crossroads // Higher School of Economics Research Paper No. WP BRP 87/LAW/2019. 2019. March 6. URL: https://ssrn.com/abstract=3347711.
Scandamis N., Sigalas F., Stratakis S. Rival Freedoms in terms of Security: The Case of Data Protection and the Criterion of Connexity // Research Paper. 2007. No. 7. URL: https://www.researchgate.net/publication/29997340_Rival_Freedoms_in_terms_of_Security_The_ Case_of_Data_Protection_and_the_Criterion_of_Connexity_CEPS_Challenge_Paper_No_7_December_2007.
Simitis S. Reviewing Privacy in an Information Society // University of Pennsylvania Law Review. 1987. Vol. 135. No. 3.
Sloot van der B. Privacy as human flourishing: Could a shift towards virtue ethics strengthen privacy protection in the age of Big Data? // Journal of Intellectual Property, Information Technology and Electronic Commerce Law. 2014. Vol. 5.
Tzanou М. Big Brother Watch and others v. the United Kingdom: A Victory of Human Rights over Modern Digital Surveillance? Yerfassungsblog. 2018. 18 September. URL: https://verfassungsblog.de/big-brother-watch-and-others-v-the-united-kingdom-a-victory-of-human-rights-over-modern-digital-surveillance.
Tzanou M. Data Protection as a Fundamental Right Next to Privacy? 'Reconstructing' a Not so New Right // International Data Privacy Law. 2013. Vol. 3. No. 2.
Wachter S., Mittelstadt B. A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Data and AI // Columbia Business Law Review. 2019. Vol. 2.
Wade A. E. A New Age of Privacy Protection: A Proposal for an International Personal Data Privacy Treaty // The George Washington International Law Review. 2010. Vol. 42.
Zanfir G. How CJEU's "Privacy Spring" Construed the Human Rights Shield in the Digital Age // European judicial systems as a challenge for democracy. Cambridge; Antwerpen; Portland, 2015.
Ковлер А. И. Права человека в цифровую эпоху // Бюллетень Европейского суда по правам человека. 2019. № 6. Приватность по-европейски // Новая газета. 2018. 23 мая. URL: https://www.novayagazeta.ru/articles/2018/05/22/76554-privatnost-po-evropeyski.
Талапина Э. В. Защита персональных данных в цифровую эпоху: российское право в европейском контексте // Труды Института государства и права РАН. 2018. Т. 13. № 5.
Юркина Е. Е. Ответственность за публикацию в блогах и комментарии в Интернете: практика Европейского суда // Судья. 2019. № 2.
REFERENCES
De Hert P., Gutwirth S. Data Protection in the Case Law of Strasbourg and Luxembourg: Constitutionalism in Action. Reinventing Data Protection. Ed. by S. Gutwirth et al. New York, 2009.
Edwards L. Data Protection: Enter the General Data Protection Regulation. Law, Policy and the Internet. Oxford, 2018. Available at: https://ssrn.com/abstract=3182454.
Gellert R., Gutwirth S. The Legal Construction of Privacy and Data Protection. Computer Law & Security Review, 2013, vol. 29, pp. 522—530.
Golden K. Transborder Data Flows and the Possibility of Guidance in Personal Data Protection by the ITU. Houston Journal of International Law, 1984, vol. 6, pp. 205—232.
Gonzalez Fuster G. The Emergence of Personal Data Protection as a Fundamental Right of the EU. Cham, Switzerland, 2014. 274 p. Gonzalez Fuster G., Hert P., Gutwirth S. Privacy and Data Protection in the EU Security Continuum. INEX Policy Brief, 2011, no. 12. Available at: https://www.researchgate.net/publication/301228068_Privacy_and_Data_Protection_in_the_EU_Security_Continuum.
Groshan R. M. Transnational Data Flows: is the Idea of an International Legal Regime Relevant in Establishing Multilateral Control and Legal Norms. Law and Technology, 1981, vol. 14, pp. 1—30.
Hornung G., Schnabel C. Data Protection in Germany I: The Population Census Decision and the Right to Informational Self-Determination. Computer Law & Security Review, 2009, vol. 25, pp. 84—88.
Kokott J., Sobotta C. The Distinction Between Privacy and Data Protection in the Jurisprudence of the CJEU and the ECtHR. International Data Privacy Law, 2013, vol. 3, pp. 222—228.
Kovler A. I. Human rights in the digital age. Byulleten' Evropeyskogo suda po pravam cheloveka, 2019, no. 6, pp. 146—150. (In Russ.) Kuner C. An International Legal Framework for Data Protection: Issues and Prospects. Computer Law & Security Review, 2009, vol. 25. Lynskey O. The "Europeanisation" of Data Protection Law. Cambridge Yearbook of European Legal Studies, 2017, vol. 19, pp. 252—286. Markovinovic Zunko I. EU Personal Data Protection Rules for Digital Age // Economic and Social Development. 22nd International Scientific Conference on Economic and Social Development "The Legal Challenges of Modern World". Book of Proceedings. Split, 2017, pp. 57—66.
Mostert M. et al. From Privacy to Data Protection in the EU: Implications for Big Data Health Research. European Journal of Health Law, 2018, vol. 25, iss. 1, pp. 43—55.
Nardell G. Q. Levelling up: Data privacy and the European Court of Human Rights // Data protection in a profiled world. Ed. by S. Gutwirth, Y. Poullet, P. De Hert. Dordrecht, 2010. Pp. 43—52.
Privatnost' po-evropeyski. Novaya gazeta, 2018, May 23. Available at: https://www.novayagazeta.ru/articles/2018/05/22/ 76554-privatnost-po-evropeyski.
Raymont P. New Technology and Data Protection. Y. B.L. Computers & Tech, 1986, vol. 2, pp. 110—139.
Rusinova V. A European Perspective on Privacy and Mass Surveillance at the Crossroads. Higher School of Economics Research Paper No. WP BRP 87/LAW/2019. 2019, March 6. Available at: https://ssrn.com/abstract=3347711.
Scandamis N., Sigalas F., Stratakis S. Rival Freedoms in terms of Security: The Case of Data Protection and the Criterion of Connexity. Research Paper, 2007, no. 7. Available at: https://www.researchgate.net/publication/29997340_Rival_Freedoms_in_terms_of_Security_ The_Case_of_Data_Protection_and_the_Criterion_of_Connexity_CEPS_Challenge_Paper_No_7_December_2007.
Simitis S. Reviewing Privacy in an Information Society. University of Pennsylvania Law Review, 1987, vol. 135, no. 3, pp. 707—746. Sloot van der B. Privacy as human flourishing: Could a shift towards virtue ethics strengthen privacy protection in the age of Big Data? Journal of Intellectual Property, Information Technology and Electronic Commerce Law, 2014, vol. 5, pp. 230—244.
Talapina E. V. Personal data protection in the digital age: Russian law in the European context. Trudy Instituta gosudarstva i prava RAN, 2018, vol. 13, no. 5, pp. 117—150. (In Russ.)
Tzanou M. Big Brother Watch and Others v. the United Kingdom: A Victory of Human Rights over Modern Digital Surveillance? Verfassungsblog. 2018. 18 September. Available at: https://verfassungsblog.de/big-brother-watch-and-others-v-the-united-kingdom-a-victory-of-human-rights-over-modern-digital-surveillance.
Tzanou M. Data Protection as a Fundamental Right Next to Privacy? 'Reconstructing' a Not so New Right. International Data Privacy Law, 2013, vol. 3, no. 2, pp. 88—99.
Wachter S., Mittelstadt B. A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Data and AI. Columbia Business Law Review, 2019, vol. 2, pp. 18—28.
Wade A. E. A New Age of Privacy Protection: A Proposal for an International Personal Data Privacy Treaty. The George Washington International Law Review, 2010, vol. 42, pp. 658—663.
Yurkina E. E. Responsibility for blogging and commenting on the Internet: the practice of the European court of justice. Sud'ya, 2019, no. 2, pp. 54—62. (In Russ.)
Zanfir G. How CJEU's "Privacy Spring" Construed the Human Rights Shield in the Digital Age. European judicial systems as a challenge for democracy. Cambridge; Antwerpen; Portland, 2015. 150 p.
♦
