ПРИНЦИП ДОСТОВЕРНОСТИ В РЕГУЛИРОВАНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Текст научной статьи по специальности «Компьютерные и информационные науки»

Информационное право

DOI 10.47643/1815-1337_2021_11_142

ПРИНЦИП ДОСТОВЕРНОСТИ В РЕГУЛИРОВАНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ DATA ACCURACY AS A PRINCIPLE OF DATA PROTECTION

БУНДИН Михаил Вячеславович,

кандидат юридических наук, доцент кафедры административного и финансового права юридического факультета Национального исследовательского Нижегородского государственного университета им. Н.И. Лобачевского. 603105, Россия, Нижегородская обл., г. Нижний Новгород, ул. Ашхабадская, 4. E-mail: mbundin@mail.ru;

BUNDIN Mikhail Vyacheslavovich,

PhD in Law, Associate Professor at Administrative and Financial Law Chair, Law Faculty of Lobachevsky State University of Nizhny Novgorod. 603105, Russia, Nizhny Novgorod region, Nizhny Novgorod, Ashkhabadskaya str., 4. E-mail: mbundin@mail.ru

Краткая аннотация. Современное законодательство о защите персональных данных в числе принципов обработки данных содержит принцип достоверности. В настоящем исследовании дается анализ существующего российского и зарубежного законодательства с целью определить содержание и актуальное толкование этого принципа, в том числе в контексте необходимости обеспечения качества и управления данными. Ключевым выводом является установление достаточно односторонней трактовки этого принципа, исключительно как правомочия индивида требовать уточнения и поддержания актуальности своих данных и корреспондирующей обязанности оператора по обеспечению этого.

Abstract. Modern legislation on the protection of the rights of personal data subjects, among the principles of data processing, contains the principle of data accuracy. This study analyzes the existing Russian and foreign legislation in order to determine the content and current interpretation of this principle in the context of the need to ensure quality of data and data governance. The key conclusion is the establishment of a rather one-sided interpretation of this principle, solely as the individual's right to demand rectification and maintaining up-to-date of his data and the corresponding operator's obligation to ensure this.

Ключевые слова: персональные данные, качество данных, управление данными, достоверность данных, точность и актуальность данных, цифровая экономика.

Keywords: Personal data, data quality, data governance, data reliability, accuracy and relevance of data, digital economy.

Дата направления статьи в редакцию: 26.11.2021

Дата публикации: 30.11.2021

Проблематика защиты персональных данных перестала быть чем-то принципиально новым, однако динамичное развитие современного общества и высокая скорость с проникновения новых информационных технологий в различные социальные сферы заставляет все чаще задумываться о том, насколько права личности гарантированы и защищены в условиях наступающей цифровизации.

Данные стали основным и первостепенным ресурсом цифровой экономики, которую также часто именуют экономикой данных1. Свободное обращение данных, их объёмы, методы и технологии работы все чаще становятся предметом современных научных исследований. В тоже время, достаточно обманчивая эйфория, что чем больше у нас данных, тем лучше, уже давно опровергнута. Даже с учетом, развития концепции т.н. больших данных, где также в какой-то момент может показаться, тут наверно и в самом деле чем их больше, тем и лучше, тоже не совсем верно. Современные исследования скорее говорят об обратном. Для принятия эффективного решения и получения необходимого результата требуется не количество данных, а их качество2. Именно качество данных становится ключевой из характеристик. Причем не только с точки зрения ИТ-бизнеса, но и в том числе в сфере государственного управления, где традиционно накапливается огромные объемы данных и вопрос об их качестве и стратегии использования является наиболее сложным и ключевым для принятия управленческих решений3.

В большинстве случаев качество данных (англ. data quality)4 является неотъемлемой частью управления данными (англ. data governance), которое гарантирует, что данные соответствуют назначению их легко обрабатывать и анализировать в том числе с помощью технологий искусственного интеллекта, а также обеспечивать надежные результаты, заслуживающие доверия5.

Принято считать, что качество данных определяется шестью основными измерениями:

- точность/достоверность (данные в точности отражают объекты и/или события реального мира, которые они моделируют);

- полнота (данные содержат все необходимые записи и значения);

- согласованность (значения данных, полученные из нескольких источников, не конфликтуют друг с другом по всем значениям одного атрибута, при этом согласованные данные не обязательно являются точными или полными);

- своевременность (данные обновляются так часто, как это необходимо, в том числе в режиме реального времени, чтобы гарантировать, что они соответствуют требованиям пользователей к точности и доступности);

- допустимость (данные соответствуют установленным параметрам);

1 В.П. Куприяновский, Н.А. Уткин, Д.Е. Намиот, П.В. Куприяновский Цифровая экономика = модели данных + большие данные + архитектура + приложения? // International Journal of Open Information Technologies. 2016. №5. URL: https://cyberleninka.ru/article/n/tsifrovaya-ekonomika-modeli-dannyh-bolshie-dannye-arhitektura-prilozheniya (дата обращения: 26.11.2021).

2 Вичугова А. Когда количество не переходит в качество: почему большие данные требуют обеспечения Data Quality // Big Data. Школа больших данных. 15.04.2021. -https://www.bigdataschool.ru/blog/data-quality-processes-and-tools.html (дата обращения: 26.11.2021).

3 Thompson N., Ravindran R., Nicosia S. Government data does not mean data governance: Lessons learned from a public sector application audit // Government Information Quarterly. Vol. 32(3). 2015. Pp. 316-322. - https://doi.org/10.1016/j.giq.2015.05.001

4 What is Data Quality? //Informatica. - https://www.informatica.com/resources/articles/what-is-data-quality.html (дата обращения: 26.11.2021).

5 Janssen M., Brous P., Estevez E., Barbosa L.S., Janowski T. Data governance: Organizing data for trustworthy Artificial Intelligence // Government Information Quarterly. Vol.37(3). 2020. 101493. https://doi.org/10.1016/j.giq.2020.101493

- уникальность (одна запись данных не существует более одного раза в наборе данных, даже если она существует и используется в нескольких местах/приложениях).

Из всех тих параметров достоверность часто занимает центральное по важности место, поскольку данные могут быть полными, точными, своевременно полученными, уникальными, допустимыми, согласованными - но недостоверными1. Принятое на основе таких данных решение будет неэффективным и ошибочными, чреватым самими разнообразными последствиями для субъекта управления, и не важно в какой сфере это происходит. Это демонстрирует ту важность и значимость, которые играет достоверность данных для управления данными и качества данных.

Теперь, пожалуй, стоит обратиться к вопросу о той взаимосвязи между персональными данными и достоверностью данных. Для этого можно найти несколько вполне веских причин и объяснений.

Следует начать с того, что персональные данные - это в первую очередь данные, т.е. часто это информация, представленная в определённой формализованной форме/формате, включенная в информационные системы, используемые для принятия решений и анализа информации. Как раз именно это и объясняет ту озабоченность обеспечением прав личности в контексте «больших данных». Персональные данные часто включены и неотъемлемо связаны с другими массивами данных и в равной степени необходимы для управленческих процессов, где бы они не происходили именно в самом широком понимании этих терминов. Отсюда, вполне очевидно, возникает вопрос о том насколько критерий/атрибут «достоверности» применим по отношению к персональным данным и есть ли какие-то нюансы в его обеспечении/достижении применительно к этой категории информации.

В основном термин «достоверность» используется по отношению к персональным данным в качестве одного из принципов обработки персональных данных.

Одним из первых документов, закрепивших этот принцип стали Рекомендации ОЭСР по защите частной жизни и трансграничной передаче персональных данных2, в которых закреплялся общий принцип национального регулирования - принцип «качества данных» (data quality principle) и указывалось на достоверность, как один из их признаков.

Конвенция Совета Европы №108 также крайне скупо поясняла принцип качества данных, говоря лишь, что они должны быть точными3 и, когда это необходимо, обновляться4.

Достаточно известная Директива 46/95/ЕС содержала аналогичные положения о требованиях к персональным данным, которые должны быть точными и актуальными. При этом указывалось на необходимость принятия любых необходимых действий, чтобы неточные или неполные данные, применительно к целям, для которых они собирались или для которых они впоследствии обрабатывались, удалялись или уточнялись5. Пришедший ей на смену Регламент по защите персональных данных содержит полностью аналогичные положения, дополненные только «безотлагательностью» по принятию мер по уточнению или удалению недостоверных и/или неполных данных6.

Стоит предположить, что принятие «любых необходимых действий» трактовалось в основном применительно к оператору данных, что подтверждается соответствующими положениями в статье 16 («Право на уточнение») указанного Регламента, которая прямо закрепляет за субъектом право требовать от оператора безотлагательного уточнения своих персональных данных, а также предоставления возможности дополнения данных, которые являются неполными для целей обработки7.

Российское законодательство, которое в целом при создании было ориентировано на европейскую практики защиты персональных данных ожидаемо содержит аналогичные положения относительно определения «достоверности» персональных данных. В частности, в ч. 6 ст. 5 российского закона о персональных данных в числе базовых принципов говорится о необходимости обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных, а также о том, что оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных8. Данные положения дополняются в ч. 1 ст. 14, где поясняется, что «субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав»9.

Таким образом, с определенной степенью уверенности говорить о том, что принцип «достоверности» данных применительно к персональным данным трактуется в законодательстве через призму закрепления особого права субъекта персональных данных требовать уточнения своих данных, находящихся в обработке у оператора, и корреспондирующей обязанности оператора принять незамедлительные меры по их уточнению.

Схожие положения в целом содержатся в том числе и в Акте о защите частной жизни в США10, законодательстве Индии1, Новой Зеландии2, Тайланда3 и других странах, что говорит о своего рода универсальности как рассматриваемых положений, так и о трактовке содержания

1 What Is Data Quality and Why Is It Important? // Ataccama. - https://www.ataccama.com/blog/what-ls-data-quallty-why-ls-lt-lmportant (дата обращения: 26.11.2021).

2 THE OECD PRIVACY FRAMEWORK // OECD. - https://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf (дата обращения: 26.11.2021).

3 Прим.: в данном случае термин частичное расхождение точный и достоверный вызвано особенностями перевода термина «accurate» (русск. точный, достоверный).

4 Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера // Council of Europe. - https://rm.coe.int/1680078c46 (дата обращения: 26.11.2021).

5 Art.6(d) Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data // European Union. -https://edps.europa.eu/sites/default/files/publication/dir_1995_46_en.pdf (дата обращения: 26.11.2021).

6 Art.5 (d) General Data Protection Regulation (GDPR) // GDPR. - https://gdpr.eu/article-5-how-to-process-personal-data/ (дата обращения: 26.11.2021).

7 Art.16 General Data Protection Regulation (GDPR) // GDPR. - https://gdpr.eu/article-16-right-to-rectification/ (дата обращения: 26.11.2021).

8 Федеральный закон "О персональных данных" от 27.07.2006 № 152-ФЗ // Официальный интернет-портал правовой информации. -http://pravo.gov.ru/proxy/ips/?docbody&nd=102108261 (дата обращения: 26.11.2021).

9 Там же.

10 The Privacy Act of 1974 (2020 Edition) // US Department of Justice. - https://www.justice.gov/opcl/overview-privacy-act-1974-2020-edition/agency-requirements#e5 (дата обращения: 26.11.2021).

ПРАВО И ГОСУДАРСТВО: теория и практика. 2021. № 11(203)

принципа «достоверности» по отношению к обработке персональных данных. В тоже время, тут вполне возможно рассмотреть и практические аспекты того, как же следует на практике понимать работу казанного принципа.

В разъяснениях органа по защите прав субъектов персональных данных Великобритании (Information Commissioner's Office) говорится, что на практике для реализации данного принципа требуется:

• предпринимать разумные шаги для обеспечения точности любых персональных данных;

• убедиться, что источник и статус персональных данных определены;

• тщательно относится к устранению любых сомнений в точности информации;

• обновлять периодически информацию там, где это необходимо4.

Акт о защите персональных данных 2018 года в отличие от Регламента о защите персональных данных дает представление о том, какие данные стоит рассматривать как «недостоверные»5. К таким данным стоит отнести неточные или вводящие в заблуждение данные по отношение к чему бы то ни было.

Крайне важно тут понимать, что неточность и недостоверность имеет определенные приложения и нюансы, которые стоит отчетливо

понимать.

Во-первых, данные могу попросту устареть, но при этом их можно назвать недостоверными достаточно условно, поскольку они являются достоверными на определенный временной промежуток, да и сейчас являются «исторически» достоверными (потенциально архивными) данными, наличие которых также в полной мере может быть необходимо или обязательно, в том числе и с учетом самой цели обработки. В тоже время стоит отчетливо понимать, что эти данные являются в какой-то мере «исторически» верными/достоверными.

Во-вторых, часто данные могут быть отнесены к категории оценочной информации, в таком случае говорить о ее достоверности или недостоверности стоит с большой долей условности. Достоверность тут может быть применима исключительно лишь в части подтверждения источника мнения и того факта, что это именно мнение, которое часто бывает субъективным. Однако, неточность или недостоверность мнения может быть вызвана трактовкой недостоверных данных, которые лежат в основе такого мнения, как некорректный диагноз, вызванный недостоверными или ошибочными результатами исследования или анализов пациента.

В-третьих, всегда ли так уж необходимо, что бы данные были актуальными/достоверными, соответствовать текущей ситуации. При первом рассмотрении вроде бы так, однако и тут все может оказаться не столь уж однозначным. Безусловно, в ситуациях, когда требуется систематическое взаимодействие с субъектом или требуются актуальные данные для оказания услуг или выполнения регулярных действий, например выплата заработной платы, оказание абонентских услуг связи и т.п. Точные и актуальные данные о лице попросту необходимы для обеспечения целей обработки персональных данных. В иных случаях, когда речь идет о разовом взаимодействии с субъектом персональных данных, например, для фиксации в журнале посетителей или разовой доставки товара, предоставления услуги, так ли уж необходимо актуализировать данные о клиенте или получателе. Ведь можно с большой долей вероятности предположить, что цели обработки достигнуты и на момент взаимодействия данные были актуальными и достоверными, и в кокой-то степени в «историческом» плане остаются таковыми, но вот насколько необходимо поддерживать их в актуальном состоянии как с точки зрения целей обработки, так и с точки зрения интересов субъекта и защиты его прав, является скорее риторическим вопросом.

В какой-то степени, аналогичные по сути разъяснения относительно современной практики применения Рекомендаций по защите частной жизни и защите персональных данных ОЭСР. В совокупности общее мнение экспертов говорит о том, что данные должны быть связаны с целью, для которой они должны использоваться. Например, данные, касающиеся мнений, могут легко ввести в заблуждение, если они используются в целях, к которым они не имеют никакого отношения, и то же самое относится к оценочным данным. Несомненно, точность, полнота и актуальность являются важными элементами концепции качества данных, но при этом эти требования нужно рассматривать через призму целей обработки. Таким образом, исторические данные часто могут быть собраны или сохранены, когда речь идет о гуманитарных/социальных исследованиях, включающих так называемые продольные исследования изменений в обществе, исторические исследования и деятельность архивов. Проверка цели обработки в таком случае, часто будет связана с пониманием того, может ли быть причинен вред субъектам данных из-за отсутствия точности, полноты и актуальности6.

Пожалуй, еще один аспект, который стоит упомянуть и который встречается в разъяснениях органа по защите персональных данных Ирландии - это вопрос о обязанности оператора не только внести по запросу субъекта уточнения в обрабатываемые у него персональные данные, но и в случае их передачи другим лицам и операторам информировать последних об изменениях7. В отдельных случаях - это также может быть важно для реализации прав субъекта персональных данных, и избавит его от необходимости направлять запросы всем операторам и получателям его данных.

1 The Personal Data Protection Bill, 2019 // PRS Legislative Research. -https://prsindia.org/files/bills_acts/bills_parliament/2019/Personal%20Data%20Protection%20Bill,%202019.pdf (дата обращения: 26.11.2021).

2 Privacy Act 2020 // New Zeeland Legislation. - https://www.legislation.govt. nz/act/public/2020/0031/latest/whole.html#LMS23342 (дата обращения: 26.11.2021).

3 Somwaiya K., Ang J.X. PERSONAL DATA PROTECTION LAW OF THAILAND: ACCURACY, ACCESS AND CORRECTION OF PERSONAL DATA // Law Plus Ltd. -https://www.lawplusltd.com/2020/01/personal-data-protection-law-of-thailand-accuracy-access-and-correction-of-personal-data/ (дата обращения: 26.11.2021).

4 Principle (d): Accuracy // Information Commissioner's Office. - https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/accuracy/ (дата обращения: 26.11.2021).

Там же.

6 OECD Privacy Guidelines // OECD. - https://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm#part2 (дата обращения: 26.11.2021).

7 Your Rights under the GDPR // Data Protection Commission. - https://www.dataprotection.ie/en/individuals/rights-individuals-under-general-data-protection-regulation (дата обращения: 26.11.2021).

Однако проблематика «достоверности» персональных данных не ограничивается исключительно обязанностью оператора обеспечивать их точность и актуальность, в том числе и по запросам субъектов.

Еще одним важным аспектом в проблематике обеспечения «достоверности» персональных данных является вопрос о наличии не только у субъекта, но и у оператора каких-либо прав по обеспечению точности и актуальности обрабатываемых персональных данных. Хотя стоит сразу сделать определенную оговорку в таком случае и вынести за рамки обсуждения обработку персональных данных в целях осуществления оперативно-розыскной и правоохранительной деятельности, в целях исполнения наказаний и осуществления исполнительного производства, а также аналогичные случаи в силу специфики этих отношений, на которые нормы о защите персональных данных распространяются с большой долей условности.

В действительности, достаточно часто на практике при составлении согласия или договора, стороной которого является субъект персональных данных, оператор стремиться в числе прочих условий указать на необходимость предоставления ему для обработки достоверных, полных и документально подтвержденных данных1. Однако насколько такое требование, обращенное к субъекту персональных данных, является правомерным и допустимым возникает весьма двусмысленный вопрос.

Фактически часто такие положения можно рассматривать как часть пользовательского соглашения при пользовании различными цифровыми сервисами и сайтами, а значит частью заключаемой гражданско-правовой сделки2 между пользователем - субъектом и владельцем сайта/сервиса - оператором. Однако в таких случаях не существует реальных инструментов для того, чтобы обеспечить выполнение этого условия субъектом данных. Ответственность за сообщение недостоверных данных, если при отсутствует иной более серьезный состав, когда субъект использует эти данные для мошеннических действий, часто заключается лишь в отказе дальнейшего предоставления сервиса или услуги и не более того. Да и в целом этот вопрос в таких соглашениях прописан без особой тщательности и скорее, как некое пожелание или напоминание субъекту о необходимости добросовестного поведения при заключении сделки. По всей видимости тут презюмируется существование интереса у субъекта данных к совершению таких действий, а значит стремление действовать добросовестно в том числе и в части сообщения достоверной и полной с учетом целей обработки информации.

Несколько иначе может обстоять дело, когда законодательно требуется от субъекта предоставления достоверной информации о себе. Например, суды часто считают правомерными отказ в приеме на работу, если соискатель сообщает о себе недостоверные сведения (о наличии судимости, сведений о доходах и др.)3. Аналогичным образом можно рассматривать скажем обязанность предоставления гражданином информации об изменении своих персональных данных в различные государственные органы. Достаточно, например, взглянуть на статью 21.5. КоАП РФ, которая устанавливает в числе прочих ответственность за «несообщение в установленный срок в военный комиссариат или в иной орган, осуществляющий воинский учет, об изменении семейного положения, образования, места работы или должности, о переезде на новое место жительства, расположенное в пределах территории муниципального образования, или место пребывания»4.

Таким образом, можно говорить и о том, что в установленных законом случаях обязанность по сообщению и уточнению достоверных персональных данных возлагается и на субъекта персональных данных, однако следует признать, что их число достаточно ограниченно и в реальной практике попытки закрепить за субъектом такую обязанность на уровне пользовательского соглашений или иной гражданско-правовой сделки часто оказываются несостоятельными.

Общие выводы:

Принцип «достоверности» персональных данных с точки зрения современных тенденций правового регулирования вопросов защиты личности трактуется исключительно через призму установления достаточно широких прав субъекта требовать от оператора уточнения и обеспечения актуальности своих персональных данных. При этом такая обязанность оператора в большинстве случаев предполагает ее соотнесение с целями обработки и необходимостью оценки последствий для субъекта в случае обработки неполных и/или недостоверных данных. Обязанность же субъекта по раскрытию/сообщению своих данных скорее носит частный/специфический характер и эффективно может быть реализована только в специально установленных законом случаях.

Библиогра фия:

1. Janssen M., Brous P., Estevez E., Barbosa L.S., Janowski T. Data governance: Organizing data for trustworthy Artificial Intelligence // Government Information Quarterly. Vol.37(3). 2020. 101493. https://doi.org/10.1016/j.giq.2020.101493.

2. Somwaiya K., Ang J.X. Personal data protection law of Thailand: accuracy, access and correction of personal data // Law Plus Ltd. -https://www.lawplusltd.com/2020/01/personal-data-protection-law-of-thailand-accuracy-access-and-correction-of-personal-data/ (дата обращения: 26.11.2021).

3. Thompson N., Ravindran R., Nicosia S. Government data does not mean data governance: Lessons learned from a public sector application audit // Government Information Quarterly. Vol. 32(3). 2015. Pp. 316-322. -https://doi.org/10.1016/j.giq.2015.05.001

References (transliterated):

1. Janssen M., Brous P., Estevez E., Barbosa L.S., Janowski T. Data governance: Organizing data for trustworthy Artificial Intelligence // Government Information Quarterly. Vol.37(3). 2020. 101493. https://doi.org/10.1016/j.giq.2020.101493.

2. Somwaiya K., Ang J.X. PERSONAL DATA PROTECTION LAW OF THAILAND: ACCURACY, ACCESS AND CORRECTION OF PERSONAL DATA // Law Plus Ltd. - https://www.lawplusltd.com/2020/01/personal-data-protection-law-of-thailand-accuracy-access-and-correction-of-personal-data/ (last accessed: 26.11.2021).

3. Thompson N., Ravindran R., Nicosia S. Government data does not mean data governance: Lessons learned from a public sector application audit // Government Information Quarterly. Vol. 32(3). 2015. Pp. 316-322. -https://doi.org/10.1016/j.giq.2015.05.001.

1 The right to rectification (Articles 16 & 19 of the GDPR) // https://www.dataprotection.ie/en/individuals/know-your-rights/right-rectification (дата обращения: 26.11.2021).

2 Закошанский М. Пользовательское соглашение: инструкция по составлению // ГАРАНТ. - https://www.garant.ru/ia/opinion/author/zakoshanskij/1425620/ (дата обращег 26.11.2021).

3 Предоставление недостоверных сведений при приеме на работу // «Консультант Плюс». http://www.consultant.ru/law/podborki/predostavlenie_nedostovernyh_svedenij_pri_prieme_na_rabotu/ (дата обращения: 26.11.2021).

4 Кодекс Российской Федерации об административных правонарушениях // Официальный интернет портал правовой информации. http://pravo.gov.ru/proxy/ips/?docbody&nd=102074277 (дата обращения: 26.11.2021).