ПРОБЛЕМЫ РАЗГРАНИЧЕНИЯ ПЕРСОНАЛЬНЫХ И НЕПЕРСОНАЛЬНЫХ ДАННЫХ В ПРАВЕ ЕВРОПЕЙСКОГО СОЮЗА Текст научной статьи по специальности «Компьютерные и информационные науки»

ИНТЕГРАЦИОННОЕ ПРАВО

001: 10.17803/1994-1471.2022.135.2.141-150

М. С. Крылова*

Проблемы разграничения персональных и неперсональных данных в праве Европейского Союза1

Аннотация. Статья посвящена проблемам разграничения в праве Европейского Союза категорий «персональные данные» и «неперсональные данные» в условиях развития информационно-коммуникационных технологий. Рассмотрены определения указанных понятий, их соотношение и взаимосвязь в контексте применения в праве ЕС концепции дихотомического разделения информации. Проанализированы критерии разграничения персональных и неперсональных данных, основанные на сущностных характеристиках и относимости обрабатываемой информации, а также на особенностях субъекта данных и возможности его идентификации. Обозначено место псевдонимизированных и анонимизированных данных при классификации информации. Сформулирован используемый в ЕС алгоритм определения категории данных, имеющий релятивистскую природу и основанный на оценке риска идентификации физического лица в сочетании с применением концепции «разумной вероятности». Рассмотрен подход к правовому регулированию в Европейском Союзе обработки смешанных наборов данных, часто встречающихся на практике и включающих как персональные, так и неперсональные данные.

Ключевые слова: персональные данные; неперсональные данные; Европейский Союз; обработка данных; категории информации; правовая определенность; субъект данных; идентифицируемость; анонимизация; псевдонимизация; смешанные наборы данных; информационно-коммуникационные технологии. Для цитирования: Крылова М. С. Проблемы разграничения персональных и неперсональных данных в праве Европейского Союза // Актуальные проблемы российского права. — 2022. — Т. 17. — № 2. — С. 141-150. — DOI: 10.17803/1994-1471.2022.135.2.141-150.

1 Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 18-29-16172.

© Крылова М. С., 2022

* Крылова Мария Сергеевна, соискатель кафедры интеграционного и европейского права Московского государственного юридического университета имени О.Е. Кутафина (МГЮА) Садовая-Кудринская ул., д. 9, г. Москва, Россия, 125993 marie_kr@mail.ru

Some Issues of Differentiation of Personal and Non-Personal Data i n the Law of the European Union2

Mariya S. Krylova, Postgraduate Student, Department of Integration and European Law, Kutafin

Moscow State Law University (MSAL)

ul. Sadovaya-Kudrinskaya, d. 9, Moscow, Russia, 125993

marie_kr@mail.ru

Abstract. The paper is devoted to the problems of differentiation of the categories «personal data» and «nonpersonal data» in the law of the European Union in the context of information and communication technologies development. The definitions of these concepts, their relationship and interrelation in the context of the application of the concept of dichotomous separation of information in EU law are considered. The criteria for distinguishing between personal and non-personal data are analyzed, based on the essential characteristics and relevance of the information being processed, as well as on the characteristics of the data subject and the possibility of his identification. The place of pseudonymized and anonymized data in the classification of information is indicated. An algorithm used in the EU for determining the category of data is formulated, which has a relativistic nature and is based on the assessment of the risk of identifying an individual in combination with the concept of «reasonable probability». An approach to the legal regulation in the European Union of processing mixed data sets, which are often encountered in practice and include both personal and non-personal data, is considered. Keywords: personal data; non-personal data; European Union; data processing; categories of information; legal certainty; data subject; identifiability; anonymization; pseudonymization; mixed datasets; information and communication technologies.

Cite as: Krylova MS. Problemy razgranicheniya personalnykh i nepersonalnykh dannykh v prave Evropeyskogo Soyuza [Some issues of Differentiation of Personal and Non-Personal Data in the Law of the European Union]. Aktual'nye problemy rossijskogo prava. 2022;17(2):141-150. DOI: 10.17803/1994-1471.2022.135.2.141-150. (In Russ., abstract in Eng.).

Введение

Увеличение темпа повсеместной цифровиза-ции общественных отношений поддерживает интерес к определению понятия и сущности персональных данных. Вместе с этим развитие новейших технологий, таких как большие данные, интернет вещей, искусственный интеллект, существенно повышает потенциал обработки неперсональных данных. Эта категория информации не затрагивает права человека на непри-

косновенность частной жизни и на охрану персональных данных, поэтому относящаяся к ней информация не нуждается в усиленном режиме правовой охраны, который будет лишь снижать эффективность использования таких данных3.

Учитывая, что персональные и неперсональные данные являются базовыми правовыми категориями в контексте реализации стратегических инициатив Европейского Союза в области построения единого цифрового рынка4 и правового регулирования обработки данных5,

The reported study was funded by RFBR according to the research project № 18-29-16172.

Cm.: De Hert P., Gutwirth S. Data Protection in the Case Law of Strasbourg and Luxemburg: Constitutionalisation

in Action. Reinventing Data Protection. Springer, 2009. P. 8-10.

Cm.: Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions. A Digital Single Market Strategy for Europe // COM (2015) 192 final.

Cm.: Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions. A European strategy for data // C0M/2020/66 final.

2

3

4

5

значительную теоретическую и практическую актуальность приобретает рассмотрение используемого в праве ЕС подхода к разграничению этих категорий данных.

Взаимосвязь понятий «персональные данные» и «неперсональные данные»

Наличие обособленных правовых режимов в отношении персональных и неперсональных данных демонстрирует используемый в ЕС подход к правовому регулированию обработки данных, основанный на дихотомической концепции разделения информации. В 1998 г. в одном из решений Совета ЕС отмечалось, что под понятием «информация» следует понимать «персональные и неперсональные данные»6. Применение подобной модели содействует обеспечению эффективности правового регулирования обработки данных с учетом их неоднородной природы.

В рамках этого подхода соответствующие категории данных являются дополнительными друг к другу, а также взаимоисключающими. Основным проявлением взаимоисключительности и взаимозависимости рассматриваемых понятий является формулирование соответствующих определений в законодательстве ЕС по принципу a contrario. «Персональные данные» определены как «любая информация, относящаяся к идентифицированному или иденти-

фицируемому физическому лицу»7, тогда как к «неперсональным данным» относятся «данные за исключением персональных»8.

Использование такой формулировки в отношении определения понятия «неперсональные данные» в сочетании с морфемным строением и этимологией этого термина не только указывает на его непосредственную связь с персональными данными, но и служит своеобразной иллюстрацией его производности и несамостоятельного сущностного наполнения. Указанные характеристики подтверждаются и в научной литературе, где можно встретить дефиницию (также полностью основанную на определении персональных данных), согласно которой под неперсональными данными рассматривается любая информация, не относящаяся к физическому лицу, когда такая информация не ведет прямо или косвенно к его идентификации9. Следовательно, неотъемлемым элементом установления принадлежности информации к категории неперсональных данных является понимание того, какие именно данные относятся к персональным.

Традиционное для права ЕС определение персональных данных намеренно сформулировано таким образом, чтобы охватывать максимальное количество информации, оставаясь в диапазоне правовой определенности. Первоначальный проект Директивы 95/46/ЕС о защите физических лиц при обработке персональных данных и о свободном обращении

6 Council Act of 3 November 1998 laying down rules concerning the receipt of information by Europol from third parties // OJ C 26. 30.01.1999. P. 17-18. П. (f) ст. 1. См. также: Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions «Building a European Data Economy» // COM/2017/09 final. P. 9.

7 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) // OJ L 119. 04.05.2016. P. 1-88. П. 1 ст. 9.

8 Regulation (EU) 2018/1807 of the European Parliament and of the Council of 14 November 2018 on a framework for the free flow of non-personal data in the European Union // OJ L 303. 28.11.2018. P. 59-68. П. 1 ст. 3. См. также: Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act) // Brussels, 25.11.2020. COM (2020) 767 final. 2020/0340(^D). П. 3 ст. 2 ; Proposal for a Regulation of the European Parliament and of the Council on contestable and fair markets in the digital sector (Digital Markets Act) // COM/2020/842 final. П. 21 ст. 2.

9 Supriyadi D. Personal and Non-Personal Data in the Context of Big Data // Tilburg Institute for Law, Technology and Society. LLM Law and Technology, 2016/2017. P. 30.

интеграционное право

таких данных10, предложенный Европейской комиссией, содержал следующее пояснение: определение понятия персональные данные специально сформулировано наиболее широко, по аналогии с определением, используемым в Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных11, чтобы охватить всю информацию, которая может быть связана с человеком12. С данной позицией в дальнейшем согласился Европейский парламент, который отметил, что определение понятия «персональные данные» должно быть как можно более общим, чтобы включать всю информацию, касающуюся идентифицируемого лица13. Эта же точка зрения была поддержана Советом ЕС14, а затем нашла отражение в судебной практике Суда ЕС15.

В этих условиях логично предположить, что к категории персональных данных будет отнесено значительное количество информации16. Д. Метайе и Ж. Ле Кленше обращают внимание, что рассмотренный подход хорошо себя проявляет в ситуациях периодической обработки данных в рамках установленной процедуры с

четко идентифицированным лицом (например, при отправке документа, заполнении анкеты или использовании смарт-карты). В то же время формирование цифрового общества вносит свои коррективы: обработка данных теперь не является разовым мероприятием и становится в целом более несущественной (малозначительной) и практически не прекращающейся. Снижается осознание субъектом данных количества обрабатываемой информации и самого факта ее обработки. В таких обстоятельствах границы между персональными и неперсональными данными всё больше размываются17.

Критерии разграничения персональных и неперсональных данных

Критериям отнесения информации к категории персональных данных корреспондируют структурные элементы определения указанного понятия — «любая информация», «относящаяся к», «идентифицированному или идентифицируемому», «физическому лицу». С их помощью

10 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data // OJ L 281. 23.11.1995. P. 0031-0050.

11 Конвенция о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981).

12 Commission Communication on the protection of individuals in relation to the processing of personal data in the Community and information security // COM (90) 314 final, 13.09.1990. P. 19. URL: http://aei.pitt. edu/3768/1/3768.pdf (дата обращения: 15.10.2021).

13 Amended proposal for a Council Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data // COM (92) 422 final, 28.10.1992. URL: http://aei.pitt. edu/10375/1/10375.pdf (дата обращения: 15.10.2021). P. 9.

14 Common position (EC) No 1/95, adopted by the Council on 20 February 1995 // OJ NO C 93 of 13.04.1995. P. 20.

15 См., например: решения Суда ЕС по делам: Case C-275/06. Productores de Música de España (Promusicae) v Telefónica de España SAU // Judgment of the Court (Grand Chamber) of 29 January 2008 ; Case C-70/10. Scarlet Extended SA v Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM) // Judgment of the Court (Third Chamber) of 24 November 2011 ; C-582/14. Patrick Breyer v Bundesrepublik Deutschland // Judgment of the Court (Second Chamber) of 19 October 2016 ; Case C-673/17. Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V. v Planet49 GmbH // Judgment of the Court (Grand Chamber) of 1 October 2019.

16 Analytical report on EU law applicable to sharing of non-personal data // Support Centre for data sharing. DG Connect. Smart 2018/1009. 24 January 2020. V2.0. P. 13.

17 European protection in good health? / ed. by S. Gutwirth, R. Leenes, P. De Hert, Y. Poullet. Springer, 2012. P. 323. См. также: Yu P. K. Fitting Machine-Generated Data into Trade Regulatory Holes // The Trade in Knowledge: Economic,

законодатель формирует специфический алгоритм выявления персональных данных среди всего объема обрабатываемой информации. Однако необходимо принимать во внимание, что некоторые установленные определением критерии разграничения данных представляют собой неоднозначные концепты, не всегда позволяющие на практике отграничить одну категорию данных от другой.

С точки зрения характера информации категория персональных данных включает любые сведения о человеке. Они охватывают «объективные» данные (например, имя, возраст, наличие какого-то определенного вещества в крови и т.д.) и «субъективные» — мнения или оценки (например, сведения, составляющие внушительную долю персональных данных в банковской сфере, сфере страхования и т.п.)18. Кроме того, указанный критерий включает в себя требования к формату обрабатываемой информации: для персональных и неперсональных данных в законодательстве ЕС они могут быть различны. Так, Регламент (ЕС) 2018/1807 о правовых основах свободного обращения неперсональных данных в Европейском Союзе19 (далее — Регламент (ЕС) 2018/1807) распространяется на «обработку в Союзе электронных данных, не являющихся персональными»20. Такое ограничение по формату уменьшает законодательную нагрузку на лиц, обрабатывающих неперсональные данные, при этом учитывается существую-

щая тенденция, в соответствии с которой основным источником неперсональных данных являются новейшие цифровые технологии21. В связи с этим, например, нормы указанного акта применяются к обработке неперсональных данных с использованием всех облачных моделей обслуживания, независимо от их непосредственного расположения, и охватывают обработку данных разного уровня интенсивности: от хранения данных (инфраструктура как услуга (IaaS)) до обработки данных на платформах (платформа как услуга (PaaS)) или в приложениях (программное обеспечение как услуга (SaaS))22.

Действие следующего критерия основано на том, что субъектом персональных данных в ЕС может быть только физическое лицо. Из этого следует, что информация, относящаяся к юридическим лицам, автоматически признается неперсональными данными23. Однако в решении Суда ЕС по делу Schecke указывается, что в случае если официальное наименование юридического лица позволяет идентифицировать одно или несколько физических лиц (когда наименованием компании является имя субъекта данных (или имена нескольких субъектов данных), например в обстоятельствах упомянутого дела — Volker und Markus Schecke GbR), то это позволяет такому юридическому лицу требовать защиты права на неприкосновенность частной жизни и права на охрану персональных данных, закрепленных в Хартии ЕС об основных правах24.

Legal and Policy Aspects. Cambridge University Press, 2020. P. 15 ; OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data // URL: http://www.oecd.org/digital/ieconomy/oecdguidelinesontheprot ectionofprivacyandtransborderflowsofpersonaldata.htm (дата обращения: 15.10.2021). П. 31 ; Graef I., Gellert R., Purtova N., Husovec M. Feedback to the Commission's Proposal on a Framework for the Free Flow of Non-Personal Data // Tilburg University, 2018. URL: https://ssrn.com/abstract=3106791 (дата обращения: 15.10.2021). P. 1-4, 6.

18 Article 29 Working Party Opinion 4/2007 on the concept of personal data // 01248/07/EN, WP136, 20.06.2007. P. 6.

19 Regulation (EU) 2018/1807 of the European Parliament and of the Council of 14 November 2018 on a framework for the free flow of non-personal data in the European Union // OJ L 303. 28.11.2018. P. 59-68.

20 Регламент (ЕС) 2018/1807. П. 1 ст. 2.

21 Регламент (ЕС) 2018/1807. П. 9 преамбулы.

22 Регламент (ЕС) 2018/1807. П. 17 преамбулы.

23 См.: Регламент (ЕС) 2016/679. П. 14 преамбулы; Case T-198/03. Bank Austria Creditanstalt AG v Commission of the European Communities // Judgment of the Court of First Instance (Second Chamber) of 30 May 2006.

24 Charter of Fundamental Rights of the European Union // OJ C 326. 26.10.2012. P. 391-407. Ст. 7, 8 ; Joined cases C-92/09 and C-93/09. Volker und Markus Schecke GbR (C-92/09) and Hartmut Eifert (C-93/09) v Land Hessen // Judgment of the Court (Grand Chamber) of 9 November 2010. П. 53, 54.

Критерий относимости информации указывает на то, что по общему правилу персональные данные являются информацией об определенном физическом лице. Но нужно учитывать, что в некоторых индивидуальных случаях информация, относящаяся к объекту, может косвенным образом быть источником информации о человеке. Например, стоимость автомобиля — это данные об объекте, а информация об уплате транспортного налога собственником указанного автомобиля может рассматриваться в качестве персональных данных. Таким образом, информация может быть непосредственно о физическом лице (например: имя, информация о ДНК, чип биометрического паспорта, RFID-метка), а может иметь к нему опосредованное отношение (например, логи телефонных звонков на рабочем месте) или может в зависимости от ее использования порождать последствия для физического лица (например, GPS-данные в служебных автомобилях)25. Следовательно, при выявлении неперсональных данных стоит иметь в виду, что информация об объекте может быть тоже отнесена в соответствии с правом ЕС к персональным данным при условии, если она позволяет идентифицировать субъект данных.

Европейская комиссия предлагает деление неперсональных данных на два вида в зависимости от происхождения информации26. Однако такая классификация в сущности основывается не только на происхождении информации, но в то же время отражает различие между соот-

ветствующими видами неперсональных данных через критерий относимости.

Во-первых, выделяется информация, изначально не относящаяся к физическому лицу, например данные о погодных условиях, полученные посредством датчиков, установленных на ветровых турбинах. Второй вид объединяет данные, которые первоначально являлись персональными, но впоследствии подверглись процедуре анонимизации27. Представляется, что описание второго вида данных можно дополнить анонимными данными, сразу собранными так, что они не позволяют идентифицировать субъект данных28.

Введение в законодательство ЕС таких дополнительных правовых категорий, как псевдони-мизированные и анонимизированные данные, является последствием применения критерия идентифицированности/идентифицируемости29. Под понятием «псевдонимизация» понимается «обработка персональных данных таким образом, что они не могут больше быть отнесены к определенному субъекту данных без использования дополнительной информации, при условии, что дополнительная информация хранится отдельно и к ней применяются технические и организационные меры, гарантирующие, что персональные данные не отнесены к идентифицированному или идентифицируемому физическому лицу»30. Псевдонимизация в праве ЕС, наряду с криптографической защитой и другими инструментами, является мерой обеспечения

25 См. подробнее о критериях содержания, цели и результата в оценке относимости информации: Article 29 Working Party Opinion 4/2007 on the concept of personal data // 01248/07/EN, WP136, 20.06.2007. P. 10.

26 Communication from the Commission to the European Parliament and the Council. Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union // C0M/2019/250 final. P. 5-6.

27 Communication from the Commission to the European Parliament and the Council. Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union // C0M/2019/250 final. P. 5-6.

28 Регламент (ЕС) 2016/679. П. 26 преамбулы.

29 Смысловые различия между понятиями «идентифицированность» и «идентифицируемость» субъекта данных находят отражение в действующем в ЕС алгоритме определения принадлежности информации к категории персональных или неперсональных данных, рассмотренном далее по тексту. Подробнее о данном критерии см.: Manon O. Identifiability and the Applicability of Data Protection to Big Data // International Data Privacy Law. 2016. P. 1-25 ; Ronald E. L. Do You Know Me? Decomposing Identifiability // TILT Law & Technology Working Paper Series No 006/2008, 2008. P. 1-23.

30 Регламент (ЕС) 2016/679. П. 5 ст. 4.

безопасности информации в целях реализации принципа целостности и конфиденциальности31. Фундаментальное различие псевдонимизиро-ванных и анонимизированных данных заключается в том, что данные, анонимизированные должным образом (англ.: properly anonymised data), даже при наличии дополнительной информации не могут снова стать персональными32.

При этом выделение подобных побочных типов информации находит отражение в научных дискуссиях, когда при разграничении общего объема информации выделяют, помимо персональных и неперсональных данных, третью информационную категорию. Например, Г. Сюрблите подразделяет данные на персональные, неперсональные и полуперсональные. К последним она относит псевдоними-зированные и анонимизированные данные33. Похожей позиции придерживается Ю. Кабураки, выделяя в качестве третьей категории только анонимизированные данные34. Однако подобный подход противоречит законодательству ЕС, в соответствии с которым псевдонимизи-рованные данные считаются персональными, а должным образом анонимизированные данные — неперсональными35. При этом некоторые ученые отмечают, что с учетом современного уровня развития информационно-коммуникационных технологий после анонимизации всё равно всегда остается риск идентификации субъекта данных36.

В целом критерий идентифицированности/ идентифицируемости является краеугольным в выявлении персональных и неперсональных данных и вместе с тем наиболее неоднозначным в применении. В Регламенте (ЕС) 2016/679 содержится определение понятия «идентифицируемое лицо», под которым понимается лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов, как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица37. Такой разнообразный набор идентификаторов и признаков, по которым физическое лицо может быть идентифицировано, указывает на обширность применения данного критерия и сложность выявления неперсональных данных, посредством которых субъект данных не будет идентифицирован.

Тесная взаимосвязь персональных и неперсональных данных на теоретическом и практическом уровне в условиях применения концепции дихотомического разделения информации позволяет констатировать значительное влияние сущности критериев выявления персональных данных на отнесение информации к категории неперсональных данных.

31 Регламент (ЕС) 2016/679. Пп. f п. 1 ст. 5.

32 Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union // COM/2019/250 final. P. 5-6.

33 Surblyte G. Data as a Digital Resource // Max Planck Institute for Innovation & Competition Research Paper. 2016. No 16-12. P. 6-8.

34 Kaburaki Y. Legal Protection for Non-Personal Data in Japan Comparative Perspective with the EU and the U. S. // MIPLC Master Thesis Series. 2017. P. 6-7.

35 См.: Регламент (ЕС) 2016/679. П. 26 преамбулы ; Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union // COM/2019/250 final. P. 6.

36 См.: Finck M., Pallas F. They who must not be identified — distinguishing personal from non-personal data under the GDPR // International Data Privacy Law. 2020. Vol. 10. Iss. 1. P. 11 ; Cyber Security and Privacy. EU Forum, Athens, 2014. P. 90.

37 Регламент (ЕС) 2016/679. П. 1 ст. 4.

Алгоритм определения категории данных

Критерий идентифированности/идентифици-руемости выступает, помимо прочего, основой алгоритма определения персональных данных, применяемого в ЕС. Указанный алгоритм в рамках взаимоисключительности категорий рассматриваемой дихотомической системы приводит, соответственно, и к выявлению неперсональных данных.

Первым условием алгоритмической структуры является вопрос, относится ли искомая информация непосредственно к идентифицированному лицу (т.е. приводит ли информация напрямую к идентификации лица). Такой информацией могут быть, например имя, паспортные данные и т.д. В случае положительного ответа уточняется, является ли субъект данных физическим лицом. Если да, то рассматриваемая информация признается персональными данными. Это одна из вариаций действия предлагаемого алгоритма, направленная на случаи, когда информация сразу приводит к тому, что лицо приобретает статус идентифицированного.

В случае отрицательного ответа на базовый вопрос запускается другая часть алгоритма, направленная на проверку наличия возможности идентификации лица, т.е. его идентифицируемости. Уточняется, позволяет ли информация идентифицировать лицо при помощи допустимого идентификатора (например, адреса электронной почты)? Если нет, то существует ли какая-либо другая связь между рассматриваемой информацией и субъектом данных, которая может привести к его идентификации? При этом нужно учитывать вспомогательные факторы: необходимость использования дополнительной информации или возможность применения продвинутых технологий, позволяющих произвести идентификацию лица, например используя соотношение различных массивов неперсональных данных38. Если с учетом вышеизложенного

информация по-прежнему не ведет к идентификации физического лица, то такие данные считаются неперсональными39.

В противном случае применяется концепция «разумной вероятности», в рамках которой определяется степень возможности того, что допустимые идентификаторы или продвинутые технологии будут применены для идентификации физического лица. В целях установления разумной вероятности применения подобных средств должны быть приняты во внимание все объективные факторы, такие как финансовые и временные затраты, необходимые для идентификации, а также технологические разработки и их доступность на момент обработки данных40.

Описанный алгоритм определения категории обрабатываемых данных в ЕС основан на оценке риска идентификации, но не на возможности идентификации лица как таковой. Следовательно, в рамках подобного подхода информация, являющаяся, по существу, персональной, может быть признана неперсональными данными в случае, если идентификация физического лица с ее помощью невыгодна или нецелесообразна, поскольку требует непропорциональных получаемой выгоде затрат.

При этом М. Финк и Ф. Паллас обращают внимание на то, что позиция Европейского совета по охране данных (англ.: European Data Protection Board, EDPB) — вспомогательного органа ЕС на уровне экспертов государств-членов — основана на признании неперсональными данными только той информации, относящейся к физическому лицу, которая ни при каких обстоятельствах не позволяет его идентифицировать. Противоречие положений Регламента (ЕС) 2016/679 и актов Европейского совета по охране данных порождает различия в толковании Регламента в государствах — членах ЕС41.

Вероятно, закрепленный в Регламенте (ЕС) 2016/679 алгоритм выявления персональных и неперсональных данных ввиду своей реля-

38 Регламент (ЕС) 2018/1807. П. 9 преамбулы.

39 См. подробнее о реализации алгоритма определения категории обрабатываемых данных: Finck M., Pallas F. Op. cit. P. 13-19.

40 Регламент (ЕС) 2016/679. П. 26 преамбулы.

41 Finck M., Pallas F. Op. cit. P. 14-16.

тивистской природы в условиях четвертой промышленной революции является более эффективной альтернативой абсолютистской концепции, предлагаемой Европейским советом по охране данных.

Смешанные наборы данных

На практике в большинстве случаев обрабатываемые массивы данных содержат информацию обеих категорий, что с учетом широкой и контекстуальной интерпретации понятия персональных данных осложняет правовое регулирование подобной обработки42. При этом Регламент (ЕС) 2018/1807 не налагает обязательства хранить данные разных категорий отдельно43.

По общему правилу в отношении обработки «смешанного» набора данных (например, информации о предприятии и его работниках), включающего как персональные, так и неперсональные данные, Регламент (ЕС) 2018/1807 применяется только к той части, которая содержит неперсональные данные44. Если персональные и неперсональные данные в подобном информационном массиве связаны неразрывно, приоритет принадлежит правовой охране пер-

сональных данных, вследствие чего обработка всего набора данных будет регулироваться Регламентом (ЕС) 2016/679. Нужно отметить, что указанное правило применяется, даже если доля персональных данных в неразрывном массиве минимальна45.

В целом разъяснение в отношении обработки смешанных наборов данных, содержащееся в Регламенте (ЕС) 2018/1807, позволяет адаптировать правовое регулирование к распространенным на практике условиям обработки.

Заключение

Общая сложность четкого разграничения в праве Европейского Союза персональных и неперсональных данных обусловлена широким толкованием понятия «персональные данные» и стремительным развитием информационно-коммуникационных технологий. В то же время в целях обеспечения свободного обращения информации и формирования в ЕС конкурентоспособной цифровой экономики представляется необходимым увеличение уровня правовой определенности при установлении категории обрабатываемых данных.

БИБЛИОГРАФИЯ

1. De Hert P., Gutwirth S. Data Protection in the Case Law of Strasbourg and Luxemburg: Constitutionalisation in Action. Reinventing Data Protection. — Springer, 2009. — 342 p.

2. European protection in good health? / Ed. by S. Gutwirth, R. Leenes, P. De Hert, Y. Poullet. — Springer, 2012. — 363 p.

3. Finck M., Pallas F. They who must not be identified — distinguishing personal from non-personal data under the GDPR // International Data Privacy Law. — Vol. 10. — Iss. 1. — 2020. — P. 1-47.

4. Graef I., Gellert R., Purtova N., Husovec M. Feedback to the Commission's Proposal on a Framework for the Free Flow of Non-Personal Data. — Tilburg University. — 2018. — URL: https://ssrn.com/abstract=3106791 (дата обращения: 15.10.2021). — P. 1-6.

42 См.: подробнее: Comments of the EDPS on a Proposal for a Regulation of the European Parliament and of the Council on a framework for the free-flow of non-personal data in the European Union. P. 4.

43 Регламент (ЕС) 2018/1807. П. 10 преамбулы.

44 Регламент (ЕС) 2018/1807. П. 2 ст. 2.

45 Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union // COM/2019/250 final. P. 9.

5. Kaburaki Y. Legal Protection for Non-Personal Data in Japan Comparative Perspective with the EU and the U. S. // MIPLC Master Thesis Series, 2017. - 60 p.

6. Manon O. Identifiability and the Applicability of Data Protection to Big Data // International Data Privacy Law, 2016. - P. 1-25.

7. RonaldE. L. Do You Know Me? Decomposing Identifiability // TILT Law & Technology Working Paper Series. — 2008. — No 006/2008. — P. 1-23.

8. SupriyadiD. Personal and Non-Personal Data in the Context of Big Data // Tilburg Institute for Law, Technology and Society. — LLM Law and Technology. — 2016/2017. — 60 p.

9. Surblyte G. Data as a Digital Resource // Max Planck Institute for Innovation & Competition Research Paper. — 2016. — No 16-12. — P. 1-39.

10. Yu P. K. Fitting Machine-Generated Data into Trade Regulatory Holes // The Trade in Knowledge: Economic, Legal and Policy Aspects. — Cambridge University Press, 2020. — P. 2-16.

Материал поступил в редакцию 15 октября 2021 г.

REFERENCES (TRANSLITERATION)

1. De Hert P., Gutwirth S. Data Protection in the Case Law of Strasbourg and Luxemburg: Constitutionalisation in Action. Reinventing Data Protection. — Springer, 2009. — 342 p.

2. European protection in good health? / Ed. by S. Gutwirth, R. Leenes, P. De Hert, Y. Poullet. — Springer, 2012. — 363 p.

3. Finck M., Pallas F. They who must not be identified — distinguishing personal from non-personal data under the GDPR // International Data Privacy Law. — Vol. 10. — Iss. 1. — 2020. — P. 1-47.

4. Graef I., Gellert R., Purtova N., Husovec M. Feedback to the Commission's Proposal on a Framework for the Free Flow of Non-Personal Data. — Tilburg University. — 2018. — URL: https://ssrn.com/abstract=3106791 (data obrashcheniya: 15.10.2021). — P. 1-6.

5. Kaburaki Y. Legal Protection for Non-Personal Data in Japan Comparative Perspective with the EU and the U. S. // MIPLC Master Thesis Series, 2017. — 60 p.

6. Manon O. Identifiability and the Applicability of Data Protection to Big Data // International Data Privacy Law, 2016. — P. 1-25.

7. Ronald E. L. Do You Know Me? Decomposing Identifiability // TILT Law & Technology Working Paper Series. — 2008. — No 006/2008. — P. 1-23.

8. Supriyadi D. Personal and Non-Personal Data in the Context of Big Data // Tilburg Institute for Law, Technology and Society. — LLM Law and Technology. — 2016/2017. — 60 p.

9. Surblyte G. Data as a Digital Resource // Max Planck Institute for Innovation & Competition Research Paper. — 2016. — No 16-12. — P. 1-39.

10. Yu P. K. Fitting Machine-Generated Data into Trade Regulatory Holes // The Trade in Knowledge: Economic, Legal and Policy Aspects. — Cambridge University Press, 2020. — P. 2-16.