CC BY
338
гос
ОСНОВНЫЕ КАТЕГОРИИ И ПРАВОВЫЕ ОСНОВАНИЯ
СОВРЕМЕННЫЙ ПОДХОД К ПОНИМАНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ
DOI: http://dx.doi.org/10.14420/ru.2017.5.1
Платонова Наталья Игоревна, кандидат юридических наук, старший преподаватель кафедры правовых основ управления факультета управления и политики Московского государственного института международных отношений (Университет) Министерства иностранных дел Российской Федерации, e-mail: platonovani@gmail.com.
Защита персональных данных в условиях информатизации повседневной жизни человека становится важной задачей государства. Основной проблемой может быть названо отсутствие чётких критериев отнесения сведений о физическом лице к таким данным. Проведённое исследование позволило выделить основные признаки персональных данных, а также провести их классификацию. Полученные выводы могут быть полезны при разработке предложений по совершенствованию соответствующего законодательства.
персональные данные; информация; сведения; специальные персональные данные; общие персональные данные; базовые персональные данные; дополнительные персональные данные; биометрические данные; признаки персональных данных; идентификация; фиксированность персональных данных; физиологические особенности человека; биологические особенности человека; физические особенности человека; поведенческие особенности человека; логин; пароль; IP-адрес; электронный адрес; ИНН; дактилоскопия; фотография; видео-запись; аудио-запись.
«Кто владеет информацией, тот владеет миром»
Н. Ротшильд
В современном мире, мире информационных технологий, защита персональных данных становится важной задачей государства. За послед-
Аннотация.
Ключевые слова:
ние годы мы стали свидетелями нескольких крупных хакерских атак, в результате которых персональные данные физических лиц оказались в открытом доступе. Сложность защиты информации от недобросовестных пользователей связана не только со стремительным развитием технологий, но и с несовершенством законодательной базы. Одной из основополагающих проблем является невозможность чёткого определения той информации, которая может быть отнесена к персональным данным.
В России правовое регулирование персональных данных осуществляется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Отдельные положения закреплены в Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Трудовом, Гражданском, Уголовном кодексах Российской Федерации, Кодексе об административных правонарушениях РФ и иных нормативных правовых актах.
Признаки персональных данных
Легальное определение понятия «персональные данные» содержится в Федеральном законе от 27.07.2006 № 152-ФЗ, где под персональными данными понимается любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных). Такое определение характеризуется низким уровнем формальной определённости, что позволяет отнести практически любую информацию к персональным данным. В этой связи представляется необходимым выделить отличительные признаки соответствующего понятия.
1. Персональные данные являются информацией. В соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» под информацией понимаются сведения (сообщения, данные) независимо от формы их предоставления». Данная легальная дефиниция не разграничивает понятия «сведения», «данные» и «сообщения», рассматривая их как виды информации равные по правовому статусу. Однако разница между ними существует. Так, сведения представляют собой информацию, рассматриваемую в содержательном аспекте, т.е. безотносительно к её восприятию и использованию1. К данным следует относить фиксированные сведения о событиях и явлениях, которые хранятся на определённых носителях. Сообщением является информация, выраженная в определённой форме и подлежащая передаче.
2. Информация относится прямо или косвенно к физическому лицу. К информации, относящейся прямо к физическому лицу могут быть отнесены, например, ФИО, данные ДНК, паспортные данные и др. На основании исключительно косвенной информации, например, данных об обра-
1 Савельев А.И. Комментарий к Федеральному закону от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» (постатейный). М.: Статут, 2015.
зовании, невозможно «определить» человека. Между тем, при наличии совокупности таких данных, а также в случае наличия у оператора сведений, «прямо относящихся к физическому лицу» идентификация личности возможна. Вторым аспектом, на который стоит обратить внимание является то, что персональные данные могут принадлежать исключительно физическому лицу. Интересным в этой связи представляется обращение к опыту правового регулирования института персональных данных в Великобритании. В Акте о защите данных о физических лицах прямо предусмотрено, что определяемое физическое лицо должно быть живым1. В Российском законе подобного указания не содержится. Однако текст главы 3 «Права субъекта персональных данных» Федерального закона «О персональных данных» свидетельствует об аналогичном подходе отечественного законодателя.
3. Цель сбора, хранения и использования персональных данных. Пожалуй, данный признак является наиболее значимым. В определении, содержащемся в законе закреплено, что информация прямо или косвенно относится к «определяемому лицу». Иными словами, указывается цель использования персональных данных - возможность идентифицировать конкретного субъекта. Подчеркнём, что речь идёт именно о «возможности идентифицировать» человека. Таким образом, сама потенциальная возможность определить человека по такой информации, достаточна для обеспечения правовой защитой столь ценную информацию. Необходимо также подчеркнуть, что отдельные виды информации могут одновременно являться и не являться персональными данными в зависимости от целей сбора и использования тех или иных данных. Примером может служить фотография физического лица. Если фотография используется с целью определения физического лица (фотография в паспорте), то она обладает статусом персональных данных. В противном случае такое фотографическое изображение не имеет соответствующей правовой защиты.
4. Фиксированность (закреплённость). Федеральный закон «О персональных данных» не содержит указания на то, относятся ли и, следовательно, подлежат ли правовой защите исключительно данные зафиксированные на определённом носителе. Отсутствие точного на то указания позволяет использовать расширительное толкование. Но насколько это целесообразно? Ведь в таком случае, скажем, слухи также могут попадать под правовую защиту, что едва ли целесообразно. В этой связи представляется интересным обращение к Модельному закону о персональных данных от 16 октября 1999 года, принятая на межпарламентской ассамблее государств-участников СНГ. В данном документе содержится определение персональных данных, где закреплено, что право-
1 Data РгсЛе^юп АС 1998 // Legislation.gov.uk. URL: http://www.legislation.gov.uk/ukpga/1998/29/ contents.
вой защите подлежит исключительно информация, зафиксированная на материальном носителе1. Таким образом, можно говорить, что правовым статусом персональных данных будет обладать закрепленная тем или иным образом информация.
Рассмотренные признаки позволяют более точно относить тот или иной набор данных к числу персональных.
Виды персональных данных
Не менее сложным остаётся вопрос классификации персональных данных. Исследователи проводят классификацию персональных данных по различным основаниям: степени доступа (общедоступные и конфиденциальные), по направлению (специальные и обычные) и т.д. Проведённый анализ действующего законодательства России и ряда зарубежных стран, научной литературы, а также правоприменительной практики, позволил предложить классификацию персональных данных по их содержанию (рис. 1).
Рис. 1. Классификация персональных данных по их содержанию
К первой группе относятся общие данные, позволяющие с наибольшей степенью достоверности определить, идентифицировать человека. Данная категория персональных данных наиболее объёмна. Более того, перечень информации, которая может быть сюда отнесена едва ли может быть исчерпывающим, учитывая стремительное развитие информационных технологий. Однако условно можно выделить две подгруппы соответствующих данных. К первой - «общие - базовые» персональные данные предлагается относить информацию, прямо относящуюся к определённому или определяемому лицу: ФИО, паспортные данные, дата и место рождения, место регистрации и место фактического проживания. Такие сведения позволяют наиболее точно идентифицировать человека. Между тем стоит
1 Модельный закон о персональных данных // Информационный бюллетень. Межпарламентская Ассамблея государств-участников Содружества Независимых Государств. 2000. № 23. С. 315-326.
отметить, что фамилия, имя или отчество обладают статусом персональных данных только в совокупности. Исключением является случаи, когда человек является носителем уникального имени, фамилии или отчества.
Ко второй подгруппе - «общие - дополнительные» можно отнести такие данные, как данные об образовании, семейном, социальном, имущественном положении, о составе семьи, о профессии и занимаемой должности, о выслуге лет и стаже, уровне дохода, льготах, получаемых физическим лицом, о воинском учёте, членстве в профсоюзе и иных НКО, номере водительского удостоверения, номере телефона, данные страхового свидетельства, пенсионного удостоверения и иные. Данная информация о человеке не позволяет его идентифицировать сама по себе, однако при наличии совокупности данных или в купе с общими-базовыми данными, которыми располагает или может располагать оператор, вероятность ошибки при определении физического лица сводится к нулю. Неоднозначным является отнесение к персональным данным адреса электронной почты. Если такой адрес содержит ФИО человека, то он может быть отнесен к персональным данным. В случае, когда он представляет собой набор символов - едва ли он обладает соответствующим статусом.
Интересным представляется отнесение к персональным данным логин и пароль зарегистрированных пользователей на том или ином интернет-ресурсе. Как в России, так и в зарубежных странах позиция по данному вопросу схожа. Сведения о логине и пароле при регистрации на сайте тогда и только тогда могут рассматриваться в качестве персональных данных, когда оператор запрашивает и иную информацию о лице (например, ФИО, дату рождения и т.д.)1. В противном случае логин и пароль представляют собой исключительно комбинацию цифр, букв и символов, что, несмотря на их уникальность, не позволяют определить физическое лицо.
Видится также необходимым отдельно остановиться на вопросе отнесения 1Р-адреса к персональным данным. Он представляет собой уникальный адрес в сети, необходимый для нахождения, передачи и получения информации от одного компьютера к другому.
В России до недавнего времени превалировала позиция, согласно которой 1Р-адреса не относятся к персональным данным. Данная позиция основывалась на том, что 1Р-адрес не позволяет идентифицировать физическое лицо, а лишь информационную систему или устройство, а также местонахождение этого устройства. Московский городской суд 10 ноября 2016 года принял решение, которое по сути признаёт 1Р-адреса как персональные данные2. Стоит отметить, что в ряде зарубежных государств, например, странах-членах ЕС, сложился аналогичный подход3.
1 См., например, Персональные данные // ELiS. URL: http://elibsystem.ru/docs/personal-data.
2 Определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016/ // СПС Консультант плюс. Документ опубликован не был.
3 Munz M., Hickman T., Goetz M. Court confirms that IP addresses are personal data in some cases //
Не менее спорным является отнесение ИНН к персональным данным. Санкт-Петербургский городской суд пришел к выводу, что сам по себе ИНН не содержит никакой личной информации о своём владельце, представляя собой набор цифр1. С данной позицией суда сложно не согласиться. Однако в данном случае речь шла об ИНН как о неком цифровом коде, целью использования которого являлся налоговый учет. Если же целью использования ИНН становится идентификация человека, то такие данные очевидно следует рассматривать как персональные.
Ко второй группе следует отнести специальные биометрические данные, исчерпывающий список которых представлен в Федеральном законе «О персональных данных». К ним относятся: раса, религиозные верования и философские суждения, судимость, национальность, политические взгляды, состояние здоровья, информация об интимной жизни2.
Третью группу составляют биометрические персональные данные. Федеральный закон «О персональных данных» определяет такую информацию как сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором в указанных целях. Рассматриваемая правовая дефиниция не раз подвергалась критике. Законодатель, указывая в определении: «...физиологические и биологические особенности человека», - использовал союз «и», который призван соединять однородные понятия. Между тем, биология является системой наук, изучающих живых существ и их взаимодействие с объектами живой и неживой природы. Одной из наук, входящей в эту систему выступает физиология. Таким образом, очевидно, что «биологические особенности человека» являются более широким понятием, охватывающим «физиологические особенности человека». Ещё одним недочётом анализируемого определения может быть названо отсутствие указания на отнесение поведенческих особенностей человека к биометрическим данным. Тогда как современные технологии позволяют идентифицировать лицо по голосу, по походке, по запаху. Открытым остаётся вопрос и отнесения к биометрическим данным сведения о татуировках, пирсинге, шрамов и т.д. Так как они не могут быть в чистом виде отнесены к биологическим характеристикам человека. Не утихают споры и в отношении отнесения фото и видео изображений человека к биометрическим данным.
Несовершенство российского законодательства затрудняет практику его применения. В целях выработки предложений по совершенствованию российского законодательства в данной области представляется инте-
White & Case. URL: https://www.whitecase.com/publications/alert/court-confirms-ip-addresses-are-person-al-data-some-cases.
1 Апелляционное определение Санкт-Петербургского городского суда от 03.02.2015 № 331644/2015 по делу № 2-3097/2014 // СПС Консультант плюс.
2 Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.
ресным рассмотреть принятый в 2016 году в Европейском союзе Регламент в области регулирования института персональных данных. Указанный документ предусматривает необходимость унификации соответствующего национального законодательства стран-членов ЕС до 2018 года. В рамках настоящего исследования стоит обратить внимание на содержащуюся в акте дефиницию: «биометрические данные - это любые данные, относящиеся к физическим, физиологическим или поведенческим особенностям человека, которые позволяют его однозначно идентифицировать»1. Подобный подход, на наш взгляд, в наибольшей степени отражает сущность соответствующего понятия. Хотя и он не лишён недостатков.
Принимая во внимание вышесказанное, персональные биометрические данные можно классифицировать по их содержанию следующим образом:
1. Сведения о физиологических особенностях человека, обладающие высокой степенью устойчивости (геномная, дактилоскопическая информация, группа крови, строение сетчатки глаза, ушной раковины, геометрия руки и т.д.). Физиологические особенности человека, как указывалось выше, являются частью понятия «биологические особенности человека». Выбор в пользу более узкого представляется обоснованным, потому как защите подлежат лишь данные об индивидуальных, специфических чертах строения и функционирования организма или его составных частей. Именно такие данные позволяют осуществлять идентификацию человека с высокой степенью достоверности.
2. Физические параметры человека, которые имеют меньшую идентификационную значимость в виду меньшей уникальности, устойчивости и более высокой степенью изменчивости. Речь идет о признаках внешнего облика человека, его антропометрических данных (рост, вес, возраст, татуировки, пирсинг, шрамы и т.д.).
3. Поведенческие особенности человека, проявляющиеся в динамике и характерные для подсознательных движений (походка, жестикуляция, мимика, артикуляция, речь, голос и т.д.). В действующем законодательстве России отсутствует указание на то, что такие сведения могут быть отнесены к персональным данным. Между тем, если обратиться к исследованиям в области биометрии, то поведенческие особенности физического лица рассматриваются наряду с физиологическими как основа для идентификации лица. Например, походка человека обладает высокой степенью уникальности.
Рассмотренный подход к пониманию биометрических персональных данных является наиболее проработанным и отвечающим современному уровню развития науки. В этой связи видится целесообразным учесть опыт
1 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of suchdata. URL: http://eur-lex.europa.eu.
европейского союза в области регулирования института биометрических персональных данных и внести соответствующие изменения в Федеральный закон «О персональных данных».
В заключении хотелось бы ещё раз подчеркнуть, что персональные данные представляют собой информацию, на основании которой может быть определено физическое лицо. Однако развитие общественных отношений, а также развитие технологий столь стремительно, что едва ли возможно создать исчерпывающий список сведений, которые следует относить к таким данным. Включение в закон критериев, по которым та или иная информация может быть отнесена к персональным данным, могло бы стать важным шагом на пути совершенствования законодательства и упрощения правоприменения.
Библиографический список
1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Модельный закон о персональных данных [принят в г Санкт-Петербурге 16.10.1999 Постановлением 14-19 на 14-ом пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ] // Информационный бюллетень. Межпарламентская Ассамблея государств-участников Содружества Независимых Государств. 2000. № 23. С. 315-326.
3. Апелляционное определение Санкт-Петербургского городского суда от 03.02.2015 № 33-1644/2015 по делу № 2-3097/2014 // СПС Консультант плюс.
4. Определение Московского городского суда от 10.11.2016 по делу № 3338783/2016/ // СПС Консультант плюс. (Документ опубликован не был).
5. Савельев А.И. Комментарий к Федеральному закону от 27 июля 2006 г № 149-ФЗ «Об информации, информационных технологиях и защите информации» (постатейный). М.: Статут, 2015.
6. Data Protection Act 1998. // Legislation.gov.uk. URL: http://www.legislation. gov.uk/ukpga/1998/29/contents.
7. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data. URL: http://eur-lex.europa.eu.
8. Munz M., Hickman T., Goetz M. Court confirms that IP addresses are personal data in some cases // White & Case. URL: https://www.whitecase.com/ publications/alert/court-confirms-ip-addresses-are-personal-data-some-cas-es.
