ТРАНСГРАНИЧНЫЕ ПОТОКИ ДАННЫХ, ОБЩИЙ РЕГЛАМЕНТ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ И УПРАВЛЕНИЕ ДАННЫМИ Текст научной статьи по специальности «Право»

Вестник международных организаций. 2022. Т. 17. № 1. С. 56-95 Научная статья (перевод) УДК 004.451.5

ао1:10.17323/1996-7845-2022-01-03

Трансграничные потоки данных,

общий регламент защиты персональных данных

и управление данными1

У.Г. Восс

Восс У. Грегори — доцент Тулузской бизнес-школы; Тулуза, Франция; iorj@hse.ru Аннотация

Сегодня трансграничные потоки данных являются важным компонентом международной торговли и элементом моделей цифровых услуг. Однако им препятствуют ограничения на трансграничную передачу персональных данных и законодательство о локализации данных. В статье основное внимание уделяется этим проблемам и влиянию нового законодательства Европейского союза (ЕС) по защите персональных данных — GDPR. Потоки данных обсуждаются в контексте экономической и геополитической ситуации, включая анализ результатов отсутствия международной гармонизации права в этой области. В связи с этим становятся актуальными вопросы пересечения правил и конкуренции стандартов. Затем представлен анализ правовых мер, которые заполнили пробел, связанный с отсутствием международного регулирования и неспособностью гармонизировать право: экстерриториальных законов ЕС (региональное законодательство) и США (законодательство штатов), а также законов о локализации данных Китая и России. Подробно рассматриваются специальные положения в законодательстве ЕС, ограничивающие трансграничную передачу персональных данных, а также международные соглашения, которые сыграли неоценимую роль в обеспечении потоков данных между США и ЕС — сначала «Безопасная гавань», а теперь Privacy Shield. Наконец, исследуется роль управления данными и в контексте ответственности контролеров данных за действия других участников глобальных цепочек поставок в соответствии с законодательством ЕС, и в соответствии с Privacy Shield. Таким образом, статья выходит за рамки анализа непосредственно законодательства и рассматривает соответствующие требования в контексте глобализированного делового мира потоков данных, предлагая компаниям способы улучшения своей позиции по соблюдению требований законодательства во всем мире.

Ключевые слова: трансграничные потоки данных, GDPR, управление данными, законодательство о защите данных, международные соглашения о трансграничных потоках данных

Для цитирования: Восс У.Г. Трансграничные потоки данных, общий регламент защиты персональных данных и управление данными // Вестник международных организаций. 2022. Т. 17. № 1. С. 56—95 (на русском языке). doi:10.17323/1996-7845-2022-01-03

1 Статья В.Г. Восса (W. Gregory Voss ) "Cross-Border Data Flows, the GDPR, and Data Governance" переведена и опубликована с разрешения автора и Washington International Law Journal. Впервые статья издана в Washington International Law Journal (2020, vol. 29, no 3) на английском языке. Режим доступа: https://digitalcommons.law.uw.edu/wilj/vol29/iss3/7.

Перевод выполнен А.В. Шелеповым, с.н.с. Центра исследований международных институтов Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации (РАНХиГС).

I. Введение: экономический и геополитический контекст

«Итак, мы говорим о регулировании, о ОБРЯ, об экстерриториальном охвате, когда в Европе действуют американские компании, а в Калифорнии — компании из Алабамы. ИТ-специалисты признают: "Боже, у нас долги. Я не знаю, где данные"» [АЪигу й а1., 2019, р. 1071].

Крис Торгерсон, директор по информационным технологиям Окриджской национальной лаборатории

Данная статья посвящена трансграничным потокам данных, влиянию на них регулирования Европейского союза (ЕС) по защите данных, роли международных соглашений в этом контексте и вытекающим из этого требованиям к управлению данными. Структура статьи такова: после Введения обсуждаются ограничения на трансграничную передачу персональных данных в законодательстве ЕС, а затем роль международных соглашений — как с точки зрения регулирования трансграничных потоков данных, так и с точки зрения учета определения «адекватности» в понимании ЕС. Затем следует анализ требований к управлению данными в соответствии с ОБРЯ. Исследуемая среда по своей природе является международной, в ней свою роль играют и экономика2, и геополитика, включая вопросы «конкурирующих стандартов»3 или, как выразился один ученый, «транснационального конфликта и взаимозависимости регулирования»4 и «пересечения правил», устанавливаемых экстерриториальными законами5, особенно между США и ЕС.

2 Дж. Коэн (J.E. Cohen) [Cohen, 2019, p. 214—215] описывает экономических субъектов, получающих прибыль от услуг, предоставляемых «через цифровые информационные и коммуникационные сети», заинтересованных в трансграничных потоках данных: «Новые субъекты информационной экономики, получающие прибыль от этих услуг, включая глобальные платформенные компании и фирмы, предоставляющие финансовые услуги, а также любые фирмы, занимающиеся офшорингом таких функций, как поддержка клиентов и предоставление человеческих ресурсов, заинтересованы в определении и контроле собственных глобальных операций способами, которые могут включать передачу данных для обработки, облачное хранение, охватывающее несколько юрисдикций, и трансграничное предоставление услуг конечным пользователям. Потоки данных между сетевыми устройствами — от персональных устройств связи до промышленных датчиков — являются центральной задачей процессов управления Интернетом.

3 Для обсуждения аспекта «конкурирующих стандартов» международного законодательства о конфиденциальности данных см. [Drezner, 2007, p. 103—106] (конкурирующие стандарты обсуждаются так: «...[р]азличные группы стран будут создавать альтернативные наборы регулятивных стандартов, пытаясь ослабить легитимность конкурирующих стандартов»).

4 Шаффер (G. Shaffer) [2000, p. 4] говорит о «транснациональном регулятивном конфликте и взаимозависимости», где поле битвы не является исключительно международным («Война за стандарты конфиденциальности идет не только между Европой и США. Это также гражданская война, которая ведется внутри самих США, а европейское право меняет баланс сил на полях, где сталкиваются группы интересов из США»).

5 Политологи Фаррелл и Ньюман (H. Farrell, A.L. Farrell) [2019, p. 27—28] резюмируют существенные аспекты «пересечения правил» в книге, в которой анализируются локальные и глобальные политические действия различных акторов, таких как многонациональные фирмы, в таком контексте: «Глобализация не характеризуется в первую очередь отсутствием правил и норм. Скорее, процесс обеспечения открытости — в торговле, финансах, производстве и информации — порождает ряд накладывающихся друг на друга притязаний на влияние со стороны местных и международных акторов. О важности пересечения правил свидетельствуют продолжающиеся глобальные споры в таких разнообразных областях политики, как антимонопольное законодательство, налогообложение, банковский надзор и конфиденциальность данных».

Фаррелл и Ньюман применяют свою аналитическую основу «нового подхода взаимозависимости» (NIA), «чтобы объяснить динамику мировой политики в эпоху глобализации», сосредотачиваясь на процессах и динамике в мировой политике [Farrell, Newman, 2019, p. 26]6. Аналогичным образом Шаффер обсуждает процесс использования стандартов конфиденциальности данных для получения преимуществ в рамках действий различных субъектов [Shaffer, 2000, p. 4]7. Хотя эти исследования не лежат в основе данной статьи, они обеспечивают базовое понимание и показывают динамический эффект действий различных заинтересованных сторон, таких как правительства, торговые ассоциации, сторонники идей конфиденциальности данных, помогая объяснить, почему международная торговля данными находится в положении, описанном в настоящей статье, и понять последствия для международных цепочек поставок, основанных на данных. В настоящем Введении демонстрируется растущая важность трансграничных потоков данных, затем обсуждаются отсутствие гармонизации законодательства о конфиденциальности данных и различные модели регулирования со стратегическим эффектом и, наконец, определяются цели статьи.

A. Растущее значение трансграничных потоков данных

Трансграничные потоки данных описываются как способствующие торговле «признаки глобализации XXI в.» [Manyika et al., 2016, p. 30] и как «соединительная ткань, скрепляющая мировую экономику» [Lund et al., 2019, p. 25]. По одной из оценок, трансграничные потоки данных прибавили 2,8 трлн долл. к мировому ВВП в 2014 г. [Ibid., p. 74]. Они включают потоки как личной, так и профессиональной информации, а также потоки цифрового мультимедийного контента [Manyika, 2016, p. 32]. Два правительственных агентства в составе Министерства торговли США — Управление экономики и статистики и Национальное управление по телекоммуникациям и информации — распределяют такие потоки по четырем категориям. Таким образом, обеспечивая детализацию, они не ссылаются конкретно на личные данные, которые предоставляются для получения того, что они описывают как «рыночную цену в размере ноль долларов США». Указанные категории включают:

1) некоммерческий трафик данных, в том числе правительственную и военную связь;

2) потоки данных о транзакциях между покупателями и продавцами по рыночной цене, включая прямые сделки между покупателями и продавцами, например, в он-лайн-банкинге или рекламе, а также транзакции в сфере услуг, которые включают цифровые платформы, выступающие в качестве посредников между покупателями и продавцами;

3) обмен коммерческими данными и услугами между фирмами или другими связанными сторонами или внутри них по нулевой рыночной цене, включая информацию о цепочках поставок, персонале или дизайне;

6 Особенно актуально для читателя обсуждение Фарреллом и Ньюманом политических действий в связи с различными вопросами конфиденциальности данных и пересечение правил в сфере безопасности.

7 Утверждается, что в целях избежания торгового конфликта регулирующие органы США продвигают усиленное «саморегулирование» конфиденциальности данных компаниями. Чтобы избежать ограничений ЕС на передачу данных, компании США внедряют новые внутренние методы обеспечения конфиденциальности данных с учетом критериев ЕС. Благодаря огласке Директивы ЕС американские сторонники конфиденциальности требуют от компаний принятия более строгих внутренних методов, а от законодателей — принятия дополнительных законов.

4) цифровые данные и услуги, предоставляемые конечным пользователям и ими по рыночной цене 0 долл. США, включая бесплатную электронную почту, результаты поиска, карты и услуги по построению маршрутов, а также передачу информации через социальные сети [U.S. Department of Commerce, 2016, p. 3]. Кроме того, интернет-посредники, которые «получили большую часть ценности от сбора персональных данных, когда субъекты данных получили доступ» [Voss, 2017, p. 472] к ним, предоставляют трансграничные «бесплатные» цифровые услуги, например, относящиеся к четвертой категории из указанных выше. По оценкам, эти услуги внесли вклад от 240 млрд до 3,2 трлн долл. США в торговлю услугами в 2017 г. [Lund, 2019, p. 51]8.

Такие потоки повсеместны, а с развитием Интернета вещей (IoT) будут осуществляться огромные объемы международной передачи данных без вмешательства человека [Kuner, 2013, p. 3]. Они позволяют малым и средним предприятиям (МСП) расширять свой бизнес по всему миру и получать доступ к цифровым онлайн-сервисам, которые могут помочь им повысить производительность [Meltzer, 2014, p. 3]. Однако национальные (и региональные) субъекты не обеспечили гармоничного регулирования этих потоков или, в более общем смысле, конфиденциальности данных.

B. Отсутствие международной гармонизации права и различия моделей регулирования со стратегическим эффектом

Глобализация торговли цифровыми данными и услугами не сопровождалась ни общей гармонизацией интернет-права [Voss, 2019, p. 408], ни подлинной конвергенцией законов о защите данных и конфиденциальности данных. Этот факт иллюстрируется расхождением между двумя крупными западными блоками: США и ЕС [Ibid., p. 408]. Это расхождение существует, несмотря на растущее влияние модели защиты данных ЕС во всем мире [Ibid., p. 458], связанное с недавним принятием Общего регламента по защите данных (GDPR) [2016]. Кроме того, в трансатлантическом контексте существуют определенные препятствия для гармонизации законодательства о конфиденциальности данных между ЕС на региональном уровне и США на федеральном уровне [Voss, 2019, p. 431—542]9.

Существуют трансатлантические различия. Но в международном масштабе также существуют различные правовые стандарты, используемые в рамках управления Интернетом, возможно, в стратегических целях. Китай, помимо других целей, использует регулирование, инновации и внешнюю политику, чтобы получить большее влияние в системе управления Интернетом. В то же время его граждане мало чего ожидают в плане конфиденциальности от правительства (хотя, возможно, и больше со стороны бизнеса) [Segal, 2018, p. 10]. Китай стремится к «киберсуверенитету» и принял модель

8 Разница между двумя числами объясняется следующим образом: «Нижняя оценка основана на ценах-субститутах, тогда как более высокая основывается на показателях готовности потребителей платить за определенные услуги. Этот очень широкий диапазон отражает неопределенность в отношении того, сколько потребители будут платить за набор бесплатных цифровых услуг, которые они потребляют, а также в отношении бизнес-моделей и пакетных услуг, которые могли бы появиться, если бы компании взимали плату за эти услуги. Реальный показатель, вероятно, находится где-то между этими двумя оценками. Однако в любом случае это значительное дополнение к глобальным потокам торговли услугами».

9 Эти препятствия описываются как неолиберализм США и политика невмешательства, лоббирование и различные конституционные положения по обе стороны Атлантики. См. [Voss, 2019, p. 431-452].

регулирования Интернета, которая делает акцент на национальных интересах, а не на корпоративных [Segal, 2018, p. 11—12]. Таким образом, регулирование Интернета имеет стратегическое значение.

Европа, приняв GDPR, также поставила перед собой стратегическую цель — создать онлайн-доверие в сфере цифровых услуг, необходимое для укрепления экономик ЕС [Dixon, 2018, p. 28, 30], и законодательство, которое приобретает практически евангельский вид, как в высказывании Хелен Диксон, главы надзорного органа Ирландии [DPC, n. d., a]10 — страны, в которой расположены основные организационные единицы в ЕС многих интернет-гигантов США11:

ЕС открыл новую главу в истории Интернета, создав план, который другие государства и организации будут внимательно изучать, поскольку они также стремятся должным образом сбалансировать права отдельных лиц на защиту данных с другими их правами и законными интересами бизнеса и правительства. Правительства стран мира должны начать сближение в части законов о защите данных, в идеале опираясь на GDPR. В противном случае выиграют авторитарные режимы и недобросовестные технологические гиганты, а проиграют демократические государства и простые люди [Dixon, 2018, p. 28-29].

Хорана и Восс описывают европейскую Стратегию единого цифрового рынка, важным элементом которой является GDPR, как способную «восприниматься как неотъемлемая часть возможностей Европы проявлять свою рыночную власть. Экстер-нализируя рыночную социальную и экономическую политику и меры регулирования, ЕС, по сути, конкурирует с другими торговыми партнерами в экспорте своих стандартов на международном уровне и в определении международных стандартов» [Khorana, Voss, 2018, p. 389].

Используя термин «эффект Брюсселя», Ану Брэдфорд описывает ЕС как институт, устанавливающий глобальные правила в ряде областей регулирования: антимонопольном законодательстве, конфиденциальности, охране здоровья (через регулирование оборота химических веществ), защите окружающей среды и безопасности пищевых продуктов [Bradford, 2012]. Сфера защиты конфиденциальности [Ibid., p. 22-26], где, по словам Брэдфорда, Европа задает тон [Ibid., p. 22], является центральной для данной статьи. Брэдфорд считает, что законодательство ЕС в этой области влияет на зако-

10 Комиссия по защите данных (DPC) — это надзорный орган Ирландии, определяемый как «независимый государственный орган, созданный государством-членом в соответствии со ст. 51» GDPR [2016, art. 4(21)]. В просторечии надзорные органы иногда называют «органами по защите данных» или «ОЗД». Структуру DPC во главе с Хелен Диксон (в качестве уполномоченного по защите данных) можно увидеть на веб-сайте Комиссии. См. DPC [n. d., b].

11 Ирландия «является европейской штаб-квартирой жадных до данных компаний, включая Airbnb, Apple, Facebook, Google, Twitter и Microsoft, которой принадлежит LinkedIn» [Satariano, 2018]. Надзорный орган государства-члена, в котором расположено основное учреждение контролера деятельности по обработке данных в ЕС, действует в качестве ведущего надзорного органа для этой компании [GDPR., art. 56(1)]. «Контролер» — это «физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных» [Ibid., art. 4(7)]. «Основной организационной единицей» контролера является, для контролеров с присутствием более чем в одном государстве — члене ЕС, «местоположение его центральной администрации в ЕС, а если решения о целях и средствах обработки персональных данных принимаются в другой организационной единице контролера в ЕС и данная единица имеет право требовать исполнения таких решений, то основной организационной единицей считается единица, принимающая такие решения» [GDPR, art. 4(16)(а)]. Таким образом, для каждой из крупных компаний, перечисленных в этой сноске, ирландский DPC, вероятно, является ведущим надзорным органом.

ны территорий за пределами его границ, за исключением США [Bradford, 2012]. Более того, несмотря на различия с законодательством США, законодательство ЕС в области конфиденциальности влияет на деловую практику американских фирм посредством судебных исков против них в судах ЕС [Ibid., p. 23]12 либо за счет принятия фирмами политики конфиденциальности, соответствующей законодательству ЕС [Ibid., p. 24], или вследствие добровольного обязательства соблюдать принципы международных соглашений между ЕС и США, таких как Рамочное соглашение «Безопасная гавань» для трансграничной передачи данных [Ibid., p. 24-25].

В США Интернет с ранних этапов развития получал значительные выгоды — как в финансовом плане, так и с точки зрения его нормативно-правовой базы — от правительства, в частности, за счет государственных субсидий и политики «открытого и свободного Интернета» [Kornbluh, 2018, p. 33]13. Политические решения в регулировании телекоммуникаций и раздел 230 Закона о благопристойности в коммуникациях, исключающий ответственность интернет-посредников за контент третьих лиц, также помогли сформировать среду для развития интернет-компаний США [O'Mara, 2018, p. 330]14. Это существенно снизило риски для Кремниевой долины с точки зрения возможных правонарушений и ответственности за соблюдение авторских прав в отношении такого контента [Chander, 2014, p. 642]. Более того, исторически Кремниевая долина почти не регулировалась в плане конфиденциальности данных, а нормы в отношении правонарушений, связанных с конфиденциальностью, мало помогают в защите личной ин-формации15. Таким образом, существуют значительные различия между американским подходом невмешательства, акцентом ЕС на личных правах и фокусом Китая на национальных интересах.

12 Это влияние было отмечено несколькими годами ранее Грегори Шаффером [2000, р. 4]. Он считает, что «в глобализирующейся экономике европейское регулирование забрасывает сети на территории шире, чем Европа».

13 См. также R. Radu [2019, р. 61]. «В дополнение к устойчивому финансированию со стороны Министерства обороны и Национального научного фонда развитию Интернета в американском контексте способствовала идеология минимального государственного вмешательства, доминировавшая в то время. В 1988 г. Федеральная комиссия по связи (FCC) создала специальную категорию «услуги с добавленной стоимостью», в результате чего компьютерная информация практически не регулировалась правительством».

14 Первоначально Закон о благопристойности в коммуникациях (CDA) рассматривался в суде, при этом наиболее ограничительные положения CDA были признаны недействительными, но раздел 230 остался, что позволило CDA иметь «огромное влияние... освобождающее веб-платформы от ответственности за контент на их сайтах, загруженный третьими лицами, решение Верховного суда стало не только крупной победой для технологических компаний эпохи доткомов, но и крупной победой для платформ-гигантов в области социальных медиа впоследствии». См. Kornbluh [2018, р. 34] и Radu [2019, р. 84]. («США первыми ввели защиту от ответственности для онлайн-платформ и зарекомендовали себя как убежище для интернет-услуг, привлекая большинство поставщиков. Результатом этой благоприятной правовой среды стало превращение Кремниевой долины в крупный центр инноваций в области высоких технологий».)

15 По словам профессора Чандера [Ibid., р. 664-665], «закон о конфиденциальности США предлагает ограниченные барьеры для американских интернет-предпринимателей. Каждый из хваленых деликтов о конфиденциальности по общему праву довольно узок по своему охвату и в основном бесполезен для пользователей Интернета, обеспокоенных защитой личной информации. Деликты не очень хорошо подходят для решения типичной проблемы конфиденциальности в отношении социальных сетей, мало что делают для предотвращения использования личной информации для маркетинга или дальнейшего обмена личной информацией неожиданным образом. Законодательная защита остается довольно узкой».

Хотя существует мнение, что конкуренция в области регулирования может привести к повышению его уровня до глобальных стандартов [СИапёег, 2013, р. 167]16, между национальным законодательством Китая, региональным законодательством ЕС и федеральным законодательством США отсутствует согласованность17. Более того, США рассматривают определенные типы иностранных законов, такие как упомянутые выше, действующие в Китае и ЕС, как барьеры или препятствия для цифровой торгов-ли18. Этого можно было ожидать, учитывая американскую политику невмешательства19.

С. Цели

Важность международной торговли данными быстро повышается — как с точки зрения объема потоков данных, так и с точки зрения их финансовой ценности. На фоне развития этого элемента глобализации страны не гармонизировали законы о конфиденциальности данных, в результате чего существует несколько различных моделей управления со стратегическим эффектом. Целью данной статьи является информирование компаний не только о сложностях, с которыми они столкнутся в контексте трансграничных потоков данных, но и о том, как требования и передовой опыт в области управления данными ограничены влиянием законов ЕС о защите данных и связанных с ними международных соглашений. Статья также призвана побудить компании к рассмотрению трансграничных потоков данных как части международной цепочки поставок персональных данных и помочь им осознать важность управления такими цепочками поставок в соответствии с законодательством о защите данных.

II. Законодательные меры: законы о конфиденциальности данных с экстерриториальным действием; законы о локализации данных

Национальные государства и регионы не предприняли действий для обеспечения международной гармонизации законодательства о конфиденциальности данных, приняв различные модели регулирования со стратегическим эффектом. ЕС и некоторые

16 Несколькими годами ранее Грегори Шаффер предсказал ужесточение стандартов США в результате принятия законодательства ЕС. См. Shaffer [2000, p. 80]. («Тем не менее конфликт между США и ЕС по поводу защиты конфиденциальности данных демонстрирует, что в условиях глобализации экономики уровень социальной защиты в США не обязательно снижается».)

17 Об отсутствии согласования между федеральным законодательством США и законодательством ЕС см. Voss [2019, р. 417—427]. Более раннее исследование, сравнивающее китайский режим с европейским, показало, что «оценка режима защиты данных в Китае была бы невыполнимой задачей, потому что... его не существует» [de Hert, Papakonstantinou, 2015, p. 24]. Ср., однако, с L. Lucas [2018] (цитируются слова адвоката Ричарда Бёрда о том, что Китай «в некоторых отношениях является страной, которая самым непосредственным образом приняла GDPR, но очень по-китайски», включая требование локализации данных и формирование системы социальных кредитов, основанной на личных данных).

18 Эти барьеры или препятствия были классифицированы по следующим категориям: барьеры локализации, конфиденциальность и защита данных, проблемы, связанные с интеллектуальной собственностью, онлайн-цензура и традиционные препятствия. ЕС особо упоминается в категории конфиденциальности и защиты данных. См. USITC [2013, p. xxi].

19 Обсуждение американской политики невмешательства и неолиберализма см. в: Voss [2019, p. 432-436].

страны приняли законодательство, которое влияет на международный бизнес и потоки данных за пределами их границ.

A. Законы о конфиденциальности данных

с экстерриториальным действием: GDPR и другие

Законы о конфиденциальности данных с экстерриториальным применением приняты или находятся в стадии принятия в разных регионах мира, в частности в Европе (GDPR)20 и в США (законодательство штатов).

1. Экстерриториальное действие GDPR

GDPR ЕС применяется в случае обработки21 персональных данных22 и соблюдения соответствующих материальных и территориальных положений.

Материальная сфера действия GDPR включает обработку персональных данных, по крайней мере частично, с помощью автоматизированных средств либо данных, формирующих часть системы данных или предназначенных для того, чтобы стать ее частью [Ibid., p. 2(1)]23. Однако Регламент не распространяется на обработку данных в ходе действий, не входящих в сферу применения права ЕС [Ibid., p. 2(2)(а)], например, деятельности, связанной с национальной безопасностью [Ibid., recital (16)]. Он также не распространяется на деятельность государств-членов, «связанную с общей внешней политикой и политикой безопасности» ЕС [Ibid., p. 2(2)(b), recital (16)]. Кроме того, Регламент не охватывает обработку персональных данных «физическим лицом в рамках исключительно личной или бытовой деятельности» [Ibid., p. 2(2)(с)]24. Обработка дан-

20 Относительно экстерриториального действия GDPR см. [Houser, Voss, 2018a, p. 60—63].

21 Персональные данные широко определяются в GDPR как «любая информация, относящаяся к "субъекту данных", то есть идентифицированному или поддающемуся идентификации физическому лицу; поддающееся идентификации физическое лицо — это лицо, которое можно прямо или косвенно идентифицировать, в частности, посредством ссылки на идентификатор: имя, идентификационный номер, данные о местоположении, онлайновый идентификатор, либо на один или несколько факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица» [GPDR, 2016, art. 4(1)]. Важно, что субъект данных не обязательно должен быть идентифицирован данными, а может быть потенциально идентифицируемым. Примером могут служить динамические адреса интернет-протокола (IP), которые при определенных обстоятельствах могут считаться персональными данными в ЕС, даже если они не идентифицируют напрямую субъекта данных, но при этом его или ее может идентифицировать с их помощью, например, интернет-провайдер или компетентный орган. См. [Houser, Voss, 2019, p. 318-320].

22 «Обработка» также широко определяется в GDPR как «любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, запись, организацию, структурирование, накопление, хранение, адаптацию или изменение, загрузку, просмотр, использование, раскрытие посредством передачи, распространение или иной вид предоставления доступа, сопоставление или комбинирование, сокращение, удаление или уничтожение» [GDPR, 2016, art. 4(2)].

23 «Система данных» — «это упорядоченный набор персональных данных, доступных по определенным критериям, независимо от того, является ли этот набор централизованным, децентрализованным или распределенным функционально либо географически» [Ibid., art. 4(6)]. Однако «файлы или наборы файлов, а также их титульные страницы, которые не структурированы в соответствии со специальными критериями, не должны подпадать под действие настоящего Регламента» [Ibid., recital (15)].

24 Это относится к обработке, не связанной с профессиональной или коммерческой деятельностью, и такая обработка может включать «переписку и хранение адресов, или взаимодействие в со-

ных компетентными органами для «предотвращения, расследования, выявления или судебного преследования уголовных преступлений или исполнения уголовных наказаний, включая предотвращение и защиту от угроз общественной безопасности», регулируется другим правовым актом и, следовательно, исключается из сферы действия GDPR [Ibid., p. 2(2)(d)]25. Кроме того, обработка персональных данных учреждениями ЕС также регулируется другим законодательным актом и исключается из сферы действия Регламента26. GDPR обеспечивает защиту физических лиц «независимо от их национальности или места жительства» в отношении обработки их личных данных. Однако обработка персональных данных, касающихся юридических лиц, «включая название и форму юридического лица, а также контактные данные юридического лица», не подпадает под действие GDPR [Ibid., recital 14], равно как и обработка персональных данных умерших лиц [Ibid., recital 27]27.

Любопытно, что территориальный охват GDPR простирается за пределы ЕС. Во-первых, GDPR применяется к обработке персональных данных «в контексте деятельности организационной единицы контролера или процессора в <Европейском союзе>, независимо от того, происходит ли обработка в <Европейском союзе> или нет» [Ibid., p. 3(1)]. Хотя GDPR определяет термин «основная организационная единица» [Ibid., p. 4(16)]28, он не дает определения самого понятия «организационная единица», хотя преамбулы отчасти решают эту проблему. В них организационная единица описывается как подразумевающая «эффективное и реальное осуществление деятельности постоянных структур. Правовая форма таких структур, будь то филиал или правосубъектное дочернее предприятие, при этом не является определяющим фактором» [Ibid., recital (22)]29. Основываясь на преамбулах, Восс и Вудкок описывают «организационную единицу» как «место, где происходит «эффективное и реальное осуществление деятельности» контролером, который имеет «необходимые человеческие и технические ресурсы» для предоставления определенных услуг посредством «постоянных структур» [Voss, Woodcock, 2016, p. 224]30. Прецедентное право Суда Европейского союза (СЕС) может оказаться полезным для толкования части этого положения, требующей определения того, вовлечено ли в процесс учреждение из ЕС или нет, даже когда прецедент связан с предшественницей GDPR, Директивой 1995 г. Однако для определения того, осуществляется ли обработка в связи с деятельностью такой организационной едини-

циальных сетях и онлайн-операции, осуществляемые в контексте такой деятельности». Однако профессиональные или коммерческие организации, предоставляющие средства для такой обработки, будут подпадать под действие GDPR [Ibid., recital (18)].

25 Этим правовым актом является Директива (Еи) 2016/680 Европейского парламента и Совета [Ibid., recital (19)].

26 Другим законодательным актом является Регламент (ЕС) № 45/2001 [Ibid., art. 2(3)].

27 Настоящий Регламент не применяется к персональным данным умерших лиц. Государства-члены вправе принять нормы, касающиеся обработки персональных данных умерших лиц.

28 Для контролера, обладающего организационными единицами в более чем одном государстве — члене ЕС — «местоположение его центральной администрации в ЕС, а если решения о целях и средствах обработки персональных данных принимаются в другой организационной единице контролера в ЕС и данная единица имеет право требовать исполнения таких решений, то основной организационной единицей считается единица, принимающая такие решения» [Ibid., recital (18)].

29 «Организационная единица подразумевает эффективное и реальное осуществление деятельности постоянных структур. При этом правовая форма таких структур, будь то филиал или правосубъектное дочернее предприятие, не является определяющим фактором» [Ibid., recital (18)].

30 Хотя Восс и Вудкок ссылались на Директиву 1995 г., то же самое значение может применяться к термину «организационная единица», используемому в GDPR.

цы или нет, необходим анализ каждого конкретного случая [Jerker, Svantesson, 2020, p. 87]31.

Например, одно дело, рассмотренное в соответствии с Директивой 1995 г., дает представление о направленности решений в соответствии с данной концепцией организационной единицы. В широко известном деле Google Spain [Case C-131/12, 2014] Марио Костеха Гонсалес подал жалобу в испанский надзорный орган, чтобы добиться удаления веб-страниц испанской газеты La Vanguardia, посвященных принудительной продаже недвижимости для удовлетворения требований по долгам перед системой социального обеспечения за несколько лет до этого. Кроме того, он добивался исключения результатов поиска, включающих такие страницы, из поисковой системы Google [Voss, 2014a, p. 3-4]. В этом случае СЕС определил, что Google Spain SL является организационной единицей Google Inc. в Испании. Суд также установил, что американская компания подпадала под действие Директивы 1995 г., поскольку деятельность ее испанской организационной единицы, включая рекламу, обеспечивала финансирование поисковой системы американской компании [Ibid., p. 4]32. В отношении последующего дела Велтиммо [Case C-230/14, 2015] Европейский совет по защите данных (EDPB) резюмировал решение СЕС о том, что «понятие организационной единицы распространяется на любую реальную и эффективную деятельность, даже минимальную, осуществляемую посредством постоянных структур» (то есть порог для «постоянных структур» довольно низок) [EDPB, 2019a, p. 6].

Далее, и, возможно, еще более примечательно, GDPR применяется к определенным компаниям, даже если они не имеют организационных единиц в ЕС. Статья 3(2) предусматривает следующее:

Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в ЕС, контролером или процессором, не имеющими организационной единицы в ЕС, если процессы обработки данных касаются:

(a) предложения товаров и услуг субъектам данных, находящимся в ЕС, независимо от того, требуется ли от них оплата, или нет;

(b) мониторинга их поведения, если такое поведение происходит в ЕС [GDPR, 2016, p. 3(2)].

Кроме того, если контролер зарегистрирован в ЕС, но в соответствии с международным публичным правом применяется законодательство государства — члена ЕС, то также применяется GDPR [Ibid., p. 3(3)]. Если контролер или процессор не имеет организационной единицы в ЕС, но на него распространяется GDPR в силу ст. 3(2), он должен в письменной форме назначить представителя в ЕС [Ibid., p. 27(1)], если не применяется исключение [Ibid., p. 27(2)]33. Этот представитель должен быть учрежден в одном из государств-членов, где находятся субъекты данных, чьи данные обрабатыва-

31 Европейский совет по защите данных также предоставляет примеры анализа различных дел в соответствии со ст. 3(1). См. EDPB [2019a, p. 5—13].

32 Обратите внимание, что "SL" в названии подразделения Google Spain SL относится к его корпоративной форме — sociedad limitada. См. Real Decreto 1784/1996 [art. 177(1)]. Sociedad limitada является одной из двух самых популярных форм коммерческих компаний в Испании для ведения бизнеса, наряду с sociedad anónima [de las Heras, 2010, p. 106].

33 Исключение будет применяться, если обработка носит нерегулярный характер, не включает обработку в большом масштабе специальных категорий данных или данных, касающихся судимостей и правонарушений, и «с малой долей вероятности может... привести к риску для прав и свобод физических лиц», или контролером или процессором является государственный орган или учреждение.

ются [Ibid., p. 27(3)]34. Субъекты данных и надзорные органы могут обращаться к этому представителю либо наряду, либо вместо контролера или процессора [Ibid., p. 27(4)].

Исключения возможны в тех случаях, когда обработка носит эпизодический характер и не включает широкомасштабную обработку конфиденциальных данных (то есть данных особых категорий) или данных, касающихся уголовных преступлений, и «маловероятно, что обработка может привести к риску для прав и свобод физических лиц» принимая во внимание ее характер, контекст, масштаб и цели» [Ibid., p. 27(2)(a)], или если контролером или процессором данных является государственное учреждение или орган [Ibid., p. 27(2)(b)].

Однако ЕС — не единственная юрисдикция с законом о защите данных, имеющим экстерриториальное действие. Далее в статье рассматривается действующее и предлагаемое законодательство штатов США с экстерриториальным действием.

2. Экстерриториальное действие нового

и предлагаемого законодательства штатов США

Далее рассматриваются новые и предлагаемые законы штатов США, имеющие экстерриториальное действие, включая Калифорнийский закон о конфиденциальности потребителей и предлагаемый Вашингтонский закон о конфиденциальности.

а. Закон штата Калифорния о конфиденциальности потребителей

В 2018 г. был принят Закон штата Калифорния о конфиденциальности потребителей [CCPA, 2020].

Закон описывался как первый шаг к предоставлению потребителям в Калифорнии прав, аналогичных правам европейцев [le Stujon, 2020, p. 41]35. CCPA применяется ко многим предприятиям, не имеющим физического присутствия в Калифорнии, при условии, что они соответствуют определенным пороговым значениям и ведут бизнес в этом штате (в их число могут быть включены и предприятия, которые осуществляют коммерческую деятельность только через Интернет), в результате чего можно сказать, что закон имеет экстерриториальное действие [Illman, Temple, 2020, p. 1640]36. Определение «предприятие» включает юридические лица, которые функционируют «для

34 «Представитель должен базироваться в одном из государств-членов, где находятся субъекты данных, чьи персональные данные обрабатываются в связи с предложением товаров или услуг, или чье поведение наблюдается».

35 «Калифорнийский документ представляет собой начало широкого осознания в США необходимости защиты личных данных граждан в эпоху цифровых технологий. Это первый шаг к обеспечению преемственности GDPR».

36 Хотя экстерриториальный охват не является новой концепцией конфиденциальности, CCPA менее четко определяет его географические границы, чем некоторые другие правила конфиденциальности. Например, GDPR прямо применяется к обработке персональных данных в контексте деятельности в ЕС, независимо от того, происходит ли обработка в ЕС. С другой стороны, хотя широкое определение «бизнеса» в CCPA не ограничивает его местом регистрации или физическим присутствием, закон также прямо не применяется к компаниям за пределами Калифорнии. Однако, учитывая приведенное выше определение «ведения бизнеса», в результате CCPA будет иметь экстерриториальное влияние на компании, которые не имеют физического присутствия в Калифорнии [Ibid., p. 1640-1641]. Одна юридическая фирма предупреждает своих клиентов из Великобритании, что «сфера действия CCPA выходит за пределы Калифорнии и США; он может применяться к предприятиям, базирующимся в Великобритании, в зависимости от уровня взаимодействия с жителями Калифорнии и их личной информацией» [Timmons, Chabinsky, Pittman, 2020]; см. также L. Determann [2018]: «С 1 января 2020 г. компании по всему миру должны соблюдать дополнительные правила, связанные с обработкой персональных данных жителей Калифорнии».

получения прибыли» и собирают личную информацию потребителей (в соответствии с широким определением CCPA), либо такая информация собирается от их имени, при том что они самостоятельно определяют или участвуют совместно со сборщиком информации в определении целей и средств обработки такой информации [Ibid., р. 1638-1639]37. Для применения CCPA предприятия должны соответствовать одному или нескольким из следующих пороговых значений:

a) иметь годовую валовую выручку, превышающую 25 млн долл. США, скорректированную в соответствии с п. (5) подраздела (а) раздела 1798.185;

b) ежегодно покупать, получать для коммерческих целей, продавать или передавать в коммерческих целях, самостоятельно или совместно с другими юридическими лицами, личную информацию 50 тыс. или более потребителей, домохо-зяйств или устройств;

c) получать 50% или более своей годовой выручки от продажи личной информации потребителей [CCPA, 2020 §1798.140(c)(1)].

Таким образом, при достижении хотя бы одного из вышеуказанных пороговых значений CCPA применяется к предприятиям, описанным выше, даже если они не имеют физического присутствия в Калифорнии.

b. Предлагаемый Закон о конфиденциальности штата Вашингтон

Хотя на данном этапе это всего лишь законопроект, штат Вашингтон также рассматривает предложение по нормам конфиденциальности данных с экстерриториальной сферой действия — Второй замещающий законопроект Сената 6281 [2020], кратко называемый «Вашингтонский закон о конфиденциальности» [Ibid., §1]. Предлагаемый Вашингтонский закон о конфиденциальности будет применяться к юридическим лицам, которые ведут бизнес в штате Вашингтон или «производят товары или услуги, предназначенные для жителей Вашингтона» [Ibid., §4(1)], при условии соблюдения одного или нескольких из следующих условий:

a) в течение календарного года контролирует или обрабатывает персональные данные 100 тыс. или более потребителей;

b) получает более 50% валовой выручки от продажи персональных данных и обрабатывает или контролирует персональные данные 25 тыс. потребителей или более [Ibid., §4(1)(a)—(b)].

Интересно отметить, что влияние GDPR упоминается в законодательных выводах Вашингтонского закона о конфиденциальности:

Общий регламент ЕС о защите данных продолжает влиять на политику конфиденциальности данных и практику тех компаний, которые конкурируют на мировых рынках. В связи с отсутствием федеральных стандартов Вашингтон и другие штаты США анализируют элементы GDPR, чтобы ввести в действие нормативные меры по защите конфиденциальности данных на уровне штатов [Ibid., §2(3)].

Таким образом, ЕС и некоторые штаты США приняли или принимают законы о конфиденциальности данных с экстерриториальным действием, расширяя сферу действия своего законодательства за пределы собственных границ. Штаты США находят-

37 Требование о том, чтобы компании определяли цели и средства обработки, почти соответствует определению «контролера» в GDPR, заменяя «персональные данные» на «персональную информацию потребителей» [GDPR, 2016, art. 4(7)].

ся под влиянием GDPR. При этом дополнительную сложность создают другие страны, которые приняли законы о локализации данных.

B. Законы о локализации данных

Применяя другой подход, некоторые страны решают вопрос регулирования потоков данных, вводя требования к локализации данных. Особенно это касается Китая и России.

1. Закон Китая о кибербезопасности

Китай ввел требование о хранении данных в пределах своих границ для компаний [Segal, 2018, p. 12]. Отражая приоритет, отдаваемый локализации Пекином, ст. 37 Закона о кибербезопасности, который вступил в силу 1 июня 2017 г. [Sacks, 2017], гласит:

Операторы критической информационной инфраструктуры, которые собирают или производят личную информацию или важные данные во время операций на материковой территории КНР, должны хранить их [Ibid.]. Если из-за потребностей бизнеса действительно необходимо делать это за пределами материка, они должны следовать мерам, совместно сформулированным государственными органами по кибербезопасности и информатизации и соответствующими департаментами Государственного совета, для проведения оценки безопасности; если законами и административными положениями предусмотрено иное, необходимо следовать им [Creemers, Triolo, Webster, 2018]38.

Юйси Вэй утверждает, что принятие этих положений о локализации данных следует рассматривать как указание на то, что «все иностранные компании обязаны сотрудничать с китайскими центрами обработки данных в части хранения данных» [Wei, 2018].

Закону Китая предшествовал закон его крупного евразийского соседа — России. а. Российский закон о локализации данных

Другие страны, помимо Китая, также приняли требования к локализации персональных данных. В частности, в России принят закон, требующий, чтобы все базы, в которых хранятся персональные данные российских граждан, физически находились в России [Ibid.]. Он предусматривает:

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пп. 2, 3, 4, 8 ч. 1 ст. 6 настоящего Федерального закона [Федеральный закон № 242-ФЗ, 2014].

В определенной степени раскрытие Эдвардом Сноуденом программ массовой слежки Агентства национальной безопасности США мотивировало призывы к введению таких требований [Hon, 2017, p. xii]39, как и продвижение работы по принятию

38 Этот текст взят из неофициального перевода Закона о кибербезопасности Китая, предоставленного аналитическим центром New America.

39 «Призывы к новым и более строгим законам о локализации данных были вызваны, в частности, разоблачениями Эдварда Сноудена в 2013 г. («разоблачения Сноудена») о массовом сборе и пере-

GDPR [Voss, 2014b, p. 20]40. Более того, В. Куан Хон описывает ограничение ЕС на передачу персональных данных (в версии Директивы 1995 г.) как «используемое для регулирования физического местонахождения персональных данных как такового, а не для обеспечения того, чтобы передаваемые персональные данные обрабатывались в соответствии с основными принципами [Директивы 1995 г.]» [Ibid., p. 318].

C. Заключение относительно мер законодательных органов

Законодательные меры в связи с отсутствием согласованных на международном уровне законов о конфиденциальности данных привели к принятию различных законов с экстерриториальным действием, в частности в ЕС и Калифорнии, а также законов о локализации данных, в частности в Китае и России. Эти изменения в законодательстве привели к тому, что было названо термином «сплинтернет», описывающим тенденцию к фрагментации Интернета и предупреждающим о риске экономического ущерба, препятствий для цифровых инноваций и ограничения свободы слова [The Economist, 2016]. Этот контекст требует изучения недавних проблем и рисков и анализа формируемых ими уроков для бизнеса. Иностранное регулирование и геополитические соображения, иногда отражающие иностранные стратегические цели, являются элементами геополитической среды международных трансграничных потоков данных. Компании должны понимать эти сложные вопросы, чтобы соблюдать законы о конфиденциальности данных, которые применяются при движении как вверх, так и вниз по цепочке поставок потоков данных. Важно отметить, что они также должны понимать и соблюдать ограничения ЕС на трансграничную передачу персональных данных и любые соответствующие международные соглашения, относящиеся к вопросам трансграничных потоков данных.

III. Ограничение ЕС на трансграничную передачу персональных данных и связанные с ним международные соглашения

Как действующее, так и более раннее законодательство ЕС о защите данных включает трансграничное ограничение на передачу персональных данных при определенных обстоятельствах, хотя Комиссия заключила международные соглашения для обеспечения сохранения потоков данных. В данном разделе анализируется ограничение на трансграничную передачу персональных данных в законодательстве ЕС и международных соглашениях. (Предварительно.)

A. Ограничение на трансграничную передачу персональных данных в законодательстве ЕС

Законодательство ЕС о защите данных, предшествовавшее GDPR, а именно Директива ЕС 95/46/EC [Директива 1995 г.], в своей первой статье ставит двойную цель: 1) В соответствии с настоящей Директивой государства-члены должны защищать основные права и свободы физических лиц и, в частности, их право на неприкосновенность частной жизни в отношении обработки персональных данных.

хвате Агентством национальной безопасности США (АНБ), разведывательным агентством Великобритании (GCHQ) и другими правительственными структурами цифровых данных граждан многих стран».

40 «Раскрытие информации Сноуденом, вероятно, сыграло роль в голосовании Комитета по гражданским свободам, юстиции и внутренним делам (LIBE) в парламенте и продвижении GDPR».

2) Государства-члены не должны ни ограничивать, ни запрещать свободный поток персональных данных между государствами-членами по причинам, связанным с защитой, предоставляемой в соответствии с §1 [Ibid., p. 1]41. В то время как фундаментальные права указаны первыми, вторая цель не менее важна и направлена на развитие единого рынка ЕС. Новая пятая свобода — свободное перемещение персональных данных [Lynskey, 2015, p. 50]42 — должна присоединиться к существующим четырем свободам: свободному перемещению товаров, услуг, капитала и граждан [Fuster, 2014, p. 134]43.

Идея состояла в том, чтобы еще больше усилить интеграцию того, что ранее было известно как общий рынок, позволяя компаниям передавать персональные данные в пределах этого экономического пространства в связи с деятельностью, осуществляемой за пределами национальных границ, а также в научных и других целях, при этом гармонизируя законодательство по защите данных государств-членов [Lynskey, 2015, p. 49], поскольку Директива 1995 г. должна была применяться через национальное законодательство. Орла Лински поясняет, что в европейских договорах не было оснований для устранения препятствий для свободного потока таких данных, поэтому ЕС вместо этого решил использовать для законодательства о защите данных основание улучшения функционирования внутреннего рынка [Ibid., p. 50]44.

Хотя Директива 1995 г. была направлена на то, чтобы позволить персональным данным свободно перемещаться в пределах границ ЕС, она ввела ограничение на трансграничную передачу персональных данных в определенных случаях в страны за пределами ЕС. Требовалось, чтобы принимающая страна (называемая «третьей страной») обеспечивала «адекватный уровень защиты» таких персональных данных [Директива 1995 г., p. 25(1)]. Адекватность защиты должна была «оцениваться в свете всех обстоятельств, связанных с операцией или набором операций по передаче данных», включая «правовые нормы, как общие, так и отраслевые, действующие в данной третьей стране, а также профессиональные правила и меры безопасности, которые соблюдаются в этой стране» [Ibid., p. 25(2)].

Ограничение на передачу было предназначено для того, чтобы компании не пытались уклониться от Директивы 1995 г., участвуя в операциях по обработке за пределами ЕС [Drezner, 2007, p. 104]. Оно оказало влияние, поскольку несколько стран изменили

41 Соответствующие положения GDPR аналогичны положениям Директивы 1995 г. с добавлением вводной фразы, касающейся предмета GDPR. Они таковы: «Настоящий Регламент устанавливает правила защиты физических лиц в связи с обработкой персональных данных и правила свободного перемещения персональных данных. Настоящий Регламент защищает фундаментальные права и свободы физических лиц, в частности, их право на защиту персональных данных. Свободное движение персональных данных в рамках ЕС не должно быть ни ограничено, ни запрещено по причинам, связанным с защитой физических лиц в отношении обработки персональных данных» [GDPR, 2016, art. 1].

42 «ЕС решил обеспечить свободный поток данных за счет положительной интеграции, создав гармонизированную правовую среду посредством Директивы [1995], чтобы устранить все несоответствия, которые могли бы создать препятствия для свободного потока персональных данных».

43 «Принципы свободного перемещения товаров, граждан, услуг и капитала всегда считались крайне важными для права Сообщества». Фустер описывает связь между свободным потоком личных данных и этими четырьмя свободами, указывая, что «тем не менее остается неясным, служит ли свободный поток (или движение) данных свободному перемещению товаров, граждан, услуг или капитала» [Ibid., p. 135] (цитата опущена).

44 Действительно, Лински отмечает, что «из-за отсутствия у ЕС компетенции принимать законодательство об основных правах», Суд Европейского союза (СЕС) «первоначально подчеркивал цель рыночной интеграции защиты данных, но с осторожностью относился к аспекту основных прав» [Ibid., p. 47].

свое законодательство, пытаясь выполнить требования адекватности. Однако США, напротив, поощряли меры саморегулирования [Ibid.],45 что согласуется с саморегулируемым характером американской федеральной политики в области конфиденциальности данных [Voss, 2019, p. 435].

Считалось, что США не обеспечивают адекватный уровень защиты [Bessette, Haufler, 2001, p. 81]46, опасаясь «потенциально пагубного воздействия ограничения на передачу данных на деловые интересы [США]». Торговый оборот на сумму до 120 млрд долл. США оказался под угрозой [Bygrave, 2014, p. 194], и в результате ЕС и США заключили международное соглашение, известное как «Безопасная гавань» [Ibid., p. 195]. Это соглашение и его преемник, Privacy Shield, обсуждаются ниже. Важно отметить, что до завершения работы над Privacy Shield ЕС принял GDPR, который 25 мая 2018 г. отменил и заменил Директиву 1995 г. [GDPR, 2016, arts. 94, 99].

Хотя GDPR содержит изменения по сравнению с Директивой 1995 г., он является скорее эволюцией предыдущего закона, а не «радикальным отходом» от прежнего подхода, особенно в области передачи персональных данных в третьи страны [Kuner et al., 2020, p. 775]. GDPR устанавливает общий принцип, согласно которому передача персональных данных, подвергающихся обработке (или подлежащих обработке после передачи), либо за пределы ЕС, либо в международную организацию, должна соответствовать положениям главы V Регламента. GDPR требует такого соответствия, для «обеспечения того, чтобы уровень защиты физических лиц, гарантированный <GDPR>, не подрывался» [GDPR, 2016, p. 44]47. Дальнейшие передачи данных также подпадают под это требование [Ibid.]48. Хотя термин «последующие передачи» не определен, он относится к дальнейшим передачам в другую страну за пределами ЕС (или Европейской экономической зоны) или другую международную организацию, которые являются распространенной практикой [Kuner et al., 2020, p. 763]49.

Передача может осуществляться на основании решения Европейской комиссии об адекватности, в рамках которого Еврокомиссия «установила, что третья страна, территория или один, или несколько определенных секторов этой третьей страны или соответствующей международной организации обеспечивает адекватный уровень защи-

45 Эта угроза оказалась достаточно серьезной, чтобы Австралия, Канада и страны Восточной Европы пересмотрели свои законы в попытке соответствовать предпочтениям ЕС. Однако в ответ США призвали американские транснациональные корпорации к созданию механизмов саморегулирования, которые соответствовали бы стандартам ЕС. Были разработаны наборы добровольных принципов, таких как предоставленные ТКиСТе и ВББОпИпе.

46 «США настойчиво утверждали, что личная информация, передаваемая в США, будет должным образом защищена саморегулированием отрасли. ЕС последовательно отказывался признать американскую систему как обеспечивающую адекватную защиту конфиденциальности в соответствии с Директивой о данных. Американские переговорщики несколько раз возвращались к попыткам изменить свои предложения, по-прежнему придерживаясь саморегулирования как основного принципа защиты конфиденциальности».

47 Это обязательство распространяется и на контролеров, и на процессоров. Следует отметить, что, в отличие от ОБРК ССРА не содержит ограничений на трансграничную передачу данных. См. [111тап, 111тап, 2019/2020, р. 1646].

48 «В том числе... дальнейших передач данных из третьей страны или международной организации в другую третью страну или в другую международную организацию».

49 «Последующие передачи распространены на практике, поскольку данные часто реэкспортируются третьим лицам импортером данных. Примером может служить аутсорсинг базы данных импортеру данных в третьей стране, который затем передает обслуживание базы данных на аутсорсинг сторонней компании».

ты» [GDPR, 2016, p. 45(1)]50. Решения об адекватности приняты в отношении Андорры, Аргентины, Канады (для коммерческих организаций), Фарерских островов, Гернси, Израиля, острова Мэн, Японии, Джерси, Новой Зеландии, Швейцарии, Уругвая и США (но исключительно в рамках Privacy Shield), а переговоры с Южной Кореей по этому вопросу продолжаются [EC, n. d.]. Это далеко не большинство не только из 194 стран мира, но и от их числа без учета государств - членов ЕС [World Atlas, n. d.]51.

Для остальных стран, в отношении которых не принято решение Еврокомиссии об адекватности, должны существовать другие основания для трансграничной передачи персональных данных — то, что в GDPR называется «надлежащими гарантиями» [GDPR, 2016, p. 46(1)]. Эти надлежащие гарантии предназначены для «компенсации отсутствия защиты данных» в стране назначения [Ibid., recital 108] и могут включать «имеющий обязательную юридическую силу и обязательный к исполнению инструмент между органами государственной власти или ведомствами» [Ibid., p. 46(2)(a)], обязательные корпоративные правила (ОКП) [Ibid., art. 46(2)(b)]52, стандартные условия о защите данных, принятые Еврокомиссией [Ibid., p. 46(2)(c)]53 или принятые надзорным органом и утвержденные Еврокомиссией [GDPR, 2016, p. 46(2)(d)]54, утвержденный кодекс поведения [Ibid., art. 46(2)(e)] или утвержденный механизм сертификации [Ibid., art. 46(2)(f)] вместе с «обязательными и обладающими силой принудительного исполнения обязательствами контролера или процессора в третьей стране применять надлежащие гарантии, в том числе в отношении прав субъектов данных».

50 «Международная организация» — это «организация и ее подчиненные органы, действующие на основе международного публичного права, или любой другой орган, учрежденный соглашением между двумя или более странами или на основе такого соглашения» [Ibid., art. 4(26)]. GDPR устанавливает критерии, которые необходимо учитывать при оценке адекватности уровня защиты, такие как верховенство закона, соблюдение прав человека, соответствующее законодательство, «в том числе правила дальнейшей передачи персональных данных в другую третью страну.» [Ibid., art. 45(2)(a)]. Кроме того, среди критериев фигурируют наличие и функционирование независимого надзорного органа и международные обязательства в отношении защиты персональных данных [Ibid., art. 45(2) (Ь)—(с)]. Однако для того, чтобы считаться адекватным, уровень защиты не должен быть идентичен уровню ЕС, а должен быть «эквивалентным по существу» [Voss, 2019, p. 459].

51 В мире насчитывается около 194 стран, хотя подсчеты различаются. См. также EU [n. d.] (Из этого общего числа необходимо вычесть все государства — члены ЕС — их 27 после Брексита); [EU, n. d.] (из примерно 167 стран, которым потребуется решение об адекватности, чтобы разрешить свободный поток персональных данных граждан ЕС в такие страны, только перечисленные выше государства получили такое решение).

52 «Обязательные корпоративные правила» — это «политики защиты персональных данных, которые соблюдает контролер или процессор, имеющий организационную единицу на территории государства-члена, применительно к передачам или совокупности передач персональных данных контролеру или процессору, находящемуся в одной или нескольких третьих странах, внутри одной группы субъектов хозяйствования или группы предприятий, осуществляющих совместную экономическую деятельность» [Ibid., art. 4(20)]. Предприятие определяется как «физическое или юридическое лицо, осуществляющее экономическую деятельность, независимо от организационно-правовой формы, в том числе товарищества или ассоциации, систематически осуществляющие экономическую деятельность» [Ibid., art. 4(18)]. Наконец, «группа субъектов хозяйствования» включает «контролирующий субъект хозяйствования и подконтрольные ему субъекты хозяйствования» [Ibid., art. 4(19)].

53 Это договорные положения, относящиеся к экспортерам данных, расположенным в ЕС, и импортерам данных в третьей стране, в которых излагаются обязательства по обеспечению определенной защиты персональных данных. Их текст стандартизирован и принят Европейской комиссией [Kuner et al., 2020, р. 799].

54 Они аналогичны договорным положениям. Разница заключается в том, что они принимаются надзорным органом (вместо Еврокомиссии) с последующим утверждением Еврокомиссией.

Кроме того, существуют определенные «отступления» [Bridge, 1994, p. 78]55 от ограничения на трансграничную передачу персональных данных, установленного GDPR, когда передача может быть осуществлена без решения об адекватности или надлежащих гарантий. Во-первых, отступление доступно, если субъект данных дал «явное информированное согласие на передачу» [GDPR, 2016, p. 49(1)(a)]56. Отступление может также применяться, когда передача необходима по одной из следующих пяти причин:

(1) «выполнение договора между контролером и субъектом данных» [Ibid., p. 49(1)(b)]57;

(2) «заключение или исполнение договора, заключенного в интересах субъекта данных» [Ibid., p. 49(1)(с)]58; (3) «важные причины общественного интереса» [Ibid., p. 49(1) (d)]; (4) «установление, осуществление или оспаривание правовых требований и исков» [Ibid., p. 49(1)(e)]; (5) «защита жизненно важных интересов субъекта данных или других лиц, если субъект данных физически или юридически не способен дать свое согласие» [Ibid., p. 49(1)(f)]. Наконец, отступление возможно, если передача персональных данных осуществляется из публичного регистра, открытого для ознакомления, если в конкретном случае соблюдаются условия для ознакомления, установленные законодательством ЕС или государства-члена [Ibid., p. 49(1)(g)]59. Существует еще одно ограниченное основание для отступления: если не применяются другие отступления и не существует никаких других оснований для передачи (таких как решение об адекватности или надлежащие гарантии). В таком случае передача может осуществляться, если она «не имеет повторяющегося характера, касается только ограниченного количества субъектов данных» и необходима для обеспечения законных интересов контролера, «которые не превалируют над интересами или правами и свободами субъектов данных» [Ibid., p. 49(1)]. В таких случаях контролер должен, помимо прочего, обеспечить надлежащие гарантии защиты персональных данных и проинформировать как надзорный орган, так и субъекта данных о передаче, а также проинформировать субъекта данных о своих легитимных интересах [Ibid.].

Концепция ограничений на трансграничную передачу персональных данных не уникальна для ЕС. Например, Организация экономического сотрудничества и развития (ОЭСР), в которую сегодня входит большинство государств — членов ЕС, США, Канада и другие развитые страны и государства с формирующимися рынками [OECD, n. d.], разработала Руководящие принципы по защите неприкосновенности частной

55 «Отступление» ("derogation") — это термин, используемый в ЕС, который можно перевести с французского "dérogation" как «исключение из действия положения; освобождение, изъятие».

56 Субъект данных должен быть проинформирован «о возможных рисках такой передачи персональных данных ввиду отсутствия решения об адекватной защите и соответствующих средствах защиты.

57 Отступление также предусматривается в случае, когда передача необходима «для осуществления преддоговорных мер, принимаемых по запросу субъекта данных».

58 Это отступление предусматривает, что «передача необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между контролером и другим физическим или юридическим лицом».

59 «Передача ведется из регистра, который, согласно праву ЕС или государства-члена, предназначен для предоставления информации общественности и открыт для ознакомления широкой общественностью или любым лицом, которое может продемонстрировать легитимный интерес, но только в той мере, насколько в каждом отдельном случае выполняются условия для ознакомления, установленные правом ЕС или государства-члена». Однако передача, согласно этому положению, не должна включать в себя «все персональные данные или все категории персональных данных, содержащиеся в регистре», и если ознакомление осуществляется лицами, «имеющими легитимный интерес», указанные лица должны подать запрос на передачу данных или являться получателями данных [Ibid., art. 49(2)].

жизни и трансграничной передаче персональных данных (Руководящие принципы ОЭСР) [OECD, 1980]. Это не имеющие обязательной силы, но оказывающие существенное влияние руководящие принципы, которые допускают законные ограничения на свободу потока персональных данных, приведенные в приложении к данной статье. Законные ограничения были также предусмотрены в обновленном тексте Руководящих принципов ОЭСР 2013 г. [OECD, 2013], хотя они были изменены по сравнению с более ранней версией документа, что также показано в приложении.

Кроме того, как Конвенция о защите физических лиц при автоматизированной обработке персональных данных [Конвенция 108, 1981], так и Модернизированная конвенция 108 (Конвенция 108+) [COE, 2018a] допускают ограничения на трансграничную передачу персональных данных в определенных обстоятельствах. Совет Европы подготовил сравнительную таблицу соответствующих текстов Конвенции 108 с поправками и Конвенции 108+ [COE, 2018b]. Однако США не являются стороной ни одной из этих двух версий Конвенции 108 [COE, n. d., a, n. d., b], хотя Еврокомиссия и призывала их присоединиться [EC, 2018a, p. 6].

Кроме того, Еврокомиссия согласовала исключение для защиты данных из Генерального соглашения по торговле услугами (ГАТС) с целью защиты от возможного оспаривания своей политики со стороны США [Farrell, Newman, 2019, p. 32]60. Соответствующее общее исключение из ГАТС сформулировано следующим образом:

При условии, что такие меры не будут применяться способом, который создает средства произвольной или неоправданной дискриминации между странами, где преобладают схожие условия, или скрытые ограничения для торговли услугами, ничто в настоящем Соглашении не понимается как препятствие любому члену принимать или применять меры: ... (с) необходимые для соблюдения законов или правил, которые соответствуют положениям настоящего Соглашения, включая имеющие отношение к: ... (ii) защите от вмешательства в частную жизнь отдельных лиц при обработке и распространении сведений личного характера и защите конфиденциальности сведений о личной жизни и счетов [GATT, art. XIV (c)(ii)];

Эксперты отмечают, что до сих пор не было инициировано ни одного разбирательства, в котором изъятие в целях защиты данных использовалось бы в качестве защиты [MacDonald, Streatfeild, 2014, p. 638]61. Кроме того, когда ЕС и США вели переговоры о заключении соглашения о Трансатлантическом торговом и инвестиционном партнерстве (ТТИП), защита данных была камнем преткновения, учитывая трансатлантические расхождения по этому вопросу [Burri, 2017, p. 438]62. Некоторые могут возразить, что «вопреки распространенному мнению, безопасность и конфиденциальность в Интернете могут способствовать свободному потоку данных и торговле цифровыми услугами, при условии, что они являются последовательными и разумными и поддерживают глобальные интероперабельные стандарты» [Mishra, 2019, p. 501]. Однако ГАТС и

60 «Чтобы торговый режим не влиял на европейские правила конфиденциальности, Европейская комиссия договорилась об исключении в отношении конфиденциальности из Генерального соглашения о торговле услугами, которое вступило в силу в середине 1990-х годов. Это изъятие, в свою очередь, помешало будущим усилиям США по оспариванию правил ЕС о конфиденциальности как протекционистского барьера для торговли услугами» (цитата опущена).

61 «Исключение ГАТС для защиты конфиденциальности личных данных не было проверено комиссией по урегулированию споров и не вызвало особого интереса в оживленных переговорах по ГАТС» (цитата опущена). См. также [Blume, 2018, p. 819].

62 «Подходы США и ЕС к защите конфиденциальности на данном этапе едва ли совместимы» (цитата опущена).

предложенное ТТИП — не единственные международные соглашения, имеющие отношение к нашему обсуждению трансграничных потоков данных.

B. Роль международных соглашений

Как будет показано в данном разделе, международные соглашения помогают обеспечить трансграничную передачу персональных данных. В этой статье уже упоминалось одно существовавшее ранее международное соглашение, затрагивающее трансатлантические потоки данных: Рамочное соглашение «Безопасная гавань» между США и ЕС. Соглашение «Безопасная гавань», которое одна женщина — член Конгресса США назвала «малоизвестным торговым соглашением между США и ЕС» [Eshoo, 2015], стало результатом переговоров между Министерством торговли США и Европейской комиссией в 2000 г., вскоре после 1988 г., когда Директива 1995 г. и ее ограничение на трансграничную передачу персональных данных должны были быть отражены в национальном законодательстве государств - членов ЕС [Voss, 2016a, p. 9; Drezner, 2017, p. 104-105].

В «Безопасной гавани» участвовали компании, самостоятельно сертифицирующие соблюдение соответствующих принципов, в результате чего они считались соблюдающими Директиву 1995 г., особенно в том, что касается прав субъектов данных [Voss, 2016a, p. 9]. В свою очередь, компании могли передавать личные данные через Атлантику в США, которые в иных случаях не могли воспользоваться определением адекватности. Компании также подпадали под юрисдикцию американских ведомств, главным образом Федеральной торговой комиссии, в случае нарушения обязательств [Ibid.].

Однако соблюдение США Директивы 1995 г. и соглашения «Безопасная гавань» характеризовалось как «неопределенное» [Drezner, 2017, p. 105]. Федеральная торговая комиссия не проявляла инициативы в отношении мониторинга соблюдения соглашения до 2009 г. и не обеспечивала его выполнение до 2011 г. [Voss, 2016a, p. 11; Connolly, van Dijk, 2016, p. 261, 277, 278-28163]. Первые обзоры ЕС по соглашению «Безопасная гавань» выражали обеспокоенность по поводу несоблюдения требований и отсутствия правоприменения со стороны США, но в ответ Федеральная торговая комиссия и Министерство торговли США не предприняли никаких действий [Connolly, van Dijk, 2016, p. 263].

В 2013 г., после разоблачений Эдварда Сноудена, которые показали, что несколько компаний, сертифицированных в рамках «Безопасной гавани», передавали личные данные властям США, Комиссия подготовила документы, направленные на восстановление доверия к потокам данных между ЕС и США и включающие призывы к определенным действиям, направленным как на США, так и на ЕС64. Разоблачения Сноу-дена также послужили основой для важного дела, рассматривавшегося СЕС, Шремс I, которое в конечном итоге привело к аннулированию соглашения «Безопасная гавань» [Case C-362/14, 2015].

В рамках этого дела гражданин Австрии по фамилии Шремс [Ibid., paragraph 26] подал жалобу на надзорный орган Ирландии за отклонение жалобы на Facebook [Ibid., paragraph 2]. Он основывал свою жалобу главным образом на претензиях к «Безопасной гавани» — механизму, с помощью которого ирландская дочерняя компания Facebook (Facebook Ireland Ltd.) могла передавать его личные данные в США [Ibid., paragraph

63 Авторы говорят о «длительных периодах (2000—2008, 2010—2011 и 2012—2013 гг.) абсолютного отсутствия правоприменительной деятельности».

64 Примеры этих призывов к действию включают, помимо прочего, требования быстрого принятия GDPR, усиления «Безопасной гавани» и обеспечения того, чтобы законодательство США защищало личные данные лиц в ЕС, а не только граждан США [Voss, Woodcock, 2016, p. 70; EC, 2013].

67]65. Там американские власти могли получить доступ к данным, утверждал он, при отсутствии надлежащей защиты от массовой слежки [Ibid., paragraph 28]. Facebook Ireland Ltd. являлась контролером данных в соответствии с Директивой 1995 г., которая наделяла ирландский надзорный орган юрисдикцией [Voss, 2016a, p. 10]. Дело было передано в СЕС, признавший недействительным соглашение «Безопасная гавань» [Ibid.].

В условиях, когда подход «Безопасной гавани» больше нельзя было использовать, требовалось новое международное соглашение, обеспечивающее трансатлантические трансграничные потоки данных. Тысячи компаний должны были найти другое основание адекватности, чтобы отправлять персональные данные в США [Ibid., p. 10—11]. После интенсивных переговоров (и повторных обсуждений) [Ibid., p. 11—12]66 было заключено Privacy Shield — новое рамочное международное соглашение, а Комиссией было принято соответствующее решение об адекватности [EC, 2016].

В целом Privacy Shield обеспечило дополнительную защиту субъектов данных. К ней относятся обязательства государственных органов США по поддержке мер защиты, таких как принципы защиты данных (например, ограничение цели). Кроме того, Privacy Shield включает механизмы помощи для субъектов данных, такие как использование арбитража и обращение к омбудсмену, а также определенные ограничения на хранение данных и дальнейшую передачу персональных данных [Voss, 2016b, p. 231—232]. Однако Privacy Shield по своей сути не является механизмом обеспечения соблюдения GDPR. Это соглашение скорее служит основой для выполнения требований положений GDPR о трансграничной передаче данных, что достигается за счет появления основания считать, что американские организации, сертифицированные в рамках Privacy Shield, обеспечивают адекватную защиту персональных данных Privacy Shield Framework [n. d., a]67.

Хотя Privacy Shield является одной из форм надлежащей гарантии для трансграничной передачи персональных данных, оно также подлежит контролю в форме ежегодного обзора Комиссией68 и через суды, когда заявляются нарушения базовых прав на неприкосновенность частной жизни и защиту данных (например, как в случае дела Шремса I, касающегося предшественника Privacy Shield, «Безопасной гавани», о котором говорилось выше). Privacy Shield прошло первые два ежегодных обзора, при этом в него были внесены определенные улучшения, но, как отметила Комиссия, остались открытыми некоторые вопросы [Houser, Voss, 2018b]. Также состоялся третий ежегодный

65 В этом случае соглашение о «Безопасной гавани» обозначается номером решения Еврокомис-сии о его адекватности: Решение 2000/520.

66 Переданы ощущения от этого процесса.

67 «Вопрос: будет ли Privacy Shield продолжать служить механизмом передачи данных в соответствии с Общим регламентом ЕС по защите данных (GDPR)? Важно отметить, что Privacy Shield не является механизмом соблюдения GDPR, а представляет собой механизм, который позволяет участвующим компаниям выполнять требования ЕС по передаче персональных данных в третьи страны, обсуждаемые в главе V GDPR».

68 Ежегодный обзор Shield Framework принимает форму «Совместного механизма проверки функционирования Privacy Shield», описываемого следующим образом: «Министерство торговли, Федеральная торговая комиссия и другие агентства, в зависимости от обстоятельств, будут проводить ежегодные встречи с Еврокомиссией, заинтересованными органами по защите данных и соответствующими представителями Рабочей группы по ст. 29, на которых министерство будет предоставлять обновленную информацию о программе Privacy Shield. Ежегодные встречи будут включать обсуждение текущих вопросов, связанных с функционированием, внедрением, надзором и обеспечением соблюдения Privacy Shield, включая вопросы, адресованные министерству органами по защите данных, результаты проверок соблюдения ex officio, а также могут включать обсуждение соответствующих законодательных изменений» [EC, 2016, Annex I].

обзор, по итогам которого Комиссия отметила несколько моментов для улучшения, в том числе пункт о дальнейшей передаче данных:

В контексте процедуры выборочной проверки Министерству торговли следует оценивать соблюдение компаниями Принципа подотчетности в рамках дальнейшей передачи данных, в том числе путем использования возможности, предоставляемой Privacy Shield, для запроса краткого изложения или репрезентативной копии положений о конфиденциальной информации контракта, заключенного компанией, сертифицированной в рамках Privacy Shield, для целей дальнейшей передачи [EC, 2019a, p. 8].

Комиссия потребовала, чтобы Министерство торговли использовало свои полномочия для получения информации о контрактах, заключенных в целях дальнейшей передачи данных. EDPB, в свою очередь, призвал к усилению соблюдения Privacy Shield. Он упомянул «отсутствие существенных проверок», особенно в области дальнейшей передачи данных, поддержав запрос Комиссии и объяснив, почему это важно:

Поскольку последующая передача может привести к передаче данных за пределы юрисдикции властей США и ЕС, туда, где, возможно, отсутствует защита данных, предусмотренная законом, крайне важно, чтобы компетентные органы США внимательно следили за практической реализацией «принципа ответственности за дальнейшую передачу» Privacy Shield [EDPB, 2019b, p. 5].

Таким образом, существует потребность в более тщательном мониторинге дальнейшей передачи данных, в том числе из США в другие страны.

Кроме того, несмотря на то, что соответствующие гарантии были признаны Комиссией адекватными, это не означает, что суды будут относиться к ним так же. Это может ослабить возможности некоторых компаний для трансграничной передачи персональных данных в страны, в отношении которых не было принято другое решение об адекватности, по аналогии с принятием решения по делу Шремс I. С самого начала Privacy Shield рисковало столкнуться с такой проблемой [Voss, 2016a, p. 16], а в недавнем деле Шремс II использование стандартных положений контракта в качестве надлежащей гарантии защиты также подверглось критике [Houser, Voss, 2018b]69. Несмотря на то что генеральный адвокат в этом деле высказался в пользу действительности стандартных положений контракта [Case C-311/18, 2019, paragraph 343]70, его комментарий не является гарантией того, что СЕС примет решение в том же духе.

69 «После признания соглашения о «Безопасной гавани» недействительным Шремс переформулировал свой иск (Шремс II), чтобы возразить против использования Facebook типовых договорных положений для передачи персональных данных в США по причинам, аналогичным причинам, указанным в деле Шремс I. В апреле 2018 г. Высокий суд Ирландии передал дело в Европейский суд для рассмотрения одиннадцати вопросов. Главный вопрос заключается в том, нарушает ли программа наблюдения правительства США право на защиту данных в соответствии с Хартией ЕС по правам человека» (цитаты опущены).

70 Генеральный адвокат заявил: «Я предлагаю, чтобы Суд ответил на вопросы для предварительного решения, переданные Высоким судом Ирландии, следующим образом: анализ вопросов для предварительного решения не выявил ничего, что могло бы повлиять на действительность решения Комиссии 2010/87/EU от 5 февраля 2010 г. о стандартных договорных положениях для передачи персональных данных процессорам, созданным в третьих странах, в соответствии с Директивой 95/46/ EU Европейского парламента и Совета с поправками, внесенными Исполнительным решением Комиссии (Еи) 2016/2297 от 16 декабря 2016 г.» (Интересно, что в предисловии, по-видимому, признавая важность будущего решения суда о трансграничных потоках данных и торговле, а также основные права, генеральный адвокат предварил обсуждение, заявив, что анализ будет «руководствоваться желанием найти баланс между, с одной стороны, необходимостью проявить "разумную степень прагма-

ЕС также стремится заключить другие международные соглашения в контексте переговоров по торговым сделкам. В январе 2019 г. Европейская комиссия приняла решение об адекватности в отношении Японии [EC, 2019b], разрешающее передачу персональных данных в обоих направлениях между торговыми партнерами в соответствии с «Дополнительными правилами, обеспечивающими более высокий уровень защиты прав и интересов отдельных лиц в отношении обработки личных данных, полученных из ЕС, на основании решения об адекватности», которые «обязательны для исполнения бизнес-оператором, занимающимся обработкой личной информации, который получает персональные данные, переданные из ЕС» [Ibid., p. 38]71. Обсуждение решения об адекватности было увязано с переговорами по торговому соглашению между ЕС и Японией [EC, 2018b]72. В силу важности трансграничных потоков данных для международной экономики ЕС стремится расширять сферу действия своих стандартов конфиденциальности данных параллельно с переговорами по международным торговым соглашениям. Как ранее указывала Европейская комиссия, ее намерение «после выработки правил ЕС по защите данных» заключалось в том, чтобы «разработать стратегию по продвижению международных стандартов защиты данных» [EC, 2017].

Решая, на какие страны ориентироваться, Комиссия рассматривает фактические или потенциальные коммерческие отношения с ними. Учитываются следующие аспекты: наличие соглашения о свободной торговле или ведение переговоров о нем со страной; потоки данных между ЕС и страной; роль, которую страна может сыграть как образец для своего региона в области конфиденциальности и защиты данных, а также политические отношения со страной [Ibid.]. В начале 2017 г. Комиссия указала, что ее цели в отношении будущих соглашений об адекватности заключаются в следующем:

Комиссия будет активно взаимодействовать с ключевыми торговыми партнерами в Восточной и Юго-Восточной Азии, начиная с Японии и Кореи, и, в зависимости от прогресса в модернизации ее законов о защите данных, с Индией, а также со странами Латинской Америки и европейскими соседями, которые выразили заинтересованность в получении «заключения об адекватности» [Ibid.].

Таким образом, в соответствии с концепцией конкурирующих стандартов [Drezner, 2007], ЕС активно продвигает свою концепцию защиты данных, включая принципы защиты для управления данными, по всему миру через международные торговые связи.

C. Заключение относительно ограничений ЕС

на трансграничную передачу данных и международных соглашений

Таким образом, ЕС сохранил ограничение на трансграничную передачу персональных данных, введенное в Директиве 1995 г., в GDPR. Это положение, без каких-либо дополнительных мер, могло стать препятствием для международной передачи

тизма, чтобы обеспечить взаимодействие с другими частями мира", и, с другой стороны, необходимостью утверждения фундаментальных ценностей, признанных в правовых документах Союза и его государств-членов и, в частности, в Хартии») [Ibid., paragraph 7].

71 Annex 1 — Supplementary Rules Under the Act on the Protection of Personal Information for the Handling of Personal Data Transferred from the EU Based on an Adequacy Decision.

72 Европейская комиссия заявила при обсуждении решения об адекватности: «Эта договоренность также дополнит Соглашение об экономическом партнерстве между ЕС и Японией, поскольку европейские компании получат выгоду от бесплатных потоков данных с этим ключевым коммерческим партнером, а также от привилегированного доступа к 127 млн японских потребителей. ЕС и Япония подтверждают, что в эпоху цифровых технологий продвижение высоких стандартов конфиденциальности и защиты персональных данных и содействие международной торговле должны и могут идти рука об руку».

персональных данных в США и другие страны, которые, как считается, не обеспечивают их надлежащей защиты. Международные соглашения, такие как Privacy Shield и Соглашение по решению об адекватности (и Дополнительные правила) с Японией, позволяют Комиссии сделать вывод об адекватности. В случае США и Японии он был сделан с учетом гарантий, предоставляемых такими странами (и компаниями в соответствии с Privacy Shield), которые позволяют считать, что страны обеспечивают адекватный уровень защиты данных. В свою очередь, вывод об адекватности разрешает передачу персональных данных в такие страны из ЕС в соответствии с GDPR. Другие соглашения и элементы соглашений, такие как ОКП и стандартные договорные положения, выполняют ту же функцию. Следует проявлять осмотрительность в связи с использованием таких инструментов из-за оспаривания действия Privacy Shield и стандартных договорных положений в судах. Необходимо также осуществлять мониторинг судебных разбирательств. Еще одна форма международного соглашения — контракты — важна для управления глобальными цепочками поставок персональных данных, особенно в контексте дальнейшей передачи в соответствии с Privacy Shield. Контракты обсуждаются подробнее в нашем анализе управления данными в соответствии с GDPR и Privacy Shield в следующем разделе.

IV. Управление данными в соответствии с GDPR и Privacy Shield

Одно из определений «управления данными», описываемое его автором как довольно узкое, — «рамки, формализующие роли, функции и процедуры таким образом, что данные организации надлежащим образом управляются и становятся стратегическим активом» [Cohn, 2015, p. 813]. Оно основано на процессах и требует глубокого понимания бизнеса компании, данных, которыми она обладает, и взаимосвязей между такими данными [Ibid., p. 814]. Процессы и политики управления данными охватывают хранение данных, их потоки и процедуры удаления [Trope, Power, 2005, p. 472]73. В рамках организации должны быть четко идентифицированы конфиденциальные (чувствительные) данные и обеспечен контроль над их потоками [Power, Trope, 2006]74. По словам одного юриста [fordhaiplj@gmail.com, 2019]75, которые соответствуют и позициям других экспертов, управление данными включает в себя защиту данных, соблюдение законодательства и «использование этих двух аспектов для установления прав на данные». Его ключевая функция — обеспечение доступности и качества данных [Engels, 2019, p. 217]. Режимы управления данными могут помочь компаниям соблюдать раз-

73 Призыв к директорам и должностным лицам корпораций «сосредоточиться на политике и процедурах "управления данными", которые касаются долгосрочного хранения, обычных информационных потоков и конечной утилизации» информационных активов, описывающий такое управление данными как комплексный процесс, который должен идти в ногу с развитием безопасности и конфиденциальности, чтобы «обеспечить соблюдение законов, положений, правил и постановлений суда».

74 Авторы, пишущие для американского издания, используют термин «конфиденциальная информация» в целом, а не в том смысле, в каком он определяется Директивой 1995 г. или GDPR, где вместо этого используется термин «особые категории данных». Они видят необходимость идентификации таких данных «для обеспечения соблюдения соответствующих юридических обязательств по контролю и защите такой информации».

75 Юрист, моменты выступлений которого на сессии по режимам управления данными 26-го Ежегодного симпозиума IPLJ представлены в этой части статьи — Борис Сегалис, партнер и глобальный вице-председатель подразделения Cyber/Data/Privacy компании Cooley LLP.

личные правовые режимы конфиденциальности данных [Trope, Power, 2005, p. 1105]76. В данной статье обсуждение управления данными начинается с анализа требований GDPR, затем анализируется Privacy Shield и предлагаются выводы.

A. Управление данными в соответствии с GDPR

В соответствии с GDPR режимы управления данными должны обеспечивать контроль всей цепочки потока данных.

Первым шагом в соблюдении GDPR является идентификация обрабатываемых персональных данных, фиксация сведений об обработке и определение типов обрабатываемых данных [Voss, Houser, 2019, p. 289]. GDPR устанавливает несколько правил управления данными, многие из которых берут начало в принципах добросовестной информационной практики (FIPP) [Voss, 2019, p. 421], которые были сформулированы в отчете, подготовленном комитетом Министерства здравоохранения, образования и социального обеспечения США в 1973 г. [U.S. Department of Health, Education & Welfare, 1973]. Позже они были включены в Руководящие принципы ОЭСР по защите конфиденциальности и трансграничным потокам персональных данных (Руководящие принципы ОЭСР) [OECD, 2013]. Важность основополагающих FIPP невозможно переоце-нить77, так же как и их развития в Руководящих принципах ОЭСР, которые повлияли на разработку принципов защиты данных, включенных в Директиву 1995 г., а затем и в GDPR [Voss, 2019, p. 415]. Однако более поздние инструменты дополнительно включили определенные права субъекта данных, такие как право на переносимость данных [GDPR, 2016, p. 20], право на их удаление (право на забвение) [Ibid., p. 17], а также придают большее значение подотчетности. В глобальном масштабе эти принципы защиты данных включают: качество данных, ограничение цели, целостность и конфиденциальность, прозрачность, права субъекта данных, подотчетность и законность обработки [Voss, 2019, p. 421—422].

Контролер несет большую часть ответственности за соблюдение требований по защите данных в соответствии с GDPR, хотя этот регламент также налагает определенные обязательства на процессора. В соответствии с концепцией подотчетности контролер должен «принимать соответствующие технические и организационные меры для обеспечения и получения возможности продемонстрировать, что обработка дан-

76 О выступлении Энтони Форда, старшего советника по вопросам конфиденциальности данных в Medidata Solutions, в рамках той же сессии: «Режимы управления данными помогают поддерживать дисциплину и подотчетность компаний, отслеживая, где хранятся данные; для чего используются данные; кто имеет доступ к данным; сколько копий данных хранится: какой уровень безопасности требуется для разных данных». По словам Форда, результатом этой «разборчивости» является то, что организации получают «возможность соблюдать множество различных правовых режимов, регулирующих конфиденциальность данных».

77 Роль FIPP признается в технологическом секторе, о чем свидетельствуют слова сотрудников корпорации Intel: Паула Брюнинг из Intel лаконично выразила важность FIPP, назвав их глобальным «общим языком конфиденциальности». Восемь FIPP ОЭСР уже более сорока лет лежат в основе законодательства о конфиденциальности, и они предлагают модель, позволяющую думать о конфиденциальности, которая намного больше, чем просто сведение к минимуму сбора и использования данных. FIPP оказались достаточно гибкими, чтобы десятилетиями применяться к технологическим инновациям, и по-прежнему адаптируются к нашей текущей среде. См. [Hoffman, Rimo, 2018, p. 555] (цитата опущена) (соавтор Дэвид А. Хоффман — заместитель главного юрисконсульта и сотрудник по вопросам глобальной конфиденциальности в корпорации Intel).

ных выполняется в соответствии» с GDPR [p. 24(1)]78. Утвержденные кодексы поведения могут использоваться в качестве элемента демонстрации соблюдения принципов [Ibid., p. 24(3)]. Если контролер использует процессоров для выполнения обработки данных от своего имени, он «должен использовать только тех из них, которые обеспечивают достаточные гарантии по осуществлению соответствующих технических и организационных мер таким образом, чтобы обработка отвечала требованиям [GDPR] и обеспечивала защиту прав субъекта данных» [Ibid., p. 28(1)]. Кроме того, обработку должен регулировать договор (или «иной правовой акт»), в котором, в частности, указывается, что процессор «обрабатывает персональные данные только на основании документированных распоряжений от контролера, включая передачу персональных данных в третью страну или международную организацию.» [Ibid., p. 28(3)]. Если процессор нанимает другого процессора для выполнения конкретной обработки данных в соответствии с запросами контролера, он должен заключить договор, содержащий те же обязательства по защите данных, что и договор между ним и контролером [Ibid., p. 28(4)]. Любой вид договора может быть основан полностью или частично на стандартных договорных положениях [Ibid., p. 28(6)]79 и должен быть оформлен в письменной форме (в том числе электронной) [Ibid., p. 28(9)]. В договоре также должна предусматриваться обязанность процессора соблюдать требования безопасности и конфиденциальности в соответствии с законодательством о защите данных [Voss, Woodcock, 2016, p. 89]80 («целостность и конфиденциальность» — термин, используемый для обозначения принципа защиты данных согласно GDPR) [GDPR, 2016, p. 5(1)(f)]81.

В рамках обязательств по обеспечению прозрачности контролер должен информировать субъекта данных, среди прочего: (1) о получателях или категориях получателей обрабатываемых персональных данных [Ibid., p. 13(1)(e)]; (2) о том, намерен ли он передавать данные третьей стране или международной организации; и (3) о том, применяется ли решение об адекватности, чтобы разрешить такую передачу, либо с учетом каких надлежащих или подходящих гарантий передаются данные, а также как и где получить копию таких гарантий [Ibid., p. 13(1)(f)]. Если персональные данные получены контролером от третьей стороны, он должен получить необходимую информацию и иметь возможность предоставить ее субъекту данных [Ibid., p. 14]. Такая информация включает, например, источник персональных данных, а также сведения о том, были ли они получены из общедоступных источников [Ibid., p. 14(2)(f)].

Важно отметить, что контролер несет ответственность за ответ на запрос субъекта данных по осуществлению его или ее прав в соответствии с GDPR, обеспечивая содействие такой реализации прав [Ibid., p. 14(2)] и предоставляя информацию о действиях, предпринятых в ответ на запрос субъекта данных, «без неоправданной задержки и в

78 Требуемые «соответствующие технические и организационные меры» «должны учитывать характер, объем, контекст и цели обработки, а также риск для прав и свобод физических лиц» [Ibid.,

recital (74)]. Дальнейшие указания относительно вида и степени рисков, о которых идет речь, даются

в п. (75) и п. (76), а в преамбуле (77) — разъяснения о применении мер.

79 Стандартные договорные условия комиссии предусмотрены в ст. 28(7); стандартные договорные положения надзорного органа в ст. 28(8).

80 Авторы, которые обсуждают вопрос в контексте контракта между контролером и процессором, также рекомендуют, чтобы контракт позволял проводить аудит механизмов безопасности процессора.

81 «Персональные данные должны: обрабатываться способом, обеспечивающим соответствующую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения, с помощью соответствующих технических и организационных мер («целостность и конфиденциальность»).

любых случаях в течение одного месяца с момента получения запроса»82. Если контролер не предпринимает запрошенного действия, он должен сообщить субъекту данных о причинах этого в течение не позднее чем одного месяца с момента запроса и предоставить информацию о возможности подачи жалобы83. В том случае, если действия, предпринятые после запроса на осуществление права субъекта, не являются «явно необоснованными или чрезмерными», они должны быть бесплатными для субъекта [GDPR, 2016, p. 12(5)].

В дополнение к уже упомянутым в разделе IV, права субъекта данных в соответствии с GDPR включают: (1) право доступа к персональным данным [Ibid., p. 15]; (2) право на исправление неточных и дополнение неполных персональных данных без неоправданной задержки [Ibid., p. 16]; (3) право на ограничение обработки при определенных обстоятельствах (например, когда точность данных оспаривается или когда обработка является незаконной) [Ibid., p. 18]; (4) право возражать против обработки данных в определенных обстоятельствах (например, в любых случаях, когда данные обрабатываются в явных целях маркетинга); и, (5) за некоторыми исключениями, «право не подвергаться решению, основанному исключительно на автоматизированной обработке, в том числе профилировании, вызывающему для него или нее юридические последствия или похожим образом существенно влияющему на него или нее» [Ibid., p. 22(1)].

Важным инструментом для обеспечения функциональной совместимости (ин-тероперабельности) данных и, следовательно, управления данными, являются метаданные, предусматривающие возможности обнаружения и повторного использования [Cohn, 2015, p. 821]. Эксперт по безопасности Брюс Шнайер описывает метаданные как «данные о данных — информацию, которую компьютерная система использует для работы, или данные, являющиеся побочным продуктом этой операции» [MayerSchönberger, Ramge, 2018, p. 6684; Schneier, 2015, p. 17]. Метаданные помогают [GDPR, 2016, p. 17(1)]85 при ответах на запросы субъектов данных и обеспечении соблюдения требований субъектов данных в отношении реализации своих прав, таких как «право быть забытым» [Politou, Alepis, Patsakis, 2018, p. 15]86. Как отмечает надзорный орган Великобритании, в отношении больших данных, для которых анонимизация важна, чтобы они больше не считались персональными данными и, следовательно, не подпадали под действие GDPR [GDPR, 2016, recital (26)]87, метаданные являются инстру-

82 GDPR предусматривает, что такой срок может быть продлен при необходимости еще на два месяца «ввиду сложного характера запроса или количества запросов». В таком случае субъект данных должен быть проинформирован о необходимом дополнительном времени и причинах задержки [Ibid., art. 12(3)].

83 Такая жалоба должна быть подана в надзорный орган [Ibid., art. 12(4)].

84 Майер-Шенбергер и Рамге описывают использование метаданных, позволяющее «иметь эффективный способ маркировки и классификации информации», категориями «данные о данных».

85 Субъект данных вправе требовать от контролера удаления без неоправданной задержки относящихся к нему персональных данных, контролер обязан незамедлительно удалить персональные данные, если применяется одно из следующих оснований...

86 «.Архитектура на основе метаданных считается полезным элементом обеспечения и поддержки "права на забвение"., метаданные сами по себе не могут гарантировать, что будут соблюдаться указанные принципы. Тем не менее это может облегчить их соблюдение, сделав их легкодоступными...».

87 «Принципы защиты персональных данных не следует применять к анонимной информации, а именно информации, которая не относится к идентифицированному или к поддающемуся идентификации физическому лицу, а также они не должны применяться к персональным данным, анони-мизированным таким образом, что субъектов данных вообще или более невозможно идентифицировать. Настоящий Регламент не следует применять к обработке такой анонимной информации, в том числе в статистических или научных целях».

ментом, помогающим при запросах субъектов данных на осуществление их прав в соответствии с законодательством, такие как право на доступ к своим личным данным:

Существование права доступа вынуждает организации практиковать надлежащее управление данными. Им нужны адекватные метаданные, возможность запрашивать данные, чтобы найти всю имеющуюся у них информацию о человеке, и знание того, действительно ли данные, которые они обрабатывают, были анонимизи-рованы, или их все еще можно связать с человеком [ICO, 2017, p. 46].

Хотя метаданные — это один из способов обеспечения надлежащего управления данными, технологии, используемые сегодня в бизнесе, такие как облачные вычисления, создают определенные трудности для соблюдения соответствующих требований. Когда облачные провайдеры перемещают данные «исходя из нагрузки и других факторов», местонахождение данных в любой конкретный момент времени может быть неизвестно [Yoo, Blanchette, 2015, p. 186]. Это создает трудности в части трансграничной передачи, если местонахождением является страна, по которой не было принято решение об адекватности [Ibid., p. 155].

Орган по защите данных Франции — CNIL — предложил рекомендации в отношении облачных вычислений до принятия GDPR (хотя эти пункты остаются в силе и сегодня): «четко определить данные и операции обработки, которые будут переданы в облако»; «определить собственные требования к технической и правовой безопасности»; «провести анализ рисков для определения мер безопасности, необходимых для компании»; «определить соответствующий тип облака для планируемой обработки»; «выбрать поставщика услуг, предлагающего достаточные гарантии» [CNIL, 2012]88.

Кроме того, Рабочая группа по защите данных, влиятельная консультативная группа, созданная в соответствии со ст. 29 Директивы 1995 г. [1995 Directive, p. 29(1)]89, (которая была заменена EDPB в соответствии с GDPR) [EC, 2018c], высказала мнение, что в соглашениях об облачных услугах должно быть указано, где и кем должны обрабатываться данные, в дополнение к обеспечению «эффективного контроля и четкого распределения ответственности за деятельность по обработке данных» [Working Party, 2012, p. 9]. Необходимо тщательно продумывать вопросы управления персональными данными при обсуждении положений и составлении контракта на предоставление облачных услуг90.

GDPR предоставляет инструменты для обеспечения подотчетности и соответствия, которые были подробно описаны. Среди них: требования к реестрам обработки данных (за исключением некоторых малых и средних предприятий) [Voss, 2016b, p. 227], требования для многих компаний иметь сотрудников, ответственных за защиту данных [Voss, 2016c, p. 804—814], требования проводить перед обработкой с высоким уровнем рисков оценку воздействия на защиту данных [Ibid., p. 803—806]. Более того, мотивацией для соблюдения требований служит усиление санкций за нарушение принципов защиты данных, достигающих 4% годового мирового оборота компаний только за наиболее серьезные нарушения [Houser, Voss, 2018a, p. 57].

88 Рекомендации могут быть загружены напрямую. См. [CNIL, n. d.]. Аналогично орган по защите данных Великобритании — ICO — опубликовал руководство по облачным вычислениям до принятия GDPR. См. ICO [n. d.].

89 Обсуждение роли этой группы см. [Farrell, Newman, 2019, р. 51] («Неофициально Рабочая группа по ст. 29 стала мощным противовесом фирмам и правительствам, которые обходят или нарушают европейские правила, и ее позиция имеет значительный вес при формировании информированного мнения элиты»).

90 Обсуждение содержания контракта на предоставление облачных услуг см. [Voss, Woodcock, 2016, р. 190].

B. Управление данными в соответствии с Privacy Shield

Положения об управлении данными касательно их дальнейшей передачи (а также положения о подотчетности в рамках GDPR) можно понимать как элементы, которые возлагают на получателей данных ответственность за действия субъектов, находящихся ниже в глобальной цепочке поставок персональных данных. К контролерам данных предъявляются требования, как правило, в соответствии с положениями об ответственности GDPR, которые обсуждались в разделе A. Это похоже на ситуацию в других сферах, таких как корпоративная социальная ответственность, где компании, ведущие международные операции, могут быть вынуждены проводить процедуры дью-дилидженс для управления как вверх, так и вниз по цепочке поставок91. В частности, в отношении дальнейшей передачи данных Privacy Shield устанавливает положения об ответственности независимо от того, осуществляется ли такая последующая передача «третьей стороне, действующей в качестве контролера», или «третьей стороне, действующей в качестве агента» [Privacy Shield Framework, n. d., b]. В случае третьей стороны, действующей в качестве контролера, они включают требования о предоставлении информации субъектам данных (физическим лицам) (которые сформулированы как «уведомление» и обычно считаются частью «прозрачности») и наличии выбора [Ibid.]92, при котором субъекту данных предоставляется право на отказ от обработки и, в случае обработки особых категорий данных (конфиденциальных данных), предусмотрено требование о получении согласия [Privacy Shield Framework, n. d., d]. Кроме того, в случае передачи контролеру с ним должен быть заключен контракт, в котором излагаются элементы ограничения цели и содержится требование, чтобы контролер-получатель обеспечивал «такой же уровень защиты, что и Принципы» и уведомлял организацию, «если он принимает решение о том, что больше не может исполнять это обязательство», и в этом случае такой контролер либо прекратит обработку данных, либо предпримет «другие разумные и надлежащие меры для исправления ситуации» [Privacy Shield Framework, n. d., b, n. d., e].

В случае дальнейшей передачи данных в рамках Privacy Shield агенту (процессору) организация должна выполнить несколько условий:

(i) передавать такие данные только для ограниченных и определенных целей; (ii) удостовериться, что агент обязался обеспечить по крайней мере такой же уровень защиты конфиденциальности, который требуется Принципами; (iii) принять разумные и надлежащие меры для обеспечения того, чтобы агент эффективно обрабатывал переданную личную информацию согласно обязательствам организации в соответствии с Принципами; (iv) потребовать от агента уведомить организацию, если он решит, что больше не может выполнять свои обязательства по обеспечению того же уровня защиты, который требуется Принципами; (v) после уведомления, в том числе в соответствии с п. (iv), предпринять разумные и надлежащие шаги для прекращения и исправления ситуации с несанкционированной обра-

91 «Поэтому корпоративная социальная ответственность (КСО) все больше связана с управлением цепочками поставок и, в частности, с глобальными» [Millington, 2008, p. 363]. Как пример из Европы, Франция приняла закон, требующий должной осмотрительности не только в отношении деятельности компании и ее дочерних компаний, но и в отношении поставщиков и субподрядчиков в области прав человека, здоровья и безопасности, а также экологических рисков. См. [Wagner, 2018, p. 669].

92 «Чтобы передать личную информацию третьей стороне, выступающей в качестве контролера, организации должны соблюдать Принципы уведомления и выбора. Принцип уведомления включает требования в отношении информации, включающей 13 категорий, которая должна быть предоставлена субъекту данных (физическому лицу). См. [Privacy Shield Framework, n. d., c].

боткой; и (vi) предоставить Департаменту по запросу краткое изложение или репрезентативную копию соответствующих положений о конфиденциальности своего контракта с этим агентом [Ibid.].

Таким образом, в случае дальнейшей передачи персональных данных, полученных в соответствии с Privacy Shield, у американской организации, прошедшей самостоятельную сертификацию на соответствие принципам Privacy Shield, сохраняется подот-четность93. Они эквивалентны требованиям по управлению вниз по цепочке поставок персональных данных в рамках того, что можно описать как управление глобальной цепочкой поставок персональных данных.

Наконец, как мы видели, включение положений об управлении данными, аналогичных положениям Директивы 1995 г. и Общего регламента по защите данных, обеспечило суть международных соглашений, заключенных для обеспечения трансграничного перемещения персональных данных, таких как «Безопасная гавань» и Privacy Shield. Действительно, принятие стандарта GDPR для управления данными может быть стратегическим выбором [Voss, Houser, 2019, p. 338]94. Однако следует проводить мониторинг правовых изменений в отношении законодательных инструментов с экстерриториальным действием из других юрисдикций, поскольку такие инструменты могут повлиять на требования к управлению данными, хотя в этой статье основное внимание и уделяется GDPR Европейского союза.

C. Выводы относительно управления данными

Компании, применяющие надлежащие методы управления данными, могут обнаружить, что они облегчают соблюдение различных законов о конфиденциальности данных, которые применяются к их глобальным цепочкам поставок потоков данных. Составление карты обработки данных и понимание, насколько это возможно, где находятся их данные, является первым шагом для компаний. Компании должны следовать тому, что, возможно, стало универсальным принципом — FIPP — в своих усилиях по соблюдению законов во всем мире. Поскольку GDPR будет применяться ко многим международным компаниям, им следует учитывать его положения об ответственности и оценивать свою глобальную цепочку поставок потоков данных на предмет соответствия Регламенту. В этом контексте для обеспечения соблюдения установленных требований важны контракты, а безопасность и прозрачность являются важными вопросами, которые следует учитывать в контрактах.

Кроме того, контролеры должны надлежащим образом проверять своих процессоров и могут проводить их аудит во время обработки данных. Должны оцениваться положения об осуществлении прав субъектами данных, а использование метаданных, которые могут быть легко проиндексированы, помогает найти соответствующие данные. Компании также должны проявлять особую осторожность при заключении и со-

93 В случае дальнейшей передачи контролеру эта подотчетность будет обеспечиваться за счет соблюдения положений обязательного договора, рассмотренного выше. В случае дальнейшей передачи обработчику (агенту) «американская организация будет нести ответственность за обеспечение защиты, предусмотренной Принципами, путем осуществления своих полномочий по распоряжению» [EC, 2012, р. 6, point 31].

94 «Технологические компании США могут использовать соблюдение GDPR для изменения и улучшения своей корпоративной культуры, что приведет к повышению доверия потребителей. Выйдя за рамки юридических требований и рекламируя такие меры, они могут получить явное конкурентное преимущество, основанное на доверии, по сравнению с фирмами, которые соблюдают закон по минимуму».

ставлении облачных контрактов. Усиление санкций в GDPR по сравнению с Директивой 1995 г. в этой связи обеспечивает стимул для исполнения требований

В соответствии с Privacy Shield существуют различные требования в отношении контрактов на дальнейшую передачу данных. Их следует воспринимать как часть управления цепочками поставок глобальных потоков данных — концепции, которая восходит к другим областям, таким как КСО, где все больше и больше компаний берут на себя ответственность за собственные международные цепочки поставок. Результатом таких усилий будет помощь компаниям в более эффективном управлении своими потоками персональных данных, избежании ответственности и повышении доверия среди ее клиентов, поставщиков и партнеров.

V. Заключение

Трансграничные потоки данных сегодня являются важным компонентом международной торговли и основой многих моделей цифровых услуг. Однако по разным причинам в условиях «конкурирующих стандартов» и «пересечения норм» экстерриториальных законов усилились ограничения на передачу персональных данных и требования по локализации данных. Поскольку эти барьеры препятствуют определенным потокам, используются международные соглашения, обеспечивающие непрерывный свободный поток персональных данных при условии обеспечения определенных мер защиты данных и их субъектов. Эти соглашения включают Privacy Shield для самосертифицированных организаций, расположенных в США, решение об адекватности и Дополнительные правила для Японии, ОКП и стандартные договорные положения в других случаях, хотя некоторые из них могут быть оспорены в судебном порядке.

Параллельно с развитием концепции управления международными цепочками поставок в других областях, таких как производство товаров в рамках корпоративной социальной ответственности, GDPR и использование механизмов трансграничной передачи в соответствии с ним требуют определенных действий по управлению международными цепочками поставок персональных данных. В анализе Privacy Shield мы увидели, что существуют требования к ответственности организаций США, сертифицированных по данной программе, за дальнейшую передачу данных. Обеспечение ответственности начинается с понимания того, какие данные собираются и обрабатываются и где они находятся. Как было показано, это важно из-за широкого охвата законодательства о защите данных как с точки зрения его предмета регулирования, так и экстерриториального действия.

Когда используются процессоры (или последующие контролеры) вниз по цепочке поставок потока данных, для контроля действий, обеспечения защиты данных и оформления любых будущих возможных дальнейших передач данных должны использоваться контракты. Это требуется независимо от того, используются ли контракты в отношениях с облачными службами, в рамках других форм обработки или дальнейшей передачи в соответствии с Privacy Shield.

Пересечение законодательства в этой области усложняет деятельность, поэтому очень важно, чтобы компании постоянно следили за законодательными и судебными изменениями. Хотя эта статья посвящена исключительно GDPR и его предшественнице, Директиве 1995 г., необходимо, чтобы компании определяли и анализировали все аспекты применяемого законодательства, особенно учитывая, что соблюдение CCPA схоже, но не полностью соответствует соблюдению GDPR. Компании должны понимать эти сложности и следить за нормативными изменениями, куда бы ни шла их глобальная цепочка поставок потоков данных (скорее всего, по всему миру) для обеспече-

ния соответствия требованиям. Несмотря на то что между различными применяемыми законами о конфиденциальности данных могут возникать противоречия, надлежащее управление данными должно способствовать обеспечению соблюдения всех законов — это дает больше оснований для его практической реализации. Компании должны применять надлежащее управление данными во всей своей глобальной цепочке поставок потоков данных.

Список источников

Федеральный закон от 21 июля 2014 г. № 242-ФЗ (2014). «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Режим доступа: http://publication.pravo. gov.ru/Document/View/0001201407220042 (дата обращения: 04.03.2022).

Article 29 Data Protection Working Party (Working Party) (2012). Opinion 05/2012 on Cloud Computing. WP 196. 1 July. Режим доступа: https://ec.europa.eu/justice/article-29/documentation/opinion-recommenda-tion/files/2012/wp196_en.pdf (дата обращения: 04.03.2022).

Asbury J., McClelland M., Torgerson K., Vincent I., Boling J., Sweenty A. (2019). Law and Business Technology: Cyber Security & Data Privacy Update // Transactions: The Tennessee Journal of Business Law. Vol. 20. No. 4. P. 1065-1089. Режим доступа: https://trace.tennessee.edu/transactions/vol20/iss4/3 (дата обращения: 01.03.2022).

Bessette R., Haufler V. (2001). Against All Odds: Why There Is No International Information Regime // International Studies Perspectives. Vol. 2. Iss. 1. P. 69-92. https://doi.org/10.1111/1528-3577.00038

Blume J.D. (2018). Reading the Trade Tea Leaves: A Comparative Analysis of Potential United States WTO-GATS Claims Against Privacy, Localization and Cybersecurity Laws // Georgetown Journal of International Law. Vol. 49. P. 801-843. Режим доступа: https://www.law.georgetown.edu/international-law-journal/wp-content/uploads/sites/21/2018/08/GT-GJIL180026.pdf (дата обращения: 01.03.2022).

Bradford A. (2012). The Brussels Effect // Northwestern University Law Review. Vol. 107. No. 1. P. 19-35. Режим доступа: https://scholarship.law.columbia.edu/cgi/viewcontent.cgi?article=1275&context=faculty_ scholarship (дата обращения: 01.03.2022).

Bridge F.H.S. (1994). The Council of Europe French-English Legal Dictionary. The Council of Europe.

Burri M. (2017). The Regulation of Data Flows Through Trade Agreements // Georgetown Journal of International Law. Vol. 48. P. 407-448. Режим доступа: https://edisciplinas.usp.br/pluginfile.php/4308963/ mod_resource/content/0/SSRN-CrossBorderDataFlows-21092017.pdf (дата обращения: 01.03.2022).

Bygrave L.A. (2014). Data Privacy Law: An International Perspective. Oxford University Press.

California Consumer Privacy Act (CCPA) (2020). California Civil Code § [1798.100-198.199.100]. Режим доступа: https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode= CIV&title=1.81.5 (дата обращения: 04.03.2022).

Case C-131/12, Google Spain SL and Google Inc v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González. Judgment of the Court (Grand Chamber) of 13 May 2014. Режим доступа: https:// eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62012CJ0131 (дата обращения: 01.03.2022).

Case C-230/14, Weltimmo s.r.o. v. Nemzeti Adatvédelmi és Információszabadság Hatóság. Judgment of the Court (Third Chamber) of 1 October 2015. Режим доступа: https://eur-lex.europa.eu/legal-content/EN/ TXT/?uri=CELEX%3A62014CJ0230 (дата обращения: 01.03.2022).

Case C-311/18, Data Protection Commissioner v. Facebook Ireland Limited and Maximilian Schrems. Opinion of Advocate General Saugmandsgaard 0e on19 December 2019. Режим доступа: https://eur-lex.europa. eu/legal-content/en/TXT/?uri=CELEX:62018CC0311 (дата обращения: 02.03.2022).

Case C-362/14, Maximillian Schrems v. Data Protection Commissioner. Judgement of the Court (Grand Chamber) of 6 October 2015. Режим доступа: https://curia.europa.eu/juris/liste.jsf?num=C-362/14 (дата обращения: 02.03.2022).

Chander A. (2013). The Electronic Silk Road: How the Web Binds the World Together in Commerce. Yale University Press.

Chander A. (2014). How Law Made Silicon Valley // Emory Law Journal. Vol. 63. Iss. 3. P. 639—94. Режим доступа: https://scholarlycommons.law.emory.edu/elj/vol63/iss3/3/ (дата обращения: 01.03.2022).

CNIL (2012). Cloud Computing: CNIL's Recommendations for Companies Using These New Services. 25 June. Режим доступа: https://www.cnil.fr/en/cloud-computing-cnils-recommendations-companies-us-ing-these-new-services (дата обращения: 02.03.2022).

CNIL (n. d.). Recommendations for Companies Planning to Use Cloud Computing Services. Режим доступа: https://www.cnil.fr/sites/default/files/typo/document/Recommendations_for_companies_planning_to_ use_Cloud_computing_services.pdf (дата обращения: 02.03.2022).

Cohen J.E. (2019). Between Truth and Power: The Legal Constructions of Informational Capitalism. Oxford University Press.

Cohn B.L. (2015). Data Governance: A Quality Imperative in the Era of Big Data, Open Data, and Beyond // I/S: A Journal of Law and Policy for the Information Society. Vol. 10. No. 3. P. 811—826. Режим доступа: https://kb.osu.edu/handle/1811/75416 (дата обращения: 02.03.2022).

Connolly C., van Dijk P. (2016). Enforcement and Reform of the EU — US Safe Harbor Agreement // Enforcing Privacy: Regulatory, Legal and Technological Approaches / D. Wright, P. de Hert (eds). Springer. Р. 278—281.

Convention for the Protection of Individuals With Regard to Automatic Processing of Personal Data ("Convention 108"), 28 January (1981) European Treaty Series No. 108. Режим доступа: https://rm.coe.int/1680078b37 (дата обращения: 01.03.2022).

Council of Europe (COE) (2018a). Convention 108+: Convention for the Protection of Individuals With Regard to the Processing of Personal Data. Режим доступа: https://rm.coe.int/convention-108-convention-for-the-protection-ofindividuals-with-regar/16808b36f1 (дата обращения: 01.03.2022).

Council of Europe (COE) (2018b). Modernisation of Convention 108: Comparative Table: Convention for the Protection of Individuals With Regard to the Processing of Personal Data (CETS 108) Режим доступа: https://rm.coe.int/cahdataconvention-108-table-e-april2018/16808ac958 (дата обращения: 01.03.2022).

Council of Europe (COE) (n. d., a). Chart of Signatures and Ratifications of Treaty 108: Convention for the Protection of Individuals With Regard to Automatic Processing of Personal Data. Режим доступа: https:// www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=2ZBNRLeZ (дата обращения: 25.02.2020).

Council of Europe (COE) (n. d., b). Chart of Signatures and Ratifications of Treaty 223: Protocol Amending the Convention for the Protection of Individuals With Regard to Automatic Processing of Personal Data. Режим доступа: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/223/signatures (дата обращения: 25 February 2020).

Creemers R., Triolo P., Webster G. (2018). Translation: Cybersecurity Law of the People's Republic of China (Effective June 1, 2017) New America Blog Post. 29 June. Режим доступа: https://www.newamer-ica.org/cybersecurity-initiative/digichina/blog/translation-cybersecurity-law-peoples-republic-china/ (дата обращения: 01.03.2022).

Data Protection Commission (DPC) (n. d., a). Background. Режим доступа: https://www.dataprotection.ie/ en/about/background (дата обращения: 20.02.2020).

Data Protection Commission (DPC) (n. d., b). Senior Management Committee & Organisational Structure. Режим доступа: https://www.dataprotection.ie/en/who-we-are/senior-management-committee-organisa-tional-structure (дата обращения: 01.03.2022).

de Hert P., Papakonstantinou V. (2015). The Data Protection Regime in China. European Parliament, Directorate-General for Internal Policies. Режим доступа: https://europarl.europa.eu/RegData/etudes/ IDAN/2015/536472/IPOL_IDA(2015)536472_EN.pdf (дата обращения: 01.03.2022).

de las Heras T.B. (2010). Introduction to Spanish Private Law: Facing the Social and Economic Challenges. Routledge.

Determann L. (2018). Analysis: The California Consumer Privacy Act of 2018. International Association of Privacy Professionals Privacy Tracker. 2 July. Режим доступа: https://iapp.org/news/a7analysis-the-califor-nia-consumer-privacy-act-of-2018/ (дата обращения: 01.03.2022).

Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals With Regard to the Processing of Personal Data and on the Free Movement of such Data ("The 1995 Directive") (1995) // Official Journal. L 281. P. 31-50. Режим доступа: http://data.europa.eu/eli/ dir/1995/46/oj (1 March 2022).

Dixon H. (2018). Regulate to Liberate: Can Europe Save the Internet? // Foreign Affairs, September/October. Режим доступа: https://www.foreignaffairs.com/articles/europe/2018-08-14/regulate-liberate (дата обращения: 01.03.2022).

Drezner D. (2007). All Politics Is Global: Explaining International Regulatory Regimes. Princeton University Press.

Engels B. (2019). Data Governance as the Enabler of the Data Economy // Intereconomics. Vol 54. No. 4. P. 216-222. Режим доступа: https://www.researchgate.net/publication/334742032_Data_Governance_as_ the_Enabler_of_the_Data_Economy (дата обращения: 02.03.2022)

Eshoo A.G. (2015). Safe Harbor 2.0. Congresswoman Anna G. Eshoo Op-Ed. 18 November. Режим доступа: https://eshoo.house.gov/media/op-eds/safe-harbor-20 (дата обращения: 01.03.2022).

European Commission (EC) (2013). Communication From the Commission to the European Parliament and the Council on the Functioning of the Safe Harbour From the Perspective of EU Citizens and Companies Established in the EU. COM(2013) 847 final. Brussels, 27 November. Режим доступа: https://www.euro-parl.europa.eu/meetdocs/2014_2019/documents/com/com_com(2013)0847_/com_com(2013)0847_en.pdf) (01.03.2022).

European Commission (EC) (2016). Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 Pursuant to Directive 95/46/EC of the European Parliament and of the Council on the Adequacy of the Protection Provided by the EU-U.S. Privacy Shield and Annexes 1-7 // Official Journal of the European Union, L 207 1. Режим доступа: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016D125 0&from=EN (дата обращения: 02.03.2022).

European Commission (EC) (2017). Digital Single Market: Communication on Exchanging and Protecting Personal Data in a Globalised World Questions and Answers. MEMO/17/15. 10 January. Режим доступа: https://ec.europa.eu/commission/presscorner/detail/en/MEMO_17_15 (дата обращения: 02.03.2022).

European Commission (EC) (2018a). Report From the Commission to the European Parliament and to the Council on the Second Annual Review of the Functioning of the EU - U.S. Privacy Shield. COM(2018) 860 final. Brussels. 23 October. Режим доступа: https://ec.europa.eu/info/sites/default/files/report_on_the_sec-ond_annual_review_of_the_eu-us_privacy_shield_2018.pdf (дата обращения: 01.03.2022).

European Commission (EC) (2018b). International Data Flows: Commission Launches the Adoption of its Adequacy Decision on Japan. Press Release IP/18/5433. 5 September. Режим доступа: https://ec.europa.eu/ commission/presscorner/detail/en/IP_18_5433 (дата обращения: 02.03.2022).

European Commission (EC) (2018c). The Article 29 Working Party Ceased to Exist as of 25 May 2018. Newsroom. 11 June. Режим доступа: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=629492 (дата обращения: 02.03.2022).

European Commission (EC) (2019). Commission Implementing Decision (EU) 2019/419 of 23 January 2019 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the Adequate Protection of Personal Data by Japan Under the Act on the Protection of Personal Information // Official Journal of the European Union, L 76/1. Режим доступа: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?u ri=CELEX:32019D0419&from=EN (дата обращения: 02.03.2022).

European Commission (EC) (2019a). Report From the Commission to the European Parliament and the Council on the Third Annual Review of the Functioning of the EU - U.S. Privacy Shield. COM (2019) 495 final. Brussels. Oct. 23. Режим доступа: https://ec.europa.eu/info/sites/info/files/report_on_the_third_an-nual_review_of_the_eu_us_privacy_shield_2019.pdf (дата обращения: 02.03.2022).

European Commission (EC) (n. d.). Adequacy Decisions. Режим доступа: https://ec.europa.eu/info/law/ law-topic/data-protection/intemational-dimension-data-protection/adequacy-decisions_en (дата обращения: 01.03.2022).

European Data Protection Board (EDPB) (2019a). Guidelines 3/2018 on the Territorial Scope of the GDPR (Article 3) 12 November. Режим доступа: https://edpb.europa.eu/our-work-tools/our-documents/guide-hnes/guidelines-32018-territorial-scope-gdpr-article-3-version_en (дата обращения: 01.03.2022).

European Data Protection Board (EDPB) (2019b). EU — U.S. Privacy Shield: Third Annual Joint Review. 12 November. Режим доступа: https://edpb.europa.eu/sites/edpb/files/files/file1/edpbprivacyshield3rdan-nualreport.pdf_en.pdf (дата обращения: 02.03.2022).

European Union (EU) (n. d.). Country Profiles. Режим доступа: https://europa.eu/european-union/about-eu/countries_en (дата обращения: 01.03.2022).

Farrell H., Newman A.L. (2019). Of Privacy and Power: The Transatlantic Struggle Over Freedom and Security. Princeton University Press.

fordhaiplj@gmail.com (2019). The Private-Sector Ecosystem of User Data in the Digital Age // Fordham Intellectual Property, Media & Entertainment Law Journal. Vol. 29. No. 4. P. 1099—1115. Режим доступа: https:// ir.lawnet.fordham.edu/cgi/viewcontent.cgi?article=1727&context=iplj (дата обращения: 02.03.2022).

Fuster G.G. (2014). The Emergence of Personal Data Protection as a Fundamental Right ofthe EU. Springer.

General Agreement on Trade in Services (GATT) BIS: Security Exceptions. Art. XIV (c)(ii) Режим доступа: https://www.wto.org/english/docs_e/legal_e/26-gats_01_e.htm (дата обращения: 01.03.2022).

Hoffman D.A., Rimo P.A. (2018). It Takes Data to Protect Data // The Cambridge Handbook of Consumer Privacy / E. Selinger, J. Polonetsky, O. Tene (eds). Cambridge University Press. P. 546—560. https://doi. org/10.1017/9781316831960.030

Hon W.K. (2017). Data Localization Laws and Policy: The EU Data Protection International Transfers Restriction Through a Cloud Computing Lens. Edward Elgar Publishing.

Houser K.A., Voss W.G. (2018a). GDPR: The End of Google and Facebook or a New Paradigm in Data Privacy? // Richmond Journal of Law and Technology. Vol. 25. Iss. 1. P. 1—109. Режим доступа: https://jolt.rich-mond.edu/gdpr-the-end-of-google-and-facebook-or-a-new-paradigm-in-data-privacy/ (дата обращения: 01.03.2022).

Houser K.A., Voss W.G. (2018b). The European Commission on the Privacy Shield: All Bark and No Bite? Timely Tech, 20 December. http://illinoisjltp.com/timelytech/the-european-commission-on-the-privacy-shield-all-bark-and-no-bite/.

Illman E., Temple P. (2019/2020). California Consumer Privacy Act: What Companies Need to Know // The Business Lawyer. Vol. 75. P. 1637—1646. Режим доступа: https://www.bradley.com/-/media/files/insights/ publications/2020/tbl-751-014-illman--temple-cyberspace.pdf (дата обращения: 01.03.2022).

Information Commissioner's Office (ICO) (2017). Big Data, Artificial Intelligence, Machine Learning and Data Protection. Режим доступа: https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-anddata-protection.pdf (дата обращения: 02.03.2022).

Information Commissioner's Office (ICO) (n. d.). Guidance on the Use of Cloud Computing, Version 1.1. Режим доступа: https://ico.org.uk/media/fororganisations/documents/1540/cloud_computing_guidance_ for_organisations.pdf (дата обращения: 02.03.2022).

Jerker D., Svantesson B. (2020). Article 3. Territorial Scope. The EU General Data Protection Regulation (GDPR): A Commentary / C. Kuner, L.A. Bygrave, C. Docksey, L. Drechsler (eds.). Oxford University Press.

Khorana S., Voss W.G. (2018). The Digital Single Market: Move From Traditional to Digital? // Handbook on the EU and International Trade / S. Khorana, M. Garcrn (eds). Edward Elgar Publishing.

Kornbluh K. (2018). The Internet's Lost Promise: And How America Can Restore It // Foreign Affairs. September/October. Режим доступа: https://www.foreignaffairs.com/articles/world/2018-08-13/internets-lost-promise (дата обращения: 01.03.2022).

Kuner C. (2013). Transborder Data Flows and Data Privacy Law. Oxford University Press.

le Stujon S. (2020). Le California Privacy Act: premier pas vers un RGPD américain? [The California Privacy Act: The First Step Toward an American GDPR?] // Revue de l'Union Europeén. No. 634. (in French)

Lucas L. (2018). China Emerges as Asia's Surprise Leader on Data Protection // Financial Times. 29 May. Режим доступа: https://www.ft.com/content/e07849b6-59b3-11e8-b8b2-d6ceb45fa9d0 (дата обращения: 01.03.2022).

Lund S., Manyika J., Woetzel J., Bughin J., Krishnan M., Seong J., Muir M. (2019). Globalization in Transition: The Future of Trade and Value Chains. McKinsey Global Institute. Режим доступа: https://www.mc-kinsey.com/~/media/McKinsey/Featured%20Insights/Innovation/Globalization%20in%20transition%20 The%20future%20of%20trade%20and%20value%20chains/MGI-Globalization%20in%20transition-The-future-of-trade-and-value-chains-Full-report.ashx (дата обращения: 01.03.2022).

Lynskey O. (2015). The Foundations of EU Data Protection Law. Oxford University Press.

MacDonald D.A., Streatfeild C.M. (2014). Personal Data Privacy and the WTO // Houston Journal of International Law. Vol. 36. No. 3. P. 625-653. Режим доступа: http://www.hjil.org/articles/hjil-36-3-macdonald-streatfeild.pdf (дата обращения: 01.03.2022).

Manyika J., Lund S., Bughin J., Woetzel J., Stamenov K., Dhingra D. (2016). Digital Globalization: The New Era of Global Flows. McKinsey Global Institute. Режим доступа: https://www.mckinsey.com/-/ media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20globaliza-tion%20The%20new%20era%20of%20global%20flows/MGI-Digital-globalization-Full-report.ashx (дата обращения: 01.03.2022)

Mayer-Schönberger V., Ramge T. (2018). Reinventing Capitalism In The Age Of Big Data. Basic Books.

Meltzer J.P. (2014). The Importance of the Internet and Transatlantic Data Flows for U.S. and EU Trade and Investment. Global Economy & Development Working Paper No. 79. The Brookings Institution. Режим доступа: https://www.brookings.edu/wp-content/uploads/2016/06/internet-transatlantic-data-flows-ver-sion-2.pdf (дата обращения: 01.03.2022).

Millington A. (2008). Responsibility in the Supply Chain // The Oxford Handbook Of Corporate Social Responsibility / A. Crane, D. Matten, A. McWilliams, J. Moon, D.S. Siegel (eds). Oxford University Press.

Mishra N. (2019). Building Bridges: International Trade Law, Internet Governance, and the Regulation of Data Flows // Vanderbilt Journal of Transnational Law. Vol. 52. Р. 463-509. Режим доступа: https://cdn.van-derbilt.edu/vu-wp0/wp-content/uploads/sites/78/2019/05/25131405/8.20Mishra20.pdf (дата обращения: 01.03.2022).

O'Mara M. (2019). The Code: Silicon Valley and the Remaking ofAmerica. Oxford University Press.

Organisation for Economic Co-operation and Development (OECD) (1980). OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. Режим доступа: http://www.oecd.org/sti/iecon-omy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm (дата обращения: 01.03.2022).

Organisation for Economic Co-operation and Development (OECD) (2013). The OECD Privacy Framework: Annex: Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. Режим доступа: http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf (дата обращения: 01.03.2022).

Organisation for Economic Co-operation and Development (OECD) (n. d.). Where: Global Reach. Режим доступа: https://www.oecd.org/about/members-and-partners/ (дата обращения: 01.03.2022).

Politou E., Alepis E., Patsakis C. (2018). Forgetting Personal Data and Revoking Consent Under the GDPR: Challenges and Proposed Solutions // Journal of Cybersecurity. Vol. 4. Iss. 1. P. 1-20. https://doi.org/10.1093/ cybsec/tyy001

Power E.M., Trope R.L. (2006). The 2006 Survey of Legal Developments in Data Management, Privacy, and Information Security: The Continuing Evolution of Data Governance // The Business Lawyer. Vol. 62. No. 1. P. 251-294. Режим доступа: https://www.jstor.org/stable/40688420.

Privacy Shield Framework (n. d., a). FAQs: General. Режим доступа: https://www.privacyshield.gov/ article?id=General-FAQs (дата обращения: 02.03.2022).

Privacy Shield Framework (n. d., b). Accountability for Onward Transfer. Режим доступа: https://www.priva-cyshield.gov/article?id=3-ACCOUNTABILITY-FOR-ONWARD-TRANSFER (02.03.2022).

Privacy Shield Framework (n. d., c). Notice. Режим доступа: https://www.privacyshield.gov/article?id=1-NOTICE (дата обращения: 02.03.2022).

Privacy Shield Framework (n. d., d). Choice. Режим доступа: https://www.privacyshield.gov/article?id=2-CHOICE (дата обращения: 05.03.2020).

Privacy Shield Framework (n. d., e). Obligatory Contracts for Onward Transfers. Режим доступа: https://www. privacyshield.gov/article?id=10-Obligatory-Contracts-for-Onward-Transfers (дата обращения: 05.03.2020).

Radu R. (2019). Negotiating Internet Governance. Oxford University Press.

Real Decreto 1784/1996, de 19 de julio, por el que se aprueba el Reglamento del Registro Mercantil [Royal Decree 1784/1996, of 19 July, Approving the Mercantile Registry Regulations], Article 177(1). Режим доступа: https://www.boe.es/eli/es/rd/1996/07/19/1784/con (дата обращения: 16.03.2022). (in Spanish)

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons With Regard to the Processing of Personal Data and on the Free Movement of Such Data and Repealing Directive 95/46/EC (General Data Protection Regulation) (2016) // Official Journal of the European Union, L 119/1. Режим доступа: https://eur-lex.europa.eu/eli/reg/2016/679/oj (дата обращения: 01.03.2022).

Sacks S. (2017). China's Cybersecurity Law Takes Effect: What to Expect // Lawfare. 1 June. Режим доступа: https://www.lawfareblog.com/chinas-cybersecurity-law-takes-effect-what-expect (дата обращения: 01.03. 2022).

Satariano A. (2018). New Privacy Rules Could Make This Woman One of Tech's Most Important Regulators // New York Times. 16 May. Режим доступа: https://nyti.ms/2GjRTaN (дата обращения: 01.03.2022).

Schneier B. (2015). Data and Goliath: The Hidden Battles To Collect Your Data and Control Your World. W.W. Norton & Company.

Second Substitute Senate Bill 6281 (2020). State of Washington, 66th Leg., 2020 Regular Session. Режим доступа: https://lawfilesext.leg.wa.gov/biennium/2019-20/Pdf/Bills/Senate%20Bills/6281-S2.pdf#page=1 (дата обращения: 01.03.2022).

Segal A. (2018). When China Rules the Web: Technology in Service of the State // Foreign Affairs, September/ October. Режим доступа: https://www.foreignaffairs.com/articles/china/2018-08-13/when-china-rules-web (дата обращения: 01.03.2022).

Shaffer G. (2000). Globalization and Social Protection: The Impact of EU and International Rules in the Ratcheting Up of US Privacy Standards // Yale Journal of International Law. Vol. 25. No. 1. P. 1—88. Режим доступа: http://hdl.handle.net/20.500.13051/6405 (дата обращения: 01.03.2022).

The Economist (2016). Online Governance: Lost in the Splinternet. 5 November. Режим доступа: https:// www.economist.com/international/2016/11/05/lost-in-the-splinternet (дата обращения: 01.03.2022).

Timmons J., Chabinsky S.R., Pittman F.P. (2020). UK Business Exposure to the California Consumer Privacy Act 2018 ("CCPA") // White & Case Client Alert, 31 January. Режим доступа: https://www.whitecase.com/ publications/alert/uk-business-exposure-california-consumer-privacy-act-2018-ccpa (дата обращения: 01.03.2022).

Trope R.L., Power E.M. (2005). Lessons in Data Governance: A Survey of Legal Developments in Data Management, Privacy and Security // The Business Lawyer. Vol. 61. No. 1. P. 471—516. Режим доступа: https:// www.jstor.org/stable/40688348.

U.S. Department of Commerce (2016). Measuring the Value of Cross-Border Data Flows. Report, Office of Policy and Strategic Planning Режим доступа: https://www.commerce.gov/sites/default/files/migrated/re-ports/measuring-cross-border-data-flows.pdf (дата обращения: 01.03.2022).

U.S. Department of Health, Education & Welfare (1973). Records Computers and the Rights of Citizens. Report of the Secretary's Advisory Committee on Automated Personal Data Systems No. (OS) 73-94. Режим доступа: https://www.justice.gov/opcl/docs/rec-com-rights.pdf (дата обращения: 02.03.2022).

U.S. International Trade Commission (USITC) (2013). Digital Trade in the U.S. and Global Economies, Part 1. Investigation No. 332—531, USITC Publication 4415. Режим доступа: https://www.usitc.gov/publica-tions/332/pub4415.pdf (дата обращения: 01.03.2022).

Voss W.G. (2014a). The Right to Be Forgotten in the European Union: Enforcement in the Court of Justice and Amendment to the Proposed General Data Protection Regulation // Journal of Internet Law. Vol. 18. No. 1. P. 3-7. Режим доступа: https://ssrn.com/abstract=2567626 (дата обращения: 21.03.2022).

Voss W.G. (2014b). Looking at European Union Data Protection Law Reform Through a Different Prism: The Proposed EU General Data Protection Regulation Two Years Later // Journal of Internet Law. Vol. 17. No. 9. Режим доступа: https://ssrn.com/abstract=2567624 (дата обращения: 01.03.2022).

Voss W.G. (2016a). The Future of Transatlantic Data Flows: Privacy Shield or Bust? // Journal of Internet Law. Vol. 19. No. 11. P. 9-18. Режим доступа: https://hal.archives-ouvertes.fr/hal-02554411 (дата обращения: 01.03.2022).

Voss W.G. (2016b). European Union Data Privacy Law Reform: General Data Protection Regulation, Privacy Shield, and the Right to Delisting // Business Lawyer. Vol. 71. Iss. 1. P. 221-233. Режим доступа: https://hal. archives-ouvertes.fr/hal-02553947/document (дата обращения: 02.03.2022).

Voss W.G. (2016c). Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation // Revue Juridique Thémis de l'université de Montréal. Vol. 50. P. 783-820. Режим доступа: htt-ps://ssl.editionsthemis.com/uploaded/revue/article/2269_09-RJTUM-50-3_Voss.pdf (дата обращения: 02.03.2022).

Voss W.G. (2017). Internet, New Technologies, and Value: Taking Share of Economic Surveillance // Journal of Law, Technology & Policy. No. 2. P. 469-485. Режим доступа: https://hal.archives-ouvertes.fr/hal-02484949/document (дата обращения: 01.03.2022).

Voss W.G. (2019). Obstacles to Transatlantic Harmonization of Data Privacy Law in Context // Journal of Law, Technology & Policy. No. 2. P. 405-463. Режим доступа: https://hal.archives-ouvertes.fr/hal-02482174/doc-ument (дата обращения: 01.03.2022).

Voss W.G., Houser K.A. (2019). Personal Data and the GDPR: Providing a Competitive Advantage for U.S. Companies // American Business Law Journal. Vol. 56. Iss. 2. P. 287-344. https://doi.org/10.1111/ablj.12139

Voss W.G., Woodcock K. (2016). Navigating EU Privacy and Data Protection Laws. Cleveland: American Bar Association.

Wagner C.Z. (2018). Evolving Norms of Corporate Social Responsibility: Lessons Learned From the European Union Directive on Non-Financial Reporting // The Tennessee Journal of Business Law. Vol. 19. P. 619-708. Режим доступа: https://scholarship.law.slu.edu/cgi/viewcontent.cgi?article=1061&context=faculty (дата обращения: 02.03.2022).

Wei Y. (2018). Chinese Data Localization Law: Comprehensive but Ambiguous // The Henry M. Jackson School of International Studies. 7 February. Режим доступа: https://jsis.washington.edu/news/chinese-data-localization-law-comprehensive-ambiguous/ (дата обращения: 01.03.2022).

World Atlas (n. d.). How Many Countries Are in The World? Режим доступа: https://www.worldatlas.com/ nations.htm (дата обращения: 01.03.2022).

Yoo C.S., Blanchette J.-F. (2015). Regulating the Cloud: Policy For Computing Infrastructure. MIT Press.

Приложение

Руководящие принципы ОЭСР (1980 г. и модернизация 2013 г.) - основные принципы международного применения: свободный поток данных и законные ограничения

Положение Оригинальные Руководящие принципы 1980 г., ч. III. Основные принципы международного применения: свобода потоков и законные ограничения [OECD, 1980] Модернизированный текст 2013 г., ч. IV. Основные принципы международного применения: свобода потоков и законные ограничения [OECD, 2013, р. 16]

Рассмотрение последствий внутренней обработки и реэкспорта персональных данных для других стран-членов 15. Страны-члены должны учитывать последствия внутренней обработки и реэкспорта персональных данных дня других стран-членов

Обеспечение бесперебойности и безопасности трансграничных потоков персональных данных 16. Страны-члены должны принимать все разумные и надлежащие меры дня обеспечения непрерывности и безопасности трансграничных потоков персональных данных, включая транзит через страну-члена

Подотчетность контролера данных независимо от местонахождения данных 16. Контролер данных несет ответственность за персональные данные, находящиеся под его контролем, независимо от местонахождения данных

Отказ от ограничений, когда другая страна-член в значительной степени соблюдает Руководящие принципы 17. Страна-член должна воздерживаться от ограничения трансграничных потоков персональных данных между собой и другой страной-членом, за исключением случаев, когда последняя еще в значительной степени не соблюдает настоящие Руководящие принципы или когда реэкспорт таких данных может выходить за рамки ее внутреннего законодательства о конфиденциальности. Страна-член может также налагать ограничения в отношении определенных категорий персональных данных, дня которых ее внутреннее законодательство о конфиденциальности включает специальные положения с учетом характера этих данных и дня которых другая страна-член не обеспечивает эквивалентной защиты 17. Страна-член должна воздерживаться от ограничения трансграничных потоков персональных данных между собой и другой страной, если (а) другая страна в значительной степени соблюдает настоящие Руководящие принципы или (б) существуют достаточные гарантии, включая эффективные механизмы правоприменения и соответствующие меры, принятые контролером данных, чтобы обеспечить постоянный уровень защиты в соответствии с настоящим Руководством

Пропорциональность 18. Стране-члену следует избегать разработки законов, политик и практик во имя защиты неприкосновенности частной жизни и личных свобод, которые могут создать препятствия дня трансграничных потоков персональных данных, превышающие требования по такой защите 18. Любые ограничения на трансграничные потоки персональных данных должны быть пропорциональны существующим рискам, принимая во внимание конфиденциальность данных, а также цель и контекст обработки

<

о

X

о

Ой >

J=

International Organisations Research Journal, 2022, vol. 17, no 1, pp. 56-95

Original article (translation)

doi:10.17323/1996-7845-2022-01-03

Cross-Border Data Flows, the GDPR, and Data Governance1

W.G. Voss

W. Gregory Voss - Associate Professor, Toulouse Business School; Toulouse, France; iorj@hse.ru Abstract

Today, cross-border dataflows are an important component of international trade and an element of digital service models. However, they are impeded by restrictions on cross-border personal data transfers and data localization legislation. This Article focuses primarily on these complexities and on the impact of the new European Union ("EU") legislation on personal data protection — the GDPR. First, this Article introduces its discussion of these flows by placing them in their economic and geopolitical setting, including a discussion of the results of a lack of international harmonization of law in the area. In this framework, rule overlap and rival standards are relevant. Once this situation is established, this Article turns to an analysis of the legal measures that have filled the gap left by the lack of international regulation and the failure to harmonize law: extraterritorial laws in the European Union (regional legislation) and the United States (state legislation); and data localization laws in China and Russia. Specific provisions restricting cross-border personal data transfers are detailed under EU legislation, as are the international agreements that have been invaluable in allowing flows between the United States and the European Union to continue — first the Safe Harbor, and now the Privacym Shield. Finally, in this context, the role of data governance is investigated, both in the context of data controllers' accountability for the actions of other actors in global supply chains under EU law and under the Privacy Shield. Thus, this Article goes beyond the law itself, to place requirements in the context of the globalized business world of data flows, and to suggest ways that companies may improve their compliance position worldwide.

Keywords: cross-border data flows, GDPR, data governance, data protection legislation, international agreements on cross-border data flows

For citation: Voss W. Gregory (2022). Cross-Border Data Flows, the GDPR, and Data Governance. International Organisations Research Journal, vol. 17, no 1, pp. 56-95 (in Russian). doi:10.17323/1996-7845-2022-01-03

1 The article by W. Gregory Voss "Cross-Border Data Flows, the GDPR, and Data Governance" is translated and published with permission of the author and Washington International Law Journal where it was originally published in English in volume 29, number 3, 2020. Available at: https://digitalcommons.law. uw.edu/wilj/vol29/iss3/7.

Translated by A.V. Shelepov, Senior Researcher, Centre for International Institutions Research, Russian Presidential Academy of National Economy and Public Administration (RANEPA).