CC BY
702
Проблемы и вопросы гражданского права
УДК 342.7:004.738.3.056.5+34.03:004.056.5
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В СЕТИ ИНТЕРНЕТ: ПОЛЬЗОВАТЕЛЬСКОЕ СОГЛАШЕНИЕ
О. В. Дубровин
Южно-Уральский государственный университет, г. Челябинск,
И. Ю. Ковалева
ООО «Комплексная консалтинговая компания», г. Челябинск
В статье рассмотрены актуальные вопросы, связанные с получением согласия субъекта персональных данных на обработку его данных организациями, предоставляющими гражданам услуги в сети Интернет, а также вопросы соответствия пользовательских соглашений требованиям законодательства. Получение согласия субъекта персональных данных необходимо ввиду обработки персональных данных в целях продвижения товаров и услуг, а также в связи с возможностью обработки оператором информации с оконечного оборудования пользователя, что позволяет получить сведения о частной жизни лица. Пользовательским соглашением должно быть в доступной форме доведено до сведения субъекта персональных данных, в каком объеме будет производиться обработка, последствия доступа оператора к cookie файлам, а также сроки хранения такой информации.
Ключевые слова: персональные данные, субъект персональных данных, оператор, сеть Интернет, cookie файлы, оконечное оборудование, пользовательское соглашение.
Конституция Российской Федерации предоставляет право каждому свободно искать, получать, передавать, производить и распространять информацию любым законным способом (ст. 29 ч. 4). Эти конституционные установления в полной мере относятся к любой информации, независимо от места и способа ее производства, передачи и распространения, включая сведения, размещаемые в информационно-телекоммуникационной сети Интернет [5].
В последние десятилетия число пользователей сети Интернет увеличилось многократно. Большая часть жителей планеты так или иначе используют «мировую паутину», оставляя в ней свои персональные данные, в том числе при регистрации на тех или иных ресурса сети.
Представляется необходимым обратить внимание, что пользовательские соглашения большинства компаний, предоставляющих гражданам услуги в сети Интернет, не предусматривают специального получения согласия субъекта на обработку его персональных данных, в то время как получение такого согла-
сия представляется необходимым и обязательным по ряду оснований.
Во-первых, в соответствии с п. 5 ч. 1 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее -Федеральный закон № 152-ФЗ) обработка персональных данных допускается без получения письменного согласия субъекта персональных данных в случаях, когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
В соответствии со ст. 153 Гражданского кодекса РФ сделками признаются действия граждан и юридических лиц, направленные на установление, изменение или прекращение гражданских прав и обязанностей.
Принятие пользовательского соглашения можно расценивать как заключение договора
оказания услуг по следующим основаниям: во-первых, согласован предмет договора, как правило, оператор обязуется предоставить пользователю доступ к своим сервисам, а пользователь обязуется соблюдать режим пользования и принимать рекламные материалы, направляемые оператором; во-вторых, конкретно урегулированы права и обязанности сторон в связи с исполнением договора и санкции за нарушение установленных правил; в-третьих, предусмотрены порядок изменения и расторжения договора, а также процедура разрешения возникших споров.
Тем не менее в большинстве случаев одной из целей обработки персональных данных пользователя является продвижение товаров и услуг путем осуществления прямых контактов с потенциальным потребителем при помощи средств связи (как правило, таргетированная реклама прямо указана в пользовательском соглашении), что возлагает на оператора в соответствии со ст. 15 Федерального закона № 152-ФЗ обязанность получить предварительное согласие субъекта персональных данных.
Таргетированная реклама - методика анализа данных, при котором маркетологи собирают информационные электронные базы данных о клиентах для создания профилей пользователей, которые будут наиболее восприимчивы к их сообщениям [12].
В настоящее время специалисты в области рекламы и маркетинга активно обсуждают перспективы развития данного вида контекстной рекламы. В 2013 году прошла одна из крупнейших российских конференций по интернет-рекламе «еТа^е1 2013», на которой специалисты в рамках дискуссионной панели «Таргетированная реклама в социальных сетях» относительно подхода к обработке информации для формирования контекста продвигаемого продукта отметили следующее: «Отслеживаются интересы, наличие/отсутствие автомобиля, путешествия (по изменению ГО) и так далее. А благодаря недавнему запуску такого инструмента, как ретаргетинг, можно даже понимать, о чем думает и чем живо интересуется пользователь. Это позволяет сделать рекламные кампании более точно нацеленными, а значит, и наиболее эффективными» [10].
Следует отметить, что многие рекламные компании, предлагающие услуги по созданию таргетированной рекламы, указывают на на-
личие партнерских отношений с ведущими почтовыми сервисами и сайтами социальных сетей, предусматривающими предоставление последними сведений о пользователях. Передача информации третьим лицам также может быть предусмотрена пользовательскими соглашениями конкретных сервисов.
Во-вторых, упоминание в тексте пользовательских соглашений о предоставлении таргетированной рекламы зачастую подразумевает обработку весьма специфического набора персональных данных, а именно - cookie файлов. Обработка указанных файлов позволяет установить IP-адрес пользователя, тип операционной системы, установленной на компьютере, тип браузера, информацию о посещенном перед этим сайте, иногда - адрес электронной почты и другую информацию.
О. В. Калятин отмечает, что рекламные объявления, размещаемые на интернет-
сайтах, организованы таким образом, что при создании cookie для каждого лица формируется уникальный идентификационный номер, что позволяет владельцу рекламного объявления накапливать информацию об активности определенного лица в Интернете в целом [3, с. 12].
Исходя из комплексного толкования ст. 10 Федерального закона № 152-ФЗ обработка специальных категорий персональных данных допускается при условии, что субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных. К специальной категории персональных данных закон относит данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Безусловно, анализ массы запрошенной пользователем информации с использованием сети Интернет позволяет установить детали его частной жизни при обработке данных cookie файлов.
Вместе с тем реализация права свободно искать, получать, передавать, производить и распространять информацию любым законным способом, обеспеченного свободой массовой информации и запретом цензуры (ст. 29 Конституции РФ), в силу принципа недопустимости при осуществлении прав и свобод человека и гражданина нарушений прав и свобод других лиц как основополагающего условия соблюдения баланса общественных и частных интересов предполагает следование
установлениям Конституции РФ, гарантирующим каждому в целях охраны достоинства личности право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ст. 23
ч. 1) и запрещающим сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (ст. 24 ч. 1)
[5].
Кроме того, судебная практика [7, 8] идет по пути признания персональными данными не только сведений непосредственно о субъекте как о физическом лице, но также и сведений об адресах установки оконечного оборудования и других данных, позволяющих идентифицировать пользователя или его оконечное оборудование, сведений баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике пользователя, исходя из положений ч. 1 ст. 53 Федерального закона от 7 июля 2003 г. № 126-ФЗ «О связи». Разрешая споры с участием субъектов, деятельность которых регламентируется Федеральным законом «О связи», суды прямо именуют указанные данные персональными, что позволяет сделать вывод о применении норм по аналогии права и в рамках иных правоотношений.
Следует согласиться с И. Л. Бачило, которая считает, что в связи с установлением состава персональных данных возникает вопрос о включении в эту категорию и такого их вида, как личная подпись, электронная подпись, разные виды электронных адресов, как идентификатора личности, с одной стороны, и литературного имени-псевдонима, с другой [1, с. 183]. Это продиктовано тем, что сама дефиниция «персональные данные», приведенная в ст. 3 Федерального закона № 152-ФЗ, подразумевает не только информацию, относящуюся к лицу прямо, но также и косвенно.
В Директиве 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных указано, что «персональные данные» означают любую информацию, связанную с идентифицированным или идентифицируемым физическим лицом, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономиче-
ской, культурной или социальной идентичности [2].
Таким образом, ссылка операторов на тот факт, что при получении сведений, включаемых в состав пользовательских данных, указанная информация не проверяется на предмет достоверности, и по этой причине данные учетной записи не могут быть определены как персональные, представляется оспоримой, поскольку идентификация лица может быть проведена и косвенно, в частности, посредством связи псевдонима и иных материалов, размещаемых пользователем. Наличествует мнение, что такой механизм, как cookie, позволяет проверить достоверность информации по контенту сайтов и иных средств сети Интернет. В таком случае это может выступать современным механизмом проверки достоверности информации предоставленной пользователем. Аналогичное положение сформулировано в п. «а» ст. 2 ратифицированной Российской Федерацией Конвенции о защите физических лиц при автоматизированной обработке персональных данных (далее - Конвенция), закрепляющей, что персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица [4].
Следовательно, в этом случае получать согласие субъекта персональных данных на обработку необходимо, при этом спорным вопросом остается толкование принятия им пользовательского соглашения в качестве дачи такого согласия.
Кроме того, в соответствии с ч. 1 ст. 9 Федерального закона № 152-ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Невозможно признать информированным согласие субъекта, которому не разъяснен объем обрабатываемой информации, связанной с предоставлением ему таргетированной рекламы на основании сохранения и обработки cookie файлов.
Пользователь без специального образования объективно не может иметь полного представления о такой обработке и о ряде сведений, которые в связи с передачей cookie файлов станут о нем известны, при том что объектом обработки будут являться сведения о его частной жизни.
Анализ большинства пользовательских соглашений показал, что в них отсутствует какое-либо указание на обработку cookie файлов, хотя в то же время при отключении пере-
дачи cookie файлов доступ к сервисам становится невозможен без каких-либо объяснений со стороны оператора, а предоставляемая таргетированная реклама весьма определенно основана на последних данных о посещении пользователем страниц в сети Интернет.
Но существуют и исключения. Так, соблюдение требования законодательства о предоставлении пользователю информации, касающейся данных, подлежащих обработке, можно наблюдать в Политике конфиденциальности компании Яндекс, размещенной для ознакомления пользователям при принятии ими пользовательского соглашения: «Данные, которые автоматически передаются Сервисам Яндекса в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, информация из cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к Сервисам), время доступа, адрес запрашиваемой страницы» [6].
Представляется необходимым отметить пробелы в законодательстве России, возникающие при урегулировании вопроса доступа к информации, хранящейся на оконечном устройстве пользователя, в то время как практика европейских стран в указанной части основана на жестком законодательном регулировании.
Например, в соответствии с положениями ст. 32 Закона Франции № 78-17 от 6 января 1978 г. «Об информатике, файлах и свободах» [11] каждое лицо, являющееся пользователем электронных сетей связи, должно быть полностью и в ясной форме оповещено оператором обработки или его представителем о цели каждого действия, посредством которого по электронным каналам связи осуществляется доступ к информации, хранящейся в его оконечном устройстве связи, либо записывается информация в его оконечное устройство связи, а также о тех средствах, которые у него имеются для того, чтобы воспрепятствовать этому. Указанное положение было положено в основу решения Национального комитета по информатике и свободам (CNIL) Франции в процессе против компании Google [9].
Следует отметить, что одним из актуальных вопросов, имеющих существенное значение при защите персональных данных, являются процедура изменения пользовательского
соглашения и сроки хранения обрабатываемой информации.
Так, анализ пользовательских соглашений дает возможность сделать вывод о том, что в большинстве случаев ими установлено правило, согласно которому изменения, вносимые в такие соглашения, принимаются пользователями автоматически без специального уведомления и без повторного получения их согласия. В связи с необходимостью получения согласия на обработку персональных данных следует учитывать, что изменения, связанные с переменой целей заявленной обработки, а также объем обрабатываемой информации, должны доводиться до пользователей способом, аналогичным первоначальному получения согласия на обработку.
Большинство операторов в предоставляемых ими пользовательских соглашениях также не указывают сроки хранения обрабатываемой информации, ссылаясь лишь на право пользователя восстановить свою учетную запись после удаления, что само по себе подразумевает хранение информации неопределенный срок.
Вместе с тем ст. 5 Конвенции определено, что персональные данные должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются. Также ч. 7 ст. 5 Федерального закона № 152-ФЗ устанавливает требование, согласно которому обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
Анализ целей обработки персональных данных, указанных в пользовательских соглашениях, позволяет сделать вывод о том, что в большинстве случаев ими являются предоставление прав использования дополнительных программных продуктов компании и проведение рекламных кампаний. В то же время принятие пользователем решения об удалении своей учетной записи не влечет автоматического удаления его данных, при этом утрачивается необходимость в достижении цели. Аналогичное нарушение было зафиксировано Национальным комитетом по информатике и свободам (CNIL) Франции в процессе против компании Google: в разделе III решения указано, что «после удаления аккаунта
Google пользователем компания не удаляет его персональные данные со всех серверов за установленные период. Данные остаются у компании Google в back-up хранилище, срок хранения данных в котором американская компания не указала ни в одном документе» [9].
Пользователь должен быть уведомлен о сроках хранения его персональных данных, и такой срок не должен быть избыточным.
Таким образом, в целях реализации норм международного законодательства, конституционного принципа, гарантирующего каждому право на неприкосновенность частной жизни, личную и семейную тайну, операторы обязаны получать согласие пользователей на обработку персональных данных, содержащихся в учетной записи, а в случаях, когда обработка имеет своей целью продвижение товаров и услуг с возможностью непосредственного контакта с субъектом таких данных, получать предварительное согласие пользователя.
Кроме того, в случае необходимости обработки оператором информации, хранящейся на оконечном оборудовании пользователя, последний должен быть уведомлен в доступной форме об объемах такой обработки и видах данных, которые могут быть получены оператором в случае предоставления им согласия. При этом пользовательское соглашение должно содержать информацию о сроках, по истечению которых предоставленные пользователем данные будут уничтожены.
Литература
1. Бачило, И. Л. Государство и право XXI в. Реальное и виртуальное / И. Л. Бачило. - М., 2012. - 280 с.
2. Директива 95/46/ЕС Европейского пар-
ламента и Совета Европейского Союза от 24 октября 1995 года. URL: http://pd.
rkn.gov.ru/law/.
3. Калятин, О. В. Персональные данные в
Интернете / О. В. Калятин // Журнал российского права. - 2002. - № 5. - С. 12.
4. Конвенция о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года (ратифицирована ФЗ от 19 декабря 2005 г. № 160-ФЗ). URL: http://pd.rkn.gov.ru/law/.
5. По делу о проверке конституционности положений п. 1, 5 и 6 ст. 152 Гражданского кодекса РФ в связи с жалобой гражданина Е. В. Крылова: Постановление Конституционного Суда РФ от 9 июля 2013 г. № 18-П // Собрание законодательства Российской Федерации. - 2013. - № 29. - Ст. 4019.
6. Политика конфиденциальности. URL: http://legal.yandex.ru/confidential/.
7. Постановление Федерального арбитражного суда Волго-Вятского округа от 28 июня 2010 г. по делу № А79-14385/2009. URL: http://fasvvo.arbitr.ru/.
8. Постановление Федерального арбитражного суда Восточно-Сибирского округа от 6 июля 2010 г. по делу № А19-7047/10. URL: http://fasvso.arbitr.ru/.
9. Решение Национального комитета по информатике и свободам Франции №2013-420 // The Commission nationale de l’informatique et des libertés. URL: http://www.cnil.fr/english/ news-and-events/news/article/the-cnils-sanctions-committee-issues-a-150-000-EUR-monetarypena lty-to-google-inc/.
10. eTarget 2013: Дискуссионная панель: таргетированная реклама в социальных сетях // Энциклопедия поисковых систем. URL: http://www.searchengines. ru/articles/etarget_201 3_di.html.
11. Loi informatique et libertes Act № 78-17 of January 1978 on information technology, data files and civil liberties // The Commission nationale de l’informatique et des libertés. URL: http ://www. cnil. fr/english/data-protection/ official- texts/.
12. Targeted marketing // The Dictionary Netlingo. URL: http://www.netlingo.com/word /targeted-marketing.php.
Дубровин Олег Владимирович - кандидат юридических наук, доцент кафедры конституционного и административного права, Южно-Уральский государственный университет, г. Челябинск. E-mail: dov1974@mail.ru.
Ковалева Изольда Юрьевна - юрисконсульт, ООО «Комплексная консалтинговая компания», г. Челябинск. E-mail: isolde_kov@mail.ru.
Статья поступила в редакцию 28 января 2014 г.
Bulletin of the South Ural State University
Series "Law”
_______________________________________________________2014, vol. 14, no. 2, pp. 64-70
PERSONAL DATA PROTECTION IN THE INTERNET: END USER LICENSE AGREEMENT
0. V. Dubrovin
South Ural State University, Chelyabinsk, Russian Federation,
1. Y. Kovaleva
LLC «Complex consulting company», Chelyabinsk, Russian Federation
The article describes the current issues associated with obtaining the agreement of the subject of personal data processing by its data providers who offer services to citizens on the Internet, as well as issues of the terms of use compliance with legal requirements. Obtaining the agreement of the subject of personal data is necessary because of the processing of personal data in order to promote products and services, as well as in connection with the possibility of processing information from the user terminal equipment that provides information about the private life of a person. Terms of use must be in an accessible form communicated to the data subject what will be the result op erator's handling to the cookie files, as well as the shelf life of such information.
Keywords: personal data, the data subject, the operator, Internet, cookie files, terminal equipment, terms of use.
References
1. Bachilo I. L. Gosudarstvo i pravo XXI v. Real'noe i virtual'noe [State and law in the XXI. The real and virtual]. Moscow, 2012, 280 p.
2. Direktiva 95/46/ES Evropeyskogo parlamenta i Soveta Evropeyskogo Soyuza ot 24 oktyabrya 1995 goda [Directive 95/46/EC of the European Parliament and the Council of the European Union on October 24, 1995]. Available at: http://pd.rkn.gov.ru/law/.
3. Kalyatin O. V. Personal'nye dannye v Internete [Personal data on the Internet] // Zhurnal ros-siyskogo prava [Official Gazette], 2002, no. 5, p. 12.
4. Konventsiya o zashchite fizicheskikh lits pri avtomatizirovannoy obrabotke personal'nykh dan-nykh ot 28 yanvarya 1981 goda [Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data of 28 January 1981]. Available at: http:// pd.rkn.gov.ru/law/.
5. Po delu o proverke konstitutsionnosti polozheniy punktov 1, 5 i 6 stat'i 152 Grazhdanskogo ko-deksa Rossiyskoy Federatsii v svyazi s zhaloboy grazhdanina E.V. Krylova: Postanovlenie Konstitut-sionnogo Suda RF ot 9 iyulya 2013 g. № 18-P [In the case on the constitutionality of the provisions of paragraphs 1, 5 and 6 of Article 152 of the Civil Code of the Russian Federation in connection with the complaint of E.V. Krylova: Decision of the Constitutional Court on July 9, 2013 № 18-P] // Sobranie zakonodatel'stva Rossiyskoy Federatsii [Official Gazette], 2013, no. 29, p. 4019.
6. Politika konfidentsial'nosti [Privacy policy]. Available at: http://legal.yandex.ru/confidential/.
7. Postanovlenie Federal'nogo arbitrazhnogo suda Volgo-Vyatskogo okruga ot 28 iyunya 2010 g. po delu № A79-14385/2009 [Resolution of the Federal Arbitration Court of the Volga-Vyatka region of 28 June 2010 in the case number A79-14385/2009]. Available at: http://fasvvo.arbitr.ru/.
8. Postanovlenie Federal'nogo arbitrazhnogo suda Vostochno-Sibirskogo okruga ot 6 iyulya 2010 g. po delu № A19-7047/10 [Resolution of the Federal Arbitration Court of the East-Siberian region of 6 July 2010 on the case number A19-7047/10]. Available at: http:// fasvso.arbitr.ru/.
9. Reshenie Natsional'nogo komiteta po informatike i svobodam Frantsii №2013-420 [The decision of the National Committee on Informatics and Liberties of France number 2013-420]. Available at: http://www.cnil.fr/english/news-and-events/news/article/the-cnils-sanctions-committee-issues-a-150-000-EUR-monetary-penalty-to-google-inc/.
10. eTarget 2013: Diskussionnaya panel': targetirovannaya reklama v sotsial'nykh setyakh [eTar-
get 2013: Panel Discussion: targeted advertising in social networks]. Available at:
http://www.searchengines.ru/articles/etarget_2013_di.html.
11. Loi informatique et libertes Act № 78-17 of January 1978 on information technology, data files and civil liberties. Available at: http://www.cnil.fr/english/data-protection/official-texts/.
12. Targeted marketing // The Dictionary Netlingo. Available at: http://www. netlin-go.com/word/targeted-marketing.php.
Oleg Vladimirovich Dubrovin - Candidate of Science (Law), Associate Professor of Constitutional and Administrative Law Department, South Ural State University, Chelyabinsk, Russian Federation. E-mail: dov1974@mail.ru.
Izolda Yurievna Kovaleva - legal council advisor, «Complex consulting company», LLC, Chelyabinsk, Russian Federation. E-mail: isolde_kov@mail.ru.
Received 28 January 2014.
