Персональные данные как гражданско-правовая категория

Сегодня информация, в том числе персональные данные, превратилась в дорогостоящий товар, что требует принятия повышенных мер по обеспечению ее безопасности [1]. Одним из направлений усиления безопасности персональных данных является включение мер частноправового воздействия в применяемый охранительный механизм. Для создания легальной базы широкого и эффективного использования указанного механизма требуется «внедрение» названных сведений в материю гражданского права путем признания их гражданско-правовой категорией.

Место законодательства о персональных данных в системе информационного законодательства

Прежде всего, необходимо определить место законодательства о персональных данных в системе информационного законодательства. В связи с этим отметим, что на формирование системы информационного законодательства оказывает влияние целый ряд факторов: динамичность отношений в этой сфере, неразрывная связь публично-правовых и частноправовых начал в их регулировании, «параллельное» нормирование значительной группы отношений смежными отраслями законодательства (конституционным, административным, гражданским, уголовным и др.). При этом следует иметь в виду, что сегодня информационное законодательство, по сути, приобретает черты надотрасли, поскольку во всех отраслях современного законодательства имеет место так называемый информационный аспект.

Указанное обстоятельство весьма осложняет определение границ собственно информационного законодательства [2]. Последнее, будучи комплексной отраслью законодательства, представляет собой совокупность подотраслей, институтов и подинститутов, на вершине которых стоит Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»1 (далее – ФЗ «Об информации»). В качестве одного из таких институтов и выступает законодательство в сфере персональных данных, основы правового режима которых устанавливаются указанным законом (п. 9 ст. 9). Рассматриваемый институт так же является комплексным и включает в себя наряду с федеральными законами (п. 1 ст. 4 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»2 , далее – Закон о персональных данных) нормативные правовые акты иного уровня, издаваемые не только в форме закона (п. 2 ст. 4 Закона о персональных данных).

Разноотраслевое взаимодействие в регулировании отношений по поводу персональных данных

Вопросы персональных данных являются предметом не только собственно информационного, но и многих других отраслей законодательства (гражданского, семейного, трудового) и комплексных нормативных образований (страхового, налогового, банковского законодательства, законодательства в области здравоохранения и др.), положения которых не согласованы между собой. Сегодня назрела необходимость повышения системности законодательства о защите персональных данных и обеспечения разноотраслевого взаимодействия в указанной сфере [2]. Справедливости ради отметим, что в Законе о персональных данных содержатся отдельные отсылки к отраслевому, в частности трудовому, законодательству (п. 1 ч. 2 ст. 22).

Мы исходим из широкого понимания персональных данных, поскольку установить исчерпывающий их перечень невозможно. Полагаем, что при возникновении сомнений в том, являются ли те или иные сведения персональными данными, следует считать их таковыми [3]. Изложенный подход позволяет распространить действующее законодательство в сфере персональных данных на так называемые большие данные, в связи с чем отпадет необходимость дополнительной разработки специальных нормативных правовых актов [3; 4].

Сначала проследим цепочку разноотраслевого взаимодействия в регулировании отношений по поводу персональных данных через призму права человека на неприкосновенность частной жизни, личную и семейную тайну, поскольку именно здесь наиболее ярко проявляется сущностная «предрасположенность» персональных данных к признанию их категорией гражданского права.

Неразрывная связь персональных данных с человеком предопределяет, прежде всего, необходимость защиты его прав на конституционном уровне, поскольку именно Конституция РФ закрепляет право на неприкосновенность частной жизни, личную и семейную тайну (ст. 23, 24). Установление специальных правил о сборе, хранении, использовании и распространении информации о частной жизни лица является гарантией реализации такого права. Так, запрещается требовать от гражданина предоставления информации о его частной жизни, в том числе составляющей личную или семейную тайну, и получать (за установленными исключениями) такую информацию помимо воли гражданина (п. 8 ст. 9 ФЗ «Об информации»).

Целью Закона о персональных данных, как известно, является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (ст. 2). В ст. 152.2 ГК РФ устанавливается принципиальное положение о том, что не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни. Таким образом, связь законодательства о персональных данных и гражданского законодательства базируется, прежде всего, на их общей «нацеленности» на охрану неприкосновенности частной жизни, личной и семейной тайны, которые являются нематериальными благами и, соответственно, объектами гражданских прав (ст. 128 ГК РФ). Как справедливо подчеркивает А.И. Савельев, право на неприкосновенность частной жизни является совокупностью правомочий, обеспечивающих свободу реализации личности [4].

Следует отметить, что в законодательстве о защите персональных данных последние рассматриваются в качестве самостоятельного объекта правового воздействия, а в отраслевом законодательстве (прежде всего, в гражданском) – в качестве одного из способов охраны соответствующих прав граждан. При этом необходимо иметь в виду, что законодательство о персональных данных должно устанавливать баланс между частными интересами субъектов персональных данных и интересами общества и государства. Выполнение этой функциональной роли обеспечивается применением публичных и частных методов правового регулирования.

Связь персональных данных с гражданским законодательством

Такая связь проявляется уже на стадии определения сферы действия Закона о персональных данных. Так, использование гражданско-правовых категорий позволяет определить «пределы действия» указанного закона. Как известно, целый ряд отношений по обработке персональных данных не подпадает под его действие, в частности обработка персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных (ч. 2 ст. 1).

В Законе о персональных данных понятия личных и семейных нужд не раскрываются, что требует использования их толкования, применяемого в гражданском праве, поскольку эти дефиниции здесь являются устоявшимся. Так, гражданин признается потребителем, если он приобретает товары (работы, услуги) «исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности» (преамбула к Закону РФ от 7 февраля 1992 г. № 2300-1 «О защите прав потребителей»3 , ст. 1212 ГК РФ). Цель использования товара, например, является квалифицирующим признаком для целого ряда гражданско-правовых договоров (ст. 506 ГК РФ и др.).

Таким образом, если обработка персональных данных связана с осуществлением предпринимательской деятельности, то она подпадает под действие Закона о персональных данных. Понятие же предпринимательской деятельности, как известно, также является категорией гражданского права. В связи с этим возникает актуальный вопрос о правилах обработки персональных данных, осуществляемой самозанятыми гражданами.

В литературе существует несколько позиций относительно правового статуса самозанятых и режима осуществляемой ими деятельности. Полагаем, что статус самозанятого гражданина является разноотраслевым, и в каждой отрасли права он имеет свои (отраслевые) признаки. Считаем также, что деятельность самозанятых граждан не следует относить к предпринимательской, поскольку она должна иметь собственный правовой режим. Как верно отмечает А.Г. Демиева, существует множество видов деятельности, которые носят экономический характер, но при этом не являются предпринимательскими, в частности самостоятельная доходная деятельность граждан (в том числе и самозанятых). Автор предлагает дополнить этим видом деятельности предмет гражданского права и внести соответствующие корректировки в ст. 18 и 23 ГК РФ [5, с. 92–94].

Между тем считаем, что обработка персональных данных самозанятыми должна подпадать под действие Закона о персональных данных, поскольку такие действия осуществляются не для личных и семейных нужд, а для самостоятельной доходной деятельности. В литературе широко обсуждается вопрос о возможности распространения исключения об обработке данных для личных нужд на установку камер видеонаблюдения за публичными местами, в том числе в случае их установки гражданином для целей охраны своего имущества, например на улице перед домом. Судебная практика и доктрина обоснованно отрицательно относятся к применению к этой ситуации указанного исключения [4]. Как видим, понятийные аппараты гражданского законодательства и законодательства о персональных данных тесно переплетаются.

Персональные данные как вид нематериального блага

В науке все настойчивее предлагается рассматривать персональные данные в качестве не-материального блага, являющегося объектом личного неимущественного права гражданина на защиту персональных данных как вида гражданского права. Таким образом, по сути, речь идет о расширении содержания гражданской правосубъектности [6, с. 7, 8].

В ст. 150 ГК РФ, как известно, дается незакрытый перечень нематериальных благ, некоторые из которых являются персональными данными. Например, имя (фамилия, имя и отчество) гражданина, без которого невозможно реализовать гражданскую правосубъектность, будучи нематериальным благом и объектом гражданских прав, одновременно выступает в качестве персональных данных.

Одним из очевидных последствий легального признания персональных данных нематериальными благами (путем внесения соответствующих дополнений в ст. 150 ГК РФ) является возможность распространения на них всего арсенала гражданско-правовых способов защиты (ст. 12, 150, 151, 152, 152.1, 152.2 ГК РФ). На принципиальном же уровне придание персональным данным качества гражданско-правовой категории позволит охранять это нематериальное благо независимо от того, влечет ли его нарушение неблагоприятные последствия для субъекта или нет, связано ли оно с неприкосновенностью частной жизни, личной или семейной тайной, то есть за сам факт нарушения. Такой подход обеспечит переход на новый уровень гарантий прав гражданина в этом секторе информационного поля.

Соотношение права гражданина на защиту персональных данных и его права на неприкосновенность частной жизни

По поводу соотношения права гражданина на защиту персональных данных и его права на неприкосновенность частной жизни в юридической литературе высказываются различные точки зрения. Мы исходим из того, что это самостоятельные, но в то же время пересекающиеся понятия, поскольку, с одной стороны, Закон о персональных данных распространяет свое действие не на все отношения по поводу сведений, составляющих личную или семейную тайну, с другой – нарушение права на неприкосновенность частной жизни может быть не связано с персональными данными, а касаться иных сведений (личного, интимного характера). В то же время охрана частной жизни может осуществляться и путем защиты персональных данных.

Поскольку правовой режим персональных данных содержит нормы различных отраслей права (является комплексным институтом), то для защиты прав субъекта персональных данных могут использоваться разноотраслевые механизмы. В зависимости от состава правонарушения к виновным лицам могут применяться различные виды юридической ответственности, но лишь гражданско-правовая ответственность нацелена на обеспечение интересов именно гражданина. Так, применение мер административной ответственности к оператору дисциплинирует его, но такие меры не всегда связаны с защитой прав конкретного гражданина.

Построение системы правового регулирования в сфере персональных данных

Легальное признание персональных данных нематериальными благами имеет большое значение и для построения системы защиты гражданских прав физических лиц в целом. Значительное разнообразие персональных данных и сфер их применения, а также наличие в их составе подинститутов навело ученых на мысль о невозможности формирования единого правового режима этого вида информации [2]. Для обоснования позиции по рассматриваемому вопросу предварительно необходимо решить следующую важную методологическую задачу:

определить степень родового единства таких сведений и необходимость дифференциации правового регулирования.

Полагаем, что ключ к решению этой задачи дает Закон о персональных данных, который вводит основной понятийный аппарат, устанавливает общие правила обработки персональных данных, делит эти сведения на категории (виды), определяет права субъектов персональных данных и обязанности оператора, устанавливает порядок осуществления федерального государственного контроля (надзора) за их обработкой. Все эти положения можно отнести к общей части правового режима персональных данных, отражающей их родовое единство. Причем в связи с причислением персональных данных к нематериальным благам такое единство усиливается, поскольку все персональные данные (независимо от их видовой принадлежности) будут подлежать гражданско-правовой защите. Предлагаем идти по пути формирования общих положений о правовом режиме персональных данных и установления специальных правовых режимов их отдельных видов.

В аспекте повышения системности правового регулирования в сфере персональных данных считаем необходимым руководствоваться правилом о том, что основные понятия, закрепленные в Законе о персональных данных, должны использоваться в других нормативных правовых актах (в том числе и в отраслевых кодификационных) в значении указанного закона [1]. На сегодняшний день, например, понятие «обработка персональных данных», закрепленное в ст. 3 Закона о персональных данных, и виды действий в отношении информации о частной жизни гражданина, перечисленные в п. 1 ст. 152.2 ГК РФ, существенно разнятся, что может привести к неправильной квалификации нарушений в сфере неприкосновенности частной жизни.

Правовые режимы отдельных видов персональных данных существенно отличаются друг от друга, поскольку содержащиеся в них сведения обладают значительной спецификой. Так, в Законе о персональных данных выделяются специальные категории персональных данных (ст. 10) и биометрические персональные данные (ст. 11). Первые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка не допускается (за установленными исключениями). На основании вторых можно установить личность человека, поскольку они характеризуют его физиологические и биологические особенности. Такие сведения могут обрабатываться только при наличии письменного согласия субъекта персональных данных (за установленными исключениями). Как видим, выделены два специальных режима персональных данных с повышенной правовой защитой. Следует также иметь в виду, что каждый из указанных видов имеет свою сложную внутреннюю структуру в силу многообразия объединенных в них сведений и, соответственно, свои «внутривидовые» режимы.

Если рассматривать персональные данные с позиции гражданского права – как нематериальные блага, то для применения мер гражданско-правовой защиты будет достаточным сам факт нарушения права на них, например, осуществление обработки специальной категории данных при отсутствии установленных исключительных случаев. Для применения указанных мер важна правильная квалификация данных в качестве того или иного вида. Между тем здесь возникают некоторые сложности, поскольку соотношение режимов биометрических и специальной категории персональных данных в части видовой принадлежности генетической информации страдает некой неопределенностью. Дело в том, что в доктрине генетическая информация традиционно причисляется к биометрическим персональным данным [7]. Между тем такая информация может содержать сведения о состоянии здоровья человека, которые относятся к специальной категории персональных данных. Это означает, что генетическая информация может подчиняться одновременно правовым режимам биометрических и специальной категории персональных данных, которые существенно различаются.

В настоящее время вопрос о допустимых пределах использования генетической информации имеет первостепенное значение не только для отдельного гражданина и государств, но и для цивилизации в целом. В литературе неоднократно отмечалось, что новые технологии существенно влияют как на жизнь каждого человека, так и на развитие всей цивилизации. Эта сфера научных знаний может стать причиной многих конфликтов, и их результаты могут использоваться в том числе и в корыстных целях [8, с. 65]. В связи с этим в доктрине все активнее ставится вопрос о необходимости недопущения неправомерного использования генетической информации и повышения эффективности защиты прав гражданина в этой сфере [9, с. 20]. Правовое регулирование в анализируемой области, особенно в части создания действенного механизма безопасности использования таких сведений, начинает играть все большую роль. В связи с этим предлагаем выделить генетическую информацию в качестве вида персональных данных, а также издать специальный закон о генетической информации [10, 98–110], что позволит формировать ее целостный правовой режим [11, с. 24].

Заключение

В качестве итоговых выводов предлагаем следующее:

– легально признать персональные данные нематериальными благами, выступающими в качестве объекта личного неимущественного права на защиту персональных данных;

– квалифицировать право гражданина на защиту персональных данных и его право на неприкосновенность частной жизни как самостоятельные, но пересекающиеся понятия;

– при построении системы правового регулирования в сфере персональных данных руководствоваться правилом об использовании во всех нормативных правовых актах (в том числе и в отраслевых кодификационных) основных понятий в значении Закона о персональных данных;

– идти по пути формирования общих положений о правовом режиме персональных данных и установления специальных правовых режимов их отдельных видов;

– выделить генетическую информацию в качестве отдельного вида персональных данных, а также издать специальный закон о генетической информации.

Сказанное позволяет заключить, что легальное признание персональных данных гражданско-правовой категорией в значительной мере расширит возможности граждан по защите своих прав с помощью гражданско-правового охранительного механизма.