Подходы и модели правового регулирования защиты персональных данных

Бюллетень науки и практики / Bulletin of Science and Practice

УДК 342.95                                      

Современная юридическая доктрина по-прежнему не выработала единообразного и универсального подхода к вопросу правовой охраны персональных данных. Данная проблема сохраняет высокую степень дискуссионности как в теории права, так и в правоприменительной практике, поскольку сама природа персональных данных находится на стыке частноправовых, публично-правовых и информационно-правовых начал. В международной практике традиционно выделяются две основные концепции регулирования данной сферы — европейская и американская, каждая из которых отражает отличающиеся философские, правовые и институциональные взгляды на природу информации о личности, пределы ее использования и допустимую степень вмешательства государства. В рамках европейского правового пространства защита персональных данных рассматривается как составная часть фундаментального права на частную жизнь, что закреплено, в частности, в ст. 8 Европейской конвенции по правам человека, а также в Хартии Европейского союза об основных правах.

Такой подход исходит из того, что сведения, позволяющие идентифицировать лицо, не могут рассматриваться исключительно как объект экономического оборота, поскольку непосредственно затрагивают автономию личности, человеческое достоинство и свободу самоопределения. Именно поэтому европейская модель опирается на приоритет интересов субъекта данных перед интересами оператора или рынка.

Подход европейских стран строится на жесткой институциональной регламентации: детализированные правовые нормы, развитая система контроля и надзора, а также наличие специализированных уполномоченных органов направлены на предотвращение недобросовестного использования данных и практически исключают возможность их свободного обращения на рынке без соблюдения установленных законом оснований.

Особое значение придается принципам законности, добросовестности, прозрачности обработки, минимизации объема собираемых сведений и ограничения сроков их хранения. Тем самым европейская модель формирует комплексный превентивный механизм защиты, ориентированный не на устранение последствий нарушения, а на недопущение самого факта неправомерной обработки. Таким образом, в Европейском союзе преобладает публичноправовой характер охраны персональной информации, где основной акцент делается на защиту прав и свобод личности, а не на экономическую составляющую оборота данных. Персональные данные в рамках данной концепции выступают не просто как информационный ресурс, а как особый объект правовой охраны, тесно связанный с личностью субъекта.

В отличие от европейской системы, правовое регулирование персональных данных в США характеризуется фрагментарностью, децентрализованностью и большей гибкостью. Отсутствие единого кодифицированного акта, аналогичного Общему регламенту по защите данных (GDPR), обусловлено принципом отраслевого регулирования, при котором правовая охрана строится в зависимости от характера информации, сферы ее обращения и специфики общественных отношений. Такой подход исторически связан с более осторожным отношением американского законодателя к чрезмерному государственному вмешательству в экономику и деятельность частных субъектов. В государственном секторе применяются нормы Privacy Act 1974, основанные на концепции справедливой информационной практики (Code of Fair Information Practices) [6].

Указанные принципы были сформированы как базовые ориентиры допустимого обращения с персональной информацией и оказали значительное влияние на последующее развитие американского законодательства. Эти принципы включают, в частности: запрет на ведение скрытых баз данных; обязанность предоставить субъектам доступ к своей информации; ограничение объема сбора данных целевыми целями; возможность внесения изменений и исправлений; меры по обеспечению информационной безопасности [6, 8].

Американское законодательство также выделяет категорию чувствительных данных, связанных с реализацией прав, закрепленных Первой поправкой Конституции США, включая свободу вероисповедания, свободу выражения мнений и свободу печати. В отношении таких сведений устанавливаются особые требования к условиям их хранения, обработки и использования, что свидетельствует о попытке обеспечить баланс между защитой личности и сохранением конституционных свобод.

В частном секторе правовая охрана распространяется не на все персональные данные в целом, а на отдельные виды информации, что закреплено в ряде специализированных нормативных актов: 1. Electronic Communication Privacy Act (1986) — защита данных электронной переписки; 2. Health Insurance Portability and Accountability Act (1996) — защита медицинской информации; 3. Children's Online Privacy Protection Act (1998) — защита сведений о детях в интернете; 4. Gramm-Leach-Bliley Act (1999) и Fair Credit Reporting Act (1970) — регулирование доступа к финансовым данным [1, 2].

Подобная модель демонстрирует, что американская система исходит не из единой категории персональных данных как объекта комплексной правовой охраны, а из практической значимости конкретных информационных массивов, способных причинить вред субъекту в определенной сфере общественных отношений. Это делает правовое регулирование более прикладным, но одновременно менее системным и менее предсказуемым.

Одной из ключевых характеристик американской системы является компенсационный подход — акцент на возмещении вреда, причиненного нарушением прав на персональные данные. Иначе говоря, значительная роль отводится не предварительному контролю за обработкой информации, а судебной защите прав лица уже после наступления неблагоприятных последствий либо возникновения риска их наступления. Ярким примером является решение Апелляционного суда девятого округа по делу Krottner v. Starbucks, в котором суд признал законным иск сотрудников, чьи номера социального страхования оказались скомпрометированы в результате кражи ноутбука, несмотря на отсутствие фактически наступившего имущественного ущерба. Данный подход свидетельствует о признании самого риска неправомерного использования данных как юридически значимого обстоятельства [4].

Немаловажное значение в США придается и механизмам добровольного саморегулирования. Компании, не подпадающие под действие специальных отраслевых норм, нередко принимают внутренние политики конфиденциальности, формируют корпоративные стандарты обращения с данными и руководствуются ими на основе общепринятых этических и деловых стандартов. В результате значительная часть гарантий в сфере защиты персональных данных обеспечивается не только государственным воздействием, но и внутренними механизмами корпоративной ответственности.

В целом американский подход демонстрирует децентрализованную и прагматичную модель, ориентированную на интересы рынка, свободу предпринимательской деятельности и минимальное государственное вмешательство. При этом такая система, обладая высокой адаптивностью, нередко подвергается критике за отсутствие единства регулирования и недостаточный уровень универсальных гарантий для субъектов данных. Несмотря на различия, в современных условиях наблюдается взаимное заимствование элементов обеими системами. Так, европейская Директива 95/46/ЕС, предшествовавшая GDPR, уже предусматривала экстерриториальный эффект, запрещая трансграничную передачу данных в государства, не обеспечивающие адекватный уровень защиты. Новый регламент GDPR не только унаследовал этот подход, но и значительно усилил его, распространив действие европейских требований на иностранных операторов, работающих с данными граждан ЕС.

В ответ в США предпринимались попытки сформировать более целостный режим регулирования, в частности был разработан проект Consumer Privacy Bill of Rights, однако он так и не получил законодательного закрепления на федеральном уровне. Это свидетельствует о том, что, несмотря на сближение отдельных элементов, фундаментальные различия в правовом понимании природы персональных данных сохраняются.

Что касается российской модели защиты персональных данных, Конституция Российской Федерации 1993 года в статьях 23 и 24 гарантирует право каждого на защиту частной жизни, личной и семейной тайны, доброго имени и тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, а также запрещает сбор, хранение, использование и распространение сведений о частной жизни лица без его согласия. Тем самым на конституционном уровне были заложены базовые гарантии неприкосновенности личной сферы, которые в дальнейшем получили развитие в отраслевом законодательстве [3].

Термин персональные данные был впервые зафиксирован в правовом поле Российской Федерации в 1990-х годах. Закон №24-ФЗ от 20 февраля 1995 г. Об информации, информатизации и защите информации относил такие сведения к конфиденциальной информации и запрещал их обработку без согласия субъекта, за исключением случаев, прямо предусмотренных судебным актом и законом. Уже на данном этапе прослеживалось стремление российского законодателя сформировать специальный правовой режим для информации, непосредственно связанной с личностью человека [1].

Позднее в развитие данной концепции был принят ключевой нормативный акт — Федеральный закон №152-ФЗ от 27 июля 2006 г. О персональных данных, а также значительное число подзаконных нормативных актов, детализирующих требования к операторам данных, порядку их обработки, хранению и защите. Указанный закон закрепил базовые понятия, принципы обработки персональных данных, права субъектов, обязанности операторов и меры государственного контроля в рассматриваемой сфере [5].

Российский подход в целом ближе к европейскому по своей формальной конструкции, поскольку также исходит из необходимости специального законодательного регулирования, наличия общих принципов обработки и публичного контроля [7].

Однако по своему содержанию он отличается заметным смещением акцента с прав субъектов на защиту самой информации как объекта безопасности. Это проявляется в технической направленности регулирования, при которой защита выражается прежде всего в требованиях к инфраструктуре, режимам доступа, локализации баз данных, сертификации средств защиты и обеспечению безопасности хранения, а не в развитии эффективных правовых механизмов реализации и судебной защиты прав субъектов персональных данных.

Таким образом, российская модель занимает промежуточное положение между европейской и американской системами. С одной стороны, она восприняла идею специального нормативного регулирования и признание персональных данных объектом самостоятельной правовой охраны.

С другой стороны, ее развитие во многом происходило под влиянием задач информационной безопасности и государственного контроля, что обусловило преобладание организационно-технического компонента над личностно-правовым. В этой связи дальнейшее совершенствование российского законодательства в рассматриваемой сфере предполагает не только усиление требований к защите информации, но и более последовательное укрепление гарантий прав субъектов персональных данных как центрального элемента всей системы правового регулирования.