Законодательство о защите персональных данных: неопределенность vs конкретности

Сведения, составляющие персональные данные лица (далее — ПДн), имеют ценность и подлежат правовой защите в контексте соблюдения гарантированных Конституцией прав человека на личную, семейную тайну, неприкосновенность частной жизни, тайну переписки. Мир информации интенсивно растет, множится, воспроизводит сам себя вновь и вновь в способах обработки и хранения информации. Особенно высокую цену приобретает личная информация. С одной стороны, она предоставляется при получении широкого диапазона услуг (при совершении заказов в онлайн-магазинах, при оформлении подписок в онлайн-кинотеатрах и музыкальных сервисах и др.), при приеме на работу и в ряде иных случаев; с другой — потенциально может стать объектом манипуляций, шантажа, обмана и других недобросовестных действий третьих лиц. В связи с этим защита персональных данных обладает высокой значимостью, представляет собой «продолжение конституционных гарантий неприкосновенности частной жизни, личной и семейной тайны»1.

В то же время многочисленные новости о крупных утечках из баз данных разных российских компаний, противоречивая правоприменительная практика иллюстрируют проблемные зоны в области защиты персональных данных. Это, прежде всего, размытость законодательной фиксации содержания понятия «персональные данные»2, когда сложно определить, что и в каком сочетании может расцениваться в качестве персональных данных; тесно связанная с этим порой избыточность требуемых персональных данных относительно целей их обработки3. Исследователи обращают внимание на несоизмеримость мер юридической ответственности за нарушение законодательства о защите персональных данных и последствий таких нарушений4, на проблему выделения субъектов персональных данных в контексте отнесения к таким субъектам юридических лиц5.

Наконец, очевидной становится и некоторая рассредоточенность, в том числе и отраслевая, нормативной регламентации отношений в области защиты персональных данных и пр. Отсутствует ясность в определении обязательного перечня внутренних документов организаций, определяющих порядок сбора и организацию обработки персональных данных, в том числе и на бумажных носителях6; в трактовке дополнительных требований к согласию на обработку ПДн и пр. Возникает вопрос, что подлежит охране и защите государством в качестве персональных данных? Насколько определенными и конкретными должны быть нормы законодательства? Какие технико-юридические инструменты используются для развития законодательства о персональных данных и повышения эффективности правоприменения в этой области? Анализ нормотворческой деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор) и других органов исполнительной власти, судебной практики в области персональных данных дает возможность представить техникоюридический инструментарий совершенствования регулятивных актов, позволяет выявить особенности и векторы развития законодательства в этой области.

СТАТЬИ

«Персональные данные» в законодательстве РФ

В настоящее время развитие цифровых технологий идет с реактивной скоростью. Законодатель не всегда успевает за бурным формированием информационной сферы, и наступает момент, когда необходимо ее упорядочить. В настоящее время определенным «хайлайтом» стала обработка персональных данных, остовом которой является само понятие персональных данных.

Персональные данные как объект правовой защиты представлен в Федеральном законе № 152 «О персональных данных» (далее — Закон № 152-ФЗ) в 2006 г. В отличие от первой редакции Закона № 152-ФЗ, где конкретные персональные данные перечислялись, используемые в настоящее время технико-юридические конструкции носят более абстрактный характер. Персональные данные представлены как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных» (ст. 3)7. Заметим, что такой дефинитивный подход соответствует складывающейся в международном правовом пространстве традиции, когда персональными данными может выступать «любая информация об определенном или поддающемся определению физическом лице («субъект данных» (ст. 2)»)8.

Российский законодатель не устанавливает теперь точного перечня того, что относится к персональным данным9. Тем не менее, судя по формулировкам статей Закона № 152-ФЗ, виды персональных данных представлены в некоторой системе. Это «разрешенные субъектом персональных данных для распространения» (п. 1.1 ст. 3; ст. 10.1); специальные (ч. 1 ст. 10); биометрические (ч. 1 ст. 11); обычные (сведения о физическом лице за исключением названных — ч. 1 ст. 8)10. Кроме того, в ст. 7 Федерального закона «Об информации, информационных технологиях и о защите информации» дается понятие «общедоступной информации» как общеизвестных сведений, доступ к которым не ограничен11. Перечисление в нормах категорий ПДн не является исчерпывающим, но дает общее представление о том, что может считаться персональными данными оператором и субъектом ПДн. Отсутствие закрытого перечня категорий ПДн в Законе №152-ФЗ, с одной стороны, позволяет операторам персональных данных конкретизировать содержание понятия в рамках реализации своих функций, дополняя перечень ПДн в соответствии с быстро меняющейся цифровой реальностью; с другой — предопределяет широкий диапазон усмотрения в вариативном подходе толкования персональных данных Федеральной службой по надзору в сфере связи и массовых коммуникаций как уполномоченного органа исполнительной власти в сфере защиты прав субъектов персональных данных и судами, чтобы успевать за развивающейся цифровой действительностью.

Сегодня нет однозначного ответа на вопрос о принадлежности к персональным данным адреса электронной почты, конструкции «фамилия/имя/отчество» (далее — ФИО), номера телефона, их конкретных комбинаций. В ходе рассмотрения обращений граждан фамилии и инициалы гражданина относят к персональным данным. Правда, на сайте Роскомнадзора отмечается, что без использования дополнительной информации определить принадлежность этих данных конкретному субъекту персональных данных невозможно12.

Как правило, отдельно, безотносительно к другим данным размещенная в сети Интернет информация о номере телефона, ФИО, адресе электронной почты не относится к персональным данным. В то же время обработанная оператором информация о номере телефона или адресе электронной почты в совокупности с ФИО персональными данными уже становится. Кроме того, обычно электронный адрес как набор символов не рассматривается в качестве персональных данных. Если же он содержит ФИО (или иные дополнительные идентификаторы личности), то рассматривается13. В условиях такой неоднозначности правоприменитель осуществляет «квалификационную конкретизацию», когда в ходе «интерпретации правовое предписание в результате умозрительных суждений превращается в индивидуальное правило»14. При этом в судебной практике бывали случаи, когда распространенная одно время практика вывешивания на дверях подъездов информации о ФИО должника, номере квартиры и задолженности в одних случаях считалась нарушением со стороны управляющей компании15. В других — те же данные, но без указания ФИО, нарушением управляющей компании не считались16. Не так однозначны и подходы к рассмотрению IP-адреса, никнейма в соцсети как персональных данных17. Суды указывают на принадлежность к персональным данным, например, «обезличенных данных абонентов оператора и IР-адреса, преобразованных в идентификатор абонента (пользователя)» как информации, относящейся к определенному либо определяемому косвенно физическому лицу18. Вместе с тем запросы налоговых органов, направленные в адрес операторов связи, по предоставлению обезличенных данных биллинга по отдельным номерам, без привязки к персонифицирующей информации, суды расценивают как не посягающие на тайну переговоров конкретных абонентов19. Невозможность идентификации пользователей становится ключевым фактором для судов20.

СТАТЬИ

Присутствие вариативности в определении содержания ПДн порождает необходимость отхода от абстрактного к казуистическому способу ее технико-юридического оформления и повышает значимость отраслевых законов. Речь о Трудовом кодексе РФ (ст. 65), Налоговом кодексе РФ (п. 1 ст. 84), Федеральном законе «О транспортной безопасности» (п. 5 ст. 11), «Об основах охраны здоровья граждан в Российской Федерации» (ст. 91) и др. Правовое регулирование отношений, связанных с защитой ПДн, в конкретной отрасли исследователи делят на блоки. Причем первым выделяют именно отраслевое законодательство (например, о здравоохранении). Федеральные законы «Об информации, информационных технологиях и о защите информации» и «О персональных данных» рассматриваются в отдельном блоке как «базовые источники информационного права», «определяющие вектор правового регулирования всех информационных отношений»21. Сюда же относят федеральные и региональные «подзаконные акты, регулирующие информационные правоотношения» в отрасли22. Стоит заметить, что специальные нормы отраслевого законодательства не столько конкретизируют, сколько раскрывают содержание общих норм с учетом «особенностей и специфики определенного вида общественных отношений»23, поэтому чтобы приблизить к конкретной практической ситуации правило общей нормы, сформулированной с большой степенью абстрактности, возникает необходимость в уточнении и развитии некоторых нормативных положений.

Развитие идей закона о персональных данных в подзаконном нормотворчестве

Заданная законами неопределенность в перечне категорий ПДн отнюдь не придает правовому регулированию неустойчивость, но побуждает к совершенствованию подзаконного нормотворчества органами исполнительной власти и созданию локальных актов организациями — операторами персональных данных.

Органы исполнительной власти конкретизируют законодательные нормы, определяя категории персональных данных, например, государственных служащих своего органа24. Так, в Приказе Росфинмониторинга указываются 32 категории подлежащих обработке персональных данных государственных служащих этого органа исполнительной власти и граждан, претендующих на замещение должностей государственной службы в нем (п. 2.2). В Приказе

СТАТЬИ

Министерства труда и социальной защиты РФ перечень категорий персональных данных государственных служащих, подлежащих обработке, содержит 31 позицию (п. 8). В Приказе Министерства просвещения Российской Федерации их 30 (приложение 6). Заметим, что перечни не являются закрытыми, что в свою очередь позволяет их дополнять.

Операторы ПДн руководствуются зафиксированным в локальных актах организаций или правовых актах органов исполнительной власти перечнем персональных данных, в который включают личные (ФИО, дата и место рождения, адрес, семейное положение), а также иные данные25. Соответственно, например, для работников персональными данными можно считать и сведения об образовании, профессии, занимаемой должности, стаже работы26. Отдельно обращается внимание на отнесение к персональным данным сведений о заработной плате лица27, адресе электронной почты и др.28

Динамичность законодательства о персональных данных (последние изменения Закона № 152-ФЗ вступили в силу 1 марта 2023 г.) требует более подходящих (гибких) форм правовых актов, где общие положения базовых законов конкретизируются без прохождения всех этапов законотворческого процесса. В этой связи конкретизация общей нормы о ПДн в подзаконном нормотворчестве (включая ведомственные акты органов публичной власти и локальные акты не входящих в систему публичной власти организаций) важна для понимания того, что подлежит охране и защите государством и каким образом. При этом стоит заметить, что в контексте отраслевого законодательства вряд ли можно говорить о конкретизации, поскольку в ходе использования этого инструмента речь должна идти о расширении содержания общей нормы, с одной стороны, и о логическом ограничении ее — с другой, чего в отраслевом законодательстве не наблюдается29.

В рамках конкретизации же идет уточнение, дополнение, детализация или объяснение сформулированных норм права30. Требуют решения вопросы, которые законодательно урегулированы не до конца и нуждаются в пояснениях. Так, в сентябре 2022 г. в Законе № 152-ФЗ сформулированы требования к содержанию локальных актов: обязательно обозначать категории и перечень подлежащих обработке ПДн, категории субъектов данных, способы обработки и хранения, порядок уничтожения ПДн. Все это устанавливается для каждой цели обработки данных. Между тем жестких требований к количеству локальных актов оператора действующими нормами нет. На основе правореализационной практики существует лишь минимум необходимых к принятию оператором документов. Это локальный акт организации — оператора ПДн, определяющий политику в сфере обработки ПДн; акты с процедурными нормами, регламентирующими обработку, доступ к ПДн и соответственно перечень имеющих этот доступ лиц, уничтожение, предоставление, распространение и т. п.; акты, обеспечивающие предотвращение нарушений законодательства о персональных данных, выявление и устранение вредных последствий этих правонарушений. Между тем запрос от практиков — операторов ПДн на уточнение количественных характеристик локального нормотворчества существует.

Несмотря на позитивный характер тенденции законодательства о ПДн к развитию через дополнения и уточнения, все же иногда желание детализировать содержание нормы не кажется уместным. Так, до сентября 2022 г. согласие на обработку ПДн должно было быть конкретным, информированным и сознательным. В настоящее время требования дополнены такими характеристиками, как предметность и однозначность. Не совсем понятны нюансы соотношения в ч. 1 ст. 9 Закона № 152-ФЗ «конкретности», с одной стороны, «предметности и однозначности» — с другой. Эти понятия тесно связаны в семантическом смысле, поэтому сложно сказать, насколько оправдано такое дополнение. Во всяком случае конкретность уже сама по себе предполагает предметную определенность и четкую обозначенность, не предусматривающую многозначности толкования31.

Абстрактность законодательного регулирования отношений в области обработки ПДн можно считать оправданной, особенно с учетом конкретизации их на уровне подзаконной регламентации исследуемых отношений. Поскольку несовершенство законодательства не всегда и не полностью может быть восполнено правоприменительной практикой, то в правоприменительной практике — административной и судебной — ряд блоков нормативно урегулированных отношений все еще требуют дальнейшего развития. Это касается контроля (надзора) за обработкой персональных данных, требований к организации обработки ПДн, обязательных уведомлений об обработке ПДн в Роскомнадзор и пр. Например, в связи с изменениями Закона № 152-ФЗ, внесенными Федеральным законом от 14.07.2022 № 266-ФЗ, Роскомнадзор утвердил новые уведомления по обработке ПДн32. Поскольку содержательная часть уведомления о намерении осуществлять обработку ПДн претерпела некоторые изменения, то Роскомнадзор разъяснил необходимость корректировки с учетом новых требований уже поданных уведомлений путем направления уведомления об изменении ранее представленных сведений33. Новые формы действуют с 26 декабря 2022 г., с момента опубликования приказа. В данном случае видим, что правовое регулирование еще требует завершения, поскольку ни в Приказе № 180, ни в разъяснениях Роскомнадзора ничего не сказано о сроках внесения подобных изменений.

СТАТЬИ

В новой редакции Закона «О персональных данных» скорректирована и норма, где речь идет о требованиях к уведомлению Роскомнадзора об обработке персональных данных оператором (ст. 22). Указано, что оператор может обрабатывать персональные данные и без уведомления Роскомнадзора при определенных условиях, например, когда технические средства не используются для такой обработки. В сравнении с прежней редакцией такого условия (без использования средств автоматизации) в новой редакции появляется уточнение — «исключительно» без использования средств автоматизации (п. 8 ч. 2 ст. 22). Вероятно, речь идет о том, что оператор вправе не уведомлять об обработке ПДн Роскомнадзор, если ведет обработку абсолютно всех ПДн только «ручкой на бумаге». Насколько это соотносится с п. 2 ст. 1, п. 3 ст. 3 Закона № 152-ФЗ? Ведь согласно этим нормам ПДн охраняются законом и в случаях, когда обработка происходит без использования средств автоматизации. К тому же исключает ли обработка ручкой на бумаге ПДн возможность их утечки? В любом случае Роскомнадзору эту норму придется уточнять.

Видим, что просторы для детализации и дополнения, а затем и толкования скорректированных норм широки. При этом важнейшую роль в развитии законодательства о персональных данных играет конкретизация. Будучи «объективным свойством правового регулирования», она становится своеобразным средством «перехода от неопределенности юридического предписания к его определенности»34.

Выводы

Итак, нормативно-правовая регламентация отношений в области обработки персональных данных рассредоточена и представляет совокупность законодательных и подзаконных, в том числе и локальных, актов. Характерным является перманентная конкретизация обобщенных законодательных конструкций в ведомственных актах, их развитие в локальных нормативных актах организаций — операторов ПДн посредством дополнения и детализации. Особенно это касается содержания понятия «персональные данные». Важным показателем качества законодательства является степень его конкретности, позволяющая сузить диапазон возможных интерпретаций. Потому подходы к ключевым элементам, представляющим область обработки ПДн, требуют изменения для достижения баланса между определенностью (конкретностью) нормы и ее неопределенностью (абстрактностью)35. Для этого, возможно, стоит упорядочить требования не только к содержанию, но и к количеству регламентирующих обработку ПДн локальных актов; систематизировать подходы к толкованию понятия персональных данных и уточнить содержание дополненных последними законодательными новеллами характеристик согласия субъекта ПДн на их обработку; сформулировать более конкретную дефиницию ПДн в федеральном подзаконном акте уровня постановления Правительства РФ или приказа уполномоченной сегодня в этой сфере Федеральной службы по надзору в сфере связи и массовых коммуникаций с возможной последующей корректировкой, исходя из динамики отношений в этой области.

Также, возможно, стоит помнить, что правовые инструменты — лишь один из элементов системы обеспечения безопасности персональных данных, наряду с организационными и техническими (ч. 1 ст. 19 Закона № 152-ФЗ). В этом смысле даже самые совершенные законодательные конструкции могут быть эффективными лишь в комплексе с технической защитой персональных данных на основе последних научных достижений и организационной поддержкой в рамках публичного управления информационной сферой.

СТАТЬИ