Защита персональных данных в сети Интернет: пользовательское соглашение

Конституция Российской Федерации предоставляет право каждому свободно искать, получать, передавать, производить и распространять информацию любым законным способом (ст. 29 ч. 4). Эти конституционные установления в полной мере относятся к любой информации, независимо от места и способа ее производства, передачи и распространения, включая сведения, размещаемые в информационно-телекоммуникационной сети Интернет [5].

В последние десятилетия число пользователей сети Интернет увеличилось многократно. Большая часть жителей планеты так или иначе используют «мировую паутину», оставляя в ней свои персональные данные, в том числе при регистрации на тех или иных ресурса сети.

Представляется необходимым обратить внимание, что пользовательские соглашения большинства компаний, предоставляющих гражданам услуги в сети Интернет, не предусматривают специального получения согласия субъекта на обработку его персональных данных, в то время как получение такого согла- сия представляется необходимым и обязательным по ряду оснований.

Во-первых, в соответствии с п. 5 ч. 1 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) обработка персональных данных допускается без получения письменного согласия субъекта персональных данных в случаях, когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

В соответствии со ст. 153 Гражданского кодекса РФ сделками признаются действия граждан и юридических лиц, направленные на установление, изменение или прекращение гражданских прав и обязанностей.

Принятие пользовательского соглашения можно расценивать как заключение договора оказания услуг по следующим основаниям: во-первых, согласован предмет договора, как правило, оператор обязуется предоставить пользователю доступ к своим сервисам, а пользователь обязуется соблюдать режим пользования и принимать рекламные материалы, направляемые оператором; во-вторых, конкретно урегулированы права и обязанности сторон в связи с исполнением договора и санкции за нарушение установленных правил; в-третьих, предусмотрены порядок изменения и расторжения договора, а также процедура разрешения возникших споров.

Тем не менее в большинстве случаев одной из целей обработки персональных данных пользователя является продвижение товаров и услуг путем осуществления прямых контактов с потенциальным потребителем при помощи средств связи (как правило, таргетированная реклама прямо указана в пользовательском соглашении), что возлагает на оператора в соответствии со ст. 15 Федерального закона № 152-ФЗ обязанность получить предварительное согласие субъекта персональных данных.

Таргетированная реклама – методика анализа данных, при котором маркетологи собирают информационные электронные базы данных о клиентах для создания профилей пользователей, которые будут наиболее восприимчивы к их сообщениям [12].

В настоящее время специалисты в области рекламы и маркетинга активно обсуждают перспективы развития данного вида контекстной рекламы. В 2013 году прошла одна из крупнейших российских конференций по ин-тернет-рекламе «eTarget 2013», на которой специалисты в рамках дискуссионной панели «Таргетированная реклама в социальных сетях» относительно подхода к обработке информации для формирования контекста продвигаемого продукта отметили следующее: «Отслеживаются интересы, наличие/отсут-ствие автомобиля, путешествия (по изменению ID) и так далее. А благодаря недавнему запуску такого инструмента, как ретаргетинг, можно даже понимать, о чем думает и чем живо интересуется пользователь. Это позволяет сделать рекламные кампании более точно нацеленными, а значит, и наиболее эффективными» [10].

Следует отметить, что многие рекламные компании, предлагающие услуги по созданию таргетированной рекламы, указывают на на- личие партнерских отношений с ведущими почтовыми сервисами и сайтами социальных сетей, предусматривающими предоставление последними сведений о пользователях. Передача информации третьим лицам также может быть предусмотрена пользовательскими соглашениями конкретных сервисов.

Во-вторых, упоминание в тексте пользовательских соглашений о предоставлении таргетированной рекламы зачастую подразумевает обработку весьма специфического набора персональных данных, а именно – cookie файлов. Обработка указанных файлов позволяет установить IP-адрес пользователя, тип операционной системы, установленной на компьютере, тип браузера, информацию о посещенном перед этим сайте, иногда – адрес электронной почты и другую информацию.

О. В. Калятин отмечает, что рекламные объявления, размещаемые на интернет-сайтах, организованы таким образом, что при создании cookie для каждого лица формируется уникальный идентификационный номер, что позволяет владельцу рекламного объявления накапливать информацию об активности определенного лица в Интернете в целом [3, с. 12].

Исходя из комплексного толкования ст. 10 Федерального закона № 152-ФЗ обработка специальных категорий персональных данных допускается при условии, что субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных. К специальной категории персональных данных закон относит данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Безусловно, анализ массы запрошенной пользователем информации с использованием сети Интернет позволяет установить детали его частной жизни при обработке данных cookie файлов.

Вместе с тем реализация права свободно искать, получать, передавать, производить и распространять информацию любым законным способом, обеспеченного свободой массовой информации и запретом цензуры (ст. 29 Конституции РФ), в силу принципа недопустимости при осуществлении прав и свобод человека и гражданина нарушений прав и свобод других лиц как основополагающего условия соблюдения баланса общественных и частных интересов предполагает следование установлениям Конституции РФ, гарантирующим каждому в целях охраны достоинства личности право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ст. 23 ч. 1) и запрещающим сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (ст. 24 ч. 1) [5].

Кроме того, судебная практика [7, 8] идет по пути признания персональными данными не только сведений непосредственно о субъекте как о физическом лице, но также и сведений об адресах установки оконечного оборудования и других данных, позволяющих идентифицировать пользователя или его оконечное оборудование, сведений баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике пользователя, исходя из положений ч. 1 ст. 53 Федерального закона от 7 июля 2003 г. № 126-ФЗ «О связи». Разрешая споры с участием субъектов, деятельность которых регламентируется Федеральным законом «О связи», суды прямо именуют указанные данные персональными, что позволяет сделать вывод о применении норм по аналогии права и в рамках иных правоотношений.

Следует согласиться с И. Л. Бачило, которая считает, что в связи с установлением состава персональных данных возникает вопрос о включении в эту категорию и такого их вида, как личная подпись, электронная подпись, разные виды электронных адресов, как идентификатора личности, с одной стороны, и литературного имени-псевдонима, с другой [1, c. 183]. Это продиктовано тем, что сама дефиниция «персональные данные», приведенная в ст. 3 Федерального закона № 152-ФЗ, подразумевает не только информацию, относящуюся к лицу прямо, но также и косвенно.

В Директиве 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных указано, что «персональные данные» означают любую информацию, связанную с идентифицированным или идентифицируемым физическим лицом, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономиче- ской, культурной или социальной идентичности [2].

Таким образом, ссылка операторов на тот факт, что при получении сведений, включаемых в состав пользовательских данных, указанная информация не проверяется на предмет достоверности, и по этой причине данные учетной записи не могут быть определены как персональные, представляется оспоримой, поскольку идентификация лица может быть проведена и косвенно, в частности, посредством связи псевдонима и иных материалов, размещаемых пользователем. Наличествует мнение, что такой механизм, как cookie, позволяет проверить достоверность информации по контенту сайтов и иных средств сети Интернет. В таком случае это может выступать современным механизмом проверки достоверности информации предоставленной пользователем. Аналогичное положение сформулировано в п. «а» ст. 2 ратифицированной Российской Федерацией Конвенции о защите физических лиц при автоматизированной обработке персональных данных (далее – Конвенция), закрепляющей, что персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица [4].

Следовательно, в этом случае получать согласие субъекта персональных данных на обработку необходимо, при этом спорным вопросом остается толкование принятия им пользовательского соглашения в качестве дачи такого согласия.

Кроме того, в соответствии с ч. 1 ст. 9 Федерального закона № 152-ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Невозможно признать информированным согласие субъекта, которому не разъяснен объем обрабатываемой информации, связанной с предоставлением ему таргетированной рекламы на основании сохранения и обработки cookie файлов.

Пользователь без специального образования объективно не может иметь полного представления о такой обработке и о ряде сведений, которые в связи с передачей cookie файлов станут о нем известны, при том что объектом обработки будут являться сведения о его частной жизни.

Анализ большинства пользовательских соглашений показал, что в них отсутствует какое-либо указание на обработку cookie файлов, хотя в то же время при отключении пере- дачи cookie файлов доступ к сервисам становится невозможен без каких-либо объяснений со стороны оператора, а предоставляемая таргетированная реклама весьма определенно основана на последних данных о посещении пользователем страниц в сети Интернет.

Но существуют и исключения. Так, соблюдение требования законодательства о предоставлении пользователю информации, касающейся данных, подлежащих обработке, можно наблюдать в Политике конфиденциальности компании Яндекс, размещенной для ознакомления пользователям при принятии ими пользовательского соглашения: «Данные, которые автоматически передаются Сервисам Яндекса в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, информация из cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к Сервисам), время доступа, адрес запрашиваемой страницы» [6].

Представляется необходимым отметить пробелы в законодательстве России, возникающие при урегулировании вопроса доступа к информации, хранящейся на оконечном устройстве пользователя, в то время как практика европейских стран в указанной части основана на жестком законодательном регулировании.

Например, в соответствии с положениями ст. 32 Закона Франции № 78-17 от 6 января 1978 г. «Об информатике, файлах и свободах» [11] каждое лицо, являющееся пользователем электронных сетей связи, должно быть полностью и в ясной форме оповещено оператором обработки или его представителем о цели каждого действия, посредством которого по электронным каналам связи осуществляется доступ к информации, хранящейся в его оконечном устройстве связи, либо записывается информация в его оконечное устройство связи, а также о тех средствах, которые у него имеются для того, чтобы воспрепятствовать этому. Указанное положение было положено в основу решения Национального комитета по информатике и свободам (CNIL) Франции в процессе против компании Google [9].

Следует отметить, что одним из актуальных вопросов, имеющих существенное значение при защите персональных данных, являются процедура изменения пользовательского соглашения и сроки хранения обрабатываемой информации.

Так, анализ пользовательских соглашений дает возможность сделать вывод о том, что в большинстве случаев ими установлено правило, согласно которому изменения, вносимые в такие соглашения, принимаются пользователями автоматически без специального уведомления и без повторного получения их согласия. В связи с необходимостью получения согласия на обработку персональных данных следует учитывать, что изменения, связанные с переменой целей заявленной обработки, а также объем обрабатываемой информации, должны доводиться до пользователей способом, аналогичным первоначальному получения согласия на обработку.

Большинство операторов в предоставляемых ими пользовательских соглашениях также не указывают сроки хранения обрабатываемой информации, ссылаясь лишь на право пользователя восстановить свою учетную запись после удаления, что само по себе подразумевает хранение информации неопределенный срок.

Вместе с тем ст. 5 Конвенции определено, что персональные данные должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются. Также ч. 7 ст. 5 Федерального закона № 152-ФЗ устанавливает требование, согласно которому обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

Анализ целей обработки персональных данных, указанных в пользовательских соглашениях, позволяет сделать вывод о том, что в большинстве случаев ими являются предоставление прав использования дополнительных программных продуктов компании и проведение рекламных кампаний. В то же время принятие пользователем решения об удалении своей учетной записи не влечет автоматического удаления его данных, при этом утрачивается необходимость в достижении цели. Аналогичное нарушение было зафиксировано Национальным комитетом по информатике и свободам (CNIL) Франции в процессе против компании Google: в разделе III решения указано, что «после удаления аккаунта

Google пользователем компания не удаляет его персональные данные со всех серверов за установленные период. Данные остаются у компании Google в back-up хранилище, срок хранения данных в котором американская компания не указала ни в одном документе» [9].

Пользователь должен быть уведомлен о сроках хранения его персональных данных, и такой срок не должен быть избыточным.

Таким образом, в целях реализации норм международного законодательства, конституционного принципа, гарантирующего каждому право на неприкосновенность частной жизни, личную и семейную тайну, операторы обязаны получать согласие пользователей на обработку персональных данных, содержащихся в учетной записи, а в случаях, когда обработка имеет своей целью продвижение товаров и услуг с возможностью непосредственного контакта с субъектом таких данных, получать предварительное согласие пользователя.

Кроме того, в случае необходимости обработки оператором информации, хранящейся на оконечном оборудовании пользователя, последний должен быть уведомлен в доступной форме об объемах такой обработки и видах данных, которые могут быть получены оператором в случае предоставления им согласия. При этом пользовательское соглашение должно содержать информацию о сроках, по истечению которых предоставленные пользователем данные будут уничтожены.