Страница 11 из 22
Следует отметить, что еще одна дефиниция персональных данных содержится в Указе Президента РФ от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера», согласно которому под персональными данными понимаются «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях». Как видно, данное определение имеет более узкий характер и не охватывает информацию, по которой можно определить лицо косвенным образом. Несмотря на то, что данный Указ формально не отменен, рассматриваемая дефиниция не подлежит применению, поскольку противоречит положениям нормативного правового акта более высокой юридической силы, имеющего специальный характер и принятого позднее. К этому следует также добавить, что более узкая дефиниция персональных данных вступила бы в противоречие с международными обязательствами Российской Федерации, вытекающими из ее присоединения к Конвенции 1981 г.
2. Дефиниция персональных данных состоит из нескольких составных частей: а) любая информация; б) имеющая отношение к в) прямо или косвенно определенному или определяемому г) физическому лицу. Рассмотрим их более подробно.
а) Персональные данные представляют собой информацию, т.е. «сведения (сообщения, данные) независимо от формы их представления»37. Форма отображения информации не имеет значения: это могут быть сведения в текстовой, графической, звуковой форме, воспринимаемой человеком или устройством. Носитель таких данных также иррелеван-тен: они могут быть зафиксированы на бумаге, в иной аналоговой форме (например, на видеокассете) или существовать в электронном виде. При этом неважно, является такая информация достоверной или нет, а равно имеет она объективный или оценочный характер. Например, информация о том, что у Ивана Ивановича Иванова диагностирован рак головного мозга, имеет объективный характер и является персональными данными специальной категории (данные о состоянии здоровья; см. комментарий к ст. 10 Закона о персональных данных). Информация о том, что Иван Иванович Иванов является ненадежным партнером и недобросовестным должником, имеет оценочный характер, но при этом также охватывается понятием персональных данных.
Сам по себе носитель данных не относится к персональным данным, хотя в некоторых случаях разделить их весьма сложно. Главным образом речь идет о биологическом материале (ткани, выделениях человека), который содержит геномную информацию − персональные данные, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не характеризующих их физиологические особенности (п. 3 ст. 1 Федерального закона от 3 декабря 2008 г. № 242-ФЗ «О государственной геномной регистрации в Российской Федерации»). Принимая во внимание, что единственной причиной сбора и хранения подобного рода биологического материала является наличие в нем информации, составляющей персональные данные, приравнивание биологического материала к персональным данным не лишено определенной логики. Так, ЕСПЧ в одном из решений указал, что «учитывая характер и объем информации личного характера, которая содержится в образцах клеток, их хранение должно само по себе считаться вмешательством государства в осуществление человеком права на уважение его личной жизни. В связи с этим не имеет значения, что в действительности из них извлекается или используется властями для создания профиля ДНК лишь ограниченная часть этой информации и что в каком-то конкретном случае не произошло немедленного ухудшения положения человека». Как следствие, указанные объекты были отнесены к персональным данным (§ 68, 73 Постановления ЕСПЧ от 4 декабря 2008 г. по делу S. и Марпер (S. and Marper) против Соединенного Королевства, жалобы № 30562/04, 30566/04).
В контексте российской правовой системы рассматриваемые вопросы могут быть не столь актуальны по причине наличия специального регулирования порядка сбора, хранения и использования биологического материала. Однако его проработанность сильно уступает степени детализации законодательства о персональных данных, в связи с чем приравнивание биологического материала к персональным данным могло бы способствовать восполнению возможных пробелов в регулировании.
б) Информация должна иметь определенное отношение к физическому лицу. Такое отношение может иметь место в случаях, когда такая информация:
1) в силу своего содержания касается определенного лица (например, результаты медицинских анализов конкретного лица);
2) имеет своей целью оценку деятельности некоего лица или может повлиять на статус такого лица, в том числе посредством принятия каких-либо решений в отношении него (например, сведения о посещенных лицом страницах в сети «Интернет» и (или) об участии в определенных группах в социальных сетях в тех случаях, когда они используются для целей составления профайла пользователя для направления ему таргетированной рекламы, принятия решения о его трудоустройстве или определения индивидуальной цены товара (услуги));
3) имеет технический характер (например, данные устройств, используемых физическим лицом) и используется для технических целей, но может при желании оператора применяться для целей, которые имеют влияние на права и обязанности индивида. Например, геолокационные данные машин, входящих в таксопарк, могут использоваться преимущественно для целей обеспечения бизнес-процессов таксопарка – сокращения времени ожидания, оптимизации маршрутов, экономии бензина и пр. Однако одновременно они могут использоваться для оценки качества труда таксистов. В этой связи указанные данные также «имеют отношение» к физическому лицу38. Вместе с тем документы, представляющие собой правовой анализ соответствия индивида требованиям законодательства для целей получения им определенного статуса, по мнению Суда ЕС, не являются персональными данными, представляя собой акт правоприменения и толкования закона (см.: YS v. Minister voor Immigratie, ECJ Joined Cases C-141/12 & C-372/12. 17 July 2014.).
в) Информация относится к прямо или косвенно к определенному или определяемому лицу, т.е. обладает определенным идентифицирующим потенциалом. Данный элемент является самым сложным и запутанным для понимания и интерпретации. В самом общем виде предполагается, что на основании информации либо можно точно идентифицировать лицо («прямо определенное» лицо), либо имеется возможность это сделать с привлечением иных данных («косвенно определяемое» лицо). Точная идентификация лица будет иметь место в случае соотнесения соответствующей информации с фамилией, именем и отчеством (при наличии) лица. Именно данные сведения являются основным идентификатором гражданина в гражданском обороте, поскольку гражданин приобретает и осуществляет права и обязанности под своим именем (п. 1 ст. 19 ГК РФ). Косвенная идентификация предполагает возможность отнесения к персональным данным информации, которая сама по себе хотя и не указывает однозначно на имя конкретного лица, но содержит описание каких-либо его индивидуальных характеристик, позволяющих отграничить его от других субъектов, выделить из круга лиц, к которому он принадлежит, или, по крайней мере, сузить такой круг лиц39. Например, лицо может быть косвенно идентифицировано на основании данных о трафике (метаданных), в частности, сведений об установленных соединениях с указанием времени и продолжительности соединения, номеров или IP-адресов устройств, участвующих в коммуникации40. Также лицо может быть косвенно идентифицировано на основании данных его логина (никнейма), используемых в различных интернет-сервисах; данных с камер видеонаблюдения, реквизитов банковской карты, сведений о принадлежащей лицу собственности и пр. Все это позволяет отнести указанные данные к категории персональных данных, учитывая существующие формулировки их дефиниции. В качестве консервативного и относительно безопасного ориентира для определения критерия косвенной идентификации можно предложить следующий: если данные позволяют выделить некоего индивида из множества лиц и использовать в отношении него особую модель взаимодействия, то такое лицо является определяемым, а соответствующая информация – его персональными данными.
37
См. п. 1 ст. 2 Закона об информации.
38
Opinion 4/2007 оn the Сoncept of Рersonal Data. WP 136, 20 June 2007. Article 29 Data Protection Working Party. P. 11. URL: http://ec.europa.eu/justice/data-protection/article-29/ documentation/opinion-recommendation/files/2007/wp136_en.pdf
39
В некоторых странах, например, в Финляндии и Норвегии, законодательство о персональных данных допускает признание информации персональными данными, даже если она относится не к конкретному индивиду, а к семье или домовладению. См.: Bygrave A. Data Privacy Law: An International Perspective. Oxford: University Press. 2014. P. 135.
40
Так, Стэнфордский университет опубликовал исследование, согласно которому метаданные телефонных переговоров (номера телефонов абонентов, время и продолжительность звонка либо время и количество символов sms-сообщений) позволяют без особых проблем идентифицировать личность абонента, устанавливать его связи с другими лицами, а также выводить «чувствительные» персональные данные: политические, религиозные, сексуальные взгляды и предпочтения субъекта, состояние его здоровья и ряд других. См.: Mayer J. et al. Evaluating the Privacy Properties of Telephone Metadata. Stanford University. 1 March 2016. URL: http://www.pnas.org/content/113/20/5536