Страница 14 из 22
5. Немногочисленные разъяснения представителей Роскомнадзора, которые являются доступными публично, также позволяют сделать вывод о том, что отдельные представители данного ведомства поддерживают «узкий» подход к понятию персональных данных. Так, на интернет-сайте Управления Роскомнадзора по Центральному федеральному округу в разделе «Часто задаваемые вопросы» указано, что «pазмещение на страницах сайтов в сети «Интернет» фотографии без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица»47. Также на данном сайте отмечено, что «pазмещение на страницах сайтов в сети «Интернет» фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица»48.
Существуют и более путаные комментарии территориальных подразделений Роскомнадзора, которые не позволяют однозначно определить, являются ли данные о фамилии и инициалах гражданина персональными данными или нет. Например, такие: «Фамилия и инициалы гражданина − это, несомненно, персональные данные субъекта. Однако, без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно… Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена»49.
Оценивая приведенные разъяснения представителей Роскомнадзора по существу, помимо ранее высказанных аргументов против «узкого» подхода к понятию персональных данных хотелось бы отметить, что фамилия, имя и отчество лица прямо отнесены Законом о персональных данных к числу персональных данных. Так, в соответствии с п. 6 ч. 2 ст. 22 данного Закона оператор вправе осуществлять без уведомления Роскомнадзора «обработку персональных данных… включающих только фамилии, имена и отчества (курсив мой. – А.С.) субъектов персональных данных». Из данного положения вполне можно сделать вывод о том, что только фамилия, имя и отчество лица безотносительно к степени их распространенности признаются персональными данными, это подтверждается и судебной практикой50. Кроме того, приведенные ранее материалы судебной практики о признании информации о посещаемых пользователем страницах в сети «Интернет» персональными данными, так как по ней можно косвенно идентифицировать физическое лицо, была сформирована при непосредственном участии Роскомнадзора, который привлекал операторов связи к административной ответственности за несоблюдение лицензионных условий (ч. 3 ст. 14.1 КоАП РФ). Да и выводы представителей Роскомнадзора об отнесении IP-адресов пользователей к категории персональных данных, сделанные в отдельных ситуациях51, также свидетельствуют о неоднозначности позиции ведомства по вопросу толкования данного понятия. Таким образом, можно заключить, что позиция Роскомнадзора относительно толкования понятия «персональные данные» может быть весьма гибкой в зависимости от стоящих перед ним целей.
6. Принимая во внимание многообразие отношений, связанных с обработкой персональных данных, а также их высокую динамику, характеризующуюся появлением новых субъектов и технологий обработки персональных данных, невозможно дать исчерпывающий перечень данных, которые могут признаваться персональными. В силу самого существа этой категории она предполагает контекстный и индивидуальный подход. Как справедливо отмечается в литературе, «понимание бесперспективности законодательно установленного «перечневого» подхода к определению понятия «персональные данные», взаимосвязи и взаимодополняемости разных данных, относящихся к частной жизни и участию индивида в социальной жизни… обусловило преимущественное развитие международного и национальных законодательств в направлении обобщающего института персональных данных»52. В этой связи вряд ли имеют перспективу попытки разработки неких обобщающих таблиц или «матриц» персональных данных, которые позволили бы четко ответить на вопрос: является ли тот или иной набор данных персональными данными или нет?
7. Квалификация информации, позволяющей косвенно определить физическое лицо, в качестве персональных данных дает возможность решить вопрос о так называемых пользовательских данных, которые обрабатываются посредством инструментов аналитики «больших данных». Если абстрагироваться от не соответствующего легальной дефиниции и европейской практике «узкого» подхода к толкованию понятия «персональные данные», то такие пользовательские данные подпадают под действие режима персональных данных и создания какого-либо специального правового механизма sui generis для их регулирования не требуется. Если определенные данные по результатам обработки представляют собой персональные данные, то исходя из существующей дефиниции этого явления исходные данные также относятся к персональным. Это не означает, однако, что существует необходимость разработки специальных норм в отношении обработки тех массивов данных, на основе которых могут быть созданы персональные данные. В этой связи целесообразно упомянуть высказанное в литературе замечание о проблеме возможной коллизии прав субъектов персональных данных и прав интернет-компаний на большой объем данных как базу данных, которая может получить отдельную правовую защиту53.
Признавая наличие указанной проблемы, хотелось бы отметить, что подобного рода коллизии различных правовых режимов информации ограниченного доступа существуют и сейчас (например, режимов коммерческой тайны и персональных данных, банковской тайны и персональных данных и т.п.; см. подробнее комментарий к ст. 7 Закона о персональных данных), поэтому и проблематика «больших данных» не добавляет здесь ничего нового. Однако создание в отношении их особого правового режима, отличного от режима персональных данных, лишь усилит остроту данной проблемы, поскольку к обозначенным коллизиям правовых режимов добавится еще один правовой «слой» и коллизионный вопрос обострится в еще большей степени. Поэтому, как представляется, без выявленных реальной правоприменительной практикой неэффективности и неадекватности применения к «большим данным», содержащим пользовательские данные, общего правового режима «персональных данных» с определенными специальными нормами, которые вполне допустимы, разрабатывать «с нуля» специальный правовой режим в отношении их крайне нежелательно. Помимо дополнительных издержек для операторов это будет чревато стагнацией развития данных технологий и их «оффшоризацией», т.е. выведением соответствующих операций в более благоприятные с регуляторной точки зрения юрисдикции.
8. Информация, которая относится к нескольким прямо или косвенно определенным или определяемым физическим лицам (например, фотография с изображением нескольких лиц на ней или электронное письмо, в котором есть данные отправителя и получателя), является персональными данными в отношении каждого из таких субъектов. Каждое из этих лиц обладает в отношении указанной информации всей полнотой прав, предоставляемых Законом о персональных данных их субъекту. Закон не предусматривает каких-либо положений, регламентирующих множественность лиц на стороне субъекта персональных данных, а равно не содержит каких-либо положений на случай возможных коллизий между волеизъявлениями отдельных субъектов в отношении «совместных» персональных данных. Представляется, что в случае наличия у одних и тех же персональных данных сразу нескольких субъектов целесообразно руководствоваться следующим подходом. В отношении той части персональных данных, которая относится непосредственно к соответствующему лицу, оно выступает субъектом персональных данных со всеми вытекающими правами, в то время как в отношении той части персональных данных, которая относится к другим лицам, оно будет выступать оператором. Как следствие, для размещения таких персональных данных в сети «Интернет» или осуществления иной их обработки субъекту необходимо иметь одно из законных оснований для обработки персональных данных других лиц из числа указанных в ст. 6 или 10 Закона о персональных данных. Разумеется, положения об исключении обработки, осуществляемой исключительно для личных нужд, из сферы действия указанного Закона (см. комментарий к ст. 1) также применимы. Например, в случае с фотографией, на которой изображены несколько лиц, лицо, которое выкладывает ее в сеть «Интернет», должно получить согласие от других лиц либо воспользоваться иным основанием для обработки, например, для осуществления прав и законных интересов оператора (п. 7 ч. 2 ст. 6 Закона о персональных данных).
47
https://77.rkn.gov.ru/p3852/p13239/
48
Там же.
49
См. п. 1 Обзора обращений граждан за II квартал 2012 года / Управление Роскомнадзора по Республике Карелия. URL: http://10.rkn.gov.ru/queries/lookup/ people_2kv_2012/p1/
50
См., например: Апелляционное определение Московского городского суда от 6 сентября 2012 г. по делу № 11-17136. Даже английское право, на которое нередко ссылаются как на более определенное с точки зрения понятия персональных данных, рассматривает имя лица, взятое само по себе, в качестве персональных данных. См.: Edem v. IC & Financial Services Authority [2014] EWCA Civ. 92.
51
См.: Как проходит проверка персональных данных – глазами Superjob и Роскомнадзора. 23 июня 2016 г. URL: https://m.roem.ru/23-06-2016/227249/kak-prohodit-proverka-personalnyh-da
52
Бачило И.Л. и др. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск, 2006. С. 19.
53
См.: Архипов В.В. Интернет-право: Учебник и практикум для бакалавриата и магистратуры. М., 2016. С. 120−121.