Страница 24 из 38
Подзаконные акты, дополняющие нормы федерального законодательства, в частности Правила хранения данных[145], позволяют отнести к ОРИвСИ таких лиц, которые осуществляют функционирование коммуникационного интернет-сервиса. Это ограничивает круг лиц, которых можно отнести к ОРИвСИ, теми субъектами, которые позволяют взаимодействовать пользователям между собой.
В качестве ОРИвСИ регистрируются такие компании, как ООО «ВКонтакте», ООО «Мэйл.Ру», ЗАО «Мамба», ООО «Редакция журнала «Закон»», т.е. сервисы, предоставляющие возможность ведения дискуссий между пользователями[146]. В то же время эти компании занимаются сбором, хранением, использованием и передачей метаданных, которые хотя и зашифрованы, но представляют интерес для профайлинга, поскольку показывают, кто с кем общался, в какой период времени, как долго происходило общение.
Однако анализ деятельности существующих компаний – информационных брокеров показывает, что, как правило, здесь взаимодействие происходит между пользователем и машиной. И только в случае если информационный брокер включает в свой функционал коммуникационные сервисы, позволяющие взаимодействовать пользователям между собой, он, без сомнений, будет подпадать под категорию ОРИвСИ.
С учетом изложенного можно сделать вывод о том, что не всякая компания, имеющая доступ к персональным данным пользователей и зарегистрированная в качестве ОРИвСИ, является информационным брокером. В то же время нельзя квалифицировать всех информационных брокеров в качестве ОРИвСИ – такой подход влечет возложение на информационного брокера ненужных обязанностей, в частности, по уведомлению Роскомнадзора об осуществлении деятельности (п. 2 ст. 10.1 Закона об информации);
– в-третьих, оператора информационной системы (п. 12 ст. 2 Закона об информации);
Оператором информационной системы может быть как физическое, так и юридическое лицо, «осуществляющее деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных» (п. 12 ст. 2 Закона об информации). По общему правилу, закрепленному в п. 2 ст. 13 Закона об информации, для квалификации лица в качестве оператора информационной системы необходимо наличие двух условий: наличие права собственности на технические средства, используемые для обработки информации, содержащейся в базах данных, а также правомерное использование этих баз данных (например, по лицензионному договору).
Информационный брокер не всегда может иметь технические средства для обработки информации на праве собственности. Но закон допускает заключение оператором информационной системы договора об эксплуатации информационной системы с собственником технических средств.
Возможна и другая проблема: как было указано выше, не всегда информация, используемая информационным брокерами, может быть квалифицирована как база данных. В таком случае информационный брокер вряд ли может быть отнесен к числу операторов информационной системы. И здесь надо отметить, что в связи с тем, что в настоящий момент законодательство не содержит четких определений, которые позволили бы определить правовой статус информации, в частности персональных данных, открываются широкие возможности для манипуляции правовыми дефинициями и отнесения информационных брокеров к числу операторов информационных систем;
– в-четвертых, оператора персональных данных (гл. 4 Закона о персональных данных);
Оператором персональных данных, которым является информационный брокер «по умолчанию» (в силу того, что осуществляет действия по обработке информации в отличие от оператора информационной системы), может выступать государственный и муниципальный орган. Это позволяет причислить к числу информационных брокеров также субъектов публичного права. Например, уже упоминавшийся политический профайлинг базируется на основе данных, сбором которых занимаются муниципальные образования.
При этом необходимо подчеркнуть, что в отличие от ОРИвСИ статус оператора персональных данных не подразумевает возложение на юридическое или физическое лицо чрезмерных обязанностей. Необходимость предоставления субъекту персональных данных информации об операторе до начала сбора данных (п. 3 ст. 18 Закона о персональных данных), обеспечение безопасности персональных данных (п. 2 ст. 19 Закона о персональных данных), сообщение субъекту данных информации о наличии соответствующих данных (п. 1 ст. 20 Закона о персональных данных) являются сбалансированными мерами, позволяющими защитить права и интересы граждан.
Квалификация информационного брокера в качестве оператора персональных данных позволяет решить еще одну проблему, уже обнаружившую себя в США в процессе деятельности упомянутых компаний, – отсутствие прозрачности в деятельности информационных брокеров: граждане не знают, какая именно информация о них была получена. Например, Experian и Equifax не разрешают субъектам просматривать, какие их персональные данные были получены брокером. Усугубляет проблему тот факт, что у граждан нет информации о том, какие компании являются информационными брокерами, т.е. они могут даже не предполагать, что являются субъектом персональных данных, обрабатываемых какой-либо компанией[147].
Поскольку российское законодательство содержит право субъекта персональных данных на доступ к таковым (ст. 14 Закона о персональных данных), то данная проблема может быть решена путем закрепления обязанности информационного брокера сообщать об осуществлении деятельности по обработке и перепродаже данных в федеральные органы власти под угрозой административного наказания (соответствующие поправки необходимо внести и в КоАП РФ). За органами власти, в свою очередь, необходимо закрепить обязанность по созданию реестра информационных брокеров по аналогии с реестром ОРИвСИ. Такой подход обеспечит соблюдение прав граждан, поскольку они будут знать, какая именно компания является информационным брокером и занимается сбором их персональных данных, но при этом не нанесет ущерба предпринимательской деятельности коммерческих лиц и индивидуальных предпринимателей.
Больше всего вопросов в свете последних изменений законодательства вызывает обязанность оператора персональных данных, установленная ч. 5 ст. 18 Закона о персональных данных. Она возлагает на оператора обязанность при сборе данных обеспечить обработку данных граждан Российской Федерации с помощью информационных систем, находящихся на территории Российской Федерации.
Поскольку большинство баз информационных брокеров, содержащих персональные данные граждан, были созданы до вступления в силу Закона, т.е. до 01.09.2015, то на них не распространяется указанное положение. При этом обратная сила закона может быть установлена при его принятии, но этого сделано не было. В то же время базы данных информационных брокеров в силу специфики деятельности должны постоянно обновляться: у субъектов данных меняются предпочтения, меняется их семейное положение и т.д., поэтому положения Закона распространяются и на такие «обновленные» базы данных.
Актуален данный вопрос также в связи с тем, что большинство существующих информационных брокеров – иностранные компании, которые собирают информацию о гражданах Российской Федерации. Наложение на брокеров подобного рода обязательств вынуждает делить базы данных: часть данных хранить по месту осуществления деятельности организации, а другую часть – в стране граждан, чьи данные подвергаются обработке.
С одной стороны, данная норма значительно усложняет деятельность иностранных компаний – информационных брокеров, и в итоге им проще отказаться от обработки данных граждан России (что с учетом положительных сторон профайлинга для субъектов обработки данных не является лучшим решением проблемы).
С другой стороны, существуют определенные сложности применения санкции к компаниям – информационным брокерам: если социальные сети, нарушающие российское законодательство, можно заблокировать (как в случае с Linked In[148]), то повлиять на компании, не ведущие деятельность в сети Интернет, практически невозможно[149].
145
Постановление Правительства РФ от 31.07.2014 № 759 «О Правилах хранения организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет» и информации об этих пользователях, предоставления ее уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации».
146
Реестр организаторов распространения информации в сети «Интернет» // Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (URL: https://rkn.gov.ru/opendata/7705846236-InformationDistributor/ (дата обращения: 06.03.2017)).
147
United States Senate (2013). A review of thedata brokers: collection, use and sale of consumer data for marketing purposes. Washington D. C.: Staff report. P. 33.
148
Определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016.
149
Беломестное а Н. Повеяло сервером. Иностранным интернет-магазинам придется заняться обработкой персональных данных в России // Юрист спешит на помощь. 2015. №9.