Специфика правомочий субъектов персональных данных в современном российском и зарубежном праве
В статье анализируются права субъектов персональных данных с точки зрения возможности коммерческого использования своих личных данных субъектов. Актуальность такого исследования вызвана увеличением значимости информационной составляющей персональных данных, получением доходов за счет использования данных профессиональными участниками информационного обмена. Автор обращает внимание на то, что существующие нормы законодательства о защите персональных данных и гражданского законодательства не дают полной возможности субъектам персональных данных быть активными участниками в отношениях по коммерческому использованию их личных данных и потому требуют обновления.
Ключевые слова: субъект персональных данных, правомочия, оператор, доступ.
The article analyzes the rights of personal data subjects in terms of the possibility of commercial use of their personal data. The relevance of such a study is caused by the increasing importance of the information component of personal data, generating income through the use of data by professional participants in information exchange. The author draws attention to the fact that the existing norms of legislation on the protection of personal data and civil legislation do not fully enable personal data subjects to be an active participant in the commercial use of their personal data and therefore require updating.
Key words: personal data subject, powers, operator, access.
Введение. В силу исторического развития института персональных данных и наличия в персональных данных прежде всего социальной ценности основной целью законодательного регулирования является установление правового режима по защите конституционных прав граждан на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, по обеспечению конфиденциальности персональных данных. Вместе с тем очевиден рост внимания и к информационной составляющей персональных данных: они являются важным ресурсом в развитии искусственного интеллекта и в функционировании бизнес-моделей технологических гигантов, в бизнесе рекламодателей и иных профессиональных участников информационного общества. Они получают доходы от использования персональных данных, но сами источники этих данных - субъекты персональных данных не получают таковых. При этом уже разработаны и предлагаются субъектам технологические инструменты, основанные на приватных хранилищах, которые позволили бы субъекту персональных данных задуматься об активном, а не пассивном участии в использовании персональных данных в своих интересах, в том числе связанных с коммерческой выгодой. Рассмотрим, как сейчас представлены права субъектов в нормативных актах (России, ЕС и в США) с точки зрения их потенциального использования для реализации такой цели.
Исследование. В соответствии с действующим Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон об информации) информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу. Ограничения по использованию и передаче могут быть установлены законом <1>.
--------------------------------
<1> Федеральный закон от 27 июля 2006 г. N 149 "Об информации, информационных технологиях и о защите информации".
В теории права понятие "правомочие" рассматривается как элемент субъективного права - легализованной меры возможного поведения лица, обеспеченной государственной властью, реализация которой зависит только от воли и желания его носителя и направлена на удовлетворение его личного интереса. В составе субъективного права исследователи выделяют три правомочия: право-действие, право-требование и право-притязание <2>.
--------------------------------
<2> Железняк Н.С., Тетерятников Н.Ю., Леонтьева Ю.В. Соотношение полномочий и правомочий в теории права и оперативно-розыскной деятельности // Общество и право. 2020. N 1 (71). С. 100.
В силу существования разных причин обработки персональных данных и видов операторов, осуществляющих обработку, в Федеральном законе от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <3> (далее - Закон о персональных данных) предусмотрены различные основания и условия их обработки, и согласие субъекта является первым среди перечисленных в законе. На основе согласия субъект вступает в информационный обмен с разного рода участниками. В данном исследовании все возможные участники информационного обмена с субъектом персональных данных на основе его согласия будут обозначаться словом "оператор" <4>.
--------------------------------
<3> Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (в ред. от 08.08.2024).
<4> В Законе о персональных данных существуют различия в правовом положении оператора и обработчика; в Общем регламенте о защите персональных данных (General Data Protection Regulation) ЕС существуют различия в правовом положении контролера и обработчика ("обрабатывающее данные лицо"). В исследовании не учитываются особенности правового положения всех этих специально обозначенных участников.
Взаимоотношения с операторами начинаются с выдачи согласия на обработку персональных данных. Из ст. 153 ГК РФ и ст. 154 ГК РФ следует, что это действие считается односторонней сделкой: оно направлено на установление гражданских прав и обязанностей, и для его совершения достаточно выражения воли одной стороны - субъекта. Подтверждение такой трактовки находим в судебной практике <5>.
--------------------------------
<5> См.: п. 46 Постановления Пленума Верховного Суда РФ от 23 июня 2015 г. N 25 "О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации".
Форма данной сделки зависит от категории личных данных: допускаются устная, письменная формы, а также конклюдентные действия. Субъект персональных данных вправе в любое время отозвать выданное согласие. Отзыв также будет являться односторонней сделкой.
Выдача согласия - это первое право субъекта персональных данных. В Законе о персональных данных перечислены следующие права субъектов (ст. 14 - 17):
1) доступ к их персональным данным;
2) обработка их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации;
3) принятие решений на основании исключительно автоматизированной обработки их персональных данных;
4) обжалование действий или бездействия оператора.
В 2021 г. было также зафиксировано право субъекта на удаление в поисковых системах своих данных из общего доступа или так называемое право на забвение в Интернете (ст. 10.3 Закона об информации и ст. 11 и 15 Федерального закона "О деятельности иностранных лиц в информационно-телекоммуникационной сети Интернет на территории Российской Федерации") <6>.
--------------------------------
<6> Федеральный закон от 1 июля 2021 г. N 236-ФЗ "О деятельности иностранных лиц в информационно-телекоммуникационной сети Интернет на территории Российской Федерации".
Перечисленные права могут быть ограничены, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц (п. 4 ч. 8 ст. 14 Закона о персональных данных), а также в указанных Законом случаях, например в целях обороны страны, безопасности государства и охраны правопорядка (п. 1 ч. 8 ст. 14 Закона о персональных данных).
В нормативных документах ЕС (Общий регламент о защите персональных данных (General Data Protection Regulation), далее - GDPR) <7> и США (Калифорнийский закон о защите прав потребителей 2018 г. (The California Consumer Privacy Act of 2018), далее - CCPA) <8> закреплены права, аналогичные правам, предоставленным субъектам российским законодателем. Но есть и такие, аналоги которых в российском законодательстве не обозначены, и как раз эти права имеют прямое отношение к вопросу о возможности коммерческого использования персональных данных. К ним относятся:
- право на переносимость данных (ст. 20 GDPR);
- право знать, продается или разглашается их личная информация и кому (разд. 2, параграф i, (2) CCPR);
- право отказать в продаже личной информации (разд. 2, параграф i, (3) CCPR).
--------------------------------
<7> Регламент Европейского Парламента и Совета Европейского союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий регламент о защите персональных данных) (General Data Protection Regulation).
<8> Калифорнийский закон о защите прав потребителей от 2018 г. (The California Consumer Privacy Act of 2018 (CCPA)).
В CCPR дается даже определение понятия "продажа". Оно довольно широкое, в том числе включает "предоставление личной информации" третьей стороне для денежных или других ценных соображений.
Вместе с тем указанные нормативные акты, имея целью защиту персональных данных, по сути, устанавливают правила работы с личными данными физических лиц и в меньшей степени формулируют этим физическим лицам правила активного участия в отношениях с операторами. К такому выводу можно прийти исходя из терминологии перечисленных нормативных актов.
Прежде всего обратим внимание на то, что в определении понятия "персональные данные" Закона о персональных данных указано, что это информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть для обозначения связи между субъектом и его персональными данными законодатель использует слово "относимость". А кем он является для персональных данных до реализации каких-либо действий? По нашему мнению, субъект должен признаваться владельцем персональных данных, так как является уникальным источником и носителем специфической информации, тесно связанной с его личностью, и ограничиваться лишь простым указанием в ключевом законе на "относимость" данных к его личности представляется неправильным <9>. Следует отметить, что словосочетание "владелец персональных данных" сейчас можно встретить в некоторых российских нормативных актах, например в Федеральном законе от 26 декабря 2024 г. N 477-ФЗ "О гарантировании прав по договорам страхования жизни", а также словосочетание "собственник информации" - в ст. 10 Закона РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне" <10>, несмотря на то что информация не признается сегодня объектом собственности.
--------------------------------
<9> Федеральный закон от 26 декабря 2024 г. N 477-ФЗ "О гарантировании прав по договорам страхования жизни".
<10> Закон РФ "О государственной тайне" от 21 июля 1993 г. N 5485-1 (ред. от 08.08.2024) "О государственной тайне".
Персональные данные не являются вещью, это нематериальные блага и информация. И нематериальными благами, и информацией можно при определенных допущениях и условиях владеть, пользоваться и распоряжаться. Но действия по владению, пользованию и распоряжению информацией, конечно, отличаются от действий собственника по владению, пользованию и распоряжению материальными объектами.
Представим, что человек заболел, у него поднялась температура, он ее измерил и принял решение принять лекарственное средство для снижения температуры. В данном случае человек получает от организма данные (владеет информацией о температуре своего тела), использует эти данные для лечения себя (использует информацию о температуре тела), не передавая эту информацию кому-либо (например, врачу) для принятия решения о лечении. Такие действия человека в отношении информации не регулируются правом. Но если этот человек не принимает решения о самолечении, а обращается к врачу, то он передает те же самые данные о температуре тела и иных обстоятельствах, запрошенных врачом, для получения медицинской помощи (деятельности, регулируемой правом). Происходит распоряжение информацией, заключающееся в ее передаче третьему лицу (врачу). При этом человек по-прежнему владеет информацией о себе, может пользоваться ею (отказаться от рекомендации врача по лечению) и еще может распоряжаться ею, обращаясь к другому врачу. То есть по факту правомочия по владению и пользованию информацией остаются с человеком, а третьи лица вступают с ним в отношения на этапе распоряжения информацией с его согласия и обязаны при этом соблюдать правила обработки информации, в том числе обеспечивать ее конфиденциальность.
В Законе о персональных данных нет слов "владение", "пользование" и "распоряжение" применительно к персональным данным и применительно к действиям субъекта. Построение взаимоотношений субъекта и третьих лиц основано на инструменте "согласие на обработку персональных данных" и действиях по его выдаче/отзыву, если мы исходим из данного основания для обработки его данных.
Субъект персональных данных путем дачи согласия на обработку персональных данных дает разрешение заинтересованному лицу их обрабатывать.
Содержание обработки может составлять любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таковых. В Законе перечислены следующие действия (операции) по использованию информации: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Такие виды передачи персональных данных, как распространение и предоставление, обозначают одно и то же действие - раскрытие персональных данных, и отличаются только адресатом: при предоставлении информация раскрывается определенным лицам, а в случае распространения - неопределенному кругу лиц.
В Законе о персональных данных содержание такого действия, как "доступ", раскрывается в интересном контексте: право субъекта требовать от оператора совершения перечисленных в законе действий в интересах субъекта (уточнение данных, блокирование или уничтожение). Но если мы обратимся к ст. 2 Закона об информации, то в ней содержание действия "доступ" применительно к обладателю информацией означает его право "разрешать или ограничивать доступ к информации". Если применить понятие "обладатель информации", данное Законом об информации, к субъекту персональных данных, то субъект персональных данных является не просто "обладателем информации", а первоначальным ее владельцем, и он прежде всего должен иметь право разрешать или ограничивать доступ к своим данным. А уже после этого, в процессе обработки данных оператором, он получает особый доступ к обрабатываемым данным, который основан на его праве в любое время отозвать согласие на обработку. Оператор же - это фактически держатель данных, владельцем которых является субъект.
Как правило, оператором является стороннее лицо по отношению к субъекту персональных данных. Но определение понятия "оператор", данное в Законе о персональных данных, на наш взгляд, позволяет выступать оператором и самому субъекту персональных данных в отношении своих данных. Если в качестве оператора выступает стороннее для субъекта персональных данных лицо, то мы имеем скорее пассивное участие субъекта персональных данных в отношениях, возникающих в связи с персональными данными. Если же при наличии такого намерения и доступности технологических инструментов оператором собственных данных становится субъект, то он уже будет полноценным активным участником, в том числе совершать действия по передаче (распространение, предоставление, доступ) собственных персональных данных. Это уже возможно с помощью систем управления персональными данными, построенными на базе приватных облаков <11>.
--------------------------------
<11> European Data Protection Supervisor (EDPS), 2020. Brief report "Personal Information Management Systems". 2020. Iss. 3. С. 1.
Что касается правовой среды, то имеющиеся правила обработки персональных данных тогда потребуют пересмотра с учетом специфики оператора (оператор - субъект персональных данных и оператор - иное лицо, предусмотренное законом), оснований и условий для обработки, категорий и видов персональных данных, ограничений, обусловленных правовой природой персональных данных.
К числу действий субъекта персональных данных относятся следующие: давать и отзывать согласие; разрешать для распространения; устанавливать запреты на передачу и обработку; устанавливать условия обработки. Если признавать субъекта персональных данных оператором собственных персональных данных, то действия, относимые законодателем к "передаче", могут составить содержимое понятия "распоряжение": распространение, предоставление, доступ. Персональные данные не признаются вещью и использование глагола "распоряжение", привычного для триады полномочий собственника вещи, кажется некорректным. Но если использовать данное слово вне привычной для российского права конструкции, связанной с правом собственности на вещь, а считать его характеристикой активного действия, то субъект персональных данных, будучи признанным активным субъектом или оператором собственных личных данных, вправе следующим образом распоряжаться личными данными: распространять, предоставлять и определять условия доступа к ним, а также осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение персональных данных.
Заключение. Исходя из изложенного можно прийти к выводу о том, что субъект персональных данных, имея технологические инструменты, а также разработанный в его интересах правовой режим, может стать активным участником информационного обмена, в том числе с целью получения дохода.
