(Не)специальная обработка "специальных" персональных данных: всегда ли целью можно оправдать средства?
Сфера регулирования защиты персональных данных в последнее время претерпевает значимые изменения: приняты поправки в Кодекс об административных правонарушениях и в Уголовный кодекс, меняющие кардинально всю модель рисков для операторов персональных данных. Однако специфика этой сферы регулирования остается без изменений: сильный публично-правовой регулирующий компонент, сочетающийся с заметной свободой операторов персональных данных формировать собственные подходы к построению процессов обработки этих данных. И здесь возникает противоречие сущего и должного: операторы фактически могут аккумулировать те персональные данные, которые не составляли их целеполагание при построении процессов обработки и создании организационно-распорядительной документации. Ситуация усугубляется еще и тем, что речь может идти не просто об "избыточных данных", а о персональных данных специальной категории. Соответственно, возникает некая правовая неопределенность: как должен поступить оператор с этими данными?
Ключевые слова: персональные данные специальных категорий, обработка персональных данных, система защиты информации, частноправовое регулирование, цель обработки персональных данных, защита персональных данных.
The sphere of personal data processing is suffered of significant transformations at the actual time: the new redactions of administration offenses codex and criminal law codex change the whole risk model for personal data controllers. But the specific trait of this regulation sphere is stable: the tough public regulation component, which is combined with significant freedom of personal data controllers to forming the own approaches of developing data processing processes. And here is established the controverse between the existing and the due: personal data controllers may collect not only that personal data, which is bind to they own purposes, which is described in the private (local) data processing acts. The situation become more serious, because that is not just an excessive personal data, but the special personal data category. And there is a question become: how the data controllers should do with that kind of data?
Key words: personal data of special categories, personal data processing, information security system, private law regulation, purpose of personal data processing, personal data protection.
Сплав публично-правового и частноправового начал в регулировании сферы персональных данных является ее характерной чертой. Давно вступил в силу Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <1> (далее - Закон о персональных данных), еще дольше существует гл. 14 в Трудовом кодексе Российской Федерации <2>, принята масса иных законов и подзаконных актов. С другой стороны, при обращении к их правовому содержанию быстро обнаруживается множество вопросов, оставленных на усмотрение операторов персональных данных. Так, установление актуальных угроз безопасности персональных данных для информационной системы по Постановлению Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" <3> (далее - Постановление N 1119) осуществляется оператором персональных данных (п. 7) и напрямую влияет на уровень защищенности информационной системы и на то, как будут защищаться персональные данные.
--------------------------------
<1> Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
<2> Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ.
<3>
Что гораздо более интересно, законодатель, отказавшись от подхода к определению того, что относится к персональным данным, а что не относится, установил только критерии, указывающие на то, какие данные являются персональными, а какие не являются. Это повлекло множество споров и противоречий о том, когда и как данные обретают статус персональных, а когда теряют <4>, а также упреки в правовой неопределенности, вызываемой таким подходом. Не ставя целью его оценку, хочется сосредоточиться на том, как операторы используют предоставленную им свободу для построения процессов обработки данных в локальных нормативных актах.
--------------------------------
<4> Наумов В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий // Российский юридический журнал. 2016. N 2. С. 186 - 196; дело N А40-139096/22-121-796 "ООО "Страховая компания "Арсеналъ" против Управления Роскомнадзора по Центральному федеральному округу".
В соответствии с подп. 2 ст. 3 Закона о персональных данных оператор определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия, совершаемые с этими данными. Соответственно, оператору персональных данных "необходимо на уровне локального нормотворчества <...> предусмотреть порядок отнесения информации, генерируемой физическими лицами при использовании конкретных технологических решений <...> к категории персональных данных" <5>. В рамках такого локального нормотворчества перед оператором персональных данных встает необходимость анализа того, какими у него будут цели обработки персональных данных, что именно он будет собирать для этих целей, как обрабатывать, а после достижения цели обработки потребуется ответ на вопрос о том, какова будет судьба этих данных.
--------------------------------
<5> Ильюшина И.С. Правовое регулирование и защита персональных данных в виртуальной среде организаций: дис. ... канд. юрид. наук. М., 2025. С. 26.
Все обязанности, которые на себя берет оператор, проистекают не только и не столько из законодательства, но и в первую очередь являются следствием принятия оператором решения осуществлять ту или иную деятельность, это решение первично. Никакая обработка персональных данных (за исключением обработки для личных и семейных нужд) не должна осуществляться исключительно ради самого процесса обработки. Цели обработки могут соответствовать законодательству или не соответствовать, обрабатываемые в рамках целей данные могут быть избыточными или не быть такими, но цель (или причина) для обработки должна существовать всегда. После принятия поправок в законодательство, влияющих на правовой статус оператора и создающих для него новые цели обработки, последний может столкнуться с необходимостью пересматривать свои локальные акты. В них потребуется отразить, как эти новые требования он будет соблюдать, или у самих операторов могут появляться и исчезать цели обработки персональных данных.
И если с целями все проще, их можно условно разделить на те, что поставил для себя сам оператор (в том числе совместно с другими операторами), и на те, что проистекают из требований законодательства, то вот с определением персональных данных не все так однозначно. И дело здесь не только в сложности определения, относятся ли те или иные данные к персональным в контексте конкретного процесса обработки. В некоторых случаях речь идет о том, как должен оператор поступать с данными, которые могут быть отнесены к персональным данным специальных категорий, но конкретный оператор не рассматривает их в качестве таковых. "Волевое начало" оператора в процессах обработки персональных данных является одним из ведущих (если не ведущим) факторов, действия с данными должны носить волевой, осознанный характер <6>.
--------------------------------
<6> Дмитрик Н.А. История и теория приватности. М.: Инфотропик Медиа, 2025. С. 58.
Всегда ли цель обработки оправдывает средства защиты информации?
Вопрос возникает, когда оператор интернет-сервиса (социальной сети, форума, рекрутинговой платформы) для своих целей определил обработку одного набора данных, указав, что для достижения целей обработки не нужны ни специальные, ни биометрические, ни общедоступные данные и все, что ему требуется, - это персональные данные категории "иные". И с этим сложно спорить: почти любой интернет-сервис может функционировать "на минимальном наборе" персональных данных: адрес электронной почты, псевдоним пользователя (субъекта персональных данных), его номер телефона. Для регистрации, идентификации, аутентификации, авторизации не нужно много данных. Однако в силу активности пользователей у оператора может скопиться немало данных специальных категорий. Это справедливо для социальных сетей - в силу специфики функционала они предоставляют большой объем возможностей для самовыражения (например, указание данных о религиозных или философских убеждениях). Это справедливо для публичных форумов медицинской направленности, где будет публикация сведений о состоянии здоровья, фотокопий медицинских документов. При этом администрация того же форума вынуждена модерировать свою площадку, тем самым фактически начав самостоятельный процесс обработки данных, помимо имеющегося хранения данных для поддержания функциональности форума, что неизбежно подразумевает доступ к персональным данным специальной категории. В случае с рекрутинговой платформой, если там предоставляется возможность ведения электронной переписки между соискателями и работодателями, последние также могут запрашивать справки о состоянии здоровья, о наличии судимости (безотносительно того, насколько такие запросы имеют под собой законные основания), и эти данные "оседают" у оператора рекрутинговой платформы. Законодательство не обязывает оператора устанавливать запреты пользователям на передачу ему информации, в составе этой информации могут быть персональные данные, "не учтенные" им в своих локальных актах. Даже если бы такой запрет оператор попытался установить, здесь автоматически возникают вопросы о его законности, так как "информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения" (ч. 1 ст. 5 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" <7>). Если бы оператор начал действовать, ориентируясь исключительно на ч. 3 ст. 21 Закона о персональных данных, обязывающую прекратить неправомерную обработку персональных данных в срок не более трех рабочих дней, то неизбежно "сломал" бы работу собственного сервиса, удалив "не прошенные и не учтенные" им персональные данные.
--------------------------------
<7> Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
Если такой ресурс будет популярным, то сложится ситуация, когда количество персональных данных специальных категорий достигнет значимых объемов. При этом при разработке организационно-распорядительной документации, посвященной обработке персональных данных, все эти данные не будут учтены. Оператор может установить уровень защищенности для своей информационной системы персональных данных как четвертый по подп. "б" п. 12 или третий по подп. "д" п. 11 Постановления N 1119, хотя фактически у него будут храниться (т.е. обрабатываться в смысле подп. 3 ст. 3 Закона о персональных данных) данные о национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни, а это уже второй (подп. "е" п. 10) уровень защищенности.
При рассмотрении различий уровней защищенности исключительно в рамках Постановления N 1119 может показаться, что отличия между четвертым, третьим и вторым уровнями минимальны. Логика изложения и соотношения требований и уровней защищенности в Постановлении такова, что четвертый уровень подразумевает набор требований, который является минимальным и будет выполняться любым оператором персональных данных, а к уровням выше (третьему, второму) добавляется совсем немного требований: назначение работника, ответственного за обеспечение безопасности персональных данных (п. 14), и установление доступа к содержанию электронного журнала сообщений для работников для исполнения должностных обязанностей (п. 15) соответственно.
Значимые отличия становятся видны при обращении к тексту Приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" <8> (далее - Приказ). Приказом установлены базовые наборы мер, которые должны быть реализованы в информационной системе с соответствующим уровнем защищенности. Не вдаваясь в детали проектирования системы защиты информации, нетрудно подсчитать, что для систем четвертого уровня защищенности базовый набор включает 27 мер, третьего - 41 меру, второго - 66 мер, первого - 69 мер. То есть разница между вторым и четвертым уровнем более чем в два раза! Мотивация оператора оценивать уровень защищенности по низшему возможному пределу понятна: ему гораздо проще соответствовать и с организационно-правовой, и с технической, и с экономической точки зрения.
--------------------------------
<8>
С какой целью законодатель ввел всю эту систему регулирования? Частный бизнес не всегда заинтересован нести публично-правовые, "правозащитные" функции <9>. Цель Закона о персональных данных - это "обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну". Именно через операторов должен обеспечиваться необходимый уровень защиты конституционных гарантий. Стремление оператора персональных данных по минимуму соответствовать требованиям законодательства по защите персональных данных приводит к неутешительным результатам. Объем утечек персональных данных за 2024 г. составил более 710 миллионов записей, в 2023 г. - 300 миллионов, в 2022 г. - 600 миллионов <10>.
--------------------------------
<9> Хотя могут встречаться и исключения, когда стремление оператора донести до пользователей простые и понятные подходы к работе с данными может рассматриваться как конкурентное преимущество.
<10> Нефедова М. Роскомнадзор: в 2024 году в сеть утекли 710 млн записей о россиянах // ХАКЕР.ru. 2025. 17 января.
Было бы неправильным сложившуюся ситуацию с утечками сводить всецело к тому, что операторы стремятся обеспечить безопасность персональных данных исключительно формально, а если бы требования Постановления N 1119 и Приказа выполнялись в соответствии с буквой и духом закона, утечек можно было бы избежать и реализованных мер второго уровня защищенности было бы достаточно. Но здесь налицо иная проблема, которая уже стоит в конституционно-правовой плоскости и касается противоречий между частными и публичными интересами. Частноправовое регулирование в локальных нормативных актах оператора фактически относит персональные данные специальных категорий к категории иных персональных данных (или вообще их не замечает), что выгодно для оператора с точки зрения минимизации издержек на систему защиты, но ставит под угрозу конституционные права и свободы субъектов данных.
В условиях цифровизации и набившей оскомину проблематики отставания публичного права от реалий цифровых технологий представляется неизбежным переход к своеобразному государственно-частному партнерству, в том числе и в сферах, непосредственно связанных с правами и свободами человека. Частноправовое регулирование, содержащееся в локальных нормативных актах оператора, не должно быть превыше публично-правового, особенно когда речь идет о конституционных правах человека. Сфера регулирования персональных данных в силу прочной связи с иными конституционными правами и свободами человека должна также содержать "верхний слой, состоящий как в необходимости государственных организации и контроля (надзора), так и в защите прав и свобод личности" <11>. Иной подход здесь уже невозможен, и усиление частноправовых начал регулирования здесь уже является "общим стандартом", взять хотя бы GDPR <12>, где очень интенсивно используются различные элементы частного регулирования, а различные объединения и ассоциации операторов выступают вполне самостоятельными регуляторами. При этом речь все-таки идет не только и не столько о "коммерциализации" <13> персональных данных в целом (хотя отраслевому саморегулированию и имманентны риски, связанные с лоббированием интересов различных бизнес-структур), речь именно о частноправовом регулировании.
--------------------------------
<11> Авакьян С.А. Основные тенденции современного развития конституционного права // Конституционное и муниципальное право. 2017. N 4. С. 3 - 7.
<12> General Data Protection Regulation.
<13> Талапина Э.В. Право на защиту персональных данных с позиций публичного права // Конституционное и муниципальное право. 2022. N 10. С. 29 - 32.
Несмотря на роль частноправового регулирования и ведущую роль волевого начала оператора при построении им процессов обработки данных, автор считает неверным подход, при которым оператор своими локальными актами фактически пытается пересилить публично-правовое регулирование, которое ясно указывает, что определенные категории персональных данных являются специальными, а не иными. И такой факт в целом противоречит самой публично-правовой природе и смыслу института персональных данных. "Публично-правовая природа выражается в обширном корпусе императивных ограничений, установленных на уровне федерального законодательства и сокращающих свободу усмотрения сторон правоотношений, связанных с обработкой персональных данных, а также в цели регулирования, выражающейся, в частности, в обеспечении права на неприкосновенность частной жизни, личную и семейную тайну в соответствии с положениями Конституции Российской Федерации и ряда международно-правовых договоров" <14>.
--------------------------------
<14> Зюбанов К.А. Согласие на обработку персональных данных - sui generis действие // Вестник РУДН. Серия: Юридические науки. 2024. Т. 28. N 3. С. 631.
Автор полагает, что сложившаяся ситуация не только является следствием стремления операторов персональных данных снизить собственные издержки, но и вызвана правовым пробелом. В законодательстве не рассматривается ситуация, когда субъект создает нагрузку для оператора персональных данных в виде специальных категорий данных, тем самым увеличивает риски как для самого себя (его данные попадают в информационную систему оператора, которая объективно не является эталоном защищенности), так и для оператора, рискующего накопить большое количество специальных категорий данных в слабо защищенной системе, потенциально представляющей больший интерес для взлома, чем та, что защищена адекватно.
Сразу необходимо сделать оговорку, что автор далек от мысли о введении для операторов интернет-сервисов презумпции того, что к ним могут попасть персональные данные специальных категорий, а потому они должны к этому подготовиться "на перспективу", повысив уровень защищенности своих информационных систем персональных данных. Однако предположим, что полное безучастие к этой проблеме также не станет лучшей практикой и не будет говорить о добросовестности оператора.
Представляется, что решение должно лежать в технической и организационно-распорядительной сферах. С одной стороны, речь идет о повышении цифровой гигиены субъектов - пользователей интернет-сервисов и доведении операторами этих сервисов сведений о рисках для этих субъектов. В случае если субъект принимает решение предоставить персональные данные специальной категории (а возможно, и даже выложить в общий доступ), оператору следует предупредить о связанных с этим рисках. Возможным решением видится использование инструментов модерации, основанных на нейросетях, которые бы функционировали на базе оборудования оператора интернет-сервиса (не передавая данные в сторонние облака) и выводили бы в случае возникновения подозрения о размещении специальных категорий данных соответствующее уведомление для пользователя. Если это применимо к конкретному сервису, это уведомление могло бы содержать рекомендацию об обезличивании документов с чувствительными данными самим субъектом. Если же введение такой "продвинутой" модерации не осуществляется оператором, возможным решением видится отображение соответствующей рекомендации в правилах пользования сервисом или в согласии на обработку персональных данных.
Предложенные автором подход и видение, возможно, и не найдут отражения в законодательных инициативах, но вполне могут быть использованы операторами персональных данных в локальных нормативных актах и тем самым помогут большей защищенности субъектов персональных данных и в повышении их осознанности в вопросах цифровой гигиены.
