Персональный Интернет: проблемы и вопросы обработки персональных данных во Всемирной паутине

(Слепов А. В.) («Закон», 2012, N 7)

ПЕРСОНАЛЬНЫЙ ИНТЕРНЕТ: ПРОБЛЕМЫ И ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ВО ВСЕМИРНОЙ ПАУТИНЕ

А. В. СЛЕПОВ

Слепов Андрей Владимирович, руководитель группы по правовой защите информации компании Pepeliaev Group.

Какие новые требования предъявляет Закон к операторам персональных данных в Глобальной сети? С какими правилами должен быть ознакомлен субъект персональных данных до передачи таких данных оператору? Эффективны ли существующие запреты в области обработки и распространения персональных данных в сети Интернет? Ответы на эти и другие острые вопросы содержатся в анализе новейшего законодательства о защите персональных данных, приведенном в настоящей статье.

Ключевые слова: персональные данные, оператор персональных данных, Интернет, политика конфиденциальности, конфиденциальная информация, Роскомнадзор.

Государство обращает все более пристальное внимание на Интернет. Более того, Интернет стал площадкой (за неимением другой) для реализации масштабной государственной программы «Электронное правительство», которое в перспективе позволит (а частично позволяет уже сейчас) вести гражданам и чиновникам юридически значимое общение в электронной форме с использованием Сети. Среди большого количества правовых проблем и вопросов, связанных с существованием и развитием Интернета, с которыми власть так или иначе пытается бороться или которые она пытается регулировать, можно выделить распространение запрещенного контента, киберпреступность, нарушение исключительных прав и т. д. Одной из главных тем на повестке дня является, безусловно, вопрос сбора и распространения персональных данных с использованием Всемирной паутины. В первую очередь хотелось бы отметить, что государство (в лице Роскомнадзора, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, которая является регулятором в сфере законодательства о персональных данных) желает не просто контролировать передачу данных с помощью Интернета, а поименно знать всех операторов персональных данных <1>, которые передают (обрабатывают) эти данные с использованием сети Интернет. Дело в том, что все операторы (за некоторыми исключениями, указанными в ч. 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о ПД)) обязаны уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. В соответствии с рекомендациями по заполнению таких уведомлений одним из пунктов в нем должна быть информация о том, передается ли полученная в ходе обработки информация с использованием Интернета или нет <2>. При этом очевидно, что большинство компаний в своей деятельности использует по меньшей мере электронную почту и, соответственно, передает те или иные персональные данные работников, контрагентов и иных лиц с помощью Сети. ——————————— <1> Операторами персональных данных являются государственные и муниципальные органы, юридические или физические лица, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, т. е. большинство компаний и индивидуальных предпринимателей, зарегистрированных в России. <2> См.: п. 9 Приказа Роскомнадзора от 19.08.2011 N 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».

Примечательно, что даже факт хранения персональных данных в электронном почтовом ящике, заведенном с использованием внешнего почтового сервиса, или обмен электронными сообщениями, содержащими личную информацию, между сотрудниками одной организации с помощью подобного ящика (например, такого, как gmail) может рассматриваться как передача персональных данных с использованием Интернета третьим лицам. Например, Московский областной суд признал компанию-оператора одного из российских почтовых сервисов обладателем информации, передаваемой и получаемой с помощью данного сервиса <3>. ——————————— <3> См.: Определение Московского областного суда от 16.09.2010 по делу N 33-18051.

С другой стороны, регулирующие органы интересуют не только те операторы, которые передают персональные данные через Интернет, но и те, которые находятся «на другом конце провода», т. е. компании, которые получают (собирают) персональные данные с использованием «информационно-телекоммуникационных систем» (Интернета и интранета). В соответствии с Законом о ПД оператор, осуществляющий сбор персональных данных с использованием Интернета, обязан опубликовать в Интернете документ, определяющий его политику в отношении их обработки (далее — политика) и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств Интернета. Данное требование установлено в законодательстве уже более года назад <4>, однако по состоянию на сегодняшний день большинство компаний, которые собирают данные с помощью Сети (а для этого опять же, как правило, достаточно, чтобы компания в своей деятельности использовала электронную почту), до сих пор так и не озаботились размещением на своих сайтах документов о политике. ——————————— <4> Часть 2 ст. 18.1 Закона о ПД действует с 1 июля 2011 г.

Попробуем поподробнее разобраться, в чем же заключается данное требование и как его можно выполнить. В первую очередь хотелось бы отметить, что естественным препятствием для выполнения данного требования является то, что большинство операторов не обладает собственными сайтами, на которых можно было бы разместить эти сведения. Однако размещение информации о политике оператора на собственном сайте не является обязательным, за исключением некоторых случаев <5>. Вполне возможен и более креативный подход: например, размещение на странице в социальной сети. Однако опубликовать подобным образом сведения недостаточно — необходимо также предоставить доступ к ним. Думается, что обеспечить этот доступ (в отсутствие сайта) можно среди прочего путем добавления ссылки на соответствующий документ о политике в подпись <6> отправителя, которая используется при переписке в электронном виде; соответственно, каждый адресат сможет пройти по этой ссылке и узнать, каким образом обрабатываются и защищаются его персональные данные. ——————————— <5> Например, документы, определяющие политику в отношении обработки персональных данных государственных или муниципальных органов, подлежат обязательному опубликованию на их официальных сайтах (согласно п. 2 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного Постановлением Правительства РФ от 21.03.2012 N 211). <6> Имеется в виду информация (Ф. И.О., контактные данные и др.), которая в соответствии с настройками почты может автоматически присоединяться к направляемым электронным письмам. Не путать с электронной подписью по смыслу Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи».

Что же вправе рассчитывать увидеть в информации о политике субъект персональных данных? На сайтах некоторых компаний, в том числе транснациональных, еще до вступления в силу новых требований законодательства о персональных данных уже были размещены документы под заголовком «политика конфиденциальности». Но все ли в них есть необходимое и можно ли использовать их в качестве образца? Как правило, в представленной политике описываются процессы, связанные только с обработкой персональных данных непосредственно через сайт (например, использование так называемых cookies <7>). Но при этом Закон о ПД не ограничивается исключительно вопросами обработки и защиты этих данных. То есть возможно толкование, при котором содержание политики о конфиденциальности должно быть шире. Кроме того, если речь идет, например, об онлайн-политике транснациональной корпорации, то информация о ней зачастую не переведена на русский язык и не адаптирована к правовым реалиям России (в частности, не указывают наименование конкретной компании, являющейся оператором данных в России <8>, и не оперируют терминами, используемыми в российском законодательстве). ——————————— <7> (от англ. cookie — печенье; cookies — мн. ч.) — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который браузер каждый раз пересылает серверу при попытке открыть страницу соответствующего сайта. Применяется для сохранения данных на стороне пользователя, на практике обычно используется для аутентификации пользователя, хранения персональных предпочтений и настроек пользователя, отслеживания состояния сессии доступа пользователя, ведения статистики о пользователях (http://ru. wikipedia. org/wiki/HTTP_cookie). <8> Что не позволяет идентифицировать конкретное юридическое лицо, политика которого опубликована.

Оператор может понести административную ответственность за неразмещение онлайн сведений о своей политике. На практике такая ответственность может быть применена либо в случае невыполнения выданного Роскомнадзором предписания разместить соответствующую информацию, либо в порядке ст. 13.11 КоАП за нарушение установленного Законом порядка сбора персональных данных. В настоящее время штрафы, определенные в ст. 13.11 КоАП РФ, не превышают 10 тыс. руб. Однако Роскомнадзор предлагает существенно повысить их (до 1 млн. руб.). Случаи привлечения операторов к ответственности по данной статье за неразмещение политики пока отсутствуют. Ориентиром для операторов при применении соответствующих положений Закона о ПД в этой ситуации могли бы послужить официальные разъяснения Роскомнадзора, однако, за исключением рекомендаций по заполнению форм уведомлений <9> на протяжении более чем пятилетней истории применения Закона о ПД, Роскомнадзор разъяснения общего характера (например, в форме информационных писем), к сожалению, не давал. ——————————— <9> Приказ Роскомнадзора от 19.08.2011 N 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».

Особенно много проблем, связанных с использованием персональных данных, возникает у компаний, которые ведут через Интернет свой бизнес. Например, «высшая мера» наказания за нарушение требований, предусмотренных законодательством о персональных данных, а именно приостановление или прекращение обработки таких данных, осуществляемой с нарушением, применялась пока, по имеющейся информации <10>, только в отношении интернет-сайтов. ——————————— <10> См.: Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2011 год // http://rsoc. ru/personal-data/reports/.

В частности, в судебном порядке по инициативе Роскомнадзора было прекращено делегирование доменного имени в отношении нескольких десятков интернет-сайтов с доменом. ru, большинство из которых предоставляло незаконный доступ к крупным базам данных граждан <11>. Также в порядке международного взаимодействия с регуляторами иностранных государств в сфере персональных данных Роскомнадзору удалось добиться прекращения делегирования доменного имени даже для нескольких интернет-сайтов с иностранными доменами. com,.org,.info,.net и др. <12>. ——————————— <11> Подробнее см.: www. rsoc. ru/personal-data/p581/. <12> На момент написания статьи в третьем чтении принят законопроект, оформляющий создание единого реестра доменных имен и сетевых адресов сайтов в сети Интернет, содержащих информацию, запрещенную к распространению на территории РФ (http://asozd2.duma. gov. ru/main. nsf/%28Spravka%29?OpenAgent&RN;=89417-6&02). Принятие этого законопроекта может затронуть среди прочего сайты, с помощью которых в Интернете распространяются персональные данные граждан.

Подробнее хотелось бы остановиться на паре практических примеров, когда вполне обоснованная обработка персональных данных компаниями, осуществляющими деятельность с использованием Интернета, может граничить с нарушением закона и влечь существенные негативные последствия для соответствующих компаний. Во-первых, запрет на исключительно автоматизированную обработку без письменного согласия субъектов персональных данных <13> делает невозможной с практической точки зрения законную деятельность многих интернет-магазинов и операторов платежных систем. Проблема чаще всего не возникает в ситуации, когда лицо получает заказанный в Интернете товар через курьера и ему же отдает деньги (т. е. исключительно автоматизированной обработки данных в этом случае не имеется). Совсем другая ситуация складывается, когда лицо оплачивает товар с помощью банковской карты через Интернет и тем более когда товар доставляется ему не физически, а отгружается автоматически (например, предоставляется доступ к компьютерной игре или тексту книги в электронном виде). В данном случае возникает ситуация той самой исключительно автоматизированной обработки данных, осуществляемой без прямого участия человека. ——————————— <13> В соответствии с ч. 2 ст. 16 Закона о ПД запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением некоторых установленных в Законе случаев. К таким случаям, к примеру, относится получение письменного согласия.

Смысл этой нормы Закона понятен: если кто-то противоправно предоставляет чужие персональные данные и данные чужой банковской карты, реальный субъект соответствующих данных, безусловно, должен иметь некоторые правовые гарантии. Однако такая форма гарантии, как необходимость получения письменного согласия субъекта на обработку, не отвечает ни существующим мировым реалиям развития интернет-коммерции, ни текущему уровню развития технологий и инфраструктуры. Уже сейчас подобные согласия могут быть подписаны не только собственноручно, но и с использованием электронной подписи. Соответственно, проблему могло бы решить повсеместное распространение электронных подписей (по смыслу недавно вступившего в силу Закона «Об электронной подписи»), использование которых не предполагает ведение какого-либо бумажного документооборота и сохраняет дистанционный характер отношений. Однако использование средств электронной подписи пока не получило должного распространения, что среди прочего связано с недостаточным развитием законодательной и инфраструктурной базы. Во-вторых, действующее законодательство часто находит весьма неоднозначное применение в судебной практике. В частности, московские суды в одном из дел <14> признали, что администратор домена, как оператор персональных данных, обязан обеспечивать конфиденциальность собираемых и обрабатываемых им персональных данных. В связи с этим суд обязал ответчика — администратора домена не только уничтожить персональные данные (признанные незаконно размещенными на сайте), но и запретить их обработку и распространение в сети Интернет. Решение было бы вполне понятным, если бы речь не шла о том, что спорное размещение персональных данных истца произошло в разделе сайта «Форум», который администратор сайта может контролировать лишь ограниченно, исходя из целей такого раздела. Главный вопрос, возникающий в данном деле, состоит в том, каким образом ответчику выполнить выданное судом предписание (предотвратить распространение данных в Интернете). С учетом того, как функционирует Интернет, тиражирование данных, которые однажды попали в Сеть (даже если они находились там непродолжительное время), происходит достаточно быстро. Поэтому остается непонятным, каким образом можно администратору домена (который не имеет властно-распорядительных полномочий, кроме как в отношении своей собственности) обеспечить прекращение обработки данных на других, не зависящих от него, сайтах и может ли администратор домена нести ответственность, если где-то еще «всплывут» удаленные с сайта данные. ——————————— <14> См.: решение Мещанского районного суда г. Москвы от 05.10.2010 по делу N 2-2340/2010; Определение Московского городского суда от 14.02.2011 по делу N 33-2064; решение Мещанского районного суда г. Москвы от 10.05.2011 по делу N 2-3518/2011 (новое рассмотрение); Определение Московского городского суда от 28.02.2012 по делу N 33-6196.

Проблема с размещением персональных данных шире, чем указано в примере выше. Дело в том, что в соответствии с Законом о ПД сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. Логично было бы толковать данное положение Закона таким образом, что субъект персональных данных вправе направить в адрес как оператора, который первоначально опубликовал данные этого субъекта, так и операторов, которые скопировали и разместили на своих сайтах соответствующую информацию, требование об удалении этих данных с конкретных сайтов, контролируемых конкретными лицами, а не исключении распространения данных в принципе, поскольку последнее слабо реализуемо на практике. Если речь идет о решении суда исключить персональные данные из общедоступных источников, опять же хотелось бы указания, на каких операторов персональных данных и в отношении каких ресурсов соответствующее предписание должно распространяться (т. е. конкретное требование в отношении конкретного лица). Однако, к сожалению, вышеуказанная судебная практика Московского городского суда и Мещанского районного суда г. Москвы свидетельствует о том, что пока суды придерживаются другого толкования данной нормы Закона.

* * *

В настоящей статье затронуты лишь некоторые, хотя и острые, вопросы и проблемы, существующие в сфере обработки персональных данных с использованием Интернета. Безусловно, количество этих вопросов будет только расти с развитием Интернета и информационных технологий. Остается надеяться, что как законодатель, так и правоприменительные органы будут адекватно реагировать на вызовы времени и не будут загонять легальный и перспективный интернет-бизнес, существующий в России, в рамки, делающие в принципе невозможным законное ведение его деятельности на территории РФ.

——————————————————————