Регулирование персональных данных в правовой системе Европейского Союза

Интернет, в силу своей уникальной технологической архитектуры, выступает критически важным элементом информационно-коммуникационных технологий, приобретая существенное (если не ключевое) значение в современной жизни человека, общества, государства. Интернет радикально и в трансграничном масштабе изменил взаимодействие лиц, расширив их коммуникативные возможности и сферы их «цифрового присутствия», что объективировало диверсификацию регламентации целого ряда отношений и, в частности, привело к тому, что данные личного характера (персональные данные/личная информация) стали самостоятельным объектом правового регулирования.

В нынешних условиях, когда выбор стратегического вектора социально-экономического развития современных государств ориентирован на «цифровую экономику», данные личного характера приобретают особую экономическую значимость и коммерческую ценность. Отнюдь не удивительно в этой связи появление таких фразеологизмов как «новая нефть» (the new oil), «новая валюта цифрового мира» (new currency of the digital world), «валюта будущего», устойчиво сопрягающихся сданными личного характера, в равной степени как и оценка «конфиденциальности» (Privacy) в качестве «высокостоимостной валюты» (high-value currency). Правовое регулирование сфер, связанных с данными личного характера, в правопорядках государств (его адекватность, эффективность, системность, динамика, тенденции развития) отличается плюрализмом, что во многом обусловлено разностью выбора способов и методов решения умножающегося числа вопросов, связанных с потенциальным «конфликтом» интенсификации использования таких данных и обеспечением их защиты, конфиденциальности, безопасности и т.д. Разумеется, что в условиях развития «цифровой экономики» этот «конфликт» будет нарастать и, как следствие, содержание и объем ряда понятий в правопорядках государств («персональные данные», «личная информация», «конфиденциальность», «неприкосновенность частной жизни» и др.), равно как и средства правовой защиты могут претерпеть радикальные изменения. Немаловажным фактором в этом контексте является и то, что трансграничная природа Интернета объективно требует международно-правового взаимодействия государств, прежде всего, при решении вопросов порядка трансграничного обмена данными и доступа к ним. Обращение к подходам правового регулирования персональных данных в Европейском Союзе, безусловно, приобретает в настоящее время важное практическое значение для многих государств, в т.ч. и для Российской Федерации, и, как представляется, его целесообразно оценивать через призму отмеченных факторов.

Право Европейского Союза: предварительные замечания

Право Европейского Союза (далее – «Евросоюз» или «ЕС») обоснованно рассматривается как самостоятельная система, функционирование которой обеспечивается целостностью ее нормативного и институционального механизмов.

Нормативный механизм правовой системы ЕС охватывает «первичное право», «вторичное право», а в качестве автономной категории источников права рассматривается прецедентное право Европейского суда (European Court of Justice, ECJ), в силу его соответствующих содержательных характеристик (далее – «Суд ЕС»).

В праве ЕС основным понятием является «персональные данные» (Personal Data), которое закреплено и терминологически используется во всех правовых актах ЕС и стран-членов ЕС. Персональные данные квалифицируются применительно к физическим лицам, охватывая все циклы: сбор, обработка, накопление, хранение, доступ, обмен, передача и т.д., включая защиту конфиденциальности данных физических лиц (далее для целей настоящей статьи применяется условно-собирательный термин – «Использование и защита персональных данных»).

Источники «первичного права» ЕС, обладающие высшей юридической силой и систематизирующей ролью, обусловливают режим регулирования персональных данных в системе основных прав и свобод человека. Из этого исходят такие нормы «первичного права» как ст.39 «Договора о Европейском Союзе» (далее – «Маастрихтский договор ЕС»), ст. 16 «Договора о функционировании ЕС» (далее – «Римский договор TFEU»), ст. 8 «Хартии Европейского Союза об основных правах» (далее – «Хартия ЕС об основных правах»), действующие в новейшей редакции 2007 года.

Регламент GDPR предметно ориентирован на частно-правовую сферу регулирования персональных данных. Из сферы действия GDPR исключены использование и защита персональных данных для целей предупреждения, расследования или судебного рассмотрения уголовных преступлений, либо приведения в исполнение уголовных наказаний, включая обеспечение защиты и предотвращения угроз общественной безопасности, свободное перемещение таких данных; также из сферы его действия исключены вопросы взаимодействия правоохранительных и судебных органов по уголовным делам и судопроизводству (преамбула (19), п. (d) ст. 2 GDPR).

Источники «вторичного права» ЕС охватывают нормативные акты руководящих органов ЕС (Парламента ЕС и/или Совета), принимаемые посредством обычной или особой законодательных процедур в форме директивы, регламента, решения, рекомендации и заключения. В системе источников «вторичного права» ЕС регламент, директива, решение – это юридически обязательные законодательные акты, принимаемые посредством законодательной процедуры, однако они различаются своей юридической силой. В системе «вторичного права» ЕС нормативный акт, принятый Парламентом ЕС и Советом в форме регламента, находится «на вершине» иерархии источников. Регламент обладает общеобязательным действием, непосредственно применяется во всех странах-членах ЕС, всеми органами ЕС, а также лицами (физическими/юридическими), к которым он относится. Регламент de jure не предполагает принятие имплементирующего национального акта, исключает действие национальных правовых актов в случаях «конфликта» между национальным правом и регламентом («приоритетный эффект применения»). Кроме того, регламент непосредственно применяется Судом EC, решения которого носят прецедентный характер, а также национальными органами правосудия.  

Источником «вторичного права» ЕС является директива Парламента ЕС и Совета, которая наряду с регламентом относится к юридически обязательным законодательным актам. Юридическая сила директивы отличается от регламента: во-первых, она является актом «опосредованного» (не прямого) действия и предполагает «двухэтапную» реализацию, означающую ее транспонирование в правопорядок стран-членов посредством принятия соответствующего имплементирующего национального акта; во-вторых, ее адресатами выступают исключительно страны-члены (а не лица: физические и юридические); в-третьих, страны-члены самостоятельно определяют органы, способы и формы инкорпорации директивы в национальное право, с соблюдением ее целей, задач, а также установленных в ней сроков принятия имплементирующих национальных актов.

Институциональный механизм правовой системы ЕС обусловлен тем, что ЕС, с одной стороны, является уникальной международной межправительственной многосторонней региональной организацией интеграционного типа, которая обладает международной правосубъектностью, в т.ч. означающей право заключать международные договоры с международными организациями и государствами;  с другой стороны, в ЕС используется классическая «система разделения властей», присущая государствам. В институциональном механизме правовой системы ЕС «общесоюзные» органы (Парламент ЕС, Совет, Европейская Комиссия, Суд EC), в зависимости от предметной и функциональной компетенции, реализуют законодательные, исполнительные, распорядительные, финансовые и контрольные направления деятельности. Законодательная компетенция ЕС реализуется Парламентом ЕС и Советом посредством принятия правовых актов. Европейская Комиссия (далее –«Еврокомиссия») традиционно рассматривается в качестве главного исполнительного органа ЕС, вместе с тем, она участвует и в законодательном процессе, поскольку обладает правом законодательной инициативы.

В законодательной сфере деятельность Парламента ЕС, Совета и Еврокомиссии отражает существующий достаточно гибкий и подвижный механизм «разделения и взаимодействия» органов ЕС, основанный на принципе «скоординированной субординации» (Subsidiarity Principe). Так, Еврокомиссия вправе вносить на рассмотрение Парламента ЕС и Совета предложения по принятию конкретных нормативно-правовых актов (в форме директив, регламентов, решений), правомочна принимать нормативные акты общего действия в порядке «делегированного законодательства» и т.д.

Высказанные предварительные замечания важны и для дальнейшего изложения, и для понимания общего контекста регулирования персональных данных в праве ЕС в его объективной обусловленности спецификой функционирования нормативного и институционального механизмов, а также присущей Евросоюзу международно-правовой правосубъектности.

Значение Директивы 95/46/ЕС

Принятая в 1995 году Парламентом ЕС и Советом Директива «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (далее – «Директива 95/46/EC»), придала существенный импульс системному регулированию защиты персональных данных в ЕС и странах-членах ЕС. Директива 95/46/EC de facto и de jure закрепила формально-правовые рамки формирования общего правового режима персональных данных в ЕС и странах-членах ЕС. Такой режим зиждился на регулировании персональных данных физических лиц и прав на их защиту в системе основных прав и свобод человека, предусмотренной актами «первичного права» ЕС, и обеспечивался функционированием институционального механизма ЕС. Несомненно, Директива 95/46/ЕС сыграла систематизирующую и гармонизирующую роль в формировании общего «стандарта использования и защиты данных» в ЕС и странах-членах ЕС, даже несмотря на то, что в силу «опосредованного» применения, она не преодолела определённой разности подходов ее имплементации (транспонирования) в национальные правопорядки стран-членов ЕС.

Директива 95/46/EC очевидным образом придала дополнительный импульс дальнейшему развитию основ многостороннего международно-правового сотрудничества, которые были закреплены Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (далее –«Конвенция ETS 108»).

Поправки, внесённые в 1999 году соответствующим Протоколом, позволили Евросоюзу участвовать в Конвенции ETS 10818.

Немаловажно, что Директива 95/46/EC обусловила развитие формата билатерального международно-правового сотрудничества. Свидетельством этого служит факт заключения между США и Евросоюзом «Соглашения о безопасной гавани» (U.S.-E.U.Safe Harbor Agreement). Это соглашение (далее – «Соглашение Safe Harbor») относится к 2000 году, т.е. после вступления в силу Директивы 95/46/EC. Соглашение Safe Harbor, основываясь на шести базовых принципах, предметно регулировало порядок осуществления трансграничной передачи персональных данных в коммерческих целях и распространялось на широкий круг лиц собирающих, обрабатывающих, хранящих и т.д. персональные данные.

Произошедшие за более чем двадцатилетний период действия Директивы 95/46/EC кардинальные технологические и социальные изменения, в свою очередь, обусловили необходимость изменения правового регулирования в ЕС и странах-членах ЕС сферы персональных данных, и это связывалось с необходимостью решения «двуединой задачи».

Во-первых, следовало устранить сложившиеся различия законодательного регулирования и правоприменительной практики использования и защиты персональных данных в национальных правопорядках стран-членов ЕС, преимущественно связанные с разностью имплементации Директивы 95/46/ЕС. Во-вторых, следовало закрепить общий, единообразный и транспарентный правовой режим персональных данных на уровне Евросоюза, а также  совершенствовать институциональный механизм, обеспечивающий функционирование такого режима. Решить обозначенную «двуединую задачу» был призван законодательный акт – Регламент (ЕС) 2016/679 «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/ EC с (Общие положения о защите данных)», принятый 14 апреля 2016 года (далее – «Регламент GDPR» или«GDPR»).

Регламент GDPR

Регламент GDPR, согласно процедуре, вступил в силу на двадцатый день после его опубликования в Официальном журнале ЕС (т.е. в мае 2016 года), а с 25 мая 2018 года непосредственно и в полном объеме стал применяться в ЕС и в странах-членах ЕС. Регламент GDPR –достаточно объёмный документ (173 пункта преамбулы и 99 статей).

Содержательный анализ GDPR подробно прокомментирован российскими и зарубежными авторами, а так же в исследованиях ряда авторитетных компаний (Baker&Mckenzie White&Case, Allen&Overy22 и др.). Соответственно, в формате настоящей статьи представляется целесообразным обратиться к вопросам общеправового значения GDPR как для системы права ЕС, так и стран, не входящих в ЕС, а также для международно-правового сотрудничества государств.

Общеправовой контекст Регламента GDPR

Принятие нормативного акта в форме регламента в общеправовом плане «поднимает на высокий уровень» правовое регулирование использования и защиты персональных данных в ЕС, странах-членах ЕС, унифицируя его закреплением единого правового режима. «Единство» правового режима персональных данных основано и обеспечивается системой базовых принципов (п. 1 ст. 5 GDRP); общих операбельных понятий (ст. 4GDRP); установлением требования о приведении в соответствие с его принципами и нормами всех нормативно-правовых актов ЕС, применимых к обработке персональных данных (п. 3 ст. 2 GDPR); закреплением комплекса прав субъекта персональных данных, при котором получение согласия субъекта данных выступает основополагающим (глава III GDPR), и т.д.

Так, в ряду общих операбельных понятий GDPR рассматривает понятия «персональные данные» (personal data) и «субъект данных» как ключевые. Ранее отмечалось, что понятие «персональные данные», согласно GDPR, применимо исключительно к физическому лицу, т.е. «субъекту данных», и независимо от национальной принадлежности или места жительства субъекта. GDPR содержательно раскрывает понятие «персональные данные», которое означает любую информацию, относящуюся к идентифицированному (идентифицируемому) физическому лицу, идентификация которого прямо или косвенно основывается на имени, идентификационном номере, сведениях о местоположении, идентификаторе в Интернете (онлайн-идентификатор), на одном или нескольких показателях, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. (1) ст. 4 GDPR). Примечательно, что в GDPR прямо предусмотрена его «неприменимость» к обработке персональных данных юридических лиц и, в частности, к предприятиям, созданным как юридические лица, включая их наименование, организационно-правовую форму, а также реквизиты юридического лица (преамбула(14) GDPR). Отметим попутно, что российский законодатель также закрепляет понятие «персональные данные» и исходит из их применимости к физическому лицу; содержание этого понятия означает любую информацию, относящуюся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Установление общих и равнозначных мер ответственности за нарушения обработки персональных данных физических лиц в ЕС также обеспечивает «единство» правового режима персональных данных (главаVIII GDPR). В силу непосредственной применимости GDPR, закрепление «общих мер ответственности» способствует единообразию формирования правоприменительной практики на уровне ЕС, в странах-членах ЕС, а также на практику Суда EC.

Закрепление общих и равнозначных мер ответственности имеет важное значение, поскольку разность имплементации Директивы 95/46/ЕС в странах-членах ЕС, даже при определении размеров штрафных санкций, привела к весьма противоречивой практике.

«Единство» правового режима персональных данных обеспечивается функционированием общего и специального институционального механизма, охватывающего и уровень ЕС, и национальный уровень. GDPR в контексте правового режима персональных данных определяет параметры деятельности органов ЕС общей компетенции, в частности, закреплены полномочия Еврокомиссии по принятию актов в порядке делегированного законодательства по применению GDPR; обозначена компетенция Парламента ЕС и Совета: эти органы рассматривают, во-первых, отчёт,  предоставляемый Еврокомиссией об оценке и анализе применения GDPR (отчёт передаётся начиная с 25 мая 2020 года и каждые последующие четыре года), во-вторых, ежегодные отчёты Европейского совета по защите данных (EDPB). Применение GDPR непосредственно связано и с деятельностью Суда EC как общего органа институциональной  структуры ЕС, формирующего правоприменительную (прецедентную) практику.

Согласно GDPR, к органам специальной компетенции институциональной структуры ЕС отнесены Европейский совет по защите данных (European Data Protection Board, EDPB) – новый директивный и надзорный орган с правами юридического лица; Европейский инспектор по защите данных (European Data Protection Supervisor, EDPS) и его персонал. Кроме того, GDPR предусматривает функционирование национальных институциональных надзорных органов/органа(Supervisory authority), учреждение одного или нескольких полномочных государственных органов, инспектора по защите персональных данных (Data Protection Supervisor). В настоящее время во всех странах-членах ЕС созданы надзорные органы/орган, которые в т.ч. координированно сотрудничают между собой, с Еврокомиссией, а также Европейским Советом по защите данных (EDPB).

Регламент GDPR и контекст публично-правового регулирования персональных данных в Евросоюзе

Регламент GDPR предметно ориентирован на частно-правовую сферу регулирования персональных данных. Из сферы действия GDPR исключены использование и защита персональных данных для целей предупреждения, расследования или судебного рассмотрения уголовных преступлений, либо приведения в исполнение уголовных наказаний, включая обеспечение защиты и предотвращения угроз общественной безопасности, свободное перемещение таких данных; также из сферы его действия исключены вопросы взаимодействия правоохранительных и судебных органов по уголовным делами судопроизводству (преамбула (19), п. (d) ст. 2 GDPR). Безусловно, правовое регулирование использования и защиты персональных данных не может быть обеспечено без деятельности в т.ч. правоохранительных и судебных органов. В этой связи следует отметить временное совпадение принятия Регламента GDPR и Директивы (ЕС) 2016/680 «О защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных наказаний и о свободном перемещении таких данных и отмене рамочного решения Совета ЕС 2008/977/ JHA» (далее – «Директива 2016/680»).

Директива 2016/680 исходит из общих правил защиты физических лиц в отношении обработки персональных данных в ЕС, и ее положения коррелируют с нормами «первичного права» ЕС, Регламентом GDPR и иными актами права ЕС. Это свидетельствует о «комплексности подхода» правового регулирования персональных данных в ЕС в публично-правовом контексте. В этой связи важно обратить внимание, что 17 апреля 2018 года Еврокомиссия внесла на рассмотрение Парламента ЕС и Совета два предложения, а именно: «Предложение относительно принятия Директивы Парламента ЕС и Совета, утверждающей гармонизированные правила о назначении законных представителей в целях сбора доказательств в уголовном процессе» (далее – «Директива о представителях в ЕС») и «Предложение относительно принятия Регламента Парламента ЕС и Совета о Европейских предписаниях о предоставлении данных (European Production Orders) и хранении данных (Preservation Orders) в отношении электронных доказательств по уголовным делам»(далее – «Регламент о предписаниях ЕС»). Принятие этих предложений, конечно, будет иметь «общеправовой эффект» и в предметном значении для уголовного права и уголовного процесса ЕС, и в оптимизации взаимодействия правоохранительных и судебных органов ЕС. Директива о представителях в ЕС, применительно к режиму защиты персональных данных, связана с уголовно-процессуальным аспектом, а Регламент о предписаниях ЕС – с уголовным (материально-правовым). Оба названных документа призваны гармонизировать на уровне ЕС порядок доступа к персональным данным, специфицированный к контексту взаимодействия правоохранительных и судебных органов по уголовным делам в уголовном процессе. Ввиду ограниченности формата статьи, отметим лишь два момента.

Первый. Директива о представителях в ЕС коррелирует с соответствующими нормативными положениями GDPR и иными актами ЕС, предусматривающими назначение законного представителя. В общем плане принятие этой Директивы направлено на регулирование вопросов юрисдикции; применимого права в ситуациях, осложнённых иностранным элементом («cross-border situations»); обеспечение согласованного подхода к порядку вручения предписания поставщику услуг (законному представителю поставщика) и т.д. Второй. Регламент о предписаниях ЕС, так же, как и GDPR35, устанавливает категоризацию данных, закрепляя, разграничивая и содержательно определяя следующие категории данных: данные абонента (subscriber data); данные доступа (access data); транзакционные данные (transactional data); а также данные контента (content data). Поскольку все названные категории данных содержат «персональные данные» (в их общепонятийном значении), соответственно, Регламент о предписаниях ЕС исходит из того, что режим всех этих категорий данных подпадает под действие общих гарантий в рамках ЕС (EU data protection acquis) по защите данных. Существенное значение имеет то, что Регламент о предписаниях ЕС не только определяет порядок трансграничного сбора электронных доказательств по уголовным делам и трансграничного доступа к данным, но и предусматривает соответствующие проформы предписаний, и исходит из механизма взаимного признания предписаний.

Влияние Регламента GDPR на регулирование персональных данных в странах, не входящих в ЕС (на примере США)

Регламент GDPR так или иначе окажет влияние на развитие регулирования персональных данных в правопорядках многих государств, не входящих в ЕС. Это объясняется как параметрами функционирования собственно самой системы права ЕС, так и разграничением территориального и юрисдикционного действия GDPR, продиктованным необходимостью обеспечения защиты персональных данных физических лиц в ЕС и странах-членах ЕС. Влияние GDPR очевидным образом прослеживается в динамике развития регулирования рассматриваемой сферы отношений в праве США, относящейся к системе «общего права» (Common Law). Кратко, в порядке тезисов отметим следующее.

В праве США понятие «личная информация» (Personal Information) является основным, это понятие закреплено и терминологически используется в нормативно-правовых актах федерального уровня и уровня штатов. При этом подчеркнём, что содержание и объем этого понятия в настоящее время однозначно не относится исключительно к физическим лицам (к примеру, как в праве ЕС) и может применяться также к данным различных организаций (являющихся юридическими лицами и не являющихся таковыми). В силу разграничения сфер компетенции Федерации и штатов, использование и защита личной информации в правопорядке США регулируется системой актов федерального уровня и уровня штатов. Специфика системы действующих актов заключается в их «отраслевом» характере, в том, что они принимались в разное время (и это определяет разность их содержательного объёма, применяемых методов регулирования и т.д.), а также в том, что они исходят из обеспечения конституционных мер защиты прав частных лиц. При этом, в праве США не принят единый, всеобъемлющий акт, регулирующий сферу личной информации. С этой точки зрения обратим внимание на два законодательных акта, принятых в США после вступления в силу GDPR и в связи с его действием. Во-первых, после вступления в силу GDPR, в феврале 2018 года Конгресс США внёс поправки в Титул 18 Кодекса США, «пополнив» тем самым законодательный массив права США федеральным кодификационным актом. Речь идёт о «Законе о совершенствовании правоприменительной деятельности по доступу к данным, хранящимся за рубежом, а также в иных целях». Этот закон (далее – «CLOUD Act») закрепляет механизмы взаимодействия на уровне правительств в отношении трансграничного доступа, обязательные условия для такого доступа, порядок раскрытия (disclosure) данных; регулирует порядок предоставления доступа, хранения, раскрытия и т.д. данных поставщиками коммуникационных услуг, а также предусматривает меры процедурно-процессуального порядка и т.д..

CLOUD Act, в отличие от GDPR, не оперирует, в частности, понятием «субъект данных», а использует понятия «потребитель» (customer), «абонент» (subscriber), «резидент Соединённых Штатов» (United States person). Понятие «резидент США» означает гражданина или жителя США, допущенного на законном основании к постоянному проживанию; некорпоративную ассоциацию (unincorporated association) (т.е. объединение без прав юридического лица), значительное число членов которой являются гражданами США или допущены на законном основании к постоянному проживанию; а также корпорацию (corporation), инкорпорированную (т.е. зарегистрированную) в США.

Во-вторых, практически через месяц после начала применения GDPR, 28 июня 2018 года в штате Калифорния был одобрен «Закон о конфиденциальности потребителей», который начнёт действовать с 1 января 2020 года (далее – «CCPA Калифорния»). Помимо того, что предметная сфера и содержание CCPA Калифорния явно связаны с GDPR, в нем закреплён целый ряд схожих нормативных положений: предусмотрен комплекс субъективных прав (право на забвение, право на переносимость данных, право на доступ к данным и др.), предусмотрена обязанность «целевого» сбора информации, установлена ответственность за утечку данных и возмещение убытков и т.д..

Регулирование в CCPA Калифорния, по сравнению с GDPR, отличается детализацией категориально-понятийного аппарата,субъектного состава, категоризацией прав и обязанностей вовлеченных лиц и т.д. Так, закрепляя и содержательно раскрывая понятие «личная информация», CCPA Калифорния предусматривает, что правом защиты личной информации обладает «потребитель» (consumer), т.е. физическое лицо, являющееся резидентом штата Калифорния. «Личная информация, связанная с потребителем» (personal informationrelating to consumer), означает информацию, которая идентифицирует, относится, описывает, может быть связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или семьей (household). Личная информация охватывает (но не ограничивается):

• идентификаторы (настоящее имя, псевдоним, почтовый адрес, уникальный персональный идентификатор, сетевой идентификатор, адрес интернет-протокола, адрес электронной почты, имя учетной записи, номер социального страхования, номер водительского удостоверения, номер паспорта или другие аналогичные идентификаторы);

• коммерческую информацию, включая записи о личной собственности, товарах/услугах, приобретенных, полученных или предполагаемых к приобретению;

• биометрические данные;

• информацию о действиях в Интернете или иных электронных сетях, включая в т.ч. историю просмотров, поиска, а также информацию о взаимодействии потребителя с веб-сайтами, приложениями или рекламой в Интернете; данные о геолокации;

• информацию о занятости;

• любую информацию, связанную с созданием профиля потребителя, отражающего предпочтения, характеристики, психологические тенденции, предрасположенности, поведение, отношение, интеллект, способности и склонности потребителя и т.д.

Примечательно, что «личная информация», согласно CCPA Калифорния, не включает «общедоступную информацию», содержание которой также раскрывается в этом акте. Категориальный аппарат CCPA Калифорния использует также понятие «лицо» (person), понимаемое в «широком» содержательном значении: физическое лицо, единоличное предприятие, фирма, партнёрство, совместное предприятие,объединение, коммерческий паевой траст, компания, корпорация, общество с ограниченной ответственностью, ассоциация, коллегиальный орган и иные организации или группы лиц, осуществляющие совместную деятельность. Соответственно, субъективные права, согласно CCPA Калифорния, принадлежат потребителю. Именно потребитель вправе требовать раскрытия категорий (конкретных частей) личной информации, которую компания собирает о потребителе, категории источников, из которых эта информация собирается, цели сбора и передачи личной информации, а так же категории третьих лиц, которым она передаётся.

Упоминание CCPA Калифорния, т.е. ещё не принятого акта, важно не только с точки зрения хронологии, его предметной сферы, явной содержательной связанности регулирования с GDPR и т.д., но и в силу того, что множество американских компаний, в т.ч. непосредственно поддерживающие и обеспечивающие функционирование критической инфраструктуры Интернета, являются юридическими лицами, созданными в соответствии с правом штата Калифорния, а именно: Корпорация по управлению доменными именами и IP-адресами (Internet Corporation for Assigned Names and Numbers, далее – «ICANN»), Корпорация «Технические идентификаторы общего пользования» (Public Technical Identifiers, PTI), Институт информатики при Университете Южной Калифорнии (USC Information Sciences Institute, ISI) и др.

Нельзя не сказать о специфике правопорядка США, заключающейся в том, что саморегулирование и сорегулирование выступают (изначально выступали) важным инструментом регламентации использования собственно самого Интернета, а так же сфер, связанных с его применением, в т.ч. использованием и защитой личной информации. Соответственно, арсенал регулирования, наряду с нормативным правовым, охватывает и нормативный «неправовой инструментарий»: руководящие принципы, разработанные регулирующими органами и учреждениями, лучшие практики коммерческих, технологических и промышленных групп и т.д.. В этой связи следует обратить внимание на документы ICANN, принятые в связи с GDPR.

ICANN инициировала ряд запросов новому органу ЕС – Европейскому совету по защите данных (European Data Protection Board, EDPB) — по применению GDPR, итогом которых стали следующие документы ICANN. Во-первых, в соответствии с материалами и рекомендациями Европейского совета по защите данных (EDPB) в мае 2018 года правление ICANN приняло «Временные требования регистрационных данных общих доменов верхнего уровня». Названный документ предусматривает меры, позволяющие операторам реестров ICANN и данных общих доменов верхнего уровня (gTLD), а также регистраторам соблюдать требования, вытекающие из действующих договоров ICANN, а также политики в отношении регистрационных данных общих доменов верхнего уровня, включая WHOIS. Кроме того, документ регулирует порядок сбора регистрационных данных (в т.ч. владельца регистрации, административную и техническую контактную информацию и т.д.), ограничивая большинство персональных данных «многоуровневым», «целевым» доступом к ним. Во-вторых, в июне 2018 года ICANN представила к обсуждению «Проект рамок для Единой модели доступа к не публичным данным WHOIS».

Предлагаемая Единая модель доступа (Unified Access Model) направлена на создание правовой определённости для ICANN в контексте ее роли в качестве регулирующего и координирующего органа системы WHOIS, для соблюдения нормативных требований Регламента GDPR.

Регламент GDPR и дальнейшее развитие международно-правового сотрудничества

В июле 2016 года, т.е. практически через месяц после вступления в силу GDPR (май 2016), между США и ЕС было заключено соглашение, закрепившее новый формат трансграничного обмена персональными данными в коммерческих целях, именуемое «Щит конфиденциальности ЕС-США» (EU-U.S. Privacy Shield). Заключению названного соглашения (далее – «Соглашение Privacy Shield») предшествовало решение Европейского суда от 6 октября 2015 года, отменившее «формат» Соглашения Safe Harbor (принятого в связи с Директивой 95/46/EC, о чем говорилось ранее). Соглашение Privacy Shield с 1 августа 2016 года стало действующим правовым механизмом при трансграничной передаче данных в коммерческих целях, «соответствующим требованиям «стандарта GDPR».

В декабре 2016 года между США и ЕС было заключено «Соглашение о защите личной информации, связанной с предупреждением, расследованием, обнаружением и привлечением к ответственности за уголовные преступления». Соглашение, именуемое «Зонтичным Соглашением», предусматривает комплекс мер защиты личных данных при их обмене между правоохранительными органами и органами уголовного правосудия.

И последнее. Нельзя не отметить, что в настоящее время единственным действующим юридически обязательным международным договором в сфере персональных данных, защиты неприкосновенности частной жизни при использовании информационных и коммуникационных технологий и т.д. является упомянутая ранее Конвенция ETS 108. В силу значения Конвенции ETS 108, в Регламенте GDPR прямо предусмотрено, что при оценке уровня защиты персональных данных следует исходить из ее положений, в т.ч. касающихся регулирования трансграничных потоков данных (преамбула (105) GDPR), и иных действующих международно-правовых механизмов. Примечательно, что после начала применения GDPR, 10 октября 2018 года, Конвенция ETS 108 была «модернизирована» принятием Протокола о внесении соответствующих поправок, которые закрепили новые многосторонние международно-правовые рамки сотрудничества и подходы к защите физических лиц при обработке персональных данных. Содержание нормативных положений названного Протокола коррелирует с положениями GDPR, в частности, некоторые новеллы Протокола предусматривают закрепление строгих требований соблюдения принципов соразмерности, минимизации данных и правомерности обработки; расширение типов конфиденциальных данных (в т.ч. генетические и  биометрические данные, членство в профсоюзах и этническое происхождение); обязательства сообщать об утечках данных и обеспечивать прозрачность обработки данных; закрепление подотчётности операторов данных; определение режима трансграничных потоков данных и т.д.
***

Подходы Российской Федерации в сфере регулирования использования персональных данных (сбор, обработка, хранение, доступ к данным правоохранительных органов и т.д.) отличаются, а нередко диаметрально противоположны тем, что действуют и динамично развиваются в ЕС, странах-членах ЕС, США и других странах. Увы, в популистских целях часто делается ссылка на право ЕС и США, якобы закрепляющие подходы, аналогичные тем, которые в настоящее время существуют в российском праве и используются в российской правоприменительной практике. В этой связи изложенное поможет получить адекватную информацию относительно параметров регулирования персональных данных в праве Евросоюза.

  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •