К вопросу о режиме регулирования общедоступных данных в российском законодательстве

THE PROBLEM OF PUBLICLY AVAILABLE DATA REGULATION IN THE RUSSIAN LEGISLATION

Alena Romanova

Graduate student of Moscow State University named after Mikhail V. Lomonosov, Russia, Moscow

Аннотация. В отсутствии достаточности и определенности правового регулирования общедоступных данных возникают проблемы обработки и коммерциализации сервисов и услуг, построенных на обработке таких данных. В данной статье точечно раскрыты проблемы правового регулирования общедоступных данных в действующем законодательстве.

Abstract. Due to the absence of sufficient and certain legal regulation of publicly available data there are problems with the processing and commercialization of products and services based on the processing of such data. This article highlights the problems of legal regulation of publicly available data in the current legislation.

Ключевые слова: персональные данные; общедоступные данные.

Keywords: personal data; publicly available data.

В российском законодательстве в сфере персональных данных регулированию общедоступных данных посвящены всего лишь несколько норм, которые условно можно аккумулировать в два правила: во-первых, понятие общедоступных персональных данных раскрывается через понятие «общедоступные источники персональных данных»; во-вторых, общедоступные данные могут обрабатываться без согласия субъекта с определенными условиями.

В соответствии с ч. 1 ст. 8.1. Федерального закона «О персональных данных» от 27.07.2006 г. № 152-ФЗ (далее − Закон № 152-ФЗ), в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональным данных [8].

Законодатель, признавая общедоступные данные в качестве комплексной категории, которая в том числе включает персональные данные, предусматривает определенные гарантии для субъектов персональных данных. Согласно ч.2 ст. 8 Закона № 152-ФЗ, сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов [8].

Случаи обработки персональных данных без согласия субъекта предусмотрены п.п. 2-11 ч. 1 ст. 6 Закона № 152-ФЗ. Одним из таких случаев является обработка персональных данных, сделанных общедоступными неограниченному кругу лиц самим субъектом или по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных) (п. 10 ч. 1 ст. 6) [8].

Акцент в данном правиле сделан на волевом аспекте субъекта персональных данных, то есть общедоступные данные признаются таковыми при условии, что они стали общедоступными в результате его самостоятельных действий или действий иных лиц по его просьбе [6]. То есть действие субъекта персональных данных должно быть направлено на придание информации о себе свойства общедоступности [11]. Данная норма предполагает только отсутствие обязанности у оператора получить согласие субъекта персональных данных на их обработку и направлять уведомление уполномоченному органу по защите прав субъектов персональных данных о начале обработки (п. 10 ч. 1 ст. 6 и п. 4 ч. 4 ст. 22) [8]. Следовательно, лицо, обрабатывающее общедоступные данные, несет все остальные обязанности оператора по надлежащей обработке и защите персональных данных, предусмотренные законодательством о персональных данных. Следует отметить, что условная дефиниция общедоступных данных, закрепленная в п. 10 ч. 1 ст. 6 Закона № 152-ФЗ, не содержит конкретных критериев общедоступности персональных данных. В частности, в самом законе не содержится понятия неограниченного круга лиц. Некоторые нормативные правовые акты, близкие по предмету регулирования Закону № 152-ФЗ, закрепляют в той или иной форме смысловое содержание понятия неограниченного круга лиц [9, 10].

В соответствии с Федеральным законом от 13.03.2006 № 38-ФЗ «О рекламе» (далее – Закон № 38-ФЗ), рекламой признается «информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц…». В связи с тем, что в данном законе также не находится понятия неопределенного круга лиц, регулятор разъясняет, что под «неопределенным кругом лиц следует понимать тех лиц, которые не могут быть заранее определены в качестве получателя рекламной информации …» [4].

Если применить данное разъяснение к информации о себе, которую пользователь размещает в социальных сетях, можно ли говорить о том, что он предоставляет доступ неопределенному кругу лиц к своим данным, тем самым придает им статус общедоступных данных и которые впоследствии могут обрабатываться свободно третьими лицами по смыслу Закона № 152-ФЗ?

Думается, что применительно к социальным сетям критерий общедоступности размещенных данных сложно выявить ввиду неопределенности обхвата аудитории пользователя. Вместе с тем в литературе встречается позиция, согласно которой если пользователь размещает свои персональные данные в социальных сетях, не устанавливая настройки приватности профиля (доступ к информации предоставляется ограниченному кругу лиц), то такие данные могут обрабатываться без согласия субъекта персональных данных в соответствии с п. 10 ч. 1 ст. 6 Закона № 152-ФЗ. В случае, если пользователь размещает информацию о себе в закрытом профиле в социальной сети, то оператор несет обязанность не раскрывать персональные данные третьим лицам и не распространять их без согласия субъекта (ст. 7) [7].

Вторая проблема в регулировании общедоступных данных связана с правовой неопределенностью статуса общедоступных данных, размещенных в социальных сетях.

Закон № 152-ФЗ не определяет случаев, в которых гражданин при размещении своих персональных данных в социальных сетях автоматически дает согласие на их использование третьими лицами.

При этом, согласно текущей судебной практике, размещение персональных данных в социальных сетях не делает их автоматически общедоступными, следовательно, требуется согласие субъекта на обработку общедоступных персональных данных [5].

Согласно выводам Роскомнадзора вторичная обработка персональных данных должна коррелироваться с первоначальными целями сбора [1].

Такой вывод обусловлен двумя правилами о соответствии обработки первоначальным целям сбора и размещения персональных данных в форме открытых данных.

В соответствии в ч. 2 ст. 5 Закона № 152-ФЗ не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Далее уточняется, что обработке подлежат только те персональные данные, которые отвечают целям их обработки (ч. 4 ст. 5) [8].

Согласно ч. 2 ст. 7 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон №149-ФЗ) законодатель разрешает использовать общедоступную информацию любым лицам по их усмотрению при соблюдении установленных законами ограничений в отношении распространения такой информации [10].

При этом регулятор уточняет, что в части распространения общедоступной информации, размещенной в формате открытых данных по смыслу правовой конструкции ст. 7 Закона № 149-ФЗ предполагает совместимость понятий «размещение» и «распространение» общедоступной информации, публикуемой в формате открытых данных, в том числе в контексте ограничений ее распространения [1].

В соответствии с ч. 6 ст. 7 Закона №149-ФЗ в случае, если размещение информации в форме открытых данных осуществляется с нарушением требований Закона № 152-ФЗ, размещение информации в форме открытых данных должно быть приостановлено или прекращено по требованию уполномоченного органа по защите прав субъектов персональных данных. Применительно к положениям Закона № 152-ФЗ нарушением в данном случае может быть распространение открытых данных, содержащих персональные данные, в случаях, предусматривающих получение согласия субъекта и соответствие целям их первоначального сбора [1].

Таким образом, дальнейшее распространение персональных данных граждан, содержащихся на основании законов без согласия субъектов персональных данных в общедоступных реестрах, в целях, отличных от заявленных на этапе их сбора, будет нарушать требования законодательства в области персональных данных [1].

Регулятор подытоживает, что факт размещения персональных данных в открытых реестрах в форме открытых данных не выводит их из-под режима обработки, предусмотренного Законом № 152-ФЗ. Следовательно, к обработке таких персональных данных продолжают применяться общие принципы, установленные ст. 5 Закона № 152-ФЗ [1].

Российская правоприменительная практика

Российская правоприменительная практика иллюстрирует поэтапное усложнение подхода к допустимости обработки общедоступных данных в виде определения таких критериев, как цель обработки, наличие согласия и критерий верификации субъекта.

В 2016 году управление Роскомнадзора по Центральному федеральному округу указало в предписании Национальному бюро кредитных историй на незаконность сбора персональных данных из социальных сетей. Регулятор уточнил, что данные, размещенные в социальных сетях, могут обрабатываться либо с той целью, с которой они были размещены в социальной сети, либо на основании отдельного согласия субъекта [3].

В 2017 году суды подтвердили указанную позицию надзорного органа. Отдельно суды обратили внимание на следующие моменты: для признания данных, размещенных в социальных сетях, как общедоступных, требуется подтверждение самостоятельного размещения субъектом и письменного согласия субъекта на размещение этих данных в общедоступном источнике персональных данных; социальные сети не являются источником общедоступных данных [2].

Без наличия письменного согласия субъекта персональных данных не представляется возможным утверждать, что они предоставлены именно указанным субъектом.

Таким образом, суды указали на новый критерий допустимости обработки данных, содержащихся в социальных сетях − критерий верификации.

Кроме этого, суды уточнили, что персональные данные, сделанные общедоступными субъектом персональных данных, могут содержаться только в общедоступных источниках персональных данных. При этом социальные сети не являются источником общедоступных персональных данных по смыслу статьи 8 № 152 – ФЗ [8].