Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий (В.Б. Наумов, В.В. Архипов, журнал "Российский юридический журнал", N 2, март-апрель 2016 г.)

Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий

В.Б. Наумов,

кандидат юридических наук,

доцент Санкт-Петербургского государственного университета,

ведущий научный сотрудник Института

прикладных экономических исследований Российской

академии народного хозяйства и государственной

службы при Президенте Российской Федерации,

партнер международной юридической

фирмы "Dentons" (Санкт-Петербург)

В.В. Архипов,

кандидат юридических наук,

доцент Санкт-Петербургского государственного университета,

член Консультативного совета Роскомнадзора,

советник международной юридической фирмы

"Dentons" (Санкт-Петербург)

Журнал "Российский юридический журнал", N 2, март-апрель 2016 г., с. 186-196.

В информационную эпоху одним из фактов, свидетельствующих об актуальности и значимости темы, является ее отражение в каком-либо артефакте цифровой культуры. В связи с этим с некоторой долей удивления можно обнаружить, что очевидная для специалистов в области правового регулирования информационных технологий и информационной безопасности, но вряд ли столь же понятная для рядовых пользователей сфера персональных данных уже легла в основу компьютерной игры. Некоммерческий игровой проект "Data Dealer", созданный небольшой независимой группой европейских разработчиков, дает игроку возможность почувствовать себя в роли оператора персональных данных, который стремится любой ценой заполучить персональные данные пользователей и "продать" их крупным корпорациям*(1). Разумеется, все это происходит в вымышленном игровом пространстве. С юридической точки зрения замысел игры подчеркивает ряд ключевых проблем оборота личных данных в сети Интернет, затрагивающих и правовой статус информации как объекта правоотношений, и правовую квалификацию оборота больших объемов информации (big data), и ряд других вопросов. В то же время в центре данной проблемной области находится само понятие персональных данных, которое вызывает немало споров, особенно сегодня - в условиях стремительного развития информационно-телекоммуникационных технологий.

Понятия персональных данных (personal data), информации, позволяющей установить личность (personally identifiable information), и подобные им возникли в различных правовых системах во второй половине XX в. в связи с появлением информационно-телекоммуникационных технологий, прежде всего сети Интернет. Проблема правового регулирования персональных данных на современном этапе становится одной из системных проблем правового регулирования отношений в этой сфере, наряду с проблемами идентификации пользователей*(2), определения юрисдикции и ответственности информационных посредников*(3). Сложность регулирования оборота персональных данных в Интернете обусловлена факторами, определяющими социальное, экономическое, культурное и правовое значение глобальной сети: объемом, скоростью, доступностью, простотой и глобальностью оборота информации*(4). Когда технологии позволяют с большой скоростью передавать данные по всему миру, стирается, по выражению Е.А. Войниканис, "естественный барьер" личного пространства физического лица. А благодаря именно такому "барьеру" до разработки эффективных инструментов автоматизированной обработки персональных данных эта проблема не возникала*(5). С экономической точки зрения неавтоматизированная обработка персональных данных была нецелесообразна. Ранее она осуществлялась преимущественно государственными органами (например, правоохранительными), а возможность легкого и доступного публичного распространения таких данных отсутствовала. Однако начиная с "эпохи web 2.0", когда многие интернет-сервисы стали интерактивными площадками для оборота пользовательского контента, ситуация изменилась.

Что представляют собой персональные данные? В мире было выработано несколько законодательных определений этого понятия. Наиболее ясным нам кажется определение, закрепленное в британском Акте о защите данных 1998 г. В соответствии с ним персональные данные - это "любая информация, которая относится к живому физическому лицу, которое может быть идентифицировано: (a) на основании такой информации и (b) на основании такой информации, а также другой информации, находящейся в распоряжении или способной оказаться в распоряжении оператора"*(6). для сравнения приведем дефиницию, сформулированную в п. "a" ст. 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.) (далее - Конвенция): "Персональные данные означают любую информацию об определенном или поддающемся определению физическом лице ("субъект данных")"*(7).

Очевидно, что понятию, закрепленному в британском законодательстве, свойствен принципиально более высокий уровень формальной определенности. В частности, в Акте о защите данных прямо указано, что физическое лицо должно быть живым, что необходима возможность идентификации такого физического лица, причем не абстрактная, а на основании конкретной информации. Перечисление таких признаков позволяет более точно относить тот или иной набор данных к числу персональных. В определении Конвенции отсутствует логическая связь между информацией и возможностью установить физическое лицо именно на основании данной информации. В этом контексте интересен и тонкий семантический нюанс: в русском переводе Конвенции использован предлог "об", а в английском - "relating to", т.е. "относящийся к". Несмотря на терминологию русского перевода Конвенции, нормам федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"*(8) (далее - Закон о персональных данных) близка логика ее английского текста. Однако, по сути, формулировка Закона еще шире, чем формулировка Конвенции.

Рассмотрим динамику закрепления понятия персональных данных в российском законодательстве.

Впервые дефиниция понятия персональных данных была зафиксирована в ст. 2 федерального закона от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации"*(9) (утратил силу), согласно которой "информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность" (курсив наш. - В.А. и В.Н.). Оставляя в стороне вопрос о том, что означает понятие "идентификация личности", можно отметить, что данному понятию присуща та же формальная определенность, что и понятию британского Акта о защите данных.

Затем в первой редакции Трудового кодекса Российской федерации появилась гл. 14 "Защита персональных данных работников", ст. 85 которой в действующей на тот момент редакции устанавливала, что "персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника". Само по себе данное понятие не обладало достаточной степенью формальной определенности, но системное толкование положения ст. 85 и норм федерального закона от 20 февраля 1995 г. N 24 давало возможность реконструировать определение, актуальное тогда для трудового права. Согласно ему персональные данные работника - это сведения (информация) о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность, необходимые работодателю в связи с трудовыми отношениями и касающиеся конкретного работника.

ФЗ "Об информации, информатизации и защите информации" утратил силу после принятия федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон об информации)*(10), действующего по сей день и ставшего фактически основным нормативным актом, регулирующим информационные отношения. В тот же год, 18 декабря, был принят федеральный закон N 231-ФЗ "О введении в действие части четвертой Гражданского кодекса Российской федерации"*(11), согласно п. 8 ст. 17 которого из ст. 128 ГК РФ исключалось понятие информации как объекта гражданских прав (следует иметь в виду, что персональные данные по Закону об информации необходимо рассматривать как частный случай информации в силу ее определения, закрепленного в п. 1 ст. 2 данного акта, по которому информация - сведения (сообщения, данные) независимо от формы их представления). Одновременно с Законом об информации был принят Закон о персональных данных, включающий в себя новое общее определение персональных данных. Статья же 85, толкующая понятие персональных данных работника, утратила силу в соответствии с федеральным законом от 7 мая 2013 г. N 99-ФЗ "О внесении изменений в отдельные законодательные акты Российской федерации в связи с принятием федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и федерального закона "О персональных данных"*(12).

Закону о персональных данных, в который с 2009 по 2014 г. изменения вносились 15 раз, "исторически" известно два определения понятия персональных данных.

Первое существовало до принятия федерального закона от 25 июля 2011 г. N 261-ФЗ "О внесении изменений в федеральный закон "О персональных данных"*(13). Персональные данные трактовались как любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. С точки зрения юридической техники очевидным недостатком данного определения можно считать употребление союза "в том числе", который означает, что наличия любого из перечисленных далее элементов юридических фактов в отдельности достаточно, чтобы применялась гипотеза правовой нормы, отраженной в определении. Оставалось неясным, однако, в какой "момент накопления" перечисленных сведений их набор образовывал бы персональные данные. Вместе с тем можно только приветствовать оговорку "на основании такой информации", поскольку она задавала по крайней мере один из векторов формальной определенности приведенного понятия. Очевидно, что, например, информация о профессии сама по себе, в отрыве от другой определяющей информации, не может составлять персональные данные*(14), а значит, она исключается из сферы правового регулирования Закона.

Однако после внесения в Закон о персональных данных упомянутых изменений определение персональных данных стало более общим. И сегодня согласно п. 1 ст. 3 Закона персональные данные - это "любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)". При этом есть веские основания усомниться в том, что рассматриваемое понятие получило формальную определенность.

Проблема заключается в том, что косвенно к определенному физическому лицу при таком подходе может относиться абсолютно любая информация. В самом абсурдном варианте допустимо к персональным данным причислить, например, уровень солнечной активности, поскольку она влияет на здоровье человека, т.е. на здоровье определенных или определяемых физических лиц! В ст. 3 Закона ведь не сказано, что определенными или определяемыми они должны быть именно на основании такой информации, да и информация может иметь весьма косвенное отношение к физическому лицу, так как действующая норма не делает здесь никаких оговорок. Что тогда говорить о тех случаях, которые сложно назвать абсурдными и которые непосредственно связаны с современным этапом развития информационного общества и информационно-телекоммуникационных технологий?

Самый простой пример - это IP-адрес, по которому идентифицируется не определенное физическое лицо*(15), а информационная система или устройство, например персональный компьютер или смартфон. В отсутствие дополнительных мер аутентификации, таких как аутентификация с помощью СМС, IP-адрес будет в лучшем случае ограничивать группу лиц, которые совершают действия в сети Интернет. Речь идет, например, о членах семьи, использующих один компьютер, или о пользователях, осуществляющих выход в сеть из публично доступного терминала. В то же время Европейский Суд в решении от 24 ноября 2011 г. по делу Scarlet Extended SA v. SABAM C-70/10 прямо указывает: "Общеизвестно, во-первых, что судебное предписание, требующее установления системы фильтрации, которая является предметом спора, будет предполагать системный анализ всего контента, а также сбор и идентификацию IP-адресов пользователей, с которых неправомерный контент направляется в сеть. Данные адреса представляют собой охраняемые персональные данные, поскольку они позволяют точно идентифицировать пользователей"*(16). Это утверждение может быть подвергнуто сомнению, но, по нашему опыту, современные европейские юристы предпочитают исходить из того, что IP-адрес безусловно представляет собой персональные данные.

Примечательно, что российские суды занимают относительно консервативную позицию по вопросу об объеме понятия персональных данных, содержащегося в Законе о персональных данных. Обобщая актуальную судебную практику, можно отметить, что российские суды признавали персональными следующие данные:

фамилии, имена и отчества, адреса проживания, размер задолженности по оплате коммунальных платежей (постановление Нижегородского областного суда от 12 мая 2015 г. N 4а-288/2015);

фамилия, имя и отчество, дата и место рождения, адреса мест регистрации и фактического проживания, номера рабочего и мобильного телефонов и номер паспорта, а также дата его выдачи и наименование органа, выдавшего паспорт, сведения о работе, сведения о супруге и сыне и датах их рождения, указанные в заявлении-анкете на получение потребительского кредита (апелляционное определение Тульского областного суда от 28 апреля 2015 г. по делу N 33-850);

копии материалов пенсионного дела (определение Приморского краевого суда от 19 января 2015 г. по делу N 33-470, 33-11759);

паспортные данные граждан*(17) (апелляционное определение Московского городского суда от 22 мая 2014 г. по делу N 33-14709);

данные, содержащиеся в техническом паспорте на дом (определение Приморского краевого суда от 28 апреля 2014 г. по делу N 33-3718);

сведения о пересечении государственной границы России (апелляционное определение Московского городского суда от 10 апреля 2014 г. по делу N 33-11688);

данные трудового договора (апелляционное определение Верховного суда Республики Саха (Якутия) от 23 октября 2013 г. по делу N 33-4172/13)*(18).

Нельзя обойти вниманием и одно яркое дело, в котором данные, напротив, не были отнесены к персональным. Как следует из апелляционного определения Санкт-Петербургского городского суда от 3 февраля 2015 г. N 33-1644/2015 по делу N 2-3097/2014, ИНН как таковой нельзя причислить к персональным данным. В рассматриваемой ситуации истец обратилась в Октябрьский районный суд Санкт-Петербурга с иском к МИФНС России по Санкт-Петербургу, УФНС России по Санкт-Петербургу, ФНС Российской федерации об обязании ответчиков уничтожить присвоенный ей ИНН, полагая действия ответчиков по присвоению ей ИНН незаконными. Суд же пришел к выводу, что присвоение ей ИНН было законным, а изложенные в апелляционной жалобе доводы истца о нарушении требований Закона о персональных данных при применении ее ИНН несостоятельны. В обоснование своей позиции суд сослался на определение Конституционного Суда Российской федерации от 10 июля 2003 г. N 287-О, в котором отмечено, что присвоение ИНН, по сути, не нарушает свободы совести и вероисповедания*(19), а также на определение Верховного Суда Российской федерации от 1 марта 2006 г. по делу N 13В05-13*(20), в котором указано, что ИНН по своему законодательному предназначению подлежит, наряду с другими сведениями, использованию исключительно в целях налогового учета и не заменяет имя человека.

Основываясь на приведенной судебной практике, можно сделать следующие наблюдения и предположения:

в качестве персональных данных судами, как правило, признается либо совокупность данных, либо данные, предполагающие наличие оператора (в основном потенциального оператора как лица, которое может запросить у государственных органов некоторые данные, например сведения о пересечении государственной границы);

в большинстве случаев данные, признаваемые совместно персональными, включают в себя один или несколько уникальных "государственных" идентификаторов (например, номер паспорта);

уникальный идентификатор сам по себе не рассматривается как персональные данные (в частности, ИНН);

когда персональными данными признаются сведения о пересечении государственной границы России, речь идет соответственно о факте, который указывает на определенное лицо с учетом установленной процедуры и сопутствующей фиксации объективной совокупности иных уникальных фактов.

Таким образом, сегодня суды по большей части исходят из ограничительного толкования действующего определения персональных данных. В то же время далеко не во всех решениях приведена системная аргументация такого подхода.

Можно ли обосновать ограничительное толкование определения персональных данных? Представляется, что да, для этого есть как практические, так и формально-юридические основания.

С практической точки зрения признание какого-либо набора данных персональными повлечет применение требований гл. 4 Закона о персональных данных, которые возлагают на оператора конкретный круг обязанностей при сборе персональных данных, к числу которых с 1 сентября 2015 г. отнесена и обязанность по "локализации" персональных данных российских граждан. При моделировании различных ситуаций, связанных с использованием информации, относящейся, например, к пользователям интернет-ресурсов, допустимо представить себе ситуацию, когда оператор располагает лишь ограниченным набором данных, которые никоим образом не указывают на личность пользователя и едва ли могут быть использованы для нарушения прав и законных интересов последнего как субъекта персональных данных (т.е. в соответствии с предлагаемой интерпретацией для нарушения прав и законных интересов гражданина именно посредством неправомерного использования его персональных данных необходима их относимость к конкретному субъекту).

В пример можно привести анонимные интернет-ресурсы, технически фиксирующие IP-адреса и не более того, или бесплатные неазартные онлайн-игры, в которых пользователь для своей идентификации исключительно в рамках игрового процесса (а не реальной жизни) придумывает вымышленное имя персонажа. По этим данным невозможно установить личность пользователя и причинить ему намеренный вред как субъекту персональных данных, если только он сам не пожелает раскрыть информацию о том, какой из персонажей ему принадлежит. Есть серьезные сомнения в том, что подобные данные можно считать персональными с точки зрения смысла закона и его места в системе действующего законодательства, а также с точки зрения баланса интересов и "взвешивания" (в терминологии немецкого конституционалиста Р. Алекси) правовых принципов и ценностей.

В формально-юридическом смысле толкование правовых текстов должно быть системным: при установлении содержания правовой нормы или ее части следует оценивать то или иное положение в совокупности с другими положениями того же нормативного акта в частности и законодательства в целом. В связи с этим необходимо обратить внимание на редко упоминаемую в контексте современных дискуссий о персональных данных ст. 2 Закона о персональных данных, согласно которой целью данного Закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. С точки зрения системного толкования определение персональных данных должно рассматриваться ограничительно - с учетом приоритета защиты прав и свобод человека и гражданина. Из этого, в частности, следует, что если конкретные данные или набор данных, имеющиеся в распоряжении оператора, не могут быть использованы для нарушения прав и законных интересов гражданина именно как субъекта персональных данных (т.е. тех его прав и законных интересов, которые связаны с предметом регулирования Закона о персональных данных), то такие данные нельзя считать персональными, даже если по другим признаками они подпадают под законодательное определение персональных данных. Дополнительным аргументом здесь может служить то, что в определении персональных данных, хотя и не указано на возможность идентификации физического лица, все же используется слово "относящаяся [к данному лицу]". Иными словами, должна быть связь с субъектом, а не объектом или предметом правоотношения.

Рассмотрим формально-юридический аргумент в пользу ограничительного толкования определения персональных данных еще на одном примере. Компания, занимающаяся разработкой и обеспечением функционирования многопользовательской онлайн-игры, осуществляет сбор следующей информации: вымышленного имени учетной записи, которое пользователь должен придумать при регистрации, адреса электронной почты и года рождения. Год рождения при этом требуется для соблюдения законодательства о защите детей от информации, причиняющей вред их здоровью и развитию, а именно для того, чтобы не допускать к игре пользователей, чей возраст не соответствует возрастному рейтингу игры.

Могут ли такие данные считаться персональными? При буквальном толковании определения персональных данных могут (для текущих целей не будем учитывать ситуацию, когда в корпоративных адресах электронной почты указаны имя и фамилия, а в доменном имени - название организации). Можно ли причинить вред правам и законным интересам реального физического лица, которое является владельцем учетной записи? В целом да: например, другие недобросовестные пользователи могут попробовать совершить неправомерный доступ к компьютерной информации (взлом аккаунта) с целью "хищения", возможно, ценной виртуальной собственности. С точки зрения правонарушителя, доступная ему информация об аккаунте не будет относиться к определенному или определяемому физическому лицу. Аналогичным примером в гражданском праве может служить ситуация, связанная с презумпцией права собственности владельца вещи, когда правонарушитель осуществляет хищение вещи "безотносительно того, кому она принадлежит". В свете ст. 2 Закона о персональных данных следует обратить особое внимание на то, что в рассматриваемом примере гипотетический злоумышленник не нарушает прав и законных интересов лица, касающихся предмета регулирования законодательства о персональных данных, так как его интересует имущество (насколько этот термин может быть применим к виртуальным объектам), а не нарушение неприкосновенности частной жизни.

Кроме того, методологически корректно исходить из концепции частных интересов (той ее части, которая связана с правами и свободами человека и гражданина как предметом регулирования законодательства о персональных данных) и публичных интересов, если речь заходит об обороте больших объемов информации при условии, что такая информация обезличена (например, обобщенные статистические данные). Фактический оборот большого массива обезличенных данных вряд ли непосредственно нарушает частный интерес. В то же время во многих ситуациях такие массивы данных имеют серьезное значение с точки зрения экономики, управления и безопасности, а значит, могут затрагивать публичный интерес.

В свете представленного анализа с сожалением следует отметить, что в настоящее время как в России, так и за рубежом, несмотря на то что с момента появления законодательства о персональных данных прошло уже несколько десятков лет, отсутствует какая-либо системная юридическая теория о персональных данных и их защите. По нашему мнению, такая теория должна быть междисциплинарной. Одним из нерешенных сегодня вопросов остается отраслевая принадлежность норм законодательства о персональных данных. Известна позиция, изложенная в разъяснениях Роскомнадзора от 2 сентября 2013 г. "О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки", согласно которой нормы ГК РФ о нематериальных благах, в частности ст. 152.1 об охране изображения гражданина, могут применяться к отношениям, возникающим в связи и по поводу персональных данных. С одной стороны, Закон о персональных данных вряд ли относится к специальным актам гражданского законодательства (хотя такую точку зрения нельзя исключить и она значительно упорядочила бы правоприменение), с другой - понятия внушительной части нематериальных благ, перечисленных в п. 1 ст. 150 ГК РФ (неприкосновенность частной жизни, личная и семейная тайна), содержательно пересекаются с понятием персональных данных, тем более что перечень нематериальных благ открыт.

Неопределенность и разнообразие толкований понятия персональных данных, закрепленных в законодательстве и международных актах, серьезно усложняют правоприменительную практику. В связи с этим операторы персональных данных при принятии большей части юридических решений вынуждены основываться на сравнительном анализе регуляторных рисков. Это дополнительный аргумент в пользу идеи о необходимости кодификации информационного законодательства, основанного на унифицированной системе понятий, четком определении порядка применения нормативных актов различной отраслевой - гражданско-правовой и административной - принадлежности.

В рамках европейского подхода к определению понятия персональных данных представляются перспективными изучение и адаптация британского опыта регулирования сферы информационных технологий и информационной безопасности, предполагающего высокую степень формальной определенности понятия персональных данных. Кажется перспективным также подход США, отказавшихся от общей конструкции "любая информация, относящаяся к лицу" (§ 552a Акта о неприкосновенности частной жизни 1974 г.)*(21) в пользу перечисления на уровне нормативного регулирования конкретных сведений, совокупность которых образует персональные данные в той или иной сфере*(22).

Наконец, следует учитывать и то, что стремительное развитие информационно-телекоммуникационных технологий порождает новые виды данных. Еще недавно было сложно представить, что технологии, связанные с использованием геолокационных данных, распознаванием личности по голосу, и другие подобные достижения цифровой эпохи станут частью обыденной реальности. Законодательство и практика правоприменения в области персональных данных должны совершенствоваться с учетом необходимости поддержания баланса между частными и публичными интересами, защиты прав граждан (в очередной раз подчеркнем, что задачей в этом случае является именно защита личной информации в смысле неприкосновенности частной жизни, а не защита любых иных прав и интересов, например права собственности, инструментами законодательства о защите персональных данных).

Список литературы

Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data // URL: http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?CL=RUS&NT=108.

Data Privacy Act of 1974 // URL: http://www.gpo.gov/fdsys/pkg/STATUTE-88/pdf/ STATUTE-88-Pg1896.pdf.

Data Protection Act 1998. Section 1 (1) // URL: http://www.legislation.gov.uk/ukpga/1998/29/section/1.

Federal Trade Commission Order File N P125404, December 14, 2012 // URL: https://www. ftc.gov/sites/default/files/attachments/press-releases/ftc-study-data-bro ker-industrys-collection-use-consumer-data/121218databrokerssection6borde r.pdf.

Judgment of the Court (Third Chamber) 24 November 2011 in Case C-70/10 // URL: http:// curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30dd95c89b 4481e24ac5abc888ab62dd05c3.e34KaxiLc3qMb40Rch0SaxuQb3b0?text=&docid=11520 2&pageIndex=0&doclan g=en&mode=lst&dir=&occ=first&part=1&cid=41793.

Азизов Р.Ф., Архипов В.В. Отношения в сети Интернет формата Web 2.0: проблема соответствия между сетевой архитектурой и правовым регулированием // Закон. 2014. N 1.

Архипов В.В., Килинкарова Е.В., Мелащенко Н.В. Проблемы правового регулирования оборота товаров в сети Интернет: от дистанционной торговли до виртуальной собственности // Закон. 2014. N 6.

О введении в действие части четвертой Гражданского кодекса Российской Федерации: Федеральный закон от 18 декабря 2006 г. N 231-ФЗ // СЗ РФ. 2006. N 52 (Ч. 1). Ст. 5497.

О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных": Федеральный закон от 7 мая 2013 г. N 99-ФЗ // СЗ РФ. 2013. N 19. Ст. 2326.

О внесении изменений в Федеральный закон "О персональных данных": Федеральный закон от 25 июля 2011 г. N 261-ФЗ // СЗ РФ. 2011. N 31. Ст. 4701.

О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки: разъяснения Роскомнадзора от 2 сентября 2013 г.

О персональных данных: Федеральный закон от 27 июля 2006 г. N 152-ФЗ // СЗ РФ. 2006. N 31 (Ч. 1). Ст. 3451.

Об информации, информатизации и защите информации: Федеральный закон от 20 февраля 1995 г. N 24-ФЗ (утратил силу) // СЗ РФ. 1995. N 8. Ст. 609.

Об информации, информационных технологиях и о защите информации: Федеральный закон от 27 июля 2006 г. N 149-ФЗ // СЗ РФ. 2006. N 31 (Ч. 1). Ст. 3448.

Об отказе в принятии к рассмотрению жалобы гражданина Можнева Ивана Федоровича и коллективной жалобы граждан Гирдюк Татьяны Сергеевны, Маркеловой Людмилы Николаевны, Ращинской Галины Владимировны и других на нарушение их конституционных прав абзацем первым пункта 7 статьи 84 Налогового кодекса Российской Федерации: определение Конституционного Суда РФ от 10 июля 2003 г. N 287-О.

Определение Верховного Суда РФ от 1 марта 2006 г. по делу N 13В05-13.

О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных: федеральный закон от 19 декабря 2005 г. N 160-ФЗ // СЗ РФ. 2005. N 52 (Ч. 1). Ст. 5573.

Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. М., 2014.

-------------------------------------------------------------------------

*(1) Игра доступна по адресу: URL: http://datadealer.com.

*(2) Здесь мы, на первый взгляд, сталкиваемся с теоретическим и практическим парадоксом: с одной стороны, индивидуального пользователя сети Интернет по общему правилу достаточно сложно идентифицировать как субъекта правоотношений, а с другой - в Интернете сегодня накапливается, обрабатывается и распространяется гигантский объем персональных данных. В действительности парадокса здесь нет: защита персональных данных в отличие от идентификации пользователей относится к другой группе отношений и осуществляется независимо. Например, несколько "неустановленных лиц" в сети Интернет могут распространять персональные данные третьих лиц, и тот факт, что здесь возникает системная проблема идентификации пользователей, личность которых установить практически невозможно, не отменяет необходимости защиты данных третьих лиц.

*(3) О классификации системных проблем правового регулирования отношений в сети Интернет подробнее см.: Азизов Р.Ф., Архипов В.В. Отношения в сети Интернет формата Web 2.0: проблема соответствия между сетевой архитектурой и правовым регулированием // Закон. 2014. N 1. С. 90-104.

*(4) О факторах, определяющих значение сети Интернет в контексте системных проблем правового регулирования глобальной информационно-телекоммуникационной сети, подробнее см.: Архипов В.В., Килинкарова Е.В., Мелащенко Н.В. Проблемы правового регулирования оборота товаров в сети Интернет: от дистанционной торговли до виртуальной собственности // Закон. 2014. N 6. С. 120-143.

*(5) Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. М., 2014. С. 486.

*(6) Data Protection Act 1998. Section 1 (1) // URL: http://www.legislation.gov.uk/ukpga/1998/29/section/1.

*(7) Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data // URL: http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?CL=RUS&NT=108. Российская Федерация является стороной Конвенции, которую ратифицировала Федеральным законом от 19 декабря 2005 г. N 160-ФЗ (СЗ РФ. 2005. N 52 (Ч. 1). Ст. 5573).

*(8) СЗ РФ. 2006. N 31 (Ч. 1). Ст. 3451.

*(9) Там же. 1995. N 8. Ст. 609.

*(10) СЗ РФ. 2006. N 31 (Ч. 1). Ст. 3448.

*(11) Там же. N 52 (Ч. 1). Ст. 5497.

*(12) Там же. 2013. N 19. Ст. 2326.

*(13) Там же. 2011. N 31. Ст. 4701.

*(14) Для примера представим себе пользователя юридического дискуссионного онлайн-форума с никнеймом "Lawyer1980", единственной дополнительной информацией о котором в учетной записи является указание на профессию - "юрист". По смыслу, по крайней мере, прежней редакции Закона о персональных данных такое сочетание не будет составлять персональные данные.

*(15) Несомненно, что IP-адрес может идентифицировать определенное физическое лицо в совокупности с другими данными, например в ситуации, когда по различным условиям договоров и (или) пользовательских соглашений одно устройство используется одним конкретным пользователем, личность которого при этом однозначно устанавливается по таким данным.

*(16) Judgment of the Court (Third Chamber) 24 November 2011 in Case C-70/10 // URL: http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30d d95c89b4481e24ac5abc888ab62dd05c3.e34KaxiLc3qMb40Rch0SaxuQb3b0?text=&doci d=115202&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=41793.

*(17) Истец, подавший заявление мировому судье в порядке частного обвинения, направил в отдел МВД России запрос о предоставлении паспортных данных граждан, в отношении которых было подано заявление.

*(18) Данную информацию разгласил ответчик: текст трудового договора был размещен на сайте с открытым доступом.

*(19) Об отказе в принятии к рассмотрению жалобы гражданина Можнева Ивана Федоровича и коллективной жалобы граждан Гирдюк Татьяны Сергеевны, Маркеловой Людмилы Николаевны, Ращинской Галины Владимировны и других на нарушение их конституционных прав абзацем первым пункта 7 статьи 84 Налогового кодекса Российской Федерации: определение Конституционного Суда РФ от 10 июля 2003 г. N 287-О.

*(20) Определение Верховного Суда РФ от 1 марта 2006 г. по делу N 13В05-13.

*(21) Data Privacy Act of 1974 // URL: http://www.gpo.gov/fdsys/pkg/STATUTE-88/pdf/STATUTE-88-Pg1896.pdf.

*(22) См., например: Federal Trade Commission Order File N P125404, December 14, 2012 // URL: https://www.ftc.gov/sites/default/files/attachments/press-releases/ftc-st udy-data-broker-industrys-collectionuse-consumer-data/121218databrokersse ction6border.pdf.