Проблема защиты персональных данных в настоящее время уже не является новой или малоосмысленной с юридической точки зрения. Каждый день возникают новые вызовы, которые в очередной раз подтверждают, что тема защиты персональных данных будет оставаться актуальной еще очень долгое время. Очевидно, что упомянутые новые проблемы возникают в первую очередь в связи с бурным развитием технологий. В результате необходимость постепенного обновления законодательного регулирования вопросов, связанных с защитой персональных данных граждан, начинает ощущаться острее с каждым днем. В материале рассмотрим, что входит в понятие «защита персональных данных», из чего состоит защита персональных данных на практике, а также особенности взыскания убытков и компенсации морального вреда в таких спорах.
Цифровизация совместно с новейшими возможностями стала причиной появления огромных рисков, в частности связанных с отсутствием адекватной юридической защиты персональных данных, что проявляется в различных сферах жизни каждого из нас. Несмотря на то что принимаются точечные меры по защите персональных данных, существующее регулирование имеет значительные недостатки и пробелы1.
Понятие «защита персональных данных»
Защита персональных данных может рассматриваться с точки зрения объективной защиты и юридической защиты. Объективная защита персональных данных осуществляется при помощи специальных технических средств, а также посредством адекватного выстраивания процессов в организациях, осуществляющих обработку персональных данных на постоянной основе. Разумеется, в рамках такой «объективной» защиты правовое регулирование имеет скорее декларативный характер, поскольку направлено в первую очередь не на защиту нарушенных прав, а на формирование базовых принципов выстраивания процессов, связанных с информационной безопасностью, на вопросы функционирования информационных систем и на иные аспекты, нуждающиеся в отражении в рамках правового поля.
Так, например, положения об информационной безопасности и защите информации закрепляются в Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — Закон № 149-ФЗ). Основными мерами по защите информации являются (ст. 16 Закона № 149-ФЗ):
-
обеспечение защиты информации от неправомерного доступа (уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и др.);
-
соблюдение конфиденциальности информации ограниченного доступа;
-
реализация права на доступ к информации.
В Законе № 149-ФЗ также закрепляются основные обязанности обладателя информации (оператора информационной системы), к которым, например, относятся: своевременное обнаружение фактов несанкционированного доступа к информации, постоянный контроль за обеспечением уровня защищенности информации и другие. В том числе обязанности по обеспечению защиты информации, которая представляет собой персональные данные, закрепляются также в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).
При этом юридические вопросы data protection в контексте защиты информации как таковой являются предметом активной дискуссии в международном юридическом сообществе. Что интересно, в рамках этой дискуссии отмечается, что, во-первых, всю информацию, которую с точки зрения применимого законодательства какой-либо юрисдикции следует защищать по-разному, в зависимости от категории такой информации2.
При этом речь ведется не обо всей информации в целом, поскольку это слишком широкая категория, а об информации, которая может относиться к частной жизни граждан. Очевидно, что к частной жизни граждан может относиться информация самого различного характера, например, в одной из предлагаемых классификаций предлагается выделить четыре основные категории:
-
privacy of the person;
-
privacy of behavior;
-
privacy of data;
-
privacy of communication3.
Бесспорно, могут быть предложены и иные варианты категоризации информации, относящейся к частной жизни граждан. Однако, независимо от используемых классификаций, очевидно, что защита той или иной категории информации, которая относится к частной жизни граждан, может и должна осуществляться по-разному. Персональные данные в этом смысле не являются исключением — защита персональных данных, несомненно, должна стоять особняком в контексте реализации предусмотренных средств защиты нарушенных прав.
Однако не является очевидным вопрос о том, что персональные данные в рамках российского правового поля относятся к частной жизни граждан. Статья 152.2 ГК РФ устанавливает, что, «если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни». Как видим, статья напрямую не упоминает персональные данные в контексте защиты частной жизни. Этот вопрос, однако, был разрешен на практике.
Так, Конституционный суд Российской Федерации в постановлении № 22-П от 25.05.2021 упоминает, что «в понятие „частная жизнь“ включается та область жизнедеятельности, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если носит непротивоправный характер». Аналогичную позицию КС РФ высказывал и ранее, в иных своих позициях: постановление от 16.06.2015 № 15-П, определения от 16.07.2013 № 1217-О, от 22.12.2015 № 2906-О и др.
Из системного толкования данных позиций с положениями Закона № 152-ФЗ можно сделать вывод, что защита персональных данных в Российской Федерации покрывается конституционным правовым принципом защиты информации о частной жизни граждан. В упомянутом постановлении № 22-П КС РФ напрямую указывает, что «персональные данные… должны рассматриваться как относящиеся к сведениям о его частной жизни, подлежащей, наравне со свободой слова и свободой информации, конституционной защите». Здесь стоит оговориться, что из этого принципа, безусловно, имеются и изъятия, которые (по крайне мере, с точки зрения действующих положений российского законодательства) должны быть обоснованы и разумны.
Таким образом, можно констатировать, что вопросы защиты персональных данных:
а) во многом зависят от объективного технического обеспечения и соблюдения принципов защиты информации;
б) находятся в тесной взаимосвязи с правовыми нормами и принципами, посвященными именно аспектам обеспечения информационной безопасности;
в) являются конституционным правом граждан Российской Федерации, которое должно быть обеспечено соответствующим образом.
Обозначенные выводы закрепляются и в многочисленных нормативных актах, принимаемых в Российской Федерации, с целью обеспечения гармоничного правового развития цифровой экономики. В частности, можно выделить такие документы, как:
-
Доктрина информационной безопасности Российской Федерации (утв. Указом Президента РФ от 05.12.2016 № 646);
-
Стратегии развития информационного общества в Российской Федерации (утв. Указом Президента РФ от 09.05.2017 № 203);
-
Концепция правовой информатизации России (Указ Президента РФ от 28.06.93 № 966);
-
Государственная программа Российской Федерации «Информационное общество» (постановление Правительства РФ от 15.04.2014 № 313) и другие.
В вышеуказанных документах закрепляются положения, целью которых является предотвращение новых информационных угроз и нарушений прав человека в области информации. В частности, в них закрепляются приоритеты и цели реализации политики в области обеспечения информационной безопасности, а также задачи по обеспечению показателей в сфере защиты информации.
Так, например, в государственной программе закрепляется то, что к 2030 г. уровень «цифровой зрелости» ключевых отраслей экономики и социальной сферы, в том числе здравоохранения и образования, а также государственного управления достигнет 100%. Достижение указанной цели обеспечивается путем увеличения численности специалистов, интенсивно использующих информационно-коммуникационные технологии, увеличения расходов организаций на внедрение и использование современных цифровых решений, а также достижения целевого значения к 2030 г. в определенных отраслях экономики и социальной сферы уровня цифровой зрелости.
Интересно, что исследователями отмечается, что даже среди таких, декларативных по своей сути, документов имеются коллизии4.
Так, Доктрина информационной безопасности Российской Федерации закрепляет первоочередный характер защиты прав и интересов личности при перечислении национальных интересов. Как уже было установлено выше, это означает, что в данный перечень включается и право граждан на защиту персональных данных от нарушений и незаконного использования. При этом, однако, Стратегия национальной безопасности Российской Федерации содержит положения, в силу которых приоритет отдается именно государственной, общественной и экономической безопасности личности.
Тем не менее совокупность обозначенных факторов, включающих наличие специального регулирования в отношении защиты информации в целом и персональных данных в частности, наличие целого комплекса актов, направленных на развитие институтов защиты информации и частной жизни граждан, а также презумпция конституционно-правовой защиты частной жизни (а значит, и персональных данных тоже) свидетельствует о том, что на практике никаких проблем с адекватной правовой защитой уже нарушенных прав возникать не должно. Но так ли это на самом деле? Предлагаем обратиться к судебным решениям.
Защита персональных данных на практике
Вполне очевидно, что некоей квинтэссенцией защиты должны быть реально работающие превентивные правовые механизмы, которые мы коротко обсудили выше, работающие в синергии с эффективными мерами правовой защиты уже нарушенных прав. Соответственно, для обеспечения эффективности последних необходимы адекватные меры ответственности, которые будут соответствовать принципу соразмерности и одновременно выполнять превентивную функцию.
В рамках настоящей статьи целесообразнее всего сосредоточиться именно на гражданско-правовой ответственности, поскольку в рамках анализа соответствующей судебной практики может сложиться наиболее четкая картина в отношении работоспособности, соразмерности и эффективности рассматриваемого института.
В соответствии с положениями ст. 24 Закона № 152-ФЗ гражданско-правовая ответственность за нарушение требований законодательства о персональных данных может выражаться в первую очередь во взыскании убытков и морального вреда.
Перспективы взыскания убытков в случае нарушения прав на защиту персональных данных могут быть проиллюстрированы на примере следующего дела. Истец обратился в суд с требованием к банку, с которым был заключен кредитный договор, о возмещении убытков в результате незаконных телефонных звонков и передачи персональных данных истца. Банк, нарушая условия кредитного договора, передал персональные данные истца третьим лицам, которые звонили истцу и членам его семьи с угрозами. Телефонные звонки привели к обращению жены истца к неврологу, в связи с чем истец был вынужден досрочно погасить кредит, продав предмет кредитного договора (машино-место) ниже рыночной стоимости. Истец ссылался на причинение ему убытков в виде упущенной выгоды.
Суд в удовлетворении требования отказал, поскольку материалами дела не подтверждается наличие причинно-следственной связи между действиями банка и продажей истцом машино-места (Апелляционное определение Московского городского суда от 02.10.2020 по делу № 2-306/2018, 33-39033/2020).
Подобная ситуация как с точки зрения характера нарушения, так и с точки зрения итогов рассмотрения дела является довольно типичной. Имеется большое количество примеров дел, где аналогичным образом права субъекта были нарушены — персональные данные были переданы без соответствующего согласия третьим лицам, однако какой-либо компенсаторной функции правовые средства защиты не выполнили. Примеры таких дел с неудачными попытками взыскания убытков неоднократно рассматривались судами. См., например, определения Шестого кассационного суда общей юрисдикции от 25.10.2021 по делу № 88-21761/2021, 2-1185/2021, Первого кассационного суда общей юрисдикции от 20.01.2021 № 88-1439/2021 по делу № 2-4069/2020.
Сложности при взыскании убытков юридически объясняются довольно просто: для успешного взыскания убытков в целом, а в данной категории дел в частности, необходимо иметь широкую и убедительную доказательственную базу, которая позволит с высокой долей очевидности (в рамках применимых стандартов доказывания) продемонстрировать не только наличие фактов нарушения (как видим из примеров, этого недостаточно), но и наличие причинно-следственной связи между возникшим нарушением и фактом возникновения убытков5.
В отношении взыскания морального вреда дело обстоит немного иначе — успешных кейсов больше, однако в таких делах наибольшую ценность представляет не столько факт того, в чью пользу было вынесено решение, сколько размер компенсации, которая была сочтена судом справедливой.
Так, например, в одном деле истцы заявили, что в сети Интернет обнаружили информацию (Ф.И.О., адреса, номера телефонов, сведения о личной жизни), которая находится в открытом доступе и нарушает их права, поскольку содержит их личные данные. При этом истцы не давали свое согласие на обработку персональных данных администрации интернет-ресурса. Истцы предъявили требование к оператору персональных данных о взыскании по 50 тыс. руб. каждому в качестве возмещения морального вреда. Суд удовлетворил требования истцов, однако взыскал компенсацию морального вреда с учетом степени нравственных страданий в сумме 1 тыс. руб. в пользу каждого (Определение Второго кассационного суда общей юрисдикции от 14.01.2021 по делу № 88-1116/2021).
В другом деле истец обратился в суд с иском к администратору доменного имени и просил его прекратить обработку персональных данных в сети Интернет на сайте, а таже взыскать с юридической компании (ответчика) компенсацию морального вреда в размере 100 тыс. руб. Судом было установлено, что на сайте компании без согласия потерпевшего размещено решение суда, в котором разглашены сведения, относящиеся к его персональным данным. При этом персональные данные не были обезличены. Суд удовлетворил заявленные требования, но взыскал с ответчика в пользу истца компенсацию морального вреда в размере только 15 тыс. руб. (Апелляционное определение Московского городского суда от 08.07.2020 по делу № 33-16956/2020, 2-3910/2019).
Нетрудно заметить, что размер присуждаемых компенсаций крайне невелик, хотя в этом случае факт выявления нарушения хотя бы создает какие-то гражданско-правовые последствия. Методологически истцам по таким искам следует ссылаться на детальное описание того, в чем именно выразились страдания, и приложить какие-либо документальные доказательства, подтверждающие их наличие (Апелляционное определение Ростовского областного суда от 29.03.2016 по делу № 33-4913/2016). Тем не менее, вне зависимости от удовлетворения исков, средний размер сумм морального вреда сильно колеблется даже в пределах одного субъекта (апелляционные определения Московского городского суда от 24.04.2019 по делу № 33-17929/2019, от 08.09.2020 по делу № 33-33043/2020).
В любом случае нельзя утверждать, что вышеперечисленные способы защиты нарушенных персональных данных могут в полной мере удовлетворить интересы субъекта персональных данных, права которого нарушены, и обеспечить ему в полной мере то положение, которое существовало до нарушения его прав.
Помимо гражданско-правовой ответственности, за нарушения в анализируемой сфере предусмотрена и административная ответственность. Однако в реальности превентивная функция не выполняется вовсе, что, очевидно, объясняется низким размером штрафных санкций.
Есть несколько примеров довольно известных (особенно в последнее время) дел, где это демонстрируется6. Максимальное наказание по ч. 1 ст. 13.11 КоАП РФ — 100 тыс. руб.
Примечательно, что Россия занимает второе место после США по количеству утечек, найденных в открытых источниках7. Однако в США и странах Европейского союза законодательство действует более жестко в отношении выявляемых нарушений.
Итоги
Подводя некий итог, хочется отметить, что защита персональных данных именно в цифровую эпоху пока мало чем отличается от привычных юридических способов защиты. Цифровая эпоха накладывает отпечатки в большей степени на вопросы обращаемости персональных данных, их коммодификации и, соответственно, последующей безграничной обработки самыми разными субъектами. Появляются новые способы неправомерного получения доступа к огромным массивам персональных данных граждан, растет количество резонансных дел, появляются и новые операторы, которые создают такие новые огромные массивы. С высокой долей очевидности можно схоластически утверждать, что законодательство нуждается в обновлении, что текущих способов правовой защиты недостаточно ни в качестве превентивной меры, ни в качестве компенсаторной.
Однако нет никаких гарантий, что создание, например, особенного, in sui generis, юридического способа защиты персональных данных будет способствовать исправлению ситуации. Важно понимать, что цифровая эпоха в первую очередь меняет именно концептуальные подходы к балансу публичных и частных интересов. Дав согласие на обработку персональных данных единожды, мы впоследствии, с развитием технологий, имеем с каждым днем все меньше как технологических, так и правовых возможностей для последующего контроля за оборотом наших данных. 100%-й success-rate по делам с взысканием убытков или по компенсации морального вреда с размерами компенсации, исчисляемыми миллионами рублей на одного субъекта, уже, возможно, не сможет остановить все новые и новые массовые нарушения и опубликования данных. В этом смысле как обществу в целом, так и юридическому сообществу в первую очередь стоит подготовиться скорее к осмыслению и формированию новых подходов к определению нарушений как в сфере оборота персональных данных, так и в сфере их защиты.
1 Дмитриева Е.Г. Проблемы защиты персональных данных в цифровом мире и пути их решения // Право и бизнес. 2021. № 3. С. 18—23.
2 Kulhari, S. (2018). Data Protection, Privacy and Identity: A Complex Triad. In Building-Blocks of a Data Protection Revolution: The Uneasy Case for Blockchain Technology to Secure Privacy and Identity (1st ed., pp. 23—37).
3 Ibid.
4 Бражник Т.А. Правовые вопросы обеспечения информационной безопасности личности // Информационное право. 2018. № 4. С. 17—21.
5 Байбак В.В. Причинная связь как условие договорной ответственности: сравнительно-правовой очерк // Вестник ВАС РФ. 2014. № 6. С. 4—21.
6 URL: https://clck.ru/iKpdW, URL: https://clck.ru/iKnTy.
7 Цареградская Ю.К. Криптовалюта, цифровые финансовые активы, цифровые права: терминологическое многообразие в процессе формирования правовой действительности // Право и цифровая экономика. 2021. № 2. С. 32—38.