Право в сфере Интернета

Оператором информационной системы может быть как физическое, так и юридическое лицо, «осуществляющее деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных» (п. 12 ст. 2 Закона об информации). По общему правилу, закрепленному в п. 2 ст. 13 Закона об информации, для квалификации лица в качестве оператора информационной системы необходимо наличие двух условий: наличие права собственности на технические средства, используемые для обработки информации, содержащейся в базах данных, а также правомерное использование этих баз данных (например, по лицензионному договору).

Информационный брокер не всегда может иметь технические средства для обработки информации на праве собственности. Но закон допускает заключение оператором информационной системы договора об эксплуатации информационной системы с собственником технических средств.

Возможна и другая проблема: как было указано выше, не всегда информация, используемая информационным брокерами, может быть квалифицирована как база данных. В таком случае информационный брокер вряд ли может быть отнесен к числу операторов информационной системы. И здесь надо отметить, что в связи с тем, что в настоящий момент законодательство не содержит четких определений, которые позволили бы определить правовой статус информации, в частности персональных данных, открываются широкие возможности для манипуляции правовыми дефинициями и отнесения информационных брокеров к числу операторов информационных систем;

– в-четвертых, оператора персональных данных (гл. 4 Закона о персональных данных);

Оператором персональных данных, которым является информационный брокер «по умолчанию» (в силу того, что осуществляет действия по обработке информации в отличие от оператора информационной системы), может выступать государственный и муниципальный орган. Это позволяет причислить к числу информационных брокеров также субъектов публичного права. Например, уже упоминавшийся политический профайлинг базируется на основе данных, сбором которых занимаются муниципальные образования.

При этом необходимо подчеркнуть, что в отличие от ОРИвСИ статус оператора персональных данных не подразумевает возложение на юридическое или физическое лицо чрезмерных обязанностей. Необходимость предоставления субъекту персональных данных информации об операторе до начала сбора данных (п. 3 ст. 18 Закона о персональных данных), обеспечение безопасности персональных данных (п. 2 ст. 19 Закона о персональных данных), сообщение субъекту данных информации о наличии соответствующих данных (п. 1 ст. 20 Закона о персональных данных) являются сбалансированными мерами, позволяющими защитить права и интересы граждан.

Квалификация информационного брокера в качестве оператора персональных данных позволяет решить еще одну проблему, уже обнаружившую себя в США в процессе деятельности упомянутых компаний, – отсутствие прозрачности в деятельности информационных брокеров: граждане не знают, какая именно информация о них была получена. Например, Experian и Equifax не разрешают субъектам просматривать, какие их персональные данные были получены брокером. Усугубляет проблему тот факт, что у граждан нет информации о том, какие компании являются информационными брокерами, т.е. они могут даже не предполагать, что являются субъектом персональных данных, обрабатываемых какой-либо компанией[147 - United States Senate (2013). A review of thedata brokers: collection, use and sale of consumer data for marketing purposes. Washington D. C.: Staff report. P. 33.].

Поскольку российское законодательство содержит право субъекта персональных данных на доступ к таковым (ст. 14 Закона о персональных данных), то данная проблема может быть решена путем закрепления обязанности информационного брокера сообщать об осуществлении деятельности по обработке и перепродаже данных в федеральные органы власти под угрозой административного наказания (соответствующие поправки необходимо внести и в КоАП РФ). За органами власти, в свою очередь, необходимо закрепить обязанность по созданию реестра информационных брокеров по аналогии с реестром ОРИвСИ. Такой подход обеспечит соблюдение прав граждан, поскольку они будут знать, какая именно компания является информационным брокером и занимается сбором их персональных данных, но при этом не нанесет ущерба предпринимательской деятельности коммерческих лиц и индивидуальных предпринимателей.

Больше всего вопросов в свете последних изменений законодательства вызывает обязанность оператора персональных данных, установленная ч. 5 ст. 18 Закона о персональных данных. Она возлагает на оператора обязанность при сборе данных обеспечить обработку данных граждан Российской Федерации с помощью информационных систем, находящихся на территории Российской Федерации.

Поскольку большинство баз информационных брокеров, содержащих персональные данные граждан, были созданы до вступления в силу Закона, т.е. до 01.09.2015, то на них не распространяется указанное положение. При этом обратная сила закона может быть установлена при его принятии, но этого сделано не было. В то же время базы данных информационных брокеров в силу специфики деятельности должны постоянно обновляться: у субъектов данных меняются предпочтения, меняется их семейное положение и т.д., поэтому положения Закона распространяются и на такие «обновленные» базы данных.

Актуален данный вопрос также в связи с тем, что большинство существующих информационных брокеров – иностранные компании, которые собирают информацию о гражданах Российской Федерации. Наложение на брокеров подобного рода обязательств вынуждает делить базы данных: часть данных хранить по месту осуществления деятельности организации, а другую часть – в стране граждан, чьи данные подвергаются обработке.

С одной стороны, данная норма значительно усложняет деятельность иностранных компаний – информационных брокеров, и в итоге им проще отказаться от обработки данных граждан России (что с учетом положительных сторон профайлинга для субъектов обработки данных не является лучшим решением проблемы).

С другой стороны, существуют определенные сложности применения санкции к компаниям – информационным брокерам: если социальные сети, нарушающие российское законодательство, можно заблокировать (как в случае с Linked In[148 - Определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016.]), то повлиять на компании, не ведущие деятельность в сети Интернет, практически невозможно[149 - Беломестное а Н. Повеяло сервером. Иностранным интернет-магазинам придется заняться обработкой персональных данных в России // Юрист спешит на помощь. 2015. №9.].

Изложенное позволяет заключить, что информационный брокер, обрабатывая данные граждан, неизбежно становится оператором персональных данных, что накладывает на него определенные обязанности, направленные на защиту прав граждан. В то же время квалификация иностранных компаний в качестве оператора порождает целый ряд вопросов, ответы на которые еще предстоит найти;

– в-пятых, информационного посредника (ст. 17 Закона об информации).

Закон об информации выделяет два вида информационных посредников.

Первый вид информационных посредников – это лица, оказывающие услуги по передаче информации, предоставленной иным лицом, без ее изменения или исправления в процессе передачи (п. 1 ч. 3 ст. 17 Закона об информации). Характерной чертой деятельности такого посредника является выполнение функции «проводника» информации – они не изменяют и не исправляют информацию в процессе передачи.

Информационный брокер, получив персональные данные из одного источника, в большинстве случаев подвергает их обработке путем сопоставления друг с другом, выделения общих и различных черт в полученном массиве персональных данных, а после этого передает данные своим клиентам. Следовательно, информационный брокер не может быть включен в число информационных посредников первого вида.

Второй вид информационных посредников – это лица, оказывающие услуги по хранению информации и обеспечению доступа к ней (п. 2 ч. 3 ст. 17 Закона об информации). Как правило, в эту группу попадают провайдеры хостинга или владельцы сайтов в сети Интернет, предоставляющих возможность размещения пользовательского контента, поисковые серверы[150 - Савельев А.И. Комментарий к Федеральному закону от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации». М.: Статут, 2015.].

На первый взгляд основная деятельность информационных брокеров по получению и перепродаже персональных данных практически не связана с возможностью оказания услуг по хранению информацию. Однако некоторые брокеры – это социальные сети (Facebook, «ВКонтакте», Linkedln), и они могут использовать свои веб-сайты в качестве платформы для размещения пользователями информации о себе.

Поскольку ст. 17 Закона об информации регулирует в первую очередь освобождение от ответственности информационных посредников, то следует признать, что придание информационному брокеру статуса информационного посредника в определенных случаях может позитивно сказаться на их деятельности.

Так, в уже рассмотренном выше судебном деле «ВКонтакте» против ООО «Дабл» было установлено, что ООО «Дабл» собирает специальные категории персональных данных о гражданах. Соцсеть «ВКонтакте» в данном случае стала лишь информационным посредником, а потому была освобождена от ответственности. В то же время это не исключает возможности квалификации ООО «ВКонтакте» в качестве информационного брокера в отношении других персональных данных.

Таким образом, на практике признание информационного посредника информационным брокером маловероятно – это два параллельно существующих статуса одного лица, которые вряд ли могут пересечься. Следовательно, это не влечет освобождение информационных брокеров от ответственности как информационных посредников.

Подводя итог, необходимо отметить, что информационный брокер, будучи субъектом права, чья основная деятельность связана с обработкой информации, в частности с персональными данными граждан, не может остаться за рамками регулирования Закона об информации и Закона о персональных данных. Однако отсутствие прозрачности в деятельности существующих компаний – информационных брокеров, а также отсутствие в законодательстве легальной дефиниции нового субъекта права не позволяет в полной мере соотнести его с уже существующими субъектами и, как следствие, определить правовые рамки его деятельности.

Пристатейный библиографический список

1. Белов В Л. Что изменилось в Гражданском кодексе?: практ. пособие. М.: Юрайт, 2014.

2. Ласкина Н.В., Степаненко О. В. Комментарий к Федеральному закону от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» // СПС «КонсультантПлюс». 2015.

3. Савельев А.И. Комментарий к Федеральному закону от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации». М.: Статут, 2015.

4. Castelluccia С. Behavioural Tracking on the Internet: A Technical Perspective. Behavioural Tracking on the Internet: A Technical Perspective. Netherlands: Springer, 2012.

5. Fitsch L. Profiling and Location-Based Services (LBS) // Profiling the European Citizens. Cross-Disciplinary Perspectives. Springer, 2008.

6. Gurtwirth S., Hert P., Poullet Y. Data Protection in a Profiled World. Springer, 2010.

7. Hildebrandt M. Who is Profiling Who? Invisible Visibility // Gut-wirth S., Poullet, Y., De Hert, P. De Terwangne C., Nouwt S. (eds), Reinventing Data Protection? Dordrecht, Springer, 2009.

8. Hildebrandt M., Gutwirth S. General Introduction and Overview // Mireille Hildebrandt and Serge Gutwirth (eds), Profiling the Europen Citizen: Cross disciplinary perspectives. Dordrecht: Springer Science, 2008.

9. Lyon D. Surveillance as Social Sorting: Privacy, Risk and Digital Discrimination. New York: Routledge, 2003.

10. Moeckli D., Thurman /. Counter-terrorism data mining: legal analysis and best practices. DETECTER project – Detection Technologies, Terrorism, Ethics and Human Rights. Deliverable 08.03.2008.

11. Rieke A., Yu H., Robinson D., von Hoboken J. Data broker in an open Society. London: Bloomberg, 2016.

12. Taipale K. The privacy implications of Government Data Mining Programs. Testimony before the US Senate Committee on the Jurisdiciary, 10 January.

13. United States Senate. (2013). A review of thedata brokers: collection, use and sale of consumer data for marketing purposes. Washington D.C.: Staff report.

14. Соколова O.C. Правовые основы саморегулирования // Юрист. 2008. № 4.

15. Cavoukian A. Privacy as a Fundamental Human Rights vs. Economic Right: An Attempt at Conciliation. 1999.

16. Савельев А.И. Направления эволюции свободы договора под влиянием современных информационных технологий // Свобода договора. М.: Статут, 2015.

17. Терещенко Л.К. Правовой режим персональных данных и безопасности личности // Закон. 2013. № 6.

18. Gurtwirth S., Hert R, Poullet Y. (2010) Data Protection in a Profiled World. Springer.

19. Ellyne E., Gutwirth SFuster G. G. Profiling in the European Union: A high-risk practice. INEX Policy Brief, No. 10.

20. Hildebrandt M. Profiling: from data to knowledge // Datenschutz und Datensuchereit. 2006. N 30. Vol. 9.

21. Boersma K., Van Brakel R., Fonio C., Wagenaar P. History of State surveillance in Europe and beyond // Rouledge studies in crime and society, 2014.

22. Johnson J.R Targeted advertising and advertising avoidance. Mimeo, Johnson

23. Wakulowsky L. Managing the Privacy Side Effects of Rx (and other) Customer Loyalty Programs // Health Law Bulletin. 2014.

24. Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data / Official Journal of the European Union. L 281/31. Yol. 38, 23 November 1995. (URL: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L: 1995:281: TOC).

25. Regulation of the European Praliament and of the council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (URL: http://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX: 52012PC0011).