Трансграничная передача персональных данных

Размещено на http://www.allbest.ru/

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ

ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ОБРАЗОВАНИЯ

НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ

«ВЫСШАЯ ШКОЛА ЭКОНОМИКИ»

Факультет права

Выпускная квалификационная работа - БАКАЛАВРСКАЯ РАБОТА

по направлению подготовки 40.03.01 «Юриспруденция»

Трансграничная передача персональных данных

Киселева Екатерина Алексеевна

Научный руководитель

Журавлев Михаил Сергеевич

Москва 2020

Введение

Передача информации - часть повседневного взаимодействия, осуществляемого между людьми, сообществами различного уровня и государствами. Часть этой информации всегда составляли данные, которые в современной терминологии можно отнести к категории «персональных данных». Персональные данные различного характера и объема так или иначе передавались на протяжении всей истории человечества. Постепенно с увеличением скорости передачи и возрастанием общего объема хранимых данных возникла техническая возможность и необходимость автоматизировать процессы обработки данных. Последовавшее за этим закономерное развитие технологий, упрощавших обработку персональных данных, их стремительное развитие привели к тому, что вопросам защиты персональных данных (в особенности, в аспекте их трансграничной передачи) начали уделять внимание на международном уровне.

Первоначально защита персональных данных рассматривалась в рамках необходимости обеспечения права человека на неприкосновенность частной жизни. Впервые право на частную жизнь (“righttoprivacy”) было сформулировано американскими юристами в конце XIX века в качестве нового шага на пути защиты прав человека . Примечательно, что уже в 1890 г., обосновывая необходимость выделения права на частную жизнь как самостоятельного права, подлежащего защите со стороны законодателя, юристы указывали на широкое распространениепрактики «торговли данными» о приватной жизни людей: “Gossipisnolongertheresourceoftheidleandofthevicious, buthasbecomeatrade, whichispursuedwithindustryaswellaseffrontery. To satisfy a prurient taste the details of sexual relations are spread broadcast in the columns of the daily paper” . Как видно из приведенного отрывка, право на частную жизнь изначально концентрировалось на защите лица от раскрытия информации (данных) о его приватной жизни, а также от иных попыток вторжения в его частную жизнь. Долгое время “righttoprivacy” было единственным основанием для защиты персональных данных, что, учитывая абстрактность норм и их декларативный характер, практически сводило защиту персональных данных на нет. трансграничный цифровой экономика

Однако развитие технологий, выразившееся, в первую очередь, в активном внедрении компьютеров в 1960-1970 гг., с одной стороны, открыло новые возможности для развития экономики и жизни общества, с другой стороны, возможность без значительных затрат обрабатывать большой объем информации и использовать различные аналитические инструменты для анализа этой информации привели к выделению вопросов защиты персональных данных в качестве самостоятельной проблемы, связанной, но не ограниченной необходимостью обеспечения права человека на частную жизнь.

Из малозначительной и аморфной категории персональные данные постепенно стали привлекательным и необходимым ресурсом для многих отраслей человеческой деятельности, способным при правильной обработке принести значительную прибыль владельцу этой информации. На современном этапе можно говорить о существованииразвитого рынка персональных данных, причем как легального, так и «теневого» (о существовании последнего свидетельствуют, в частности, результаты некоторых крупных утечек персональных данных в банковском секторе и многочисленные предложения о покупке баз персональных данных ), сформировавшемся на локальном (национальном) и международном уровнях.

Активное развитие рынка персональных данных на международном уровне, возникновение новых и усовершенствование существующих технологий передачи данных остро ставят вопрос регулирования трансграничной передачи персональных данных. В законодательстве большинства стран, в том числе и России, требования и ограничения к трансграничной передаче данных не учитывают уровень развития информационных технологий и практику их применения при осуществлении трансграничногообмена данными. Образовавшийся разрыв между формальным, устоявшимся восприятием законодателя и сложившейся практикой приводит к образованию «слепых зон», пробелов в регулировании вопросов передачи персональных данных. Сложившаяся ситуация влечет за собой риски как для государства, так и для граждан.

Регулирование трансграничной передачи персональных данных как на национальном, так и на международном уровне в настоящее время осуществляется по общей схеме: определяются случаи, когда возможна трансграничная передача персональных данных; случаи, в которых такая передача невозможна, а также случаи трансграничной передачи персональных данных, осуществляемой с соблюдением определенных условий. Законодательные изменения в области персональных данных фрагментированы и не актуализируют регулирование трансграничной передачи персональных данных с учетом современных технологий, значительно изменивших процесс передачи данных.

Целью настоящего исследования является определение понятия трансграничной передачи персональных данных с учетом современного уровня развития информационных технологий, а также выявление основных направлений развития регулирования трансграничной передачи персональных данных и ответственности за нарушение установленных требований и ограничений.

Достижение указанной цели требует выполнения ряда задач.

Во-первых, необходимо провести анализ существующего определения понятия «трансграничная передача персональных данных», закрепленного в ст. 12 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 (далее - Федеральный закон «О персональных данных»), выявить критерии трансграничности и определить основные термины, используемые при описании указанных понятий. Также необходимо установить и проанализировать позицию правоприменителя. Далее следует определить, каким образом законодательство стран СНГ, Европейского Союза, СШАопределяет рассматриваемое понятие и провести сравнительный анализ для выявления общих черт и различий.

Во-вторых, на основе сравнительного анализа законодательства Российской Федерации и законодательства иностранных государств стоит задача определить тенденции в сфере регулирования трансграничной передачи персональных данных. Особое внимание будет уделено понятию «адекватности» защиты прав субъектов персональных данных, механизму и критериям ее определения в различных правопорядках.

В-третьих, необходимо проанализировать общие аспекты ответственности за нарушение требований и ограничений, установленных в отношении трансграничной передачи персональных данных.

Для достижения поставленной цели применяются аналитический, сравнительно-правовой и логический методы, а такжеиные общенаучные и отраслевые методы.

Проблематике трансграничной передачи данных в отечественной литературе не уделяется достаточного внимания: ее рассматривают либо в качестве части (не самой значительной) исследования иных проблем в сфере персональных данных, либо же посвящают работы рассмотрению существующих механизмов регулирования трансграничной передачи данных, не затрагивая теоретические аспекты проблематики.

Среди существующей литературы можно выделить «Научно-практический постатейный комментарий к Федеральному закону «О персональных данных» под авторством А. И. Савельева . В указанной работе собраны основные позиции практики и доктрины по вопросу регулирования персональных данных, на основе чего раскрываются положения Федерального закона «О персональных данных». Комментарий к ст. 12 указанного закона («Трансграничная передача персональных данных») дает общее представление о регулировании трансграничной передачи персональных данных в России, а также раскрывает некоторые проблемные аспекты. Стоит также отметить, что значимость рассматриваемой работы для настоящего исследования также заключается в том, что автор рассматривает проблемы обработки и защиты персональных данных через призму информационных технологий, что в значительной степени отвечает целям исследования.

Основные проблемы (чаще всего правоприменительного характера) в области защиты персональных данных рассматриваются современными авторами как в качестве самостоятельного объекта исследования, так и в качестве одного из вопросов более масштабной проблемы.

В качестве базового источника (помимо иной иностранной и отечественной литературы) для проведения сравнительно-правового анализа законодательства и доктрины по вопросу регулирования трансграничной передачи персональных данных на территории Европейского Союза в данной работе используется “HandbookonEuropeanDataProtectionLaw” издания 2018 г. (самая актуальная редакция на данный момент) . Данная работа издана под эгидой Совета Европы и Совета Европы по защите персональных данных и представляет собой анализ положений нормативных актов в сфере персональных данных, действующих на территории ЕС, включая, но не ограничиваясь Общим регламентом по защите персональных данных (GDPR).

Изучение иностранного подхода к определению основных критериев и регулированию трансграничной передачи персональных данных не ограничивается анализом актов ЕС. Среди работ, охватывающих вопросы трансграничной передачи персональных данных на международном и региональном уровнях, стоит выделить следующие: “TransborderDataFlowsandDataPrivacyLaw”,ChristopherKuner ; “TransatlanticDataProtectioninPractice”, RolfH. Weber, DominicStraiger ; “Cross-borderDataTransfersandLocalization”, Asst. Prof. H. Akin Ьnver, GraceKim (Turkey) , и другие работы.

В связи с тем, что отдельное внимание в рамках данного исследования уделяется регулированию трансграничной передачи персональных данных с использованием информационных технологий, в качестве отдельного блока источников можно выделить литературу, рассматривающее вопросы персональных данных на стыке с информационными работами, в частности, стоит отметить статью А. И. Савельева «Проблема применения законодательства о персональных данных в эпоху «Больших данных» (Bigdata)».

Глава I. Трансграничная передача персональных данных в современных условиях

1.1 Понятие трансграничной передачи персональных данных

Первичной задачей исследованияявляется определение сущности трансграничной передачи данных, выявление характерных черт и признаков рассматриваемого процесса. Следует отметить, что понятие трансграничной передачи персональных данных закреплено как на уровне национального законодательства, так и на уровне международных актов. Критический анализ существующих определений и сопоставление их с практической составляющей трансграничной передачи персональных данных позволит выявить сильные и слабые стороны существующих определений и в дальнейшем предложить варианты их адаптации к современным условиям оборота персональных данных.

Впервые на уровне международного акта понятие трансграничной передачи персональных данных было закреплено в Руководстве по защите неприкосновенности частной жизни и трансграничной передаче персональных данных, принятом Организацией Экономического Сотрудничества и Развития (ОЭСР) в 1980 г. (далее - Руководство). Согласно определению, закрепленному в п.1 Руководства, «трансграничная передача персональных данных» означает движение (передачу) персональных данных через национальные границы (“transborderflowsofpersonaldata" meansmovementsofpersonaldataacrossnationalborders). Практически идентично рассматриваемое понятие раскрывается в Конвенции о защите физических лиц при автоматизированной обработке персональных данных 1981 г. (далее - Конвенция 1981 г., Конвенция) В соответствии с п. 1 ст. 12 данной конвенции трансграничная передача персональных данных - это «передача через национальные границы с помощью каких бы то ни было средств» (“thetransferacrossnationalborders, bywhatevermedium” ). Несколько иные формулировки используются в Директиве ЕС 95/46 от 25 октября 1995 г. (далее - Директива ЕС 95/46), в которой трансграничность при передаче персональных данных определяется как передача третьему государству (“toathirdcountry”), то есть государству, не являющемуся члену Европейского Союза, и на территории которого будет производится дальнейшая обработка персональных данных .

Несмотря на то, что Российская Федерация является участницей Конвенции 1981 г., определение понятия «трансграничная передача персональных данных», закрепленное в ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (трансграничная передача характеризуется как передача персональных данных на территории иностранных государств ), несколько отличается от определения, закрепленного в Рекомендациях и Конвенции, и, скорее, приближено к определению, данному в Директиве ЕС 95/46.

Как видно из рассмотренных определений, главным критерием трансграничности при осуществлении передачи персональных данных является пересечение данными территориальных границ государства, их «поступление» на территорию иностранного государства (государства, не являющегося стороной конвенции и т.д.). Несколько иной подход прослеживается в определении и регулировании, содержащихся новом европейском законодательстве.

В 2016 г. общее внимание было приковано к Европейскому союзу в связи с принятием Общего регламента по защите персональных данных , вступившего в силу двумя годами позднее - «25» мая 2018 г. Регламент, помимо прочего, устанавливает регулирование в отношении передачи персональных данных «третьему государству» (государству, не являющемуся членом Европейского союза) или международной организации (“transfers of personal data to third countries or international organisations” ). При этом устанавливается, что передача происходит в ходе осуществляемой обработки или же обработка персональных данных будет осуществлена после их передачи. С одной стороны, закрепленное в Регламенте определение не идет вразрез с рассмотренными ранее положениями международных актов и национального законодательства и продолжает заложенную традицию определения трансграничности в самом буквальном смысле - через пересечение данными государственных границ (более того, более детальное рассмотрение п. 1 ст. 45 Регламента указывает на то, что для регулирования трансграничной передачи имеет особое значение, на какую именно территорию осуществляется передача, в том числе, на какую именно территорию в границах конкретного государства). С другой стороны, наравне с третьим государством и государственной границей в качестве признака трансграничности передачи персональных данных введенамеждународная организация. К ней в рамках регулирования применяются все требования, предъявляемые к регулированию защиты персональных данных в «третьем государстве». При этом очевидно, что при передаче персональных данных «третьему государству» речь идет о передаче данных конкретному субъекту, постоянно или преимущественно осуществляющему свою деятельность на территории иностранного государства, требования, устанавливаемые в отношении «третьего государства» косвенно направлены на реципиента данных через требования, устанавливаемые в отношении государственного регулирования. В то же время, в отношении международных организаций требования Регламента направлены напрямую на регулирование обработки персональных данных внутри организации. В отношении этого субъекта вопрос о территории, на которой осуществляется обработка персональных данных, уже не ставится, то есть персональные данные теоретически могут и не покидать территории Европейского союза, но на их передачу международной организации все еще будут распространяться требования главы V Регламента. Следовательно, помимо стандартного и хорошо известного критерия трансграничности Регламент вводит также субъективный критерий, регулятивно приравнивая международные организации с государствами, не являющимися членами Европейского союза. Субъективный критерий (или подход) можно охарактеризовать следующим образом: трансграничной считается передача определенной группе субъектов (в данном случае - международной организации).

Таким образом, можно сделать вывод, что в настоящий момент основным критерием, определяющим «трансграничную передачу данных», является передача персональных данных на территорию иностранного государства, пересечение данными государственных границ. На практике существует также подход, позволяющий выделить определенных субъектов, передача данных которым, несмотря на возможное отсутствие пересечения персональными данными государственных границ, считается трансграничной. Каждый из существующих подходов в разной степени влияет на регулирование трансграничной передачи персональных данных.

Стоит отметить, что описанный ранее субъективный подход к определению понятия трансграничной передачи персональных данных, применяемый для выделения конкретных субъектов, является определенным новшеством. Большинство актов, принятых на международном и национальном уровнях, оперируют определениями, закрепленными в Рекомендациях 1980 г. или Конвенции 1981 г. При этом механизм и принципы регулирования могут значительным образом различаться, подчас делая бессмысленным содержание закрепленного определения.

Как мы видим, понятие трансграничной передачи персональных данных, сформулированное в начале 1980-х гг. сохранилось до 2020 г. практически без изменений. Однако, как отмечалось ранее, процесс обмена информацией с доступностью информационных технологий значительным образом изменился не только с точки зрения скоростей, возможностей и объема передаваемой информации, но и с точки зрения механизмов передачи. Понятийный аппарат и основы регулирования трансграничной передачи данных при этом практически не претерпели изменений, в связи с чем возникает вполне разумный вопрос: соответствует ли легальное определение трансграничной передачи данных действительности и есть ли необходимость в его изменении?

1.2 Понятие трансграничной передачи данных в условиях цифровой экономики

Некоторые ученые вполне обоснованно ставят под сомнение закрепленное в настоящий момент определение и актуальность доминирующего критерия трансграничного характера при передаче персональных данных . С учетом развития информационных технологий, признания значимости информации для функционирования современного общества, а также ввиду активного развития концепции цифровой экономики вполне логичным, на наш взгляд, было бы поставить вопрос о пересмотре существующего понятия трансграничной передачи персональных данных. Однако, несмотря на значительные изменения, произошедшие в сфере информационных технологий с момента закрепления первого определения трансграничной передачи персональных данных,законодатель так и не внес существенных изменений в понятие трансграничной передачи персональных данных.

Стоит также отметить, что вопросу рассмотрения актуальности существующих на данных момент определений трансграничной передачи персональных данных, на наш взгляд, уделяется недостаточно внимания в научной литературе. В основном, фокус исследования смещён на вопросы о необходимости ограничений, установления содержания понятия «адекватности» относительно уровня защиты персональных данных в той или иной юрисдикции. Однако фокусировка на регулятивных аспектах трансграничной передачи данных ведет к тому, что от внимания исследователей ускользают некоторые проблемы базового, фундаментального характера. В частности, существующие легальные определения, закрепленные на международном и национальном уровнях, раскрывая понятие трансграничной передачи персональных данных, характеризуют процесс передачи персональных данных без учета современного уровня развития информационных технологий, что, на наш взгляд, снижает эффективность регулирования. Существующийподход к определению трансграничной передачи персональных данных был вполне логичен и объясним в 1980-х, 1990-х и даже начале 2000-х гг., когда передача персональных данных посредством информационных технологий имела значительные ограничения, а широко используемые в настоящее время облачные сервисы еще не так прочно вошли в повседневное использование.

Попробуем рассмотреть понятие «трансграничная передача персональных данных» последовательно, дав пояснения относительно каждой его части. Начнем с понятия «персональные данные». В связи с тем, что контекст данной работы не предполагает углубленного рассмотрения категории персональных данных и, учитывая обилие проблем и спорных аспектов в вопросе определения состава персональных данных, предлагаем удовлетвориться определением, сформулированном в Конвенции 1981 г.: «персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъекте данных)». Наибольший интерес для целей данной работы представляет словосочетание «трансграничная передача».

Начнем с определяющего, на наш взгляд, критерия, а именно - трансграничности. Как видно из приведенных определений и поверхностного морфологического анализа, основной смысл понятия раскрывается через однокоренное слово «граница». Действительно, пересечение национальной или государственной границы является определяющим фактором, отделяющим иную передачу персональных данных (внутри страны) от трансграничной. И, опять же, как отмечалось ранее, в 1980-е гг. XX в. подобная фокусировка на пересечении границ обуславливалась спецификой передачи персональных данных и ограниченным использованием информационных технологий. Так, отмечается, что процессы передачи персональных данных в момент принятия рассматриваемого определения характеризовались «линейностью и предсказуемостью» . Однако в настоящее время передача персональных данных осуществляется преимущественно (если не полностью) с использованием информационной сети «Интернет» и иных информационных технологий. Интернет является глобальной сетью, его ресурсы, за некоторыми исключениями, доступны в любой точке земного шара. Сеть «Интернет» построена таким образом, что при отправке простого электронного письма конкретному адресату информация может пройти через большое число сетей . С учетом специфики Интернета определить, о пересечении каких границ идет речь при характеристике передачи персональных данных, довольно-таки трудно. Виртуальное пространство сети «Интернет» не имеет прямой связи с географо-политической границей государства. Также привязка к доменному имени в данном случае также не имеет значения, так как в соответствии с действующей системой регистрации доменных имен домен верхнего уровня (TLD) не зависит от государства резидентства владельца доменного имени. В таком случае определить, что является «передачей персональных данных на территорию другого государства», и установить факт пересечения персональными данными границ государства представляется затруднительным. Полагаем, что для определения характера трансграничности при передаче персональных данных в рамках существующего определения необходимо установить определенные «ориентиры» или же технические характеристики, которые позволят установить факт пересечения данными границ, пусть даже и условных.

С учетом изменений, внесенных в ст. 18 Федерального закона «О персональных данных» , можно было бы предположить, что подобным «ориентиром» может служить сервер, а трансграничность передачи данных в таком случае проявляется в передаче персональных данных на сервер, расположенный на территории иностранного государства. Таким образом, факт пересечения границ соотносится с фактом поступления данных на определенный сервер и регулирование такой передачи персональных данных зависит от государства расположения принимающего сервера. Подобные ситуации весьма логично вписываются в закрепленные в настоящий момент определения трансграничной передачи персональных данных и, прибегая к определенной привязке (место нахождения сервера), не требует внесения изменений в действующие акты. Однако было бы излишним упрощением полагать, что все операции по передаче персональных данных осуществляются посредством направления информации из точки «А» в точку «Б», то есть сохранили свою линейность.

Можно представить множество ситуаций, в которых персональные данные попадают в распоряжение иностранных субъектов, ведущих деятельность на территории иностранного государства, не покидая «домашнего» сервера. Такая передача с точки зрения легальных определений вряд ли может считаться трансграничной. В данном случае существует большая вероятность того, что нормы о трансграничной передаче персональных данных не будут распространяться на подобного рода передачу и, следовательно, существует риск нарушения прав субъектов персональных данных. Для того, чтобы комплексно рассмотреть данную проблему стоит обратить внимание на последнее, столь непримечательное для многих, но существенное слово - «передача».

Термин «передача» относительно темы настоящей работы также требует разъяснений, так как остается множество вопросов о том, что считать и не считать передачей персональных данных . Продолжая рассуждения, описанные выше в отношении термина «трансграничность», отметим, что пересечение границ государства материальным объектом - вполне понятная и контролируемая операция, однако пересечение государственных (национальных) границ персональными данными в условиях активного и уже повседневного применения информационных технологий составляет некоторую фикцию, так как использование глобальных сервисов и ресурсов, доступных в большинстве стран мира, а также внедрение облачных технологий не всегда позволяет говорить о передаче персональных данных в буквальном смысле. Как отмечает Кристофер Кунер со ссылкой на Инспектора ЕС по вопросам защиты персональных данных (European Data Protection Supervisor или EDPS) , указанные определения характеризуют передачу персональных данных как некий акт, в совершении которого задействовано определенное лицо, запускающее передачу персональных данных за пределы территории государства . Однако в настоящий момент современные технологии, в частности, уже упоминавшиеся облачные технологии (сервисы, вычисления) позволяют сделать персональные данные доступными (предоставить доступ к данным) для лиц, находящихся или ведущих свою деятельность на территории других стран.

Законодатель как на национальном, так и на международном уровне до сих пор не до конца учел тот факт, что автоматизированная обработка персональных данных, пускай и осуществляется с участием человека, однако постепенно это участие минимизируется и концентрируется на принятии наиболее важных решений. В условиях обработки большого количества персональных данных человек активно принимает участие в создании системы обработки, определяя ее основные параметры (цели обработки, сроки, состав обрабатываемых персональных данных и так далее), впоследствии участие человека может требоваться только в определенных критических ситуациях, выделяемых автоматизированной системой. Передача персональных данных от одного оператора другому или же от оператора к обработчику (в терминологии GeneralDataProtectionRegulation) перестает быть волевым актом определенного физического лица, направляющего или же передающего данные другому субъекту, и может не находится под каждодневным контролем «направляющего» субъекта. Также персональные данные могут получаться адресатом самостоятельно напрямую от передающего субъекта в случае первичного согласования условий такой «передачи». Возможно представить множество вариантов взаимодействия, при котором персональные данные попадают в распоряжение некоторого субъекта, на которого в силу различных обстоятельств законодательство государства резидентсва передающего субъекта не распространяется либо распространяется лишь в части. В таком случае «передача» в буквальном толковании уже не совсем корректно характеризует процессы, протекающие на практике, что ставит вопрос о целесообразности применения существующего понятия в том виде, в котором в настоящий момент оно закреплено в большинстве международных актов.

Логичный выход из сложившейся ситуации - расширение существующего сейчас легального определения с учетом современных информационных технологий и их влияния на передачу персональных данных, в частности предлагается расширить определение, включив в него помимо передачи еще и предоставление доступа к персональным данным . Однако для того, чтобы расширение определения подобным образом не привело к еще большей неопределенности, необходимо определить круг субъектов, передача или предоставление персональных данных которым является трансграничной передачей.

Для определения круга субъектов, передачу или раскрытие персональных данных которым следует в современных условиях считать трансграничной, предлагаем обратиться к теории международного частного права и регулированию схожих правоотношений. Так, при определении круга иностранных лиц, на которых распространяется действие ч. 5 ст. 18 Федерального закона «О персональных данных», применяется критерий направленности деятельности по аналогии с положениями ст. 1212 Гражданского кодекса Российской Федерации, данный критерий также закреплен в некоторых актах Европейского союза . Данный критерий, на наш взгляд, возможно и необходимо применить для определения трансграничной передачи персональных данных, так как он позволит наиболее точно отразить существующие практики трансграничной передачи персональных данных и расширить круг субъектов, передача персональных данных которым будет считаться трансграничной.

Таким образом, в случае пересмотра закрепленного в настоящий момент определения трансграничной передачи данных трансграничность можно раскрыть как передачу и (или) предоставление доступа к персональным данным субъектам, чья деятельность направлена на территорию иностранного государства, а также передача персональных данных международным организациям.

Подобное изменение, на первый взгляд, незначительно меняет суть легального определения, лишь дополняя и перефразируя его, но в то же время расширение круга лиц, передача данных которым является трансграничной, приведет к тому, что ограничения, установленные в отношении трансграничной передачи персональных данных, распространятся наюридических лиц, учрежденных в Российской Федерации и осуществляющих свою деятельность преимущественно на территории иностранных государств. Отнесение данных юридических лиц к «иностранному элементу» для целей трансграничной передачи персональных данных, с одной стороны, позволяет распространить требования законодательства на те случаи, когда передача персональных данных внутри одного юридического лица осуществляется посредством загрузки персональных данных в специализированные информационные системы компании, в результате чего данные поступают в распоряжение юридических лиц, осуществляющих деятельность на территории иностранных государств. С другой стороны, могут возникнуть опасения, что внесение подобных изменений влекут за собой установление дополнительных требований и ограничений в отношении обмена информацией, что может иметь негативные экономические последствия для участников оборота, а также необоснованно ограничить право на свободный обмен информацией, и,в связи с этим к подобным изменениям и их целесообразности необходимо отнестись с особым вниманием и осторожностью.

Представляется, что, несмотря на значительные сложности, существующие сейчас в связи с попытками установитьбаланс между интересами развивающейся цифровой экономики и правом на неприкосновенность частной жизни, предложенное в настоящей работе изменение рассматриваемого понятия позволит не только объективно отразить существующую практику, но также благотворно повлияет на регулирования трансграничной передачи персональных данных. Актуализация основ и формулирование универсального определения, отражающего современный уровень информационных технологий и скорость обмена информацией, позволит в дальнейшем построить более эффективную и отвечающую запросам социальной практики модель регулирования.

Глава II. Регулирование трансграничной передачи персональных данных: подходы, ограничения, цели

2.1 Подходы к регулированию трансграничной передачи персональных данных

Для дальнейшего раскрытия понятия трансграничной передачи персональных данных следует обратиться к регулированию данного процесса. Как отмечалось ранее, легальные определения рассматриваемого понятия, закрепленные в различных актах, практически не отличаются друг от друга и в качестве основополагающего критерия для определения трансграничного характера передачи персональных данных выделяют пересечение данными границ государства. В связи с этим может возникнуть предположение, что основные принципы регулирования трансграничной передачи персональных данных также сформировались в виде единого стандарта, повторяющегося с некоторыми изменениями из акта в акт на различных уровнях регулирования. Однако практика опровергает это предположение.

Несмотря на попытки сформировать единое понимание трансграничной передачи персональных данных, на практике сложилось несколько подходов к регулированию трансграничной передачи персональных данных, применяемых в международных актах и национальном законодательстве. В научных работах выделяют два основных подхода к регулированию трансграничной передачи персональных данных: географический (geographically-based) и организационный (organizationally-based) . Критерием для выявления указанных подходов выступает адресат основных требований, предъявляемых в связи с осуществлением трансграничной передачи персональных данных, а также механизм определения трансграничной передачи, не нарушающей права субъектов персональных данных. То есть при регулировании трансграничной передачи помимо определения круга требований к осуществлению данного процесса также устанавливается тот, кому направлены устанавливаемые требования (где должен быть установленный уровень правовой охраны прав субъектов персональных данных, где должны быть внедрены соответствующие политики и т.д.). Именно адресат требований определяет, какого подхода придерживается то или иное государство (участники международного договора). При этом различный адресат установленных требований определяет механизм выявления «безопасной» передачи персональных данных. Стоит отметить, что данные подходы не проводят фундаментальных различий между существующими определениями понятия «трансграничная передача персональных данных», фокусируясь на методах и механизмах регулирования (отвечают на вопрос «как?»). Однако приводимых особенностей регулирования достаточно, чтобы выделить особенности легальных определений. Рассмотрим каждый из этих подходов подробнее.

1.2.1 Географический подход

Географический подход, пожалуй, можно назвать наиболее распространенным и широко применяемым в национальном законодательстве и актах международного характера. Регулирование трансграничной передачи в данном случае основывается на стандартах защиты персональных данных в государстве, на территорию которого передаются персональные данные. Это, в свою очередь, означает установление определенного уровня или эталона защиты персональных данных в государстве-адресате данных, а также воплощение этих стандартов на практике . При этом регулирование предполагает установление ряда ограничений трансграничной передачи персональных данных, только при условии соблюдения которых возможна трансграничная передача персональных данных.

Географический подход к регулированию трансграничной передачи персональных данных напрямую связан с установлением так называемого «адекватного уровня защиты персональных данных». Вне зависимости от применяемой терминологии («такая же (эквивалентная) защита» , «соответствующий уровень защиты» , «уровень защиты, эквивалентный уровню, установленному настоящим законом» , «идентичные принципы защиты персональных данных» и пр.) сущность географического подхода сводится к следующим основным составляющим: (1) установление уровня защиты персональных данных, который должен обеспечиваться государством (реже - организацией), на территорию которого осуществляется передача персональных данных; (2) определение уполномоченными государственными органами соответствия установленной и осуществляемой в конкретном государстве системе регулирования защиты персональных данных «адекватному» уровню; (3) утверждение списка государств, прошедших соответствующую проверку и соответствующих установленному «адекватному» уровню защиты.

Процесс определения наличия «адекватного» уровня защиты в конкретном государстве, как и содержание критерия «адекватности» урегулированы в существующих актах с различной степенью детализации. Так, законодательством Российской Федерации указывается на необходимость обеспечения иностранным государством «адекватной защиты прав субъектов персональных данных» , законом к государствам с «адекватной защитой» отнесены государства-участники Конвенции 1981 г., а также иные иностранные государства, включенные в перечень, утвержденным уполномоченным органом . Законом не установлены критерии «адекватной защиты», отсутствуют также и подзаконные акты, регламентирующие процедуру включения иностранного государства в упомянутый перечень, Роскомнадзор также указывает на отсутствие законодательно закрепленных единых критериев «адекватной защиты» .

Данные критерии, однако, выработаны правоприменителем и фактически применяются им на практике, о чем могут свидетельствовать сообщения Роскомнадзора . К таким критериям, в частности, относят: «наличие в государстве комплексного нормативного правового акта, регулирующего сферу персональных данных, наличие в стране уполномоченного органа по защите прав субъектов персональных данных и системы санкций, предусмотренной за нарушение требований законодательства в этой области» .Несмотря на наличие подтверждения того, что уполномоченным органом используются указанные критерии, они не были закреплены в подзаконных нормативных актах и применяются неформально.

Отсюда можно сделать вывод, что закрепленное в российском законодательстве требование об «адекватной защите» по отношению к иностранному государству носит абстрактный характер, а включение государства в соответствующий перечень происходит с применением неформальных критериев, выработанных правоприменителем на практике, исходя из базового требования о наличиив иностранном государстве законодательства о защите прав субъектов персональных данных.

В противоположность абстрактному закреплению требования об «адекватной защите», наблюдаемому в российском законодательстве, в актах Европейского союза можно обнаружить более четкие критерии, установленные для регулирования сферы персональных данных в государстве для возможности признания его уровня защиты «адекватным». Критерии, закрепленные в законодательстве ЕС, отличаются степенью детализации: от общих требований до установления своеобразных алгоритмов и даже чек-листов. Для последующего анализа необходимо рассмотреть критерии «адекватности», закрепленные в Общем регламенте, как наиболее современные, а также практику Еврокомиссии по признанию государства в качестве обеспечивающего «адекватную защиту» прав субъектов персональных данных.

В отличие от процедуры, применяемой в России, процесс принятия Еврокомиссией решения о включении государства в перечень стран, обеспечивающих «адекватную защиту» прав субъектов персональных данныхпроходит с большей степенью открытости и предполагает подробное информирование общественности о результатах проведенного анализа иностранного законодательства и правоприменительной практики. По итогу анализа законодательства и принятия решения на официальном сайте Еврокомиссии публикуются Adequacydecisions , содержащие краткие результаты исследования, проведенного в соответствии с требованиями Общего регламента. Эта особенность позволяет предоставляет возможность более детально рассмотреть применяемые Европейским союзом критерии «адекватности» и оценить их релевантность.

Стоит отметить, что п. 2 ст. 45 Общего регламента непосредственно не устанавливает четких критериев «адекватности», но отмечает, на что Еврокомиссия должна обратить внимание при принятии решения относительно «адекватности» или «неадекватности» регулирования в определенном государстве. Первый элемент анализа - общий уровень регулирования и развитость правовой системы в целом (верховенство закона, признание прав и свобод человека, наличие законодательства, регулирующего определенные сферы, в частности законодательства о защите персональных данных; особую роль играет наличие механизмов защиты прав субъектов персональных данных). Второй элемент - наличие уполномоченного органа в сфере защиты персональных данных, который осуществляет контроль за исполнением соответствующего законодательства, оказывает помощь и поддержку субъектов персональных данных, а также может вступить во взаимодействие с соответствующими органами в государствах-членах ЕС. Третий и последний элемент, закрепленный в Общем регламенте - принятие государством обязанностей в соответствии с международными актами различного уровня, в частности в вопросах защиты персональных данных.

Опубликованное«решение об адекватности» содержит своеобразный чек-лист, который находится в рамках, установленных требованиями п. 2 ст. 45 Общего регламента, но раскрывает и детализирует их, концентрируясь на вопросах защиты персональных данных. По своему содержанию «решение об адекватности» представляет собой подробный отчет о проведенном анализе, содержащий характеристику всех ключевых положений иностранного законодательства о защите персональных данных, на основании которых принято соответствующее решение. Так, в качестве примера разберем решение Еврокомиссии, принятое в отношении Японии .

Критерии, позволившие Еврокомиссии признать Японию государством, обеспечивающим «адекватную защиту» прав субъектов персональных данных, можно условно разделить на две группы: политико-правовой критерий и содержательный. Политико-правовой критерий - изменения в законодательстве Японии, его модернизация, последовавшая за заключением соглашений с Еврокомиссией. Согласно данным, предоставленным в решении, Япония устранила ранее существовавшую брешь в вопросах регулирования трансграничной передачи персональных данных, приняв Дополнительные правила (“theSupplementaryRules”), распространяющие свое действие исключительно на данные, поступающие из Европейского союза. Можно предположить, что изменение регулирования и заключение соответствующих соглашений послужило основанием для проведения проверки регулирования Японии и последующего принятия решения об «адекватности» защиты персональных данных в данном государстве.

Вторая группа - критерии содержательного характера. Еврокомиссией проведен тщательный анализ законодательства Японии в сфере персональных данных: от конституционных гарантий и легального определения персональных данных до конкретных вопросов защиты субъектов персональных данных, их прав и гарантий. Помимо общего соответствия базового регулирования в части соотношения понятий и наличия общего понимания различных категорий персональных данных, Еврокомиссия обратила особое внимание на то, какие гарантии, предоставляемые субъектам персональных данных на территории Европейского союза, сохраняются за ними при передаче данных в Японию. К числу этих гарантий относится обработка персональных данных для целей, ради которых была совершена трансграничная передача, притом обработка осуществляется в пределах и в срок, необходимый для достижения установленной цели и т. д. Также в Решении указывается на сохранение за субъектами прав по отношению к их персональным данным, эквивалентным правам, предусмотренным Общим регламентом (в частности право на доступ к своим персональным данным, право быть информированным о целях обработки персональных данных; право на исправление и удаления неточных персональных данных). Последним содержательным критерием, раскрытым в Решении, является наличие в Японии компетентных органов по защите прав субъектов персональных данных, а также механизмов защиты прав субъектов в случае их нарушения (как в административном, так и в судебном порядке).

Таким образом, анализ, проводимый Еврокомиссией, затрагивает два аспекта, соответствующих ранее рассмотренным группам критериев: (1) наличие политической и(или) экономической связи с государством, то есть наличие заключенных и исполняемых международных договоров, как двусторонних (в случае с Японией речь шла о Торговом соглашении, заключенном между Японией и Европейским союзом), так и многосторонних (в этой связи государствами, обеспечивающими адекватный уровень защиты персональных данных по умолчанию признаются участники Конвенции 1981 г.); наличие устойчивой политической и(или) экономической связи свидетельствует о наличии каналов и механизмов взаимодействия государств и уполномоченных органов, что, в свою очередь, позволяет говорить о наличии реальной возможности оказать влияние на обеспечение защиты прав субъектов персональных данных, прийти к соглашению в данной сфере; (2) положение субъектов персональных данных существенным образом не ухудшается на территории рассматриваемого государства по сравнению с их положением на территории государства, рассматривающего вопрос об «адекватности» защиты; при рассмотрении данного вопроса Еврокомиссия фокусируется на совпадении базовых понятий, наличии фундаментальных прав субъекта персональных данных и соответствующих гарантий, а также функционирования механизмов защиты этих прав; представляется, что законодательство государства, в отношении которого принимается решение, не должно полностью копировать положение актов Европейского союза (в данном случае - Общего регламента), но права субъектов не могут существенным образом ухудшаться. Таким образом, «адекватность» характеризуется наличием каналов взаимодействия между государствами, а также общим совпадением стандартов защиты субъектов персональных данных в этих государствах.

Критерии «адекватности», применяемые в Европейском союзе в целом, на наш взгляд, совпадают с критериями, неформально применяемыми Роскомнадзором. Однако отсутствие закрепления и раскрытия критериев «адекватности» в российском праве, принятие решения о включении/исключении государства из утверждаемого Роскомнадзором перечня без достаточного обоснования, на наш взгляд, создает угрозу правовой определенности. Безусловно, вне зависимости от детализации критериев и степени публичности принятия «решения об адекватности» процесс включения государства в рассматриваемый перечень невозможно оградить от влияния политики, однако отсутствие четких критериев создает неопределенность и может затруднить не только внутреннее регулирование, но и взаимодействие с иностранными государствами по вопросам трансграничной передачи персональных данных.

Таким образом, критерии «адекватности», принятые в Европейском союзе, а также процедурные аспекты принятия «решения об адекватности», на наш взгляд, позволяют объективно оценить уровень защиты прав субъектов персональных данных в конкретном государстве, а также способствуют установлению большей правовой определенности в вопросе принятия «решения об адекватности». Полагаем, что имплементация критериев, подобных действующим в европейском законодательстве, в российское право позволит не только устранить имеющийся в настоящий момент пробел в законодательном регулировании, но также может послужить шагом к последующей гармонизации законодательства в сфере персональных данных. При этом фактическое применение схожих критериев, наблюдаемое сегодня в практике Роскомнадзора, позволит провести соответствующие изменения наиболее безболезненно для правоприменительных органов. Также публичное размещение результатов анализа законодательства иностранного государства не только будет способствовать выполнению просветительской и образовательной функции правоприменительного органа, но также повысит уровень доверия к нему со стороны участников оборота.

1.2.2 Организационный подход

Организационный подход к регулированию трансграничной передаче персональных данных не так широко распространен, как описанный ранее географический, однако такой подход закреплен в некоторых международных актах, а также нашел отражение в национальном законодательстве ряда государств.

Данный подход, в отличие от географического, не концентрируется на уровне законодательного регулирования защиты прав субъектов персональных данных в конкретном государстве, но рассматривает меры, принимаемые передающей и принимающей стороной. При этом под стороной имеются ввиду организации, передающие и принимающие персональные данные. Каждая из сторон такой передачи должна, согласно рассматриваемому подходу, обеспечивать установленный законодательством уровень защиты персональных данных, при этом не рассматривается вопрос включения государства, на территорию которого осуществляется трансграничная передача персональных данных, в перечень, не рассматривается вопрос анализа законодательства государства-импортера данных. Ответственность за защиту персональных данных напрямую возлагается на участников трансграничной передачи без установления дополнительных требований по отношению к законодательству, что в корне отличается от географического подхода, опирающегося на понятие «адекватной защиты».

Как и в случае с географическим подходом, в организационном подходе также можно выявить центральное понятие, которое можно перевести на русский язык как «индивидуальная ответственность» (accountability). Принцип индивидуальной ответственности можно обнаружить в актах различного уровня, в частности он закреплен в пар. 14 Руководства ОЭСР , пар. 9 APECPrivacyFramework , а также является одним из основных принципов защиты персональных данных, установленным Законом о защите персональных данных и электронных документов (Personal Information Protection and Electronic Documents Act (PIPEDA)) , действующим на территории Канады.

Наиболее ярко содержание указанного принципа просматривается на примере законодательства Канады. Согласно Руководству , выпущенному уполномоченным по защите персональных данных (thePrivacyCommissionerofCanada), в отличие от законодательного регулирования, построенного на принципе «государство-государству» (географический подход в терминологии Кристофера Кунера), законодательство Канады построено по принципу «организация-организации» (организационный подход) и не применяет понятие «адекватной защиты». Законодательством Канады не установлен запрет передачи персональных данных организации, находящейся в другой юрисдикции, вместо этого действует общий принцип индивидуальной ответственности, согласно которому организация несет ответственность за защиту обрабатываемых персональных данных (включая данные, переданные третьим лицам). В данном примере основным способом обеспечения защиты прав субъектов персональных данных являются договорные условия и иные средства, которые оператор обязан предпринимать для обеспечения соответствующего уровня защиты персональных данных при их передаче третьим лицам. При этом отдельно можно подчеркнуть, что организационный подход, в отличие от географического, практически не различает передачу данных внутри государства и трансграничную передачу, а принцип индивидуальной ответственности действует безотносительно границ государства и направления передачи данных.