Правовой режим регулирования информационных отношений

К примеру, как отмечается некоторыми исследователями Харитонова Ю.С. Контекстная (поведенческая) реклама и право: точки пересечения // Право в сфере интернета (ред.: Рожкова М.А.). 2018.^, Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. 2-е изд. М.: Статут. 2016., сбор данных о сессиях с пользовательских устройств вряд ли можно расценивать как сбор информации в контексте законодательства персональных данных. Однако, следуя правоприменительной практике Апелляционное определение Московского городского суда от 16.09.2015 по делу N 33-30344/2015. и толкованию статьи 23 Конституции РФ, субъекты, предоставляющие какие-либо услуги в сети Интернет и использующие пользовательские данные в своих интересах, как в примере с ООО «Гугл», должны соблюдать конституционные права граждан вне зависимости от того попадают ли пользовательские данные в категорию персональных данных.

Так, как отмечает Ларионова В.А. Ларионова В.А. Указ. соч., основной правовой статус для таких субъектов будет «обладатель информации», понятие, закрепленное в статье 6 Закона «Об информации». Действительно, субъекты хозяйственных отношений в сети Интернет получают пользовательские данные на вполне законных основаниях - в пользовательских соглашениях обычно установлены даже категории собираемых данных: IP-адреса, местоположение, длительность сессии, и другие данные. Обладатели информации имеют право распоряжаться информацией по своему усмотрению, передавать её другим лицам и защищать установленными законом способами свои права. Вместе с этим, возникает и ряд обязанностей, таких как, к примеру, уже упомянутая обязанность соблюдать права и законные интересы иных лиц.

В том случае, если сбору подлежат персональные данные, такие субъекты приобретают статус операторов персональных данных со всеми вытекающими из него обязанностями. При этом, большинство веб-сервисов, предоставляющих пользователю возможность персонализации предоставляемых услуг путем создания личного кабинета, попадают под регулирование законодательством о персональных данных. Зачастую, информация, которая необходима для регистрации, составляет лишь малую часть от информации в массивах больших пользовательских данных (так, в некоторых моделях может насчитываться более 7000 переменных Харитонова Ю.С. Указ. соч.), однако является той нитью, через которую возможно сопоставление собранной информации с определенной реальной личностью: речь идет об электронных адресах, идентификаторах пользователя, телефонных номерах, адресах, данных банковских карт и иной информации, так или иначе проявляющей свое существование и в реальном мире и в мире виртуальном.

Основной чертой правового статуса оператора персональных данных является необходимость предоставления субъектам персональных данных информации о целях, методах обработки, категориях обрабатываемых персональных данных, третьих лицах, которым могут быть переданы персональные данные, иными словами, обеспечить ясность и прозрачность обработки персональных данных. В пункте 4 статьи 18 Закона «О персональных данных» выделяется такой случай освобождения оператора персональных данных от обязанности предоставления субъекту вышеуказанных сведений, как получение персональных данных, сделанных субъектом общедоступными, из общедоступного источника. Как отмечают исследователи, комментирующие указанный Закон Гафурова А.Х., Доротенко Е.В., Контемиров Ю.Е. и др. Федеральный закон «О персональных данных»: Научно-практический комментарий (постатейный). (ред.: Приезжева А.А.) М.: Редакция «Российской газеты». 2015. Вып. 11., вопрос общедоступности персональных данных и их использования неограниченным кругом лиц тесно связан с различными интерактивными сервисами, социальными сетами, базами данных, находящимся в общем доступе. При этом, у граждан зачастую отсутствует возможность адекватной защиты, так как все споры сводятся к положениям пользовательских соглашений, устанавливающих право неограниченного круга лиц получать доступ к персональным данным граждан.

Важной обязанностью оператора персональных данных является также необходимость обеспечения локализации данных, то есть обработки персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. В этой связи опять же возникает ряд проблем, связанных не только с широтой понятия «персональные данные», но также и с невозможностью при обработке огромных массивов информации достоверно определить принадлежность тех или иных данных российскому гражданину. На существование подобного затруднения указывал Савельев А.И. Савельев А.И. Законодательство о локализации данных и его влияние на рынок электронной коммерции в России // Закон. 2014. N 9., критически анализируя указанные положения Закона.

Еще один правовой статус, возникающий у субъектов в связи со сбором и обработкой больших пользовательских данных - это уже описанный статус изготовителя базы данных и соответствующие ему права по ограничению использования материалов такой базы другими лицами. Так, важной вехой в развитии правового регулирования больших пользовательских данных и субъектов-участников рынка этих данных является активно обсуждаемое дело ООО «Вконтакте» против ООО «Дабл» и АО «НБКИ». На момент написания настоящего исследования, Девятым Арбитражным Апелляционным судом было вынесено постановление об отмене отказного решения первой инстанции и принятии нового судебного акта, которым были удовлетворены требования истца о признании действий ООО «Дабл» по извлечению информационных элементов и базы данных пользователей социальной сети «Вконтакте» нарушением исключительных прав ООО «Вконтакте» как изготовителя базы данных пользователей и обязании ответчика прекратить извлечение и использование информационных материалов. Постановление 9ААС от 06.02.2018 по делу А40-18827/2017. Указанное постановление было обжаловано в Суд по интеллектуальным правам. Рассмотрение дела назначено на 22 мая 2018 Определение Суда по интеллектуальным правам от 17.04.2018 по делу А40-18827/2017.. Судом апелляционной инстанции было обращено внимание на то, что истцом были понесены значительные затраты для организации и поддержки функционирования дата-центра, обслуживающего базу данных пользователей социальной сети. Однако при этом, формулировка «извлечение информационных элементов из базы данных» представляется весьма широкой, так как технически, любое взаимодействие с веб-сервисом в сети Интернет предполагает извлечение информационных элементов из базы данных владельца этого сервиса. Хотя такое противоречие и присутствует, ясным кажется подход суда к определению подобных действий как нарушения исключительного права, так как они имели более масштабный характер по сравнению с рутинным использованием ресурсов социальной сети.

Большие пользовательские данные - это сложный объект, вмещающий в себя множество категорий информации с различными правовыми режимами, которые могут проявлять себя в зависимости от контекста и использования. Большие пользовательские данные существуют на стыке общедоступной информации, информации о частной жизни гражданина и персональных данных, но при этом окончательно не попадают ни под один из режимов. В условиях развития цифровой экономики и при наличии тех смелых целей, к которым стремится законодатель, очень важно соблюдать баланс между защитой тайны личной жизни граждан и интересами государства и экономических субъектов.

Как указывают многие зарубежные исследователи, возрастающее влияние больших данных (в которые автор настоящего исследования включает и большие пользовательские данные) на экономику неизбежно влечет стирание границ частной жизни. Chirita A.D. The Rise of Big Data and the Loss of Privacy // Competition, Consumer Protection and IP Law - Towards a Holistic Approach? (eds.: Bakhoum M., Gallego C. B., Mackenordt M.-O., Surblyte, G.) Berlin: Springer. 2018 (Forthcoming).

Таким образом, в целях эффективного функционирования новой экономики и её эффективного правового регулирования следует избавиться от существующего правового вакуума в отношениях по поводу больших пользовательских данных путем внесения изменений в существующее законодательство об информации и персональных данных. Возможные подходы к таким изменениям, с учетом публичных, коммерческих, а также общественных интересов, являются предметом анализа в третьей главе настоящей работы.

Глава V. Соотношение интересов в регулировании

Подход ЕС и США к регулированию данных

ЕС

Как уже было выяснено в предыдущих главах настоящего исследования, большие пользовательские данные являют собой весьма сложный объект, содержащий в себе данные, которые в зависимости от контекста и условий обработки могут выступать как персональные данные, содержать сведения, относящиеся к личной и семейной жизни гражданина, а также множество иных данных. В современных условиях, с учетом возрастающего темпа технологического прогресса, который в свою очередь затрагивает сбор, обработку и оборот данных, границы, лежащие между режимами перечисленных видов информации, постепенно стирается.

Войниканис Е.А. справедливо отмечает, что практиковавшийся до периода бурного развития информационных технологий сбор, накопление, хранение и обработка данных, в том числе и о гражданах, были дорогостоящими и малоэффективными, а само отсутствие информационных технологий служило «естественной защитой» личного пространства человека Войниканис Е.А. Право интеллектуальной собственности в цифровую эпоху: парадигма баланса и гибкости. М.: Юриспруденция, 2013.. Появление правового режима персональных данных, как данных, используемых для идентификации личности, связывают как раз с развитием правовой концепции неприкосновенности личности и личностных тайн в условиях нарастающего повсеместного использования информационных технологий. Новые законодательные акты, устанавливающие режим персональных данных, принимались в связи с появлением методов автоматизированной обработки данных.

Первым подобным документом на международном уровне является "Конвенция о защите физических лиц при автоматизированной обработке персональных данных" Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28.01.1981). Бюллетень международных договоров. 2014. N 4. 1981 года, в которой закреплены основные принципы законодательства о персональных данных. Гораздо позже будет принята и первая европейская Директива Директива N 95/46/ЕС Европейского парламента и Совета Европейского Союза "О защите физических лиц при обработке персональных данных и о свободном обращении таких данных" (Принята в г. Люксембурге 24.10.1995), а так же Директива, касающаяся обработки персональных данных с использованием информационных технологий Директива N 2002/58/ЕС Европейского парламента и Совета Европейского Союза "В отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (Директива о конфиденциальности и электронных средствах связи)" (Принята в г. Брюсселе 12.07.2002), в преамбуле которой впервые было обращено внимание на важность конфиденциальности «терминального оборудования» пользователей и его отношение к частной жизни пользователя, требующей защиты в соответствии Европейской конвенцией о защите прав человека и основных свобод, а также на тот факт, что различные программы путем отслеживания действий пользователя серьезным образом вторгнуться в их личную жизнь. Речь, естественно, идет о шпионских программах, внедряемых на устройства пользователей, однако ход мысли европейского законодателя вполне логично может быть применен и к иным средствам сбора данных.

Так, в следующей статье преамбулы идет речь о законных способах сбора информации, одним из которых в данном контексте выступают «куки»-файлы. При этом законными целями использования «куки» является анализ эффективности проекта веб-сайта, его рекламирование, подтверждение соответствия пользователя, совершающего онлайн-сделку (скорее всего, в контексте уязвимости онлайн-сервисов к MIM-атакам Man-in-the-Middle - является методом компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет вмешательство в протокол передачи, удаляя или искажая информацию.) и содействие оказанию информационных общественных услуг. Кроме этого, использованию «куки»-файлов должна сопутствовать ясная и точная информация в соответствии с Директивой 95/46/ЕС о целях такого использования и характере собираемой информации, а также возможность отказаться от хранения таких файлов на пользовательском оборудовании. Последним элементом такого взаимодействия является запрос согласия пользователя, который должен осуществляться удобным для него способом. Стоит также отметить, что законодатель допускает постановку доступа к веб-сайту в зависимость от того, насколько хорошо такие методы осуществляют информационное распознавание.

Следуя такой логике, очевидно, что европейский законодатель идет по пути расширения понятия персональных данных для целей включения в этот массив информации, которая не может использоваться непосредственно для идентификации личности, но в информационно-техническом контексте может ограничивать круг лиц, то есть косвенно идентифицировать гражданина.

Широкий подход к определению понятия персональных данных прослеживается в европейском законодательстве и в связи с разработкой нового законодательного акта, регулирующего отношения в сфере обработки персональных данных: «Общего Регламента о защите персональных данных» (GDPR) Регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС» (Принят в г. Брюсселе 27.04.2016) , который начинает применяться с 25 мая 2018 года. То есть на момент защиты данной работы GDPR уже будет действовать. При подготовке этого акта, направленного на унификацию европейского законодательства в сфере персональных данных, были учтены все наиболее важные изменения в сфере информационных технологий и обработки данных. Вместе с этим, законодатель сохраняет и развивает те принципы, которые были заложены в законодательство о персональных данных изначально. По утверждению Европейского наблюдателя по защите данных, требования в отношении конфиденциальности и защиты данных необходимо было как можно скорее выделить и использовать для регулирования новых технологических разработок, чтобы способствовать более эффективному функционированию защиты данных. EDPS and EU Research and Technological Development. Policy paper. 2008

Так в GDPR нашел отражение принцип “Privacy by design” или “Data protection by design” (перевод с англ. - защита данных по умолчанию [и на основе продуманных действий]), на который европейские исследователи и участники законотворчества возлагают множество надежд как на основной способ борьбы с злоупотреблением новыми технологиями сбора и обработки данных и который, по их мнению, будет формировать фундамент правоприменения в сфере защиты персональных данных в будущем. The Future of Privacy. Article 29 Data Protection Working Party. Working Party on Police and Justice. 02356/09/EN WP 168. 2009.

Согласно данному принципу, при обработке персональных данных должны приниматься во внимание состояние развития науки и техники, характер, особенности и цели обработки, а также вероятные риски и опасности для прав и свобод субъектов персональных данных. Также, контролер обязывается имплементировать соответствующие технические и организационные меры для защиты данных, минимизации данных и интегрирования необходимых гарантий защиты прав субъектов данных. По мнению Рабочей группы такие обязательства должны распространяться не только на непосредственных операторов и обработчиков персональных данных, но также и на разработчиков программного обеспечения и системных архитекторов и должны быть глубоко укоренены в физической архитектуре и общем дизайне любого устройства или системы. Klitou D. Privacy-Invading Technologies and Privacy by Design // Information Technology and Law. 2014. Vol. 25.

Не обошли стороной европейские законодатели и возрастающую проблему практически повсеместного профайлинга. Они приходят к логичному выводу, что процесс профилирования зачастую невидим для субъекта данных. В процессе обработки больших пользовательских данных, создаются производные или предполагаемые данные о физических лицах, выступающие как «новые персональные данные», которые не были предоставлены непосредственно самими субъектами. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679. Article 29 Data Protection Working Party. 17/EN WP 251. 2017. К процессу профилирования применяются общие принципы, как и к другим случаям обработки персональных данных: обработка должна быть законной, справедливой и прозрачной, ограниченной поставленными целями и характером информации. Так, в случае, если собираемые данные используются для профилирования, оператор обязан предоставить информацию о существовании автоматизированного принятия решений, включая профилирование, а также значимую информацию о вовлеченной логике и существенные и предполагаемые последствия обработки для субъекта данных. Guidelines on transparency under Regulation 2016/679. Article 29 Data Protection Working Party. 17/EN WP 260. 2017. Кроме того, субъекты персональных данных также получают дополнительные гарантии в отношении решений, принимаемых относительно них на основе автоматизированной обработки данных: кроме возможности для субъекта возражать против применения профилирования, юридические последствия автоматизированного решения поставлены в зависимость от наличия одного из трех факторов, таких как явно выраженное согласие субъекта, необходимость для заключения или исполнения договора или явного разрешения таких действий законодательством ЕС или государством-членом.

В основе нового европейского информационного законодательства также лежит широкий этический фундамент, так как базисом прав на неприкосновенность частной жизни и защиту персональных данных является основополагающий принцип достоинства человеческой жизни и личности, нашедший отражение в устоях европейского законодательства. Статья 1 Хартии Европейского союза по правам человека. (2007/C 303/01). 2007. Нарушение этого принципа может также включать в себя объективацию, когда лицо рассматривается как инструмент, служащий чьим-либо целям. Opinion 4/2015. Towards a new digital ethics. Data, dignity and technology. European Data Protection Supervisor. 2015. В период с февраля 2016 по январь 2018 действовал отдельный Совет по этике при Европейском наблюдателе по защите данных, главной целью которого был поиск баланса между правами человека, технологиями, рынками и бизнес-моделями в XXI веке с этической точки зрения. При это особое внимание уделялось защите конфиденциальности и защите данных в цифровой среде. В своем отчете Towards a digital ethics. EDPS Ethics Advisory Group Report. 2018, подготовленном по результатам нескольких рабочих сессий, в которых принимали участие философы, социологи, психологи, экономисты и представители технологических компаний, Совет по этике представил основные этические принципы, которые должны быть положены в основу регулирования отношений в цифровой среде. Так, к уже отмеченному принципу защиты достоинства личности добавился также принцип нераздельности «личностности» и персональных данных, согласно которому, существование человека как личности, наделенной определенными нравственными качествами, правами и обязанностями, неотделимо от информации, появляющейся в результате этого существования и относящейся к нему. В связи с этим, выделяются и основные риски, выражающиеся в ограничении свободы выбора, объективации личностных данных при применении к ним рыночных механизмов и отнесение самой личности на задний план. Еще одним риском может стать дискриминация, основанная на представлениях о человеке, сформированных на основе больших пользовательских данных. Такой процесс иногда называют «диктатура данных», когда люди оцениваются не на основе совершаемых ими действий, а исходя из предположения о том, какие действия могут быть совершены. The ethics of Big Data: Balancing economic benefits and ethical questions of Big Data in the EU policy context. European Economic and Social Committee. 2017.

Таким образом, можно охарактеризовать подход Европейского Сообщества к информационной политике как очень аккуратный и разрабатывающийся с пониманием того, что сегодняшние тенденции могут потребовать совершенно новых действий. Открыв дискуссию об этических, нравственных, принципах обработки данных, европейские законодатели показывают, что в первую очередь необходимо стараться обеспечить такие принципы как справедливость и легитимность. Однако, при этом, в такой метазаконодательный процесс, как исследование этических принципов привлекаются и технологические компании, участники рынка данных, находящегося в процессе формирования. Подобные действия совершаются не столько с целью соблюдения экономических интересов в регулировании данных, сколько с целью повлиять на саму природу отношений, формирующихся относительно больших пользовательских данных, заложив основные принципы не в нормативные акты, а в механизмы саморегулирования цифровой экономики. Бесспорно, сильное влияние оказывает и учет таких принципов в законотворчестве, но для того, чтобы регулирование было эффективным, оно в первую очередь должно отвечать нравственным ориентирам.

США

В США проблема использования и оборота больших пользовательских данных также поднимается многими исследователями, особенно, в контексте конфликтов между целями использования данных, средствами их сбора и защитой тайны личной жизни и конфиденциальной информации. Очевидными являются преимущества, как для правительственных организаций, так и для частных компаний, возникающие в результате использования таких данных и аналитической информации, полученной на их основе. Вне зависимости от этого, в США существует другая проблема, выражающаяся в отсутствии единого правового поля для регулирования оборота пользовательских данных. Савельев А.И. связывает это с верой в возможности саморегулирования рынка, для стимулирования которого основной целью является лишь выработка принципов справедливых информационных практик. Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. Такие принципы были разработаны еще в начале 2000-х годов и в целом повторяют общие принципы, характерные для законодательства о защите персональных данных. Стоит также отметить, что хотя эти принципы и несли рекомендательны характер, они нашли отражение в некоторых актах «секторального регулирования». Кроме того, Федеральная торговая комиссия в своем отчете перед конгрессом в 2000 году предлагала законодательное закрепление данных принципов на федеральном уровне, выражающихся в том числе в (1) уведомлении пользователя о сборе данных, (2) предоставлении пользователю возможности влиять на судьбу этих данных, (3) предоставлении пользователю доступа к данным, а также (4) обеспечении должной защиты собираемых и хранимых данных. Privacy Online: Fair Information Practices in the electronic marketplace. A Report to Congress. FTC. 2000. Также в 2007, 2009 и 2011 годах был предпринят ряд попыток внести законопроект S. 495 (110th): Personal Data Privacy and Security Act of 2007, S. 1490 (111th): Personal Data Privacy and Security Act of 2009, S. 1151 (112th): Personal Data Privacy and Security Act of 2011. о защите персональных данных, который, в свою очередь, в большей степени касался ответственности технологических компаний и информационных брокеров перед пользователями. Несмотря на то, что некоторые из опасений и рисков, связанных с неконтролируемым оборотом данных, приведенных в преамбуле предлагаемого законопроекта были вполне очевидны и насущны, эта инициатива не увенчалась успехом. К примеру, было высказано мнение о необходимости обеспечения справедливости, прозрачности и законности действий информационных брокеров, а также опасение о возможности нарушения неприкосновенности частной жизни при использовании данных как частными, так и правительственными структурами. Законопроект также предполагал закрепление ответственности информационных брокеров и операторов данных за утечки информации и неправомерное использование, что, в целом, показывает большую обеспокоенность некоторых представителей законодательного аппарата США.

Однако учитывая особенности законодательного процесса в США, связанного с сильным влиянием лоббирования интересов, в том числе и технологического сектора, на данный момент с трудом представляется возможность создания единого правового поля для регулирования оборота больших пользовательских данных. Масла в огонь подливает и недавняя отмена Режим доступа - по ссылке: https://www.bbc.com/russian/news-39428662 Правил защиты конфиденциальности клиентов широкополосных и других телекоммуникационных услуг, разработанных Федеральной комиссией по связи. Protecting the Privacy of Customers of Broadband and Other Telecommunications Services. Federal Communications Comission // Federal Register Vol. 81, No. 232. 2016. Данные правила предполагали ограничения для провайдеров услуг связи, связанные с использованием ими данных о пользовательской активности, в том числе передачей таких данных третьим лицам.

Рассматривая подход США к определению тайны личной жизни и в том числе персональных данных, стоит отметить, что хотя единообразное определение неприкосновенности частной жизни в американском праве несколько неуловимо, федеральные законодательные и судебные органы последовательно пытались защищать права отдельных лиц и групп на автономию и свободу самовыражения. В той степени, в которой его можно классифицировать, право неприкосновенности частной жизни разделяется на четыре категории: неприкосновенность личной информации, физическую неприкосновенность частной жизни, неприкосновенность частной собственности и свободу принятия решений. Allen-Castellitto L., The Origins and Growth of U.S. Privacy Law. PU Intellectual Property Course Handbook. 2000

Оглядываясь на историю формирования неприкосновенности личной жизни в США, Корбетт Д. приходит к выводу, что с момента зарождения этого принципа мало что изменилось. Corbett D. Virtual Espionage: Spyware and the Common Law Privacy // University of Baltimore Law Review. 2006. Vol. 36. Как пример он приводит цитату Уоррена и Брэндиса из основополагающей книги «The Right to Privacy»: “недавние изобретения и бизнес-методы вынуждают нас предпринимать дальнейшие шаги для защиты человека и для обеспечения личности того, что судья [Томас] Кули называет правом «быть в одиночестве». Мгновенные фотографии и газетные предприятия вторглись в священные места частной и бытовой жизни; и многочисленные механические устройства угрожают воплотить в жизнь предсказание «что говорили на ухо внутри дома, то будет провозглашено на кровлях».

Приведенная цитата датируется 1890 годом, однако её актуальность сохраняется и по сей день. Однако в действительности принцип «быть оставленным в одиночестве» далек от нахождения своего места в американской доктрине.

Интересными в данном контексте являются также материалы судебной практики, касающейся защиты прав граждан на неприкосновенность личной жизни. К примеру, в деле Shibley v. Time, Inc. Shibley v. Time, Inc. (1975), 45 Ohio App. 2d 69, 341 NE2d 337., истцы утверждали, что практика ответчика по продаже списков подписчиков журналов без предварительного согласия подписчиков являлась вторжением в личную жизнь, поскольку оно было равноценно продаже индивидуальных профилей. Однако суд установил, что закон штата Огайо, разрешавший продажу имен и адресов владельцев транспортных средств, примененный по аналогии, не рассматривал такие действия как вторжение в личную жизнь. Как указал суд, право на неприкосновенность личной жизни не распространяется на почтовый ящик, и поэтому разрешено продавать подписные листы рекламодателям. Из этого следовало, что описанная истцами практика не представляет собой нарушение неприкосновенности личной жизни, а составление профилей подписчиков, не является нарушением, поскольку они используются только для определения того, какую рекламу направлять.

Ярким примером, проливающим свет на подход американских судов к определению границ частной жизни, также служит дело Dwyer v. American Exp. Co. Dwyer v. American Exp. Co., 652 N.E.2d 1351 (Ill. App. Ct. 1995). В этом деле клиенты банка обратились к нему с иском о нарушении неприкосновенности личной жизни в связи с тем, что тот использовал информацию об их транзакциях в целях составления профилей и в дальнейшем передавал эту информацию третьим лицам, которые использовали её для целей рекламы. Суд не нашел в таком поведении признаков вторжения в личную жизнь: используя карточку American Express, владелец карточки добровольно предоставляет информацию банку. Если проанализировать эту информацию, можно раскрыть привычки владельца карты и его предпочтения в отношении покупок. Следуя логике суда, банк осуществлял действия с информацией, которая возникла в связи с особенностями функционирования системы сбора данных о транзакциях, которые в данном случае принадлежали банку. Анализируя эту информацию и составляя профили клиентов в рекламных целях, банк не нарушил прав клиентов на неприкосновенность личной жизни.

Таким образом, при достаточно одинаковом подходе к определению принципов, лежащих в основе защиты персональных данных, неприкосновенности личной жизни и регулирования обработки больших пользовательских данных, в ЕС и США, очень заметна недостаточная проработка механизмов защиты информации граждан в США. Отсутствие федерального законодательства, лоскутное регулирование, рекомендательный статус многих документов в сфере обращения информации, а также сложность законодательного процесса, являются основными сдерживающими факторами для развития регулирования больших пользовательских данных. Однако отсутствие централизованной модели такого регулирования не является критическим. Вместе с тем, США все еще не занимают место в перечне стран, обеспечивающих адекватную защиту прав субъектов персональных данных. Так или иначе, саморегулирование занимает более значительное положение в экономической культуре США, что сказывается и на соблюдении интересов граждан.

Подходы к регулированию в РФ. Соотношение интересов

На настоящий момент, как уже указывалось в предыдущих главах, в Российской Федерации отсутствует четкое определение как персональных данных, так и самих данных, включая большие пользовательские данные. Существующее регулирование, как отмечают исследователи, хоть основано на европейском широком подходе к защите прав субъектов обработки данных, является малоактуальным и устаревающим.

Обобщая такие цели, легко заметить влияние европейской правовой мысли. Так, достаточно явно отражена концепция Privacy by design, отражаются также принципы разумности и достаточности обработки данных, прозрачности и упорядоченности алгоритмов обработки и доступа к данным.

В связи с отмеченной законодателем необходимостью разработки новых подходов к регулированию, в начале 2017 года в России обострились дискуссии по поводу необходимости регулирования больших пользовательских данных. Проблемные вопросы обсуждались на различных конференциях и на заседаниях рабочих групп, было высказаны множество точек зрения и представлено множество интересных идей.

Так, Савельев А.И. считает, что определить понятие больших пользовательских данных -- это лишь малая часть того, что должно быть сделано. Основная проблема лежит в том, чтобы понять, что с ними делать. С одной стороны, применяя Закон «О персональных данных» к массивам больших пользовательских данных, сильно затруднит возможности их сбора и использования. С другой стороны, принятие отдельных законов о большихпользовательских данных также не приведет ни к чему хорошему. Могут возникнуть коллизии с действующим законодательством о персональных данных. Для сопряжения законодательства о персональных данных и реальной практики использования больших персональных данных следует сосредоточиться на совершенствовании методологий анонимизации данных и четче определить их правовой статус. Кроме того, следует проработать возможности законной обработки персональных данных без согласия субъекта, но с обеспечением дополнительных гарантий защиты прав и интересов. Гапотченко Д. Big Data 2017: Как обрабатывать большие, но персональные данные // Computerworld Россия. 2017. Режим доступа - по ссылке (дата обращения: 07.04.2018): https://www.computerworld.ru/articles/BIG-DATA-2017-kak-obrabatyvat-bolshie-no-personalnye-dannye В своей недавней статье, посвященной проблемам регулирования больших данных в новых экономических реалиях, он развивает данную точку зрения, замечая, что регулирование больших пользовательских данных не должно существовать в отрыве от законодательства о персональных данных, так как два отдельных правовых режима будут приводить к коллизиям. Савельев А.И. Направления регулирования больших данных и защита неприкосновенности частной жизни в новых экономических реалиях // Закон. 2018. N 5.

Против отдельного регулирования сферы больших пользовательских данных также выступают и представители российских технологических компаний. К примеру, в заявлении компании «Яндекс» говорится, что дополнительное законодательное регулирование больших пользовательских данных может помешать развитию цифровой экономики. Представители компании считают, что данные пользователей и так надежно защищены существующим законодательством в сферах персональных данных, информации, тайны связи и неприкосновенности частной жизни, а также отмечают неясность истинных целей регулирования обсуждаемых законопроектов. Компания предлагает использовать методы саморегулирования и разработать «кодекс добросовестных практик», а также бороться с неграмотностью пользователей в вопросах кибербезопасности. «Яндекс» предостерег от чрезмерного регулирования Big Data // Коммерсант. 2017. Режим доступа - по ссылке (дата обращения: 07.04.2018): https://www.kommersant.ru/doc/3343200

Противником подобного подхода выступил председатель Комитета Госдумы по информационной политике, информационным технологиям и связи Левин Л. По его словам, в «чистом виде» оно работать не будет, доказательством чего являются нарушения в обработке и использовании данных граждан, которые фиксирует Роскомнадзор. Андреев А. Регулирование «Больших данных» отвечает интересам россиян и информационной безопасности РФ -- Левин // Парламентская газета. 2017. Режим доступа - по ссылке (дата обращения: 07.04.2018): https://www.pnp.ru/social/regulirovanie-bolshikh-dannykh-otvechaet-interesam-rossiyan-i-informacionnoy-bezopasnosti-rf-levin.html

Сторонником более радикального подхода является Касперская Н., заявившая, что большие пользовательские данные должны являться собственностью государства. Ей также было отмечено, что к изначально в отношении определению таких данных было лишь два подхода: либо включать большие пользовательские данные в объем персональных, либо признать незначительными риски и угрозы, возникающие в связи с широким сбором такой информации, в том числе и иностранными компаниями. Касперская: "большие данные россиян" должны принадлежать государству // ТАСС. 2016. Режим доступа - по ссылке (дата обращения: 07.04.2018): http://tass.ru/ekonomika/3824223 Путем отнесения больших пользовательских данных к собственности государства в первую очередь обеспечивается жесткое и централизованное регулирования доступа к ним, однако полного суверенитета данных граждан достичь практически невозможно.

Также существует информация о разработке собственного законопроекта Фондом развития Интернет-инициатив. Гордеев А. Россиянам предложили платить за их данные // Ведомости. 2017. Режим доступа - по ссылке (дата обращения 07.04.2018): https://www.vedomosti.ru/technology/articles/2017/12/20/745869-rossiyanam-platit-dannie Согласно их предложению, в законодательстве о персональных данных должны появится новые субъекты - компании-посредники, которые будут ответственны за обеспечение обмена данными, при этом ими не обладая. При этом, за предоставление своих данных пользователи будут получать денежные или иные вознаграждения.

Таким образом, на настоящий момент представлено множество мнений о том, каким должно быть регулирование. Однако общественность и законодатель все больше и больше склоняются в сторону необходимости приведения существующего регулирования в соответствие современным реалиям, нежели чем к принятию новых нормативных актов и обеспечению отдельного регулирования больших пользовательских данных. Достижению цели - модификации действующего законодательства об информации и персональных данных должно способствовать решение таких задач как:

1) Расширение подхода к определению персональных данных в целях возможности включения в персональные данные информации, в результате обработки которой могут появляться «новые» персональные данные;

2) В целях обеспечения баланса интересов пользователей и организаций, предоставляющих услуги, обеспечить прозрачность сбора и использования пользовательских данных;

3) Расширить круг прав субъектов персональных данных по примеру европейского законодательства, включая дополнительные возможности защиты личной информации;

4) Имплементировать принцип Privacy by design, как руководящий и основной принцип защиты неприкосновенности частной жизни;

5) Разработать основополагающие принципы «добросовестных практик», учтя в них основные нравственные и этические проблемы, возникающие при столкновении неприкосновенности частной жизни и обработки больших пользовательских данных.

Данные цели не являются окончательными, однако в целом отражают рассмотренные примеры зарубежных подходов к защите неприкосновенности личной жизни в условиях развития цифровой экономики. Такое комбинирование позволит не только установить благополучный и для коммерции и для личности режим больших пользовательских данных, но также может иметь влияние и на будущее регулирование. Не зря особое внимание уделяется нравственным аспектам использования больших пользовательских данных: в новой экономике личность не должна быть товаром. Ставя личностность человека в зависимость от его «цифровой личности» и данных, им генерируемых, нарушая принцип неделимости личности, мы рискуем превратиться в простой набор нулей и единиц, тем самым обратив себя в рабство новой экономике.

Заключение

С учетом технологического развития информационного общества формируется “серая” на данный момент сфера оборота “больших пользовательских данных”. Большие пользовательские данные представляют интерес в первую очередь в силу своей двойственности своей природы: это и персональные данные и данные, не являющиеся персональными. Своим возникновением большие пользовательские данные оказались обязаны технологическому прогрессу, которые сделал возможным появление таких понятий как «цифровой след», «профайлинг», «дитактура данных».