ТОРГОВЛЯ ДАННЫМИ: РАЗНЫЕ ПОДХОДЫ, ОДНА РЕАЛЬНОСТЬ
- Авторы: Магомедова О.С.1, Коваль А.А.2, Левашенко А.Д.2
-
Учреждения:
- Всероссийская академия внешней торговли Министерства экономического развития Российской Федерации
- Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации
- Выпуск: Том 24, № 4 (2020)
- Страницы: 1005-1023
- Раздел: ГРАЖДАНСКОЕ ПРАВО
- URL: https://journals.rudn.ru/law/article/view/25250
- DOI: https://doi.org/10.22363/2313-2337-2020-24-4-1005-1023
Цитировать
Полный текст
Аннотация
Развитие цифровой экономики и новых технологий ставит вопрос о возможности рассмотрения персональных данных как нового экономического актива. Представлен обзор позиций по данному вопросу в зарубежной и отечественной доктрине. Мнения варьируются от признания недопустимой торговли общественными ценностями до констатаций существования теневого рынка данных. Основываясь на гипотетическом допущении оборота данных, авторы рассматривают подходы к определению персональных данных как объекта гражданских прав. Исследование демонстрирует, что вероятные препятствия к введению экономического оборота данных могут присутствовать, как в законодательных формулировках, так и в общеправовом подходе к оценке режима защиты персональных данных. Анализируется опыт зарубежных стран по обеспечению законодательных условий для законного коммерческого использования собранных данных. В статье иллюстративно объясняется, почему торговля персональными данными не является угрозой для информационных прав человека и каким образом может быть разрешена проблема сохранения действующего режима персональных данных. Формирующийся опыт зарубежных стран подсказывает, что извлечение экономических выгод из оборота данных требует одновременно снятия регуляторных барьеров, и в то же время публичного сопровождения рыночных процессов, поскольку государство остается главным гарантом прав своих граждан. Учитывая современное развитие цифровой экономики России и подход к пониманию персональных данных как социальной ценности, авторы представляют собственные рекомендации для российского законодателя по реализации проекта коммерциализации данных. Статья подготовлена в рамках выполнения научно-исследовательской работы государственного задания РАНХиГС.
Полный текст
Введение Персональные данные материализуют личность в информационном пространстве. Поэтому совсем недавно идея о торговле персональными данными казалась противоречащей принципам этики и основам защиты прав человека. Однако современные технологии создают пространство цифровой экономики, где персональные данные становятся ценным экономическим активом. Это совершенно не значит, что цифровая экономика отказывается от общечеловеческих ценностей. Напротив, развитие технологий позволяет извлекать экономическую ценность из новых ресурсов, при этом не затрагивая личных прав и интересов субъектов, обладающих этими ресурсами. Кроме того, персональные данные сами по себе обладают ценностью только для самих субъектов, поскольку воплощают их личные права. В условиях цифровой экономики ценность персональных данных определяется по тому, какие экономические блага способно принести их использование. Примеров множество. Данные необходимы для развития таких новых технологий, как искусственный интеллект, поскольку способности машинного обучения формируются на основе алгоритмического анализа данных. Данные необходимы для экономической статистики и оценки, для естественно-научных и социальных исследований, для развития медицины и здравоохранения и т.д. Другими словами, экономические возможности применения персональных данных безграничны. Однако персональные данные способны обеспечить вклад в экономическое развитие именно при масштабном использовании: это значит, что для целей развития персональные данные должны включаться в базы данных, которые в свою очередь могут использоваться в экономической, научной и других видах деятельности. Следовательно, скорость развития различных отраслей определяется тем, насколько быстро формируются базы обрабатываемых данных. Очевидно, что базы данных лучше всего укрупнять готовыми базами данных, это значит, что компаниям удобнее приобретать готовые данные друг друга, нежели по крупицам формировать личные базы данных - это долго и неэффективно. Таким образом, современное экономическое развитие, и бурный рост цифровой экономики в частности, напрямую ставят вопрос об обеспечении коммерческого оборота персональных данных. Данная проблема освещается в работах правоведов различных стран, а также рассматривается на международном уровне в контексте развития цифровой экономики в рамках ОЭСР и других организаций экономического профиля. Также методологическую основу для исследования составляет анализ национального законодательства и правоприменительной практики. Коммерциализация данных: международная доктрина Тема коммерциализации данных возникла одновременно с опасениями о неприкосновенности частной жизни в условиях автоматизации работы с данными. Вероятно, впервые этот вопрос был поднят в монографии профессора Колумбийского университета Алана Вестина «Неприкосновенность частной жизни и свобода» 1967 г. Рассуждая о необходимости защиты персональных данных в условиях распространения средств слежения после войны, автор отметил проблему коммерческой передачи тайно собранных персональных данных (Westin, 1967:16). Однако в то время автор не рассматривал персональные данные как объекты имущественных прав. Под извлечением финансовой выгоды из сбора и передачи персональных данных автор подразумевал одно из проявлений нарушения 4-й поправки к Конституции США о праве народа на охрану личной жизни, жилища, бумаг и имущества от необоснованных обысков и арестов. Тем не менее, таким образом была заложена идея о рассмотрении персональных данных как предмета собственности. Для развития этой идеи есть и правовые предпосылки (Burri, 2017:131). Право собственности - это юридически защищенное право как на материальный, так и нематериальный объект. Право собственности является абсолютным, т.е. обязательным к соблюдению любыми третьими лицами. По-другому это свойство называют эффектом публичности (erga omnes effect). Следовательно, соблюдение права собственности обуславливается транспарентностью его осуществления. Право собственности должно осуществляться открыто. Кроме того, право собственности равно признается в любой юрисдикции. Право распоряжения имуществом, входящее в право собственности, предполагает право отчуждения объекта собственности. Право на персональные данные действительно обладает схожими чертами (Lametti, 2003:326). Персональные данные составляют объект защищаемого законом права. В соответствии с этим правом лицо владеет, пользуется и распоряжается своими данными, передавая их для обработки третьим лицам. Право на персональные данные осуществляется открыто, а потому требует его публичного соблюдения, которое выражается в возможности использования персональных данных только с согласия их субъекта. С этой точки зрения понятие «введения в право собственности» в отношении персональных данных (propertization) скорее означает осуществление контроля над персональными данными (Prins, 2015:2). Но при ближайшем рассмотрении можно понять, что персональные данные не являются однозначным объектом права собственности. Прежде всего, сама идея отчуждения персональных данных не коррелирует с их природой идентификации субъекта этих данных. При предоставлении персональных данных для обработки оператором их носитель не утрачивает связи с идентификаторами этих данных[162]. Во-вторых, передача данных не означает утрату контроля над ними, как это происходит с отчуждением имущества. Ввиду того, что данные являются неисчерпаемым ресурсом, субъект персональных данных остается их обладателем и распорядителем даже при передаче своих данных тем или иным образом в любой форме неограниченному числу лиц. По этой причине персональные данные - этот объект гражданских прав, который не может быть обременен правовыми притязаниями третьих лиц, в отличие от иных объектов права собственности (Zech, 2016: 53-54). Наконец, рассмотрение персональных данных в качестве объекта права собственности противоречит представлению о неотчуждаемом праве человека на неприкосновенность частной жизни как на общественное благо. Если персональные данные представляют собой формализованную частную жизнь, то их отчуждение противоречит общественному порядку (Regan, 2002:382). Из этих аргументов следует, что персональные данные неотчуждаемы, и что в их отношении не может быть установлено право собственности в традиционном понимании. Очевидно, этой точки зрения придерживаются национальные законодатели стран, где вопрос коммерциализации данных остается неурегулированным (Purtova, 2013:84). Тем не менее, в международной доктрине подчеркивается, что при передаче персональных данных субъект утрачивает реальный контроль над своими данными. Предоставление согласия на использование данных в конкретных целях в определенном объеме не гарантирует субъекту персональных данных уверенности в том, что они не будут скопированы и переданы по цепочке третьим лицам для неизвестных ему целей. Этой ситуацией и объясняется рвение законодателей обеспечить особый режим защиты персональных данных от посягательств любых третьих лиц в условиях, когда они выведены из-под контроля их субъекта. Так, в США исследователями в области социальных наук и технологий была предложена система лицензирования персональных данных, основанная на невыполнении прав контроля субъектами данных (default control rights of the data subjects) (Scwartz, 2004:2055). Предполагается, что лицензирование позволяет наилучшим образом обеспечить выполнение принципа самоопределения субъекта персональных данных. При лицензировании не происходит отчуждения права контроля над своими персональными данными, но передается право пользования данными на определенных самим субъектом условиях[163]. Примечательно, что с аналогичной идеей также выступили исследователи из Тайваня, которые выдвинули проект онлайн-лицензирования персональных данных (Yuh-Jzer, 2008:163). Он основан на том же принципе обусловленности использования собранных персональных данных волей субъекта этих данных в силу их идентифицирующей связи с субъектом. Укрепление идеи о том, чтобы дать правовое обоснование использованию персональных данных третьими лицами, вполне объяснимо. Если в эпоху Больших данных и новых технологий персональные данные не могут быть полностью защищены от коммерческой передачи третьим лицам (например, в составе базы данных), то следует узаконить этот процесс (Tene, 2017:258). Персональные данные как объект гражданских прав в России В гражданском законодательстве России персональные данные прямо не упоминаются. В положениях ФЗ «О персональных данных» персональные данные определяются как «любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу». На данный момент информация не упоминается в качестве объекта гражданских прав. Примечательно, что до 1 января 2008 г. (дата вступления в силу 4-й части ГК РФ), ст. 128 ГК включала информацию в качестве самостоятельного объекта гражданских прав. Исключение информации из перечня объектов некоторыми юристами рассматривается как свидетельство законодательного признания необоротоспособного характера информации[164]. Такое предположение верно только частично. Как устанавливается в ст. 5 ФЗ-149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации», информация может быть объектом гражданских отношений. Соответственно, информация может выступать объектом гражданских прав, насколько это не противоречит специальному законодательству о регулировании отдельных видов информации. Например, информация, в отношении которой установлен режим коммерческой тайны, может являться объектом гражданско-правового договора о лицензировании, т.е. участвовать в гражданском обороте (Stepanov, 2020:72). Действительно, в гражданском обороте могут быть задействованы только объекты, наделенные экономической ценностью (Drexl, 2017:268). Примени- тельно к информации, относящейся к коммерческой тайне, законодательство прямо определяет ее экономическую ценность: «информация, позволяющая ее обладателю увеличить доходы, избежать расходы или получить иную коммерческую выгоду» (п. 1 ст. 3). Однако не все виды информации обладают экономической ценностью. Таким образом, становится очевидна причина законодательного исключения «информации» из числа объектов гражданских прав: экономически ценная информация подпадает в категорию «имущества», и только информация, не имеющая экономической ценности, исключается из числа объектов гражданских прав. Следовательно, определение персональных данных как информации не означает автоматического признания их оборотоспособности в соответствии с гражданским законодательством. И вместе с тем не исключается возможность признания персональных данных объектом гражданских отношений. Из утверждения, что в гражданском обороте задействованы только объекты гражданских прав, не следует верность обратного утверждения. Например, нематериальные блага входят в число объектов гражданских прав в соответствии со ст. 128 ГК РФ. Нематериальные блага признаются необоротоспособными в силу своей неотъемлемости от личности. Такие блага не могут отчуждаться в пользу третьих лиц. Тем не менее, нематериальные блага могут быть предоставлены для пользования. Например, исключительные права на результаты интеллектуальной деятельности также неотчуждаемы, однако они могут передаваться автором для использования в конкретных целях определенным образом. Следует заметить, что персональные данные также могут использоваться в экономической деятельности третьих лиц с согласия субъекта этих данных. Так, в соответствии с п. 4 ст. 19 ГК имя или псевдоним одного лица могут использоваться другими с его согласия в их творческой, предпринимательской или экономической деятельности. Это частный пример из общего обоснования относимости персональных данных к нематериальным благам. В российской доктрине выделяется несколько отличительных признаков нематериальных благ, которым отвечает характеристика персональных данных. Трофимова Т.В. выделяет следующие признаки (Trofimova, 2005:23-24). Вопервых, право на объект следует из самого события возникновения права и не требует дополнительных юридических фактов для своей действительности. Вовторых, гражданские права, объектом которых выступают нематериальные блага, не могут быть восстановлены в случае нарушения. В-третьих, нематериальные блага не имеют имущественного содержания. Следовательно, в-четвертых, права на нематериальные блага неотчуждаемы и непередаваемы. В-пятых, нематериальные блага носят сугубо личный характер, а потому права на них не могут осуществляться иными лицами помимо самого правообладателя. Персональные данные соответствуют этим признакам, однако имеют свои особенности. Например, персональные данные могут принадлежать лицу не только изначально (как биометрическая и генетическая информация), но также могут присваиваться по закону, как имя или идентификационный номер паспорта, или по техническим параметрам, как номер телефона, или аккумулироваться на протяжении жизни, как медицинская история. Однако при установлении связи присваиваемых данных с конкретной личностью они становятся персональными и отвечают остальным признакам нематериальных благ. Включение персональных данных в категорию нематериальных благ соответствует представлению о персональных данных как ценности, пользующейся особым режимом правовой защиты (Heller, 1998:656). Если рассматривать персональные данные как нематериальные блага, то передачу данных следует понимать как передачу прав на их использование, а обработку данных оператором - как пользование в соответствии с условиями «договора», согласия субъекта персональных данных. Можно видеть, что форма на получение согласия субъекта, содержащая информацию о целях обработки персональных данных, включает в себя ряд условий подобно договорно-установленному порядку, как принцип целевого использования или принцип минимизации обработки данных (Grishaev, 2019). Таким образом, персональные данные могут рассматриваться в качестве нематериальных благ, которые составляют объект гражданских отношений. Тогда складывается ситуация правовой неопределенности: персональные данные практически пользуются смешанным правовым режимом. С одной стороны, они в некоторой степени материализуют конституционное право человека на неприкосновенность частной жизни, а с другой стороны, являются объектом гражданских прав. В доктрине предполагают, что неопределенность положения персональных данных возникает из-за смешения законодателем понятий «информация» и «данные» (Savel'ev, 2019:185). Разграничение данных понятий позволило бы разрешить конфликт между необходимостью признания за оператором данных права на работу с данными, а за субъектом персональных данных - права, вытекающие из режима их защиты. Кроме того, персональные данные могут различаться по порядку их образования. Например, защиту первичных персональных данных следует понимать как защиту права человека на неприкосновенность частной жизни, тогда как в отношении производных персональных данных, целенаправленно собранных для обработки, должно действовать общее гражданское законодательство. В таком случае персональные данные представляют собой объекты имущественных прав оператора данных, который осуществляет их обработку, использование, хранение и т.п. Соответственно может устанавливаться право распоряжения данными, собранными в соответствии с требованиями законодательства о защите персональных данных. Персональные данные как товар Представляется, что препятствие к тому, чтобы рассматривать персональные данные в качестве экономически ценного и одновременно оборотоспособного объекта, - это наличие связи с конкретным физическим лицом. Тогда будет справедливо предположить включение в коммерческий оборот данных, не обладающих свойствами идентифируемости. Персональные данные также могут утратить свойства идентифицируемости посредством процедуры обезличивания. Следовательно, персональные данные могут становиться предметом коммерческого оборота или, другими словами, могут рассматриваться как товар. Здесь следует отметить, что использование персональных данных не всегда означает использование их правового содержания. Как любой вид информации, персональные данные могут быть «перепрофилированы», это значит, что они могут быть использованы не для извлечения личной информации, а для работы с их техническим содержанием (Savel'ev, 2019:178). Тем не менее, с точки зрения российского законодательства и правовой доктрины, обезличенные персональные данные не могут считаться товаром. Дело в том, что в гражданском законодательстве понятие «товар» применяется в отношении предмета купли-продажи в соответствии со ст. 454-455 ГК. В качестве товара могут рассматриваться любые вещи в соответствии с положениями ст. 129 ГК об оборотоспособности объектов гражданских прав. Тем самым круг предметов купли-продажи был законодательно ограничен объектами, обладающими материальными свойствами. Хотя в п. 4 ст. 454 устанавливается, что положения о договоре купле-продажи применимы в отношении имущественных прав, в том числе цифровых прав, некоторые правоведы считают, что имущественные права не могут быть товаром, поскольку это самостоятельные объекты гражданских прав. В таком случае п. 4 ст. 454 интерпретируется как правило о распространении действия положений о договоре купли-продажи на иные правоотношения, однако это не делает объекты этих правоотношений товаром (Braginskii, 2011:265-266). Более того, по правилу о преимуществе специальной нормы перед общей, действие положений о договоре купли-продажи в отношении имущественных прав может исключаться специальными нормами, как например, договоры о возмездном отчуждении исключительных прав, регулируемые ст. 1233 ГК «Распоряжение исключительным правом» (Krasheninnikov, 2011). Следовательно, даже если рассматривать обезличенные персональные данные как объект имущественных прав оператора данных, они не могут быть квалифицированы как «товар» по договору купли-продажи. Таким образом, даже законодательное закрепление практики возмездной передачи обезличенных данных будет исключать применение положений о купле-продаже. Подходы зарубежных стран В зарубежных странах допускается возможность введения имущественных прав в отношении персональных данных, но только в обезличенным виде. Утрата идентификаторов, обуславливающих персональную принадлежность данных, изымает эти данные из-под специального режима защиты. Соответственно, регулирование коммерческой передачи таких данных не обременено вопросами этики, но исключительно правовыми и техническими. В 2017 г. в ЕС был представлен проект Регламента ЕС «О рамочном регулировании свободного оборота неперсональных данных в Европейском союзе», нацеленного на установление права производителя данных (data producer's right) для владельцев средств обработки[165]. Регламент вступил в силу 18 декабря 2018 г. и действует только в отношении неперсональных данных. В Руководстве Еврокомиссии по применению Регламента специально поясняется, что к неперсональным данным относятся две категории данных: 1) изначально неперсональные данные; 2) данные, ставшие неперсональными посредством процедуры деидентификации[166]. При этом рекомендуется проводить проверку надежности результатов обезличивания в индивидуальном порядке. Однако следует помнить, что Регламент ЕС не узаконивает коммерческий оборот обезличенных персональных данных (Janeček, 2018), а только составляет правовую основу для развития единого цифрового рынка («digital single market» в терминологии самих европейских институтов)[167]. В зарубежных странах персональные данные также относятся к категории информации (Purtova, 2018:49-50). Тем не менее, в законодательстве стран как континентального права, так и общего права не встречается прямого закрепления информации как объекта гражданских прав. В этом плане зарубежные правоведы находятся в том же положении, что и российские: те или иные вопросы использования информации и персональных данных могут быть в равной степени обоснованы с полярных точек зрения (Emerich, 2018:390). Так, Гражданский кодекс Квебека запрещает работникам лично пользоваться конфиденциальной информацией, полученной во время работы (ст. 2088). Из данного положения правоведы приходят к выводу, что законодатель прямо признает возможность извлечения экономической выгоды из информации, и таким образом информация может выступать объектом гражданско-правовых притязаний. При этом в судебной практике прямо определяют информацию как нематериальную вещь. Например, в деле Boardman v. Philips 1967 г. английский суд рассматривал статус информации, на основании которой могут приниматься решения, от которых зависит прибыль компании[168]. Было определено, что такого рода информация являлась нематериальным объектом в собственности траста и не могла быть использована отдельными лицами в личных целях. В 2015 г. Верховный суд Франции квалифицировал несанкционированное удаленное скачивание данных как кражу, тем самым практически признав существование права собственности в отношении электронной информации[169]. Таким образом, правовая практика показывает, что независимо от юрисдикции наиболее рациональным представляется подход признания информации как объекта гражданских прав, наделенного экономической ценностью. Европейские цивилисты считают, что выделение самостоятельного права на данные было бы излишним, поскольку оно логически следует из права на защиту данных (Hoeren, 2013:488). В то же время выдвигается идея распространить на право распоряжения персональными данными правовое регулирование «экономически ответственных операторов» (Duch-Brown, 2017:18). В соответствии со ст. 950 германского гражданского уложения лицо приобретает право собственности на результаты работы, в процессе которой материал был преобразован в другой объект, за исключением случаев, когда стоимость преобразования значительно меньше стоимости изначального материала[170]. В соответствии с данной концепцией персональные данные могут рассматриваться как материал, а обработанные данные - как результат преобразования. Если обезличенные данные обладают не меньшей экономической ценностью, чем оригинальные персональные данные, в таком случае компании, собирающие и обрабатывающие данные, вступают в права собственности в отношении обезличенных данных. Примечательно, что право собственности в отношении данных возникает у обработчика данных, а не у субъекта персональных данных (Heiko, 2017:323). С одной стороны, это соответствует представлению о том, что персональные данные наделены природой иного порядка, нежели «классические» объекты гражданских прав. Но, с другой стороны, данная концепция не учитывает такую специфику «материала» персональных данных, как возможность реидентификации. Обратное преобразование объекта в материал логически не заложено в конструкцию обретения права собственности в результате работы с материалом. Вопрос принадлежности прав в отношении данных развивается в рамках теории акта написания (skripturakt), в соответствии с которой правом на данные обладает тот, кто их создал, т.е. «записал» на информационный носитель (Hoeren, 2014:34). На эту теорию опирался Апелляционный Суд Нюрнберга в 2013 г. при рассмотрении дела о «краже данных» с рабочих компьютеров компании[171]. В Германии незаконное удаление данных преследуется в уголов- ном порядке в соответствии со ст. 303 (a) Уголовного уложения Германии[172]. Апелляционный Суд постановил, что удаление данных с рабочего компьютера уволенным сотрудником компании не является преступлением, поскольку сотрудник имеет право распоряжаться данными, которые сам создал, даже если их создание было обусловлено деловыми целями работодателя. В то время как в европейской традиции регулирования персональных данных еще присутствуют противоречия в отношении данных как предмета коммерческого оборота, в праве США уже инициирована законодательная работа по коммерциализации данных. В 2019 г. вступил в силу Закон штата Вермонт (США) о регулировании информационных брокеров (Act. 171 of 2018 Data Broker Regulation)[173]. В соответствии с положениями Закона информационный брокер определяется как компания, одно или несколько подразделений компании, которые открыто собирают, продают или предоставляют лицензии третьим сторонам на личную информацию потребителя, с которым компания не имеет прямых отношений. Под прямыми отношениями понимаются случаи, когда персональные данные были получены компанией в результате прямых контактов с субъектом персональных данных. Например, лицо является или в прошлом являлось потребителем, клиентом, пользователем, подписчиком на товары и услуги компании, работником, поставщиком, представителем, партнером, инвестором. Во всех остальных случаях персональные данные, которые находятся в распоряжении компании, считаются приобретенными через посредников[174]. В законе используется термин «brockered». В отношении информационных брокеров установлено требование об обязательной ежегодной регистрации у Секретаря штата. Также информационные брокеры должны отчитываться о соблюдении минимальных стандартов обеспечения защиты персональных данных. Главной мотивацией к принятию закона стала необходимость вывода коммерческого оборота персональных данных из теневой экономики. Следует подчеркнуть, что законодатель грамотно подчеркивает обязательность соблюдения режима защиты персональных данных. Соответственно, коммерческий оборот данных законен только при условии проведения процедур по их деидентификации. Таким образом, можно говорить о начале международной практики законодательного закрепления оборотоспособности обезличенных персональных данных. Рекомендации для российского законодательства На данном этапе развития цифровой экономики российский законодатель придерживается консервативного (в положительном смысле этого слова) представления о персональных данных как о предмете, не подлежащем торгу. Защита персональных данных отождествляется с принципом неприкосновенности частной жизни. В этом смысле персональные данные неотчуждаемы, поскольку составляют часть неотчуждаемых прав человека. Однако развитие технологий и потребностей цифровой экономики стимулируют к поиску альтернативных подходов, которые бы учитывали новаторские подходы и одновременно сохраняли приверженность фундаментальным понятиям в сфере прав человека. Примечательно, что в данной сфере отмечается тенденция к выделению информационных прав человека из общеизвестного принципа неприкосновенности частной жизни. Например, Хартия Европейского Союза об основных правах 2007 г. (2016/С 202/02) ставила защиту персональных данных (ст. 8) в один ряд с общепризнанными правами и свободами человека[175]. Также в доктрине часто выделяется личное право на информационное самоопределение17. Это значит, что человек самостоятельно принимает решение о том, какая информация, каким образом, кем и в каких целях может быть использована. Право информационного самоопределения выражается в распространенном принципе обязательного получения согласия субъекта персональных данных на обработку своих данных. В российской доктрине следует отметить приверженность к режиму защиты персональных данных, который предполагает консенсуальное условие получения законного права на обработку данных. Считается, что работа с оригинальными персональными данными экономически более выгодна бизнесу, чем коммерциализация обезличенных данных (Hartmann, 2019:5). Безусловно, работа с персональными данными влечет значительные расходы по обеспечению их сохранности, однако эти издержки полностью покрываются экономическими выгодами от работы с полноценными данными. Кроме того, законодательное закрепление права распоряжаться персональными данными как собственностью лишает персональные данные их исключительности в правовом регулировании. Вместе с тем у обработчиков данных появится возможность для злоупотребления приобретаемыми правами. Например, может вводиться ограниченный доступ к собранным данным или может устанавливаться несоразмерно высокая цена за предоставление доступа к базе (Duch-Brown, 2017:18). Безусловно, коммерциализация обезличенных персональных данных несет в себе некоторые негативные аспекты, однако выявленные недостатки в теории могут служить опорой в определении того, как правильно сделать персональные данные коммерческими активами. Сегодня коммерциализация персональных данных de facto происходит в каждой стране независимо от наличия правового регулирования. Это объясняется тем, что, пользуясь «бесплатными» сервисами Интернета, пользователи на самом деле платят своими персональными данными. В исследовании консалтинговой компании PWC, проведенном в 2018 году, было подсчитано, что мировая выручка от использования пользовательских данных может достигать $300 млрд в год[176]. Экономическая ценность извлекается и персональных данных, как правило, с помощью профайлинга (записи индивидуальных предпочтений и пользовательского поведения) для целей рекламы. Тогда как классическая экономика основывается на модели «деньги-товар-деньги», то с развитием цифровой экономики цепочка экономических преобразований удлинилась в модели «деньги-услуги-данные-деньги». На этом основании можно констатировать, что законодательное закрепление коммерческого использования персональных данных является вопросом времени, нежели подхода к пониманию персональных данных. В связи с этим национальным законодателям следует обратить внимание на необходимость обеспечения сбалансированного порядка работы с данными. Защита персональных данных не должна снижаться для целей упрощения коммерческого использования данных, и вместе с тем, чрезмерное регулирование обязанностей операторов данных не должно тормозить свободное обращение обезличенных данных. Подход законодателя к коммерциализации данных должен выстраиваться на следующих принципах. Во-первых, законодателю следует прямо обозначить, какие данные подпадают под положения о коммерциализации данных. В большинстве юрисдикций действует бинарных подход, основанный на различении только двух видов данных: персональных и неперсональных. Причем неперсональные включают, как данные изначально безотносительные к личности, так и персональные данные, которые прошли процедуру обезличивания. В таком случае режим защиты персональных данных распространяется только на оригинальные персональные данные. Однако для целей безопасного проведения коммерциализации данных следует обратить внимание на риск ре-идентификации обезличенных персональных данных с помощью технологий, основанных на алгоритмическом анализе Больших данных. Поэтому коммерциализация данных должна основываться на иной классификации данных, нежели бинарной. Представляется целесообразным разграничить категории «обезличенных персональных данных» и «обезличенных данных», где под обезличенными персональными данными понимаются данные, способные к восстановлению свойств идентифицируемости с помощью дополнительной информации. Тогда как под «обезличенными данными» понимаются персональные данные, обезличенные таким образом, что их восстановление не представляется технически возможным. С предложением о таком разграничении уже выступило Министерство цифрового развития, связи и массовых коммуникаций РФ, подготовив соответствующие поправки в ФЗ «О персональных данных»[177] в сентябре 2019 г. С точки зрения безопасности персональных данных было бы лучше установить, что передаче данных на коммерческой основе подлежат только обезличенные данные. Однако в таком случае операторы данных сталкиваются с проблемой практического характера: каким образом определить, что данные, обезличенные в достаточной степени, чтобы считаться невосстановимыми. Поэтому введение правил о коммерциализации должно сопровождаться подготовкой практических рекомендаций компетентными органами о том, как обезличить персональные данные полностью и как оценить надежность проведенных процедур. Вопрос коммерческого оборота оригинальных персональных данных представляется неэтичным, а также противоречит правилам обработки персональных данных, согласно которым обезличивание является обязательным. Во-вторых, следует определить тот уровень безопасности работы с данными, который должны обеспечивать операторы, вступающие в коммерческий оборот данных. Легализации коммерческой передачи данных должно сопутствовать обеспечение дополнительных гарантий субъектам персональных данных, что действие нового правового института не нарушит их прав. Для этой цели в практике США была введена система контроля и отчетности «информационных брокеров». В России на первом этапе целесообразным представляется применение компетентными органами мягких инструментов правового регулирования - руководств, рекомендаций, а также международных стандартов в сфере персональных данных, как стандарты Организации экономического сотрудничества и развития, Международной организации по стандартизации. Это позволит определить направление развития нового сектора. В-третьих, коммерческий оборот данных не должен ограничиваться пределами одной страны. Цифровая экономика страны не может развиваться автономно от цифровой экономики мира. Это противоречит принципам либерализации и упрощения условий торгового оборота, которые десятилетиями продвигаются и укрепляются в традиционной торговле товаров и услуг. Поэтому коммерциализация данных имеет экономическое значение, если есть правовые основы для беспрепятственной трансграничной передачи данных. В отличие от традиционной торговли, цифровая экономика не имеет физических границ, и поэтому единственные препятствия в ее развитии происходят именно из сдерживающего правового регулирования. Коммерциализация данных и все сопутствующие с этим регуляторные мероприятия могут окупиться только при условии свободной передачи данных. С 1 сентября 2015 г. в России действует порядок локализации персональных данных, это значит, что первичные записи персональных данных россиян могут храниться только на территории России. С точки зрения «международной торговли» локализация данных является барьером для импорта услуг иностранных операторов. Для соответствия требованиям локализации иностранные операторы вынуждены обеспечить собственную инфраструктуру на территории страны. Это регуляторное обременение ставит иностранных операторов в худшее положение и тем самым нарушает международный торговый принцип недискриминации. В странах, стремящихся в авангард цифровой экономики, требование тотальной локализации данных не применяется. Локализация применяется только в отношении наиболее чувствительных категорий данных (например, финансовые данные, данные о здоровье). Риск-ориентированный подход к требованию локализации может быть воспринят и в России. Заключение Защита персональных данных перестает быть исключительно вопросом охраны права человека на неприкосновенность частной жизни. В цифровой экономике регулирование правового режима данных ставит более сложные задачи сочетания интересов личности и целей экономического развития. При ярко выраженном стремлении к цифровизации в российском праве по-прежнему превалирует консервативное отношение к данным как исключительно человеческой ценности. Хотя зарубежная практика склоняется к нормативному утверждению экономической ценности данных и основ к использованию этой ценности. Реализация идеи коммерциализации данных требует основательных правовых преобразований. Следует понимать, что коммерциализация не является посягательством на неприкосновенность частной жизни личности. Напротив, коммерциализация открывает возможности развития новых форм экономики, новых рынков, новой сферы для технического развития и инноваций. Коммерциализация данных должна проходить только при четкой организации условий ее осуществления (определения субъектов, осуществляющих коммерциализацию, их обязательств и ответственности), при устранении чрезмерного регулирования (например, в части требования тотальной локализации данных), при обеспечении правовых, технических и регуляторных гарантий субъектам персональных данных.
Об авторах
Ольга Сергеевна Магомедова
Всероссийская академия внешней торговли Министерства экономического развития Российской Федерации
Автор, ответственный за переписку.
Email: olga.magomedova.96@mail.ru
аналитик Центра ответственного ведения бизнеса
119285, Российская Федерация, г. Москва, Воробьевское шоссе, д. 6 ААлександра Александровна Коваль
Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации
Email: koval-aa@ranepa.ru
младший научный сотрудник Центра Россия-ОЭСР
119571, Российская Федерация, г. Москва, Проспект Вернадского, д. 82Антонина Давидовна Левашенко
Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации
Email: antonina.lev@gmail.com
руководитель Центра Россия-ОЭСР
119571, Российская Федерация, г. Москва, Проспект Вернадского, д. 82Список литературы
- Брагинский М.И., Витрянский В.В. Договорное право. Книга вторая: Договоры о передаче имущества. 2-е изд., М.: Статут, 2011. 780 с
- Burri, M. (2017) “The Governance of data and data flows in trade agreements: The pitfalls of legal adaptation”, UC Davies Law Review. (51), 65-132
- Duch-Brown, N., Martens, B., Mueller-Langer, F. (2017) The economics of ownership, access and trade in digital data. Digital economy working paper. JRC Technical Reports, available at: https://ec.europa.eu/jrc/sites/jrcsh/files/jrc104756.pdf (Accessed 15 April 2020)
- Drexl, J. (2017) “Designing competitive markets for industrial data between propertisation and access”, Journal of intellectual property, information technology and electronic commerce law. (8), 257-292
- Emerich, Y. (2018) Les biens et l’immatérialité en droit civil et en common law. Les Cahiers de droit. 59 (2), 389-423, available at: https://www.erudit.org/en/journals/cd1/2018-v59-n2cd03792/1048586ar.pdf (Accessed 15 April 2020). (in French)
- Гришаев, С.П., Богачева, Т.В., Свит, Ю.П. Постатейный Комментарий к Гражданскому Кодексу Российской Федерации. Часть первая. Материал подготовлен с использованием правовых актов по состоянию на 17 августа 2019 года
- Janeček, V. (2018) Trade in data: constructive limits of personal data ownership, available at: https://www.law.ox.ac.uk/business-law-blog/blog/2018/05/trade-data-constructive-limitspersonal-data-ownership. (Accessed 15 April 2020)
- Hartmann P.M., Zaki, M., Feldmann, N., Neely, A. (2014) Big Data for big business? A taxonomy of data-driven business models used by start-up firms. Cambridge service alliance working paper, available at: https://cambridgeservicealliance.eng.cam.ac.uk/resources/ Downloads/Monthly%20Papers/2014_March_DataDrivenBusinessModels.pdf. (Accessed 15 April 2020)
- Heiko, W. (2017) Trading in data: an industry perspective. In Lohsse, S., Schulze, R., Staudenmayer, D. (eds.) Trading data in the digital economy: legal concepts and tools. Baden-Baden, Nomos, pp. 323-326
- Heller, M.A. (1998) The tragedy of the anticommons: property in the transition from marx to markets. Harvard law journal, 111 (3), 621-688
- Hoeren, T. (2013) Dateneigentum: versuch einer anwendung von § 303a StGB im zivilrecht, Multmedia and Recht. (8), 486-491, available at: https://www.itm.nrw/wp-content/ uploads/Dateneigentum_MMR_2013_486-491.pdf. (Accessed 15 April 2020)
- Hoeren, T. (ed.) (2014) Big data und recht. München, C.H. Beck Verlag
- Постатейный комментарий к Гражданскому кодексу Российской Федерации, части второй: в 3 т. / Под ред. П.В. Крашенинникова (том 2, 3). М.: Статут, 2011, available at: http://pravo.sociolife.ru/docs/Codex/GC_komments_2_tom-1_Krasheninnikov_2011.pdf (Accessed 13 April 2020)
- Lametti, D. (2003) The concept of property: relations through objects of social wealth. Unversity of Toronto law journal. (53), 325-378.
- Prins, J. (2004) The propertization of personal data and identities. Electronic journal of comparative law. 8 (3), 1-7, available at: https://www.ejcl.org/83/art83-1.PDF. (Accessed 15 April 2020).
- Purtova, N. (2013) Illusion of Personal Data as No One's Property. Law, Innovation, and Technology. 7 (1), 83-111, available at: https://ssrn.com/abstract=2346693 (Accessed 15 April 2020).
- Purtova, N. (2018) The law of everything. Broad concept of personal data and future of EU data protection law, Law, Innovation and Technology. 10 (1), 40-81, available at: https://www. tandfonline.com/doi/full/10.1080/17579961.2018.1452176?scroll=top&needAccess=true (Accessed 15 April 2020)
- Regan, P. (2002) Privacy as a common good in the digital world. Information, Communication & Society. 5(3), 382-405
- Савельев А.И. На пути к концепции регулирования данных в условиях цифровой экономики // Закон. 2019. № 4. С. 174-195
- Schwartz, P.M., (2004) Property, privacy, and personal data. Harvard law review, 117 (7), 2055- 2128, available at: https://ssrn.com/abstract=721642 (Accessed 15 April 2020)
- Stepanov, I. (2020) Introducing a property right over data in the EU: the data producer’s right - an evaluation. International Review of Law, Computers & Technology. 34 (1), 65-86, available at: https://www.tandfonline.com/doi/full/10.1080/13600869.2019.1631621?src= recsys (Accessed 15 April 2020)
- Tene, O., Polonetsky, J. (2013) Big data for all: privacy and user control in the age of analytics. Northwestern journal of technology and intellectual property, (11), 239-273
- Трофимова, Т.В. Классификация нематериальных благ и ее правовое значение // Гражданское право. 2005. № 3. С. 23-24
- Westin, A. (1967) Privacy and Freedom. New York, Atheneum Press
- Yuh-Jzer, J., Shi-Cho, C. (2008) Online personal data licensing: regulating abuse of personal data in cyberspace. Hideyasu S. (ed.). Intellectual property protection for mulrimedia information technology. Japan, Ritsumeikan University, pp. 162-185
- Zech, H. (2016) Data as a tradeable commodity. De Franceschi, A. (ed.). European contract law and the digital single market, implications of the digital revolution. Cambridge, Intersentia, pp. 51-80