Право на информационное самоопределение: на грани публичного и частного
Published: Dec. 1, 2022
Latest article update: July 6, 2023
Право на информационное самоопределение как право человека самостоятельно решать, когда и в каких пределах его персональные данные могут быть раскрыты, сформулировано в немецкой юриспруденции и стало моделью как для многих государств, так и для общеевропейского законодательства в целом. Оно рассматривается в качестве необходимого инструмента поддержания живой демократии исходя из того, что частная жизнь является составной частью общества. Отправной точкой в судебном решении послужила кантовская теория моральной автономии личности. Это объясняет тесную связь судебной аргументации с правами человека и их публично-правовой охраной. Одновременно под англосаксонским влиянием развивается «имущественный подход» к персональным данным, которые могут стать объектом сделок. В рамках «имущественного подхода» персональные данные рассматриваются как ценный товар, который может быть объектом сделок и операций с другими лицами посредством лицензий. На практике в последнее время доступ к персональным данным все чаще разрешается в качестве встречного исполнения (возмещения) по контрактам на предоставление цифрового контента и в обмен на персонализированные услуги. Исследование показало, что в правовой защите данных существует множество переплетений публичного и частного (информационное самоопределение как субъективное публичное право требует оформления соответствующих обязанностей государства, однозначной отраслевой квалификации согласия лица на обработку данных нет, отмечается недостаточность принципа конфиденциальности по умолчанию перед потенциальной возможностью причинения вреда). Анализ эволюции правовой защиты данных приводит к выводу о постепенном нивелировании разделения права на публичное/частное. Похоже, проблему обращения и защиты персональных данных невозможно решить в отраслевых рамках, а только комплексно, не нарушая при этом традиционной логики публичного и частного. Это означает, что право на информационное самоопределение ввиду его комплексного характера можно расценивать как принцип, имеющий межотраслевой характер, который распространяется и на публично-правовую защиту данных, и на реализацию субъективного гражданского права в данной сфере.
Keywords
Цифровизация, права человека, персональные данные, частная жизнь, конфиденциальность, обработка данных
В реальной жизни проблемы взаимопроникновения публичного и частного права возникают ежеминутно, однако консервативное правоведение предпочитает придерживаться отраслевых границ. На фоне возрастающего количества факторов, ответственных за размывание грани между публичным и частным правом в целом, и отраслями публичного и частного права, в частности, выделяется технологический фактор: цифровизация стала оказывать на право трансформирующее воздействие. Цифровые технологии, по природе своей нейтральные и универсальные, «навязывают» собственную логику, нивелирующую разграничение публичного и частного, вступая подчас в конфликт с традиционными правовыми механизмами.
Для правильного и стабильного развития законодательства вообще и в области информационных прав граждан в частности крайне важна хорошая теория [Архипов В.В., 2018: 52-68]. Причем теория сбалансированная, способная различать специфику публично-правовых и частноправовых регуляторов. Необходимо четко определиться с тем, что есть персональные данные, кому они принадлежат, как защищаются и по каким нормам возникает ответственность за нарушение прав в этой сфере. Будет ли ответственность публично-правовой, или гражданско-правовой, либо речь идет об их сочетании? Как бы то ни было, персональные данные связаны с человеком, и зачастую им же и распространяются. Обязывает ли человека к чему-либо обладание персональными данными, каковы границы публичного и частного интереса в использовании персональных данных, до каких пределов распространяется право человека на данные? Эти и другие вопросы находятся в центре внимания настоящей статьи, которую автор предлагает расценивать как приглашение к дискуссии.
В доктрине отмечается интегрирующее значение права на информационное самоопределение в системе прав нового поколения, содержащих в себе комплекс требований, одновременно связанных с личной свободой и цифровизацией [Умнова-Конюхова И.А., 2021: 77]. Исторически информационное самоопределение (InformationeUes selbstbestbestimmung) получило признание в качестве самостоятельного права в решении Федерального конституционного суда Германии1 (далее — Суд), которое широко прокомментировано в научной литературе, причем не только в немецкой.
Спор касался федерального закона о переписи населения (1983), который требовал сбора данных широкого спектра, касающихся демографической и социальной структуры ФРГ. Закон устанавливал параметры для подсчета населения страны и требовал информации личного характера (имя, адрес, пол, семейное положение, религиозная принадлежность, род занятий, место работы). Закон также требовал от граждан ответить на вопросы, касающиеся источников дохода, уровня образования, способа передвижения на работу, пользования жилищем, включая способ отопления и оплату коммунальных услуг. Разумеется, информация собиралась не для сведения, а для дальнейшего использования (в целях планирования, охраны окружающей среды и др.), а потому Закон разрешал передавать собранную информацию местным органам власти. Последние могли даже сравнивать полученную информацию с жилищными реестрами и, при необходимости, корректировать их.
Положения этого закона стали предметом рассмотрения Суда. Данное судебное решение стало знаковым как для немецкой правовой доктрины, так и для развития общеевропейского регулирования в области защиты данных, поскольку оказало несомненное и признанное влияние на европейскую правовую мысль. Важно подчеркнуть, что отправной точкой в подходе Суда послужила кантовская теория моральной автономии личности. Это существенно, поскольку объясняет тесную связь судебной аргументации с правами человека и их публично-правовой охраной. В целом был проведен глубокий анализ прав личности, возникающих как бы в ее глубине и прорастающих в разные сферы, в том числе информационную.
С точки зрения человеческой автономии Суд высказал опасение, что сбор, хранение и использование личной информации будут угрожать свободе человека. Чем больше известно о человеке, тем легче его контролировать [Eberle Е., 2012:224]. С одной стороны, в современном информационном обществе контроль над информацией — это власть, которую стремится иметь государство. С другой стороны, контроль над личной информацией — это власть над своей судьбой, необходимая для свободного раскрытия и развития личности.
Именно поэтому, как противовес активности государства по сбору информации, Судом было сформулировано право на информационное самоопределение. Под информационным самоопределением понимается право человека самостоятельно решать, когда и в каких пределах его персональные данные могут быть раскрыты. Немаловажно, что это право оценивалось не только ретроспективно, но и перспективно: по мнению Суда, технологическое развитие уже изменило возможности сбора информации (напомним, что решение выносили в 1983 году), а в будущем изменит еще больше. Действительно, раньше информация вводилась вручную с помощью перфоратора и хранилась в отдельных местах, доступных в основном специальному персоналу, что усложняло возможность получения «портрета» личности путем соединения и комбинации разных данных (профилирования). Сегодня информация вводится и извлекается в электронном виде практически любым человеком, что облегчает мгновенный доступ к ней, а технологии больших данных позволяют извлечь персональную информацию из казалось бы не связанных между собой данных.
В конечном итоге Суд поддержал большую часть оспоренного Закона, хотя и признал недействительными несколько положений, в числе которых то, которое позволяло местным властям сравнивать данные переписи с местными жилищными реестрами. Основанием послужила возможность объединения этих статистических данных, позволяющая чиновникам идентифицировать человека, нарушая тем самым его права как личности.
Приведенные рассуждения Суда крайне важны в контексте разделения публичного и частного права. Человеческое достоинство, возведенное на вершину ценностной структуры, естественным образом распространяется на всю правовую систему, т.е. и на публичное, и на частное право. Существенной частью человеческого достоинства являются основные права и соответствующие обязанности [Eberle Е., 2012: 227, 229]. Стоит отметить, что концепция достоинства составляет сердцевину принципа индивидуализма, который вместе с принципом равноправия лежит в основе современного конституционализма. На конституционном уровне достоинство человека может позиционироваться как принцип права, определяющий цели или основания принятия конституции, конкретное право человека или допустимое основание для ограничения конституционно признанных прав и свобод [Васильева Т. А., 2020: 98-100].
Важно упомянуть, что с формально-юридической точки зрения право на информационное самоопределение не является частью Основного закона (Конституции) Германии, но оно основывается на ведущих принципах, содержащихся в нем. Не упоминается в Конституции и защита данных, при этом постановление Суда базируется на §1.1 Основного закона ФРГ, который гласит: «Достоинство человека неприкосновенно. Его уважение и защита являются обязанностью всех государственных органов» (в сочетании с §2.1 о личном самоопределении: «Каждый имеет право на свободное развитие своей личности в той мере, в какой он не нарушает прав других и не посягает на конституционный строй или нравственный закон»). Исходя из этих двух конституционных положений, Суд постановил, что право гарантирует способность человека определять возможность раскрытия и использования его персональных данных. Это стало одной из первых и наиболее известных формулировок права на информационное самоопределение.
Последствия данного знакового решения значительны как для самой Германии, где принцип информационного самоопределения с тех пор последовательно защищается судами, так и для других государств; например, немецкой модели последовала Венгрия [Szekely I., Vissy В., 2017: 137], а также европейского законодательства в целом. В Германии предметная сфера защиты указанного права является очень широкой. Призванное обеспечить полномочие принятия индивидом решения об обращении других лиц с его данными, право на информационное самоопределение становилось масштабом проверки конституционности компьютеризированной системы идентификации подозреваемых лиц, видеонаблюдения за памятником искусства, расположенном на городской площади, автоматизированного сбора номерных знаков транспортных средств, обязательств, вытекающих из договора страхования при установлении страхового случая [Проскурякова М.И., 2016: 84-98].
Новый европейский регламент (Регламент № 2016/679 Европейского парламента и Совета Европейского союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)») через право на информационное самоопределение пытается встроить право на защиту персональных данных в новую цифровую экономику, разделяя с владельцем ответственность за его данные, которую раньше обеспечивало государство. Именно цифровые вызовы позволяют, на наш взгляд, более внимательно присмотреться к информационному самоопределению, отыскивая в нем потенциал адаптации к современному технологическому этапу.
Передовой, новаторский характер судебного решения 1983 года трудно оспорить, ведь оно действительно заглянуло в будущее. Но все же, по понятным причинам, это решение основывалось на уровне развития технологий обработки данных, соответствующего периоду времени. Современный этап, который невиданными ранее скоростями обработки данных породил «общество наблюдения», мог предугадать разве что Дж. Оруэлл. Соответственно, возрастание роли данных, переход от их сбора в режиме реального времени к преобразующему использованию стимулируют правовые дискуссии по их поводу, которые ведутся в самых разных направлениях. Речь идет о праве на цифровое самоопределение, о разнонаправленности понимания собственности на личные данные и протекционистской позиции государства по отношению к персональной информации, выражающейся в усилении публично-правовой защиты персональных данных.
Такой диапазон во многом перекликается с двумя доминирующими позициями в отношении влияния технологий на право в целом. Так, сторонники либертарианского подхода считают право на защиту данных отчуждаемым (продаваемым), в то время как эгалитарные ученые скорее ориентированы на правила неотчуждаемости, которые необходимы для защиты от дискриминации и стигматизации, особенно в социально-экономической сфере. Соответственно, первая позиция находит больше сторонников в частном праве, а вторая — в публичном.
Концепт персональных данных происходит из института частной жизни. Идея защиты частной жизни при помощи закона зародилась в XIX веке, во времена развития индивидуализма. Отправной точкой для отсчета права на «информационную частную жизнь» считается классическая статья Уоррена и Брандиса, опубликованная в 1890 году в Harvard Law Review, в которой принцип неприкосновенности личности был приравнен к «праву быть оставленным в покое» (rightto opacity) [Warren S., Brandeis L., 1890:193-220]. Право на непрозрачность защищает человека от того, чтобы другие наблюдали, изучали или шпионили за его частной сферой.
Право на уединение или информационная конфиденциальность традиционно определялось американскими учеными в формулировке А. Вестина [Westin А., 1967: 7], как право отдельных лиц, групп или учреждений самостоятельно определять, когда, как и в какой степени информация о них передается другим. Это и послужило основанием для появления аргумента о существовании своего рода «нематериального права собственности», которым обладает каждый человек на свои персональные данные2, и что индивиды могут законно «продавать» свою личную информацию на рынке, выбирая таким образом оптимальное сочетание конфиденциальности без вмешательства государства.
В рамках «имущественного подхода» персональные данные рассматриваются как ценный товар, который может быть объектом сделок и операций с другими индивидами посредством лицензий. На практике в последнее время доступ к персональным данным все чаще открывается в качестве встречного исполнения (возмещения) по контрактам на предоставление цифрового контента и в обмен на персонализированные услуги.
Сторонники публично-правового подхода, в противовес теории собственности на данные, подчеркивают, что информация как таковая не существует до ее внешнего выражения или раскрытия (т.е. информация всегда в определенной степени сконструирована). Поэтому индивиду не могут принадлежать «естественные», изначальные права на информацию и данные, относящиеся к нему. В этом смысле решение немецкого суда, связывающее информационное самоопределение с понятием достоинства, трактуется как предлагающее по умолчанию режим рыночной неотчуждаемости личной информации [Rouvroy A., Poullet Y., 2009: 52]. В то же время эта позиция подкрепляется отношением к частной жизни не только как к индивидуальной свободе, но и как к важной составляющей демократического режима (исходя из того, что частная жизнь является составной частью общества): частная жизнь и защита данных — социально-структурные инструменты сохранения свободного демократического общества. Квинтэссенцией соединения этих посылов служит мнение о том, что информация, даже если она основана на личности, является отражением социальной реальности и не может быть связана исключительно с конкретным человеком.
Хотя целью сбора данных является профилирование личности, контролируемые лица не имеют достаточных средств для собственного контроля за таким профилированием. Между тем, в современных условиях возможности контроля и влияния (во многом психологического) на поведение индивидов посредством сбора данных кратно возросли. Самоопределение личности предполагает, что индивиды обладают свободой принятия решений о своих действиях, включая возможность реализовать это решение на практике. Если кто-то не может с уверенностью предсказать, какая информация о нем и в каких областях известна его социальному окружению, и не может точно оценить осведомленность сторон, с которыми он коммуницирует, он в значительной степени ограничивается в своей свободе планировать или принимать решения, не подвергаясь никакому давлению. Например, если лицо считает, что участие в собрании или другое проявление гражданской инициативы будут официально зарегистрированы, а потому могут возникнуть личные риски, оно может отказаться от осуществления соответствующих прав.
По логике Суда это влияет не только на шансы свободного развития конкретного лица, но и на общее благо, поскольку самоопределение является элементарным функциональным условием свободного демократического общества, основанного на способности его граждан действовать и сотрудничать. И в целом частная жизнь — скорее социальный структурный императив демократии, поскольку предпосылкой демократического обсуждения является то, что люди чувствуют себя свободными и могут свободно выражать свои мысли без страха быть осужденными, без возможности интерпретации государственными органами выраженных ими мыслей и поведения, на основе собранной и обработанной информации. Поддержание и поощрение частного и публичного выражения мыслей, предпочтений, мнений и поведения является одной из обязанностей государства в демократическом обществе. Другими словами, режимы конфиденциальности и режимы защиты данных существуют не только для защиты интересов правообладателей, в демократическом обществе они необходимы для поддержания живой демократии [Rouvroy A., Poullet Y., 2009: 57].
Добавим, что решение Суда 1983 года рассматривает индивидуальную автономию не как радикальное уединение и независимость человека от социального окружения, но как автономию человека, включенного в общество, живущего и общающегося с другими. Получается, что технологическое развитие перекинуло своеобразный мостик от частного права к публичному — ведь ущерб может быть нанесен не только личному развитию человека, но и общему благу. Кстати, идея о совместном возникновении и усилении частной и общественной автономии взята у Юргена Хабермаса: действительными, легитимными являются только те нормы действия, с которыми все возможные лица, кто испытает на себе последствия принятия данных норм, смогут согласиться как участники рационального дискурса [Хабермас Ю., 1995: 205]. В правовом плане это означает, что индивидуальная автономия, как и музыкальный талант, художественный дар — это то, что государство никогда не сможет «предоставить» посредством закона. «Право быть автономным» не имеет большего смысла для закона, чем «право быть счастливым» [Rouvroy A., Poullet Y., 2009:59]. При этом право на стремление к счастью все же существует в правовой действительности (см., например, Декларацию независимости США).
Более того, немецкие ученые считают, что решающий фактор понимания права на информационное самоопределение заключается в необходимости проводить различие между юридической конструкцией и теоретической концепцией, лежащей в сердцевине основного права. Соответственно, конструкция права на информационное самоопределение, согласно которой обработка персональных данных государством представляет собой вмешательство в право человека самому определять виды и условия обработки, является не самоцелью, а только средством защиты других основных прав. Теоретическая концепция заключается в этом инструментальном эффекте права на информационное самоопределение. Из новейшей судебной практики становится все более очевидным, что Суд также не интерпретирует право на информационное самоопределение как строго индивидуалистическое, а, скорее, приписывает ему сильное надиндивидуалистическое измерение, что приводит к объективным требованиям касательно обработки информации государством [Marsch N., 2020:40-41].
Такие рассуждения ложатся в обоснование нормативной политики защиты данных. В качестве возражения против индивидуалистической интерпретации права на информационное самоопределение подчеркивается, что законодательство о защите данных охраняет целый букет интересов, которые невозможно расценить как единый охраняемый законом товар [Albers М., 2014:213-235].
Не только наблюдение в режиме онлайн представляет угрозу самоопределению личности. Самоопределение личности как таковое ставится под вопрос функционированием автоматизированных систем принятия решений. С функциональной точки зрения крайне важно, чтобы автоматизированные системы выявляли и анализировали модели поведения человека на таком уровне глубины и детализации, которых ранее невозможно было достичь, а также чтобы они могли использовать эти модели в своих целях. Индивидуальное самоопределение находится под угрозой из-за постоянно растущей расшифровки сознательного или бессознательного поведения кем-то другим, и открытого или скрытого использования этих знаний другой стороной в правовых отношениях для улучшения собственной позиции, например, оценивая человека при обмене товарами, услугами или информацией. Это, собственно, всегда было целью в деловых и социальных отношениях, но в условиях циф- ровизации этот процесс приобретает новое качество [Ernst С., 2020:60].
Возможности индивидуального самоопределения ущемляются, если человек никогда не знает, какие критерии используются автоматизированной системой. Данный недостаток формулируется в литературе как недостаточная понятность. Автоматизированные системы могут определять характеристики, склонности, цели и намерения в ранее неизвестной глубине и детализации и, таким образом, вычислять прогнозы их будущего поведения. Человеческие когнитивные способности не могут угнаться за этим, так что человеческая способность постичь процессы принятия решений автоматизированных систем достигает предела. Если автоматизированная система определяет определенный контекст и основывает на нем свое решение, существует опасность, что автоматизированная процедура больше не будет понятна человеку. Если человек не знает, какие критерии используются автоматизированной системой, то ущемляются его возможности индивидуального самоопределения, являющегося базой всей конструкции прав человека.
Кроме того, в юридическом плане особое значение имеет проблема юридической значимости влияния на людей. Основной вопрос здесь заключается в том, чтобы определить, когда такой потенциал влияния является юридически значимым. И когда, следовательно, правовая система должна рассматривать его как риск для самоопределения личности? В принципе интенсивность потенциала влияния может быть определена только самим индивидом, т.е. индивидуально. Воспринимаемое давление с целью изменения поведения в значительной степени зависит от индивидуального опыта и вряд ли может быть типизировано. Чем больше персональных данных используют автоматизированные системы для влияния на поведение, тем менее прозрачными они кажутся и тем больше они влияют на бессознательные и иррациональные когнитивные или преднамеренные процессы человека. Использование случайно появляющихся критериев может оправдать запрет автоматизированного влияния на индивидуальное самоопределение (использование критериев, которые не являются предсказуемыми и понятными в соответствии с текущим горизонтом ожиданий человека) [Ernst С., 2020: 62].
Многие склонны согласовывать собственное поведение с поведением других. Для отдельного человека одобрение со стороны масс может сделать такой вариант решения заслуживающим доверия, но также может создать препятствие для того, чтобы не отклоняться от него. В зависимости от дизайна системы принятия решений может наблюдаться концентрация моделей поведения и сближение индивидуумов. Сумма вариантов, доступных индивиду, может иметь тенденцию к сокращению и сосредоточению на основном поведении и решениях. В таком случае реализация индивидуальности может потребовать больших усилий и больших затрат и даже привести к социальному разделению.
Приведенные опасения часто используются в качестве аргумента в пользу укрепления права на информационное самоопределение как в публичных, так и в частных отношениях.
Приведенные выше полярные, казалось бы, взгляды на природу персональных данных не должны вводить в заблуждение — на деле и в подходах, и в регулировании этих вопросов существует много пересечений. В известной степени на перекрестке публичного и гражданского права возникла теория субъективных публичных прав. Можно ли отнести к субъективным публичным правам право на информационное самоопределение?
Как писал в 1917 году И.А. Покровский, крушение естественно-правовой доктрины отразилось в отрицании позитивистской юриспруденцией первой половины XIX в. оснований конструирования субъективных прав личности: закон охраняет жизнь, телесную неприкосновенность, свободу или честь граждан, но никаких субъективных гражданских прав на жизнь, свободу и т.д. нет. Субъективное гражданское право частного лица возникает только с момента нарушения запрета закона и имеет своим содержанием лишь возмещение понесенных убытков [Покровский И.А., 1998:122]. И хотя довольно скоро в гражданское право проникли интересы человеческой личности (право на имя, изображение, честь и достоинство), логика их защиты исходит из логики убытков.
Одновременно у того же И.А. Покровского мы находим — «гражданское право исконно и по самой своей сути было правом отдельной человеческой личности, сферой ее свободы и самоопределения» [Покровский И.А., 1998: 309]. Ухватившись за слово «самоопределение», можно ли утверждать, что информационное самоопределение как раз из этого ряда — прав личности, защищаемых гражданским правом?
Думается, к этому вопросу нужно подходить прагматически и исходить из интересов самих граждан. Очевидно, что быстрое и повсеместное развитие технологий способно привести к подавлению индивидуальности. Квалификация информационного самоопределения в качестве субъективного публичного права, в конечном итоге, может оказаться более выгодной для граждан, поскольку помимо субъективных прав, которые граждане могут осуществлять, предполагаются и объективные права, которые они могут требовать от государства и его органов. Такова конституционная конструкция основных прав.
Но и этого может оказаться недостаточно. В некоторых юрисдикциях основные права не распространяются на частный сектор, однако в большинстве случаев конституционные нормы обязывают и частный сектор (что в известной мере декларативно, так как «частникам» нужны предметные законы). Кроме того, было бы неплохо снабдить право на информационное самоопределение и мерами уголовной ответственности, и гражданскими механизмами возмещения вреда, т.е. обеспечить комплексную защиту.
Институт согласия на обработку персональных данных выполняет важную роль. Действия, которые в противном случае были бы незаконными, благодаря согласию становятся законными. Здесь уместно рассмотреть проблему географически (Европа — США) и с точки зрения дихотомии публичное/частное.
В Европейском союзе практикуется довольно патерналистский подход к обработке данных — законодательство ЕС требует гораздо более строгой и явной формы согласия, нежели законодательство США. Более того, законодательство Евросоюза ограничивает сбор, использование и раскрытие данных (нужно законное основание для обработки персональных данных), в то время как в США данные, как правило, могут обрабатываться, если закон не содержит запрета.
Не факт, что более четкие требования Евросоюза к согласию обязательно приведут к тому, что индивиды будут проводить более осмысленный анализ затрат и выгод в отношении сбора и использования их данных. При этом получить согласие по законодательству Евросоюза сложнее и дороже. В современных условиях формализм регулирования ЕС является скорее недостатком, ограничения часто предусматриваются без какой-либо связи с вредом. В итоге регулирование может препятствовать обработке, которая не причиняет вреда и даже может быть полезной. Американское законодательство, напротив, обычно разрешает обработку данных, если это не вызывает проблем [Solove D., 2013: 1900]. Такое положение дел заставляет многих исследователей присмотреться к американскому подходу ввиду его гибкости и практичности.
Что касается квалификации согласия в публичном и частном праве, она различна. В цивилистической литературе согласие на обработку персональных данных по аналогии с согласием на использование изображения предлагается квалифицировать как сделку, при этом отзыв согласия может повлечь применение санкций гражданско-правового характера со стороны лица, которое обладало правом на обработку таких данных [Савельев А.И., 2021: 104].
Представители публично-правовой науки критикуют тенденцию считать индивидуальное согласие достаточным критерием легитимности любого вида обработки данных, руководствуясь серьезным отношением к фундаментальным корням защиты данных и отказом от подхода «информационного рынка» [Rouvroy A., Poullet Y., 2009: 74]. Важная роль здесь отводится правам человека, обеспечивающим автономные возможности личностей в свободном и демократическом обществе; «классические» режимы конфиденциальности и защиты данных формируют вместе комплексную правовую защиту автономных возможностей человека. Одновременно предлагается усилить право на получение информации и предоставить новые права потребителю, включая коллективные иски, что снова выводит проблематику в зону пересечения публичного и частного.
Дабы обозначить позицию российской доктрины и практики по данному вопросу, отметим Постановление Конституционного Суда Российской Федерации от 26.10.2017 № 25-П «По делу о проверке конституционности пункта 5 статьи 2 Федерального закона «Об информации, информационных технологиях и о защите информации» в связи с жалобой гражданина А.И. Сушкова»3. В нем предпринята попытка оценить пользовательское соглашение, предполагающее наличие дифференцированных правил в отношении доступа к данным пользователя, но ее нельзя считать достаточной и удавшейся.
Базовый принцип обработки данных по европейскому Регламенту (и, как следствие, по российскому законодательству (в известной степени, и китайскому), следующим в этих вопросах за европейским4), а именно, принцип Privacy by design, PbD) (конфиденциальность по умолчанию) обязывает обрабатывать только те персональные данные, которые необходимы для цели обработки. Однако минимизация данных становится все более проблематичной, а с учетом возрастающей проактивности деятельности и сбора данных в процессе тотального наблюдения — вовсе плохо осуществимой. В связи с этим в литературе предложено трансформировать Privacy by design в Minimum harm by design (минимальный вред по умолчанию) (MHbD) [Orru E., 2017: 107-137]. MHbD отличается от PbD, во-первых, признанием, что возможный вред от наблюдения выходит за рамки только нарушения неприкосновенности частной жизни и попыток предоставить рекомендации по их решению. Во-вторых, бремя доказывания перекладывается на стороны, осуществляющие наблюдение. По сути, данное предложение призвано признать неизбежность ущерба частной жизни в современном цифровом обществе и реагировать на нарушения в общей логике гражданского права, с процессуальными преференциями обладателям персональных данных.
Изложенные проблемы наглядно иллюстрируют смешение публичноправовых и частноправовых подходов в защите данных, равно как незавершенность правовой защиты данных.
Исследователи, основываясь на анализе эволюции защиты данных, приходят к выводу о постепенном нивелировании разделения публичное/част- ное. Так, в немецком законодательстве эволюция правовой защиты персональных данных основывалась, в основном, на иерархической концепции, направленной на защиту личности от государства. После выстраивания законодательства о защите персональных данных традиционное различие между публичным и частным правом было поставлено под сомнение, что привело к унитарному подходу к регулированию, независимо от того, является ли контролер данных государственным учреждением или частным предприятием. Таковым является и общеевропейское законодательство о защите персональных данных. Новый Регламент предписывает частным обработчикам данных балансировать между своими собственными интересами и интересами субъекта данных, что в западной литературе расценивается как «сложнейшая и почти шизофреническая задача», особенно для начинающих компаний и юристов.
С другой стороны, американское законодательство о неприкосновенности частной жизни, в основном, направлено на увеличение индивидуальной свободы, включая коммерциализацию личных фактов (право на публичность) [Sattler А., 2018: 30, 36], что также мало способствует разделению публичное / частное, которое и вовсе не свойственно англосаксонской системе права.
Таким образом, приходится констатировать размывание границы между государственной и частной сферами. В этих условиях развивается идея собственности на данные, что стимулируется с двух сторон. Во-первых, частное право с самого начала основывается на принципе автономии, подчеркивая тем самым свободу действовать в соответствии со своей волей. Поэтому логично дать человеку право распоряжаться данными. Во-вторых, подталкивает развитие технологий. Не нужно глубоких исследований в подтверждение того факта, что согласие человека на обработку данных, оформленное в виде галочки на веб-сайте, мало напоминает информированное и осознанное согласие, как того требует европейский Регламент. Такое согласие даже сравнивают со сделкой между исследователем и туземцем в XVI веке, только на сверкающие стеклянные бусы обменивается доступ к персональным данным [Sattler А., 2018:40].
Разумеется, на этом фоне идея прав собственности на персональные данные кажется привлекательной. Коль скоро данные уже стали нефтью, и процесс их обращения неизбежен, надо направить его в цивилизованное регулируемое русло. Такова всегда была юридическая логика.
Однако погружение в проблематику вскрывает комплекс проблем, связанных с тем, что персональные данные в силу понятных причин не являются объектом гражданского права и, следовательно, традиционные институты цивилистики на них не ориентированы. Напомним, что собственность в гражданском праве может быть связана с вещами (право собственности) и нематериальными объектами (право интеллектуальной собственности). Если на персональные данные возникает некое имущественное право, его необходимо четко определить, и здесь позиции существенно расходятся — рассматривать ли их как нематериальное благо, как объект права интеллектуальной собственности, как иное имущество?
А.И. Савельев характеризует динамику развития гражданско-правовой характеристики персональных данных как постепенное движение от личных неимущественных благ к имуществу особого рода, что подпадает под категорию иного имущества по ст. 128 ГК РФ. Также в гражданско-правовой доктрине ставится вопрос о рассмотрении персональных данных в качестве встречного предоставления [Савельев А.И., 2021:129]. Отметим и предложение о применении к большим данным относительно устоявшихся правил об интеллектуальной собственности [Сергеев А.П., Терещенко Т.А., 2018: 121]; такое предложение вполне может быть распространено и на персональные данные.
В зарубежной литературе также встречаются ссылки на авторское право в этой сфере и делаются предложения о его модификации. Истинное расширение прав и возможностей субъектов данных может быть облегчено путем введения дуалистического права. Такое право — во многом сходное с ранним авторским правом — может быть имущественным и позволять субъектам данных получать экономическую выгоду от их использования. При этом предлагается устранить несоответствия между договорным правом, авторским правом и законодательством о защите данных. Одновременно, поскольку персональные данные разнообразны и весьма чувствительны к контексту, право на персональные данные должно (опять же по аналогии с моральными правами в раннем авторском праве) координироваться с соблюдением прав человека [Sattler А., 2018:48].
Похоже, что проблему обращения и защиты персональных данных возможно решить не в отраслевых рамках, а только комплексно, не нарушая при этом традиционной логики публичного и частного. Попытаемся подытожить результаты.
Право на информационное самоопределение является своеобразной точкой пересечения публичного и частного права, вызовов новых технологий, индивидуальных и общественных интересов. Вполне возможно, его удачное урегулирование послужит моделью выстраивания будущего правового регулирования в условиях цифровизации. На наш взгляд, необходимо учесть следующее.
Отчетливо прослеживаются два подхода к праву на информационное самоопределение. Исходный американский подход к «самоуправлению частной жизнью» (privacy self-management), основанный на механизме уведомления и выбора (notice and choice mechanism) критикуется в европейской доктрине как способствующий коммерческой эксплуатацию персональных данных и ставящий под угрозу неприкосновенность частной жизни пользователей, их личность и достоинство [Vivarelli А., 2020: 305]. В свою очередь, европейский подход кажется американцам чрезмерно патерналистским [Solove D., 2013]. Но, несмотря на кажущуюся полярность, возможно сочетание этих подходов, если только не считать защиту данных делом исключительно частного или публичного права.
Происхождение защиты данных из защиты частной жизни сыграло двоякую роль. С одной стороны, первичная «прописка» частной жизни в гражданских кодексах поставила ее защиту в ранг субъективного гражданского права, защищаемого в индивидуальном порядке от нарушения. С другой стороны, все большее вторжение в эту сферу государства создало базу ее конституционного признания, после чего защита данных обрела собственную жизнь. Права на частную жизнь и персональные данные, признанные правами человека, усиливают публично-правовой компонент.
Право на информационное самоопределение, как бы ни выстраивалась его защита, не является абсолютным и может быть ограничено в общественных интересах. С точки зрения обладателя персональных данных это очерчивает и пределы его собственной ответственности — нельзя переложить на человека всю полноту определения судьбы данных, немалая доля лежит на государстве и его институтах.
Мы уже давно высказывали тезис о разных векторах отношения к информации в публичном и частном праве — это открытость и закрытость соответственно. Публичное право приносит общие гарантии, действуя через институт прав человека, который выступает гарантом человекоцентризма в использовании технологий. В то же время участившееся применения цивилистических конструкций в публичном праве объяснима — их устойчивость и стабильность веками успешно сочетаются с гибкостью и свободой, не завися (относительно) от политических изменений. Привлекает в гражданско- правовом подходе и прагматичность.
Общий контекст современного управления — курс на социальное государство, привлечение частного сектора к решению публичных задач — подталкивает многие юрисдикции к мысли о том, что целое множество вопросов, в числе которых защита данных, являются межотраслевыми и не признают разграничения публичное/частное. При таких условиях право на информационное самоопределение может стать принципом, имеющим межотраслевой характер, который распространяется и на публично-правовую защиту данных, и на реализацию субъективных гражданских прав. Комплексность этого принципа защиты данных предусматривает выстраивание как публично-правового, так и гражданско-правового механизма защиты при соблюдении их базовых компонентов и соотношения.
References
Информация об авторе:
Э.В. Талапина — доктор юридических наук, доктор права (Франция), ведущий научный сотрудник.
Information about the author:
E.V. Talapina-Doctor of Sciences (Law), Doctor of Law (France), Chief Researcher.
Статья поступила в редакцию 14.03.2022; одобрена после рецензирования 29.04.2022; принята к публикации 06.06.2022.
The article was submitted by the editorial office 14 03.2022; approved after reviewing 29.04.2022; accepted for publication 06.06.2022.