Экспертное заключение подготовлено по итогам сессии ПМЮФ-2024 «Персональные данные — зона особого внимания».
В условиях цифровизации общества и государства защита персональных данных является объектом повышенного интереса со стороны органов государственной власти. Думается, что это вызвано тем, что персональные данные в случае их ненадлежащего использования могут навредить как правам и свободам российских граждан, так и государственным интересам[1]. Алексей Минбалеев, заведующий кафедрой информационного права и цифровых технологий МГЮА имени О.Е. Кутафина, будучи модератором секции, отметил, что законодатель особенно заинтересован в правовом регулировании защиты персональных данных, пусть и не все проекты изменений законодательства поддерживаются в Правительстве и Государственной Думе.
Милош Вагнер, заместитель руководителя Роскомнадзора отметил, что мир неумолимо меняется, в связи с чем необходимо выделить новые тенденции в сфере правового регулирования персональных данных. Так, институт согласия на обработку персональных данных устарел, поскольку он не обеспечивает в полной мере возможность граждан отказаться от дальнейшей обработки персональных данных. Действительно, на практике у рядовых граждан просто нет возможности ознакомиться с многостраничным согласием на обработку персональных данных, в связи с чем многие операторы этим пользуются[2]. Другой проблемой в области персональных данных является стандарт защиты персональных данных. В настоящее время стандарт устанавливается на основе возможностей крупных организаций. При этом малых организаций-операторов персональных данных зарегистрировано гораздо больше. Проблема заключается в том, что малые операторы персональных данных (которых большинство) не могут обеспечить тот же уровень безопасности данных, что и цифровые гиганты. Наконец, соблюдать закон должно быть проще, чем срезать углы. В частности, спикером было предложено ввести альтернативу административной ответственности операторов персональных данных при добровольном возмещении гражданам ущерба. Думается, что указанная альтернатива административному штрафу должна быть тщательно урегулирована, в особенности размер подобной ответственности. В противном случае, например, при расплывчатом законодательном регулировании такой компенсации сам субъект персональных данных может злоупотребить своим правом и запросить возмещение, явно несоразмерное допущенным нарушениям.
Евгения Сидорчук, начальник отдела развития финансовых рынков департамента финансовой политики Министерства Финансов Российской Федерации, рассказала об особой важности защиты персональных данных на финансовом рынке. Спикер отметила, что участниками финансового рынка становится всё больше граждан. Однако у данной положительной динамики есть и обратная сторона медали: всё больше злоумышленников под видом брокеров обманывают граждан. Спикер отметила, что к брокерам в этой связи необходимо предъявлять повышенные требования к защите персональных данных. Видится, что такая позиция разумна: так, например, возможно законодательно предусмотреть обязанность брокера проводить двухфакторную аутентификацию граждан при входе в их личный кабинет, устанавливать антифишинговые протоколы. Более того, законом должна быть установлена возможность беспрепятственного контроля брокеров уполномоченными государственными органами при соблюдении прав брокеров и их клиентов.
В рамках совершенствования правового регулирования персональных данных необходимо обратиться не только к представителям государственных органов, но и к бизнесу. Так, Александр Журавлев, председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России, сооснователь Moscow Digital School, отметил, что в настоящее время институт согласия на обработку персональных данных, действительно, носит бумажный характер, от которого надо уходить. Спикер, в частности, предложил ввести обязательное для операторов персональных данных уведомление о продолжении обработки таких данных (например, ежегодное).
Действительно, такое уведомление позволит гражданам «не забыть», кому они доверили персональные данные, и отозвать согласие на их обработку в случае необходимости. Другими словами, актуальным направлением защиты персональных данных является взращивание в Российской Федерации культуры работы с данными. Думается, что такое взращивание носит двоякий аспект: оно актуально как для граждан, так и для операторов персональных данных. Что касается граждан, наиболее логичным видится прививание принципа «нулевого доверия» применительно к согласию на обработку персональных данных[3]. Гражданин по умолчанию должен понимать, что любые переданные им персональные данные гипотетически могут быть использованы не по назначению и не в интересах гражданина. При этом можно выделить множество способов просвещения граждан в области персональных данных: от памяток на информационных стендах в общественном транспорте до специальных уроков в школе, лекций по кибербезопасности для людей пожилого возраста. Операторам персональных данных необходимо прививать культуру минимизации количества собираемых данных. Оператор должен собирать только те данные, которые нужны ему для работы. К примеру, интернет-магазину косметики необязательно знать о семейном положении субъекта персональных данных, роде его занятий. Более того, культура минимизации количества собираемых данных позволит избежать их утечки. Исследования показывают, что утечки персональных данных случаются, в том числе, по вине недобросовестных сотрудников оператора персональных данных [4]. Минимальное количество данных позволит сгладить последствия несанкционированного доступа к ним.
Выводы
Проанализировав выступления спикеров и их дискуссию можно сделать однозначный вывод об увеличении объема регулирования в области персональных данных. Повышенный интерес государства к этой теме обусловлен тем, что персональные данные всё чаще используются против их субъектов не только мошенниками, но и операторами персональных данных (в том числе путем излишней бумажной волокиты)[5]. Также интересен тот факт, что в настоящее время развивается идея введения оборотных штрафов за утечку персональных данных[6]. Оборотный штраф — это штраф, размер которого в конечном итоге зависит не только от количества утерянных персональных данных (т.е. тяжести правонарушения), но и от выручки оператора персональных данных. Так, оборотный штраф высчитывается в процентном соотношении от выручки оператора персональных данных, а сам размер процентов зависит от тяжести правонарушения. Думается, что такая конструкция штрафа является оптимальной, поскольку она позволяет дифференцировать ответственность операторов персональных данных. Для малых организаций стандартный административный штраф (такой же, как для цифровых гигантов) может быть губительным, ввиду чего штраф высчитывается в зависимости от выручки конкретной компании. Видится, что ввиду санкционного и внешнеполитического давления на Российскую Федерацию значимым вопросом является трансграничная передача данных[7]. Видится, что трансграничная передача должна быть поставлена на контроль и строго регулироваться. В частности, необходимо ввести запрет на трансграничную передачу особо значимых персональных данных (о финансовом состоянии, здоровье и т.д.). Более того, проблематикой регулирования трансграничной передачи данных является отсутствие эффективных рычагов контроля над цифровыми гигантами, не имеющими представительств в России (например, Google, Yahoo, Microsoft и т.д.) [8].
В связи с актуальностью проблематики защиты персональных данных, наличием различных концепций её оптимизации, можно сформулировать следующие рекомендации для органов публичной власти: инициировать обсуждение, разработку и принятие изменений в следующих направлениях правового регулирования персональных данных:
1. создание единой системы управления согласиями персональных данных;
2. упрощение процедуры отзыва согласия на обработку персональных данных;
3. учреждение компенсационного (страхового) фонда для лиц, пострадавших от утечек персональных данных, разработка основ его деятельности [9];
4. переработка стандартов защиты персональных данных в пользу их доступности для малых и средних операторов персональных данных;
5. проработка процедуры добровольного возмещения вреда в случае нарушения условий хранения и оборота персональных данных;
6. установление обязательной двухфакторной аутентификации пользователей брокерских сервисов;
7. продолжение разработки концепции оборотных штрафов для операторов персональных данных с дифференциацией не только по тяжести допущенных нарушений, но и по субъектам таких нарушений.
Думается, что при претворении в жизнь указанных рекомендаций будет обеспечиваться как большая сохранность персональных данных наших граждан, так и более предсказуемое регулирование на рынке цифровых, финансовых и иных услуг.
Список источников
1. Блажеев В.В., Егорова М.А., Барабашев А.Г., Засемкова О.Ф., Кашкин С.Ю., Минбалеев А.В., Пономарева Д.В., Шахназаров Б.А. Правовое регулирование искусственного интеллекта в условиях пандемии и инфодемии (под общей редакцией проф. В.В. Блажеева, проф. М.А. Егоровой). Университет имени О.Е. Кутафина (МГЮА). — М.: «Проспект», 2020. — § 1.4. 2. Бычков А.И. Проблемы защиты персональных данных — М.: Инфотропик Медиа, 2020. Глава IV 3. Яковлева А.В. Проблемы правового обеспечения в становлении института кибергигиены // Журнал «Вестник Университета имени О.Е. Кутафина (МГЮА)». — 2023. — №№ 2. — С. 62-70. 4. Утечка персональных данных — что грозит компании и к чему готовиться в суде? // Гарант.ру URL:
https://www.garant.ru/ia/opinion/author/ayrapetyan/1628493/ (дата обращения: 07.07.2024). 5. Коммерциализация персональных данных и понятие «биг дата» — злободневные вопросы IT-сферы // Гарант.ру URL:
https://www.garant.ru/article/1229761/?_utl_t=vk (дата обращения: 04.07). 6. В. Эйстрах Оборотные штрафы за утечку персональных данных: разбираемся в новых поправках // Журнал «Трудовое право». — 2024. — № 1. — С. 104-105. 7. Балакина А. Новые правила трансграничной передачи персональных данных // Сетевое издание «Адвокатская газета». — 2022. — № 23 8. Орлова О.Е. Новое в законодательстве о контролируемых иностранных компаниях // Журнал «Актуальные вопросы бухгалтерского учета и налогообложения». — 2016. — № 4 9. Афанасьев С.Д. , Терещенко И.А. Благими намерениями: законодательные эксперименты по защите персональных данных // Журнал «Закон». — 2024. — №№ 1. — С. 106-112.
Экспертные аналитические заключения по итогам сессий деловой программы Форума и любые рекомендации, предоставленные экспертами и опубликованные на сайте Фонда Росконгресс являются выражением мнения данных специалистов, основанном, среди прочего, на толковании ими действующего законодательства, по поводу которого дается заключение. Указанная точка зрения может не совпадать с точкой зрения руководства и/или специалистов Фонда Росконгресс, представителей налоговых, судебных, иных контролирующих органов, а равно и с мнением третьих лиц, включая иных специалистов. Фонд Росконгресс не несет ответственности за недостоверность публикуемых данных и любые возможные убытки, понесенные лицами в результате применения публикуемых заключений и следования таким рекомендациям.
