г. Москва, Нижняя Масловка, 9
ru

Сравнение законодательства о защите персональных данных в России и за рубежом

Сравнение законодательства о защите персональных данных в России и за рубежом
Европейский Союз

Если мы посмотрим на определение персональных данных (ПД) в российском Федеральном законе «О персональных данных» № 152-ФЗ от 27 июля 2006 года и сравним его с определениями законов европейских стран, то увидим, что они весьма схожи. Наш законодатель определяет персональные данные, как совершенно любую информацию, прямо или косвенно определяющую то физическое лицо, которое будет являться субъектом этих данных (п. 1 ст. 3). Это весьма близко, например, к дефиниции принятого в 2000 году австрийского Федерального акта о защите персональных данных (Datenschutzgesetz 2000 – DSG 2000), согласно параграфу четвертому статьи второй которого ПД — это информация, которая имеет отношение к идентифицированному (“identified”) или же имеющему высокую вероятность идентификации (“identifiable”) лицу, являющемуся ее [т.е. такой информации] субъектом.
 
Представляет интерес определение персональных данных, принятое в Британии, где законодатель понимает под ними информацию, связанную с каким-либо живым индивидом, который может быть идентифицирован на ее основании или с ее помощью, включая любое выражение мнения об этом человеке, но без указания на намерения в отношении него (ст. 1 Закона 1998 г. о защите данных — Data Protection Act). Таким образом, британский законодатель определяет ПД, кроме категории «информация», также через термины «мнение» и «намерение», чего в актах других стран Европы (включая Россию) не предусмотрено. Кроме данного акта, в Британии действует также Закон о свободе информации (2000), который в п. 40 ч. II относит к персональным данным «любой информационный запрос, представляющий собой информацию о субъекте персональных данных».
 
Но главный общеевропейский документ, определяющий работу с ПД — это общеевропейская директива «Общие правила защиты данных», или General Data Protection Regulation (GDPR), вступившая в силу на территории ЕС 25 мая 2018 года. Благодаря тому, что GDPR имеет экстерриториальное действие в отношении всех граждан и компаний ЕС, где бы они ни проживали, в России тоже очень внимательно следят за нормами директивы, и при необходимости ее применяют.
 
Статья 4(1) GDPR определяет персональные данные как любую информацию, которая относится к физическому лицу, являющемуся их субъектом. К ней могут относиться такие идентификаторы человека, как имя, сведения о местонахождении, онлайн-идентификаторы (компьютера или смартфона), а также сведения, специфические для данного конкретного индивидуума с точки зрения физиологии, генетики, интеллекта, экономики или культуры.
 
Если дело касается граждан или компаний Евросоюза, то находится ли технически при этом оператор ПД (контроллер, если он собирает персональные данные, или процессор, если он их обрабатывает) в ЕС или за его пределами, с точки зрения закона абсолютно одинаково — в том числе и в плане последствий за его нарушение.
 
При этом надо заметить, что невыполнение правил GDPR ведет к наложению крупных штрафов вплоть до 20 миллионов евро или до 4 процентов от выручки (в зависимости от того, какая сумма в итоге будет больше), За отсутствие сотрудника по защите данных там, где это нужно по закону, или же за незаконную обработку персональных данных несовершеннолетнего еврорегламентом предусмотрены хоть и меньшие финансово, но все же весьма существенные штрафы — 10 миллионов евро или 2% от общего годового оборота предприятия.


Китай

Разработка китайского законодательства в области защиты ПД началась в ноябре 2016 года, когда китайский парламент — Постоянный Комитет Всекитайского собрания народных представителей (ПК ВСНП) — принял закон, запрещающий интернет-провайдерам собирать информацию о пользователях без их согласия. Этот закон официально вступил в силу с 1 июня 2017 года. И сейчас, несмотря на то, что вмешательство государства и компартии Китая пронизывает все сферы, в том числе и информационную, КНР в области защиты персональных данных в целом стремится идти по пути GDPR и выработать более-менее аналогичные стандарты по защите ПД.
 
Так, например, в марте 2018 года главный орган стандартизации Китая — Национальный технический комитет по стандартизации информационной безопасности Китая (TC260) — выпустил государственный стандарт «Спецификация безопасности личной информации», охватывающий сбор, хранение, использование, обмен, передачу и раскрытие личной информации интернет-пользователей КНР. Этот стандарт является органичным дополнением к вышеупомянутому закону о кибербезопасности.
Местные эксперты считают, что Китай, по-прежнему отдающий приоритет вмешательству государства в частную жизнь своих граждан, тем не менее многое может перенять и из европейского опыта: условия согласия пользователей, «право на забвение», формулирование политики конфиденциальности бизнеса, и т.д.


США и Канада

В Соединенных Штатах Америки общее законодательство о персональных данных как таковое отсутствует, но на уровне отдельных штатов соответствующие акты все же принимаются. Так, в Калифорнии год назад, с 1 января 2020 года начал действовать California Consumer Privacy Act (ССPA), регулирующий правила сбора персональных данных и работы с ними. Согласно ему, к персональным данным можно отнести, как и в России, любые данные, позволяющие идентифицировать конкретного человека: любые идентификаторы, биометрия, геолокация, история интернет-просмотров, а также информация о трудоустройстве или образовании. Но в целом законодательство о защите персональных данных в США представляется в этом плане разрозненным, и правовое регулирование там касается больше ответственности за преступления в этой сфере.
 
Для Соединенных Штатов вопрос киберпреступлений, включая неправомерный доступ к персональной информации, имеет двоякую природу. С одной стороны, согласно разделу 18 Свода законов США предусматривается ответственность за кражу личных данных и взлом компьютерных систем, которая на федеральном уровне составляет до 100 тыс. долл. или до 250 тыс. долл. в зависимости от тяжести преступления (§ 3571 разд. 18 СЗ США). С другой же, после терактов 11 сентября легальный сбор на государственном уровне данных об американцах стал частью Закона о патриотизме (USA PATRIOT). Однако с 2015 года в этой области наметилась тенденция к либерализации, после того, как начал действовать введен в действие так называемый Акт о свободе (USA FREEDOM). После начала его действия Агентство национальной безопасности (АНБ США), которое раньше на основании Закона о патриотизме могло массово собирать данные и перехватывать их, теперь имеет к таким данным доступ лишь на основании судебного ордера. Собирать же данные о гражданах США могут только уполномоченные на это провайдеры. А за незаконный доступ к компьютерам или перехват электронных сообщений можно загреметь в американскую тюрьму на срок от полугода до пяти лет.
Примечательно, что американские законы позволяют расследовать даже те преступления, связанные с компьютерной информацией, которые не направлены напрямую против граждан США, но имели место в отношении серверов, расположенных на территории Соединенных Штатов. Такая криминальная экстерриториальность вытекает из смысла статьи 15 Конвенции ООН против транснациональной организованной преступности от 15 ноября 2000 года, которая в таких случаях не ограничивает юрисдикцию пределами национального законодательства страны-участника.
 
Канада приняла новый закон в области защиты ПД буквально пару месяцев назад, в ноябре 2020 года. Как было сказано в официальном сообщении министерства инноваций страны, «для того, чтобы Канада добилась успеха, а наши компании могли внедрять инновации, необходима система, основанная на доверии, с прозрачными правилами и контролем за их исполнением».
Правительство серьезно ужесточило меры ответственности за нарушение прав граждан в киберпространстве. Теперь компаниям, совершившим серьёзные нарушения в этой сфере, грозят штрафы в размере 5% годового дохода или 25 миллионов евро (19 миллионов долларов) – выбор наказания будет делаться в пользу более крупной суммы, так же как в странах Евросоюза.


Япония и Сингапур

В Японии 1 апреля 2005 г. вступил в силу Закон «О защите персональной информации». Право на защиту ПД здесь является неотъемлемой частью права на неприкосновенность частной жизни, которое гарантируется японской Конституцией (1947). Любой интернет-сайт абсолютно любой японской компании, имеющей дело с личными данными граждан Страны восходящего Солнца, обязан содержать специальный раздел «Политика по защите персональной информации». В нем указывается, как данная компания реализует нормы Закона, какие принимаются меры по защите ПД, и как они в дальнейшем будут корректироваться.
 
В Сингапуре личные данные защищены законом «О защите персональных данных», который был принят еще в 2012 году и устанавливает правила по сбору, использованию, раскрытию и хранению ПД. Из интересных моментов можно отметить то, что закон предусматривает создание национального реестра «Do not Call» (DNC). Такой реестр позволяет зарегистрировать свои номера таким образом, чтобы отказаться от получения маркетинговых звонков, СМС-сообщений и факсов от организаций.
Сингапурские организации могут собирать, использовать или раскрывать личные данные только с согласия человека, и делать это лишь для целей, которые будут считаться обоснованными.


Россия

В России, как и в Европе, после принятия основополагающих законодательных актов — Федерального закона № 152-ФЗ и GDPR соответственно — субъекты персональных данных получили стройную систему защиты своих прав. Но, несмотря на это, российское законодательство страдает рядом существенных пробелов и недостатков, которые бросаются в глаза.
 
В частности, хотя в России любая компания и считается оператором данных, поскольку как минимум собирает персональные данные своих сотрудников, но наш закон № 152-ФЗ касается в первую очередь тех операторов персональных данных, которые зарегистрированы и работают на территории РФ. В отличие от него, GDPR защищает персональные данные любого гражданина ЕС, где бы географически или юрисдикционно ни находилась компания — оператор ПД (неважно, идет ли речь о контроллере или процессоре).
 
То же касается и санкций за нарушение законодательства о ПД: в отличие от ЕС или Канады, где наказания исчисляются миллионными суммами или процентами от выручки, по законодательству РФ самый большой штраф за сбор и обработку персональных данных без согласия субъекта (а это наиболее частое нарушение в области защиты ПД в России) по Федеральному закону № 152-ФЗ составляет всего-навсего 75 тысяч рублей (ч. 2 ст. 13.11 КоАП РФ). К тому же в нашей стране, несмотря на обширную зарегулированность информационной сферы, отсутствует специализированная уголовная статья за то же самое, скажем, хищение персональных данных человека. Российский суд в этом случае будет выбирать из двух статей УК РФ: «Нарушение неприкосновенности частной жизни» (ст. 137 УК РФ) или «Неправомерный доступ к компьютерной информации» (ст. 272 УК РФ). Но и в том, и в другом случае санкции весьма невелики — штрафы составляют максимум полмиллиона рублей, а лишение свободы как наказание в данном случае суды применяют весьма неохотно. В самых серьезных случаях (причинение существенного ущерба, использование служебного положения или публичное распространение информации о несовершеннолетних) соответствующие тюремные сроки не превышают пяти лет. Однако первый зампред комитета Госдумы по информационной политике, информационным технологиям и связи Сергей Боярский уже пообещал, что санкции за хищение и использование чужих персональных данных будут последовательно ужесточаться.
 
В целом уже очевидно, что российские власти идут по пути Китая и пытаются нащупать хрупкий баланс между формальным невмешательством государства и законодательной охраной ПД с одной стороны, и необходимостью сбора и использования информации о гражданах РФ исключительно в собственных интересах, постепенно и исподволь вытесняя других субъектов из поля подобной деятельности. Как именно это будет выглядеть на практике?.. Как говорится, будем не ждать, а готовиться.

Подпишитесь на нашу рассылку

Это рассылка о самых актуальных новостях и тенденциях цифрового права. Раз в две недели мы отправляем дайджест самых важных событий нашей сферы с аналитикой наших экспертов