Защита персональных данных

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Теоретические аспекты защиты персональных данных

1.1 Генезис понятия «персональные данные» как правовой категории

1.2 Определение субъекта прав собственности на персональные данные в рамках институциональной экономической теории

1.3 Экономические предпосылки необходимости защиты персональных данных

2. Экономические эффекты действующего режима защиты персональных данных в России

2.1 Особенности законодательства о защите персональных данных в Российской Федерации

2.2 Оценка экономического эффекта текущего режима защиты персональных данных

3. Институциональные альтернативы действующему режиму защиты персональных данных в России

3.1 Оценка влияния поправок к закону «О персональных данных» от 2016 года на деятельность различных социальных групп

3.2 Оценка влияния законодательства о хранении метаданных на деятельность различных социальных групп

Заключение

Список использованных источников

Введение

В современном мире смартфонов, «умных» вещей и массовой интернет-зависимости компании собирают, хранят и используют больше информации о потребителях, чем когда-либо прежде. Эти данные в большинстве своем используются для разработки инновационных продуктов, стимулирования спроса и предоставления более качественных товаров и услуг для потребителей, что, в целом, повышает эффективность рынка. Тем не менее, сбор и хранение значительных массивов персональной информации влечет за собой множество угроз, с которыми не способны справиться игроки рынка без применения государственного регулирования.

Необходимость обеспечения защиты личной информации, в том числе персональных данных, возникла в России еще с 90-х годов прошлого века, и чем сильнее информационно-коммуникационные технологии проникали в жизнь граждан, тем более острой становилась эта необходимость. Несмотря на множество принятых нормативно-правовых актов в сфере защиты личной информации, на сегодняшний день институт персональных данных в России пока не полностью сформирован.

В условиях постоянного реформирования законодательства и стремительного развития информационных технологий вопрос экономической эффективности действующего режима защиты персональных данных, а также его возможных альтернатив, представляется довольно актуальным.

Объектом работы является защита персональных данных. Предмет работы - действующий и альтернативные ему режимы защиты персональных данных в России.

Целью выпускной квалификационной работы является определение уровня эффективности текущего режима защиты персональных данных в России и оценка его возможных альтернатив. Для реализации цели работы необходимо выполнить ряд задач:

* Определить субъект прав собственности на персональные данные в современных реалиях;

* Выявить экономические предпосылки защиты персональных данных;

* Проанализировать особенности законодательства России о защите персональных данных и оценить их экономический эффект;

* Определить возможные альтернативные режимы защиты персональных данных и оценить их возможное влияние на деятельность различных социальных групп.

Выпускная квалификационная работа состоит из трех глав.

В первой главе раскрывается генезис понятия «персональные данные», изучается процесс смены субъектов прав собственности на персональные данные во временной динамике, выделяются основные угрозы приватности в цифровом мире, которые выступают экономическими предпосылками необходимости защиты персональных данных.

Вторая глава работы содержит анализ особенностей российского законодательства в сфере защиты информации, в ней также изучается экономический эффект действующего законодательства Российской Федерации о защите персональных данных.

В третьей главе оценивается влияние альтернативных режимов защиты персональных данных на операторов и потребителей информационно-коммуникационных услуг.

Работа содержит такие методы исследования: анализ статей и законодательства, институциональный анализ, эконометрическое моделирование, экономико-статистический анализ, классификация информации.

Среди источников, используемых при написании работы, в первую очередь стоит отметить множество международных нормативно-правовые актов, Конституцию Российской Федерации, законы Российской Федерации и некоторых других стран (Великобритания, Австралия), - источники права были необходимы для изучения юридической стороны защиты персональных данных. Экономическая сторона защиты персональных данных в работе изучена при помощи подборки научных статей и периодики на русском, украинском и английском языках. Во второй и третьей главах работы также широко применяются данные, полученные из статистических интернет-источников, отчетов и электронных СМИ.

1. Теоретические аспекты защиты персональных данных

1.1 Генезис понятия «персональные данные» как правовой категории

Понятие «персональные данные» считается относительно молодым, его появление связывают с периодом после окончания Второй Мировой войны, когда постепенно возникает необходимость в компьютерной безопасности, а в дальнейшем и в сетевой безопасности. В это время правовые системы обращают все больше и больше внимания на регулирование оборота информации о физических лицах и практически разрабатывают новое субъективное право - право индивида на его «персональные данные». Тем не менее, еще задолго до возникновения самого термина «персональные данные», распространение личной информации о других людях в той или иной степени подлежало регулированию как со стороны общества, так и со стороны государства.

Еще с давних времен возможность самореализации человека была неразрывно связана с информацией, которая наличествует о нем в обществе. Ранние правовые системы предусматривали средства защиты «доброго имени» физических (а также юридических) лиц путем запрета на распространение недостоверных, а позже, и достоверных, но интимных сведений. Тогда информация в большинстве своем передавалась из уст в уста, а поэтому минимального вмешательства государства в регулирование информационного оборота было достаточно, так как в целом общество саморегулировалось при помощи социальные санкций Сопілко І. М. Генезис змісту категорії "персональні дані" / І. М. Сопілко // Юридичний вісник. Повітряне і космічне право. - 2013. - № 4. - С. 62-66. - Режим доступа: http://nbuv.gov.ua/UJRN/Npnau_2013_4_14.

Первые исследования природы конфиденциальной информации (считающиеся впоследствии источником более узкого права - права на персональные данные) проводились в конце XIX века в США и были ознаменованы выходом в свет статьи «Право на неприкосновенность частной жизни» юристов С. Воррена и Луиса Д. Брандайза в 1890 году. В этой статье, помимо общепризнанных прав на жизнь, на свободу и на собственность, описывается также право человека на «быть оставленным в покое» The right "to be let alone" как ответная реакция на гонку желтой прессы за подробностями частной жизни известных людей. Warren and Brandeis. The Right to Privacy // Harvard Law Review, Vol. IV December 15, 1890. - No 5 Дороти Дж. Гланси интерпретирует концепцию Воррена и Брандайза в виде схемы (рисунок 1.1), отображающей четкое разделение права на частную жизнь от неотъемлемых прав человека на свободу и собственность.

Рис. 1.1: Неотъемлемые права личности согласно статье «Право на неприкосновенность частной жизни»

Авторы статьи определяют персональные данные как такие, которые наделены атрибутами обыкновенной собственности: права на них могут быть переданы, они имеют ценность, их публикация и/или воспроизведение - это использование, при помощи которого эта ценность реализуется. Тем не менее, С. Воррен и Луис Д. Брандайз не рассматривают право на частную жизнь как составляющую права на интеллектуальную собственность: смысл защиты личной информации не в перераспределении прибыли, а в душевном спокойствии индивида. Согласно статье, «принцип, который защищает личные писания и все другие личные произведения не от воровства и физического присвоения, а от публикации в любой форме, на самом деле является не принципом частной собственности, а принципом неприкосновенности личности» Warren and Brandeis. The Right to Privacy // Harvard Law Review, Vol. IV December 15, 1890. - No 5.

Статья «Право на неприкосновенность частной жизни» считается одним из самых влиятельных эссе в истории американского права и первой публикацией в Соединенных Штатах о защите прав на личную информацию. Dorothy J. Glancy, "The Invention of the Right to Privacy", Arizona Law Review, v.21, n.1, pp. 1-39 (1979). Впервые формулировка «право на быть оставленным в покое» в суде была использована в 1928 году по делу Роя Олмстеда, что также привело к возникновению юридической категории «право на неприкосновенность частной жизни». Сопілко І. М. Генезис змісту категорії "персональні дані" / І. М. Сопілко // Юридичний вісник. Повітряне і космічне право. - 2013. - № 4. - С. 62-66. - Режим доступа: http://nbuv.gov.ua/UJRN/Npnau_2013_4_14 Обвиняемый, оспаривая приговор, утверждал, что использование записей телефонных разговоров в качестве доказательства вины является недопустимым. Несмотря на то, что Рой Олмстед был впоследствии осужден на 4 года заключения, особое мнение по материалам дела ассоциированного судьи Луиса Брандайза, согласно которому «право человека на быть оставленным в покое - всеобъемлющее право, наиболее ценимое цивилизованными людьми,… каждое неоправданное вмешательство правительства в частную жизнь человека, независимо от используемых средств, должно считаться нарушением Четвертой поправки» 277 U.S. 438 Olmstead v. United States () Argued: February 20, 21, 1928 [еlectronic resource]. - Electronic data. ? URL: https://www.law.cornell.edu/supremecourt/text/277/438, стало очень известным и повлияло на вынесение ряда других решений.

История формирования законодательной базы защиты персональных данных берет начало в 1948 году, когда во Всеобщей декларации прав человека провозглашается: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь,… тайну его корреспонденции или на его честь и репутацию; каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств». Всеобщая декларация прав человека, принята резолюцией 217 А (III) Генеральной Ассамблеи ООН от 10 декабря 1948 года [электронный ресурс] - режим доступа: http://www.un.org/ru/documents/decl_conv/declarations/declhr.shtml Европейская конвенция о защите прав и основных свобод человека от 1950 года в статье 8 предусматривает ряд случаев, когда право на уважение частной и семейной жизни отдельного индивида может нарушаться для «сохранения национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц». Конвенция от 4 ноября 1950 года «О защите прав человека и основных свобод» [электронный ресурс] - режим доступа: http://www.echr.coe.int/Documents/Convention_RUS.pdf Международный пакт о гражданских и политических правах от 1966 года запрещает не только произвольное, но и незаконное вмешательство в личную и семейную жизнь и тайны корреспонденции, во всем остальном формулировка статьи 17 полностью повторяет цитату из Всеобщей декларации прав человека. Международный пакт о гражданских и политических правах, принят резолюцией 2200 А (XXI) Генеральной Ассамблеи от 16 декабря 1966 года [электронный ресурс] - режим доступа: http://www.un.org/ru/documents/decl_conv/conventions/pactpol.shtml

Выше описанные международные договоры и другие источники международного права описывают только право человека на невмешательство в личную жизнь, которое можно отождествить с правом «на быть оставленным в покое», описанном ранее С. Ворреном и Луис Д. Брандайзом. Право человека на защиту персональных данных, как уже было упомянуто выше, считается производным от права человека на невмешательство в личную жизнь.

Современные научные исследования основных закономерностей правового регулирования информации о физических лицах появились как отклик на возникновение качественно новых социальных явлений в сфере оборота и защиты конфиденциальной информации. Такие понятия как «персональные данные» (personal data), «информация, позволяющая установить личность» (personally identifiable information) и подобные возникли в различных правовых системах во второй половине XX в. в связи с появлением информационно-телекоммуникационных технологий, прежде всего, сети Интернет. С этого момента внимание общества к проблеме защиты сферы частных общественных отношений от противоправных посягательств непрерывно растет, правовая защита персональных данных становится одним из приоритетных направлений исследований зарубежных ученых, в частности, таких как Чарльз Д. Рааб «Perspectives on “Personal Identity”, BT Technology Journal, Vol. 23, No. 4, October, pp. 15- 24., Штиг Штрoмхолм Strцmholm Stig. Right of privacy and rights of the personality: a comparative survey. Working paper prepared for the Nordic conference on privacy organized by the International Commission of jurists, Stockholm, May 1967 , Раймонд Уэкс Wakes R. Protection of Privacy. London: Sweet & Maxwell, 1980. P. 31 и других.

На данный момент понятие «персональные данные» имеет множество различных определений, анализ некоторых из них представлен в таблице 1.1.

Таблица 1.1. Анализ подходов к определению понятия «персональные данные» в современных источниках*

Анализ разнообразных определений понятия «персональные данные» показывает, что на протяжении более 15 лет трактовка «персональных данных» эволюционировала: если более ранние определения несколько ограничивают круг субъектов персональных данных или объект персональных данных (например, рассматривая только зафиксированную на материальном носителе информацию), то в более свежих определениях прослеживаются попытки достичь наиболее полного охвата. Так, например, в федеральном законе РФ «О персональных данных» от 2006 года в определении используется слово «любая», что, с одной стороны, дает возможность очень полно описать понятие «персональные данные», но, с другой стороны, вовсе не конкретизирует ни источники такой информации, ни ее характер.

Наиболее удачным определением «персональных данных» можно назвать формулировку, предложенную в 2010 году на Мировом экономическом форуме, которая может быть дополнена и несколько сокращена следующим образом:

Персональные данные - это данные и метаданные, созданные людьми и о них, включая: данные, предоставляемые индивидуумами самостоятельно и добровольно, наблюдаемые данные, фиксируемые путем записи действий отдельных лиц, а также предполагаемые данные и субъективные оценки, основанные на анализе добровольно предоставленной или наблюдаемой информации.

Выше приведенное определение довольно полно характеризует информацию, которая может являться персональными данными, описывает возможные источники такой информации. Кроме того, определение допускает существование персональных данных не только о конкретном индивиде, но и о группе индивидов (например, об определенной семье или об определенной группе потребителей).

Таким образом, генезис понятия «персональные данные» восходит еще к концу XIX века, когда идея о необходимости защиты информации о личной жизни людей только начала зарождаться. Возникновение «персональных данных» как отдельной правовой категории относят к 80-90-м годам XX века, когда развитие средств коммуникации достигло небывалых успехов и личная информация о пользователях электронных устройств стала постепенно накапливаться. Впоследствии появление интернета и переход к «цифровой экономике» стали триггерами к постоянному уточнению и дополнению понятия «персональные данные», так как данная сфера с каждым годом нуждается все в большем и большем регулировании со стороны государства.

1.2 Определение субъекта прав собственности на персональные данные в рамках институциональной экономической теории

В XXI веке необходимость защиты персональных данных связана не только и не столько с защитой «доброго имени» индивида и его душевного спокойствия, но также с защитой его благосостояния. Если С. Воррен и Луис Д. Брандайз в конце XIX века четко разграничивали право на «быть оставленным в покое» и право на собственность, то уже в 70-е годы XX века предложение о введении имущественных прав на персональные данные впервые стало предметом научных дискуссий, особенно остро разгоревшихся ближе к 2000-м годам Nadezhda Purtova. The Illusion of Personal Data as No One's Property // Law, Innovation and Technology. Volume 7, 2015.

Согласно определению, права собственности - это санкционированные и принятые в обществе отношения между экономическими агентами, определяющие возможные способы использования ресурсов как прерогативу индивидов или групп Курдин А. Экономическая теория прав собственности и ее роль для глобальной экономики (лекционный материал). - 2015 г. или, проще, это отношения между людьми по использованию ограниченных ресурсов. Институциональная экономика: учеб. пособие / В.С. Парамонов, Н.И. Литвина. - М.: Изд-во ФГОУ ВПО РГАЗУ, 2011. - 152 с. В выше приведенных, а также многих других определениях прав собственности смысл сводится к тому, что имущественные права могут распространяться только лишь на «ресурсы» (институциональная экономика), «средства производства и предметы потребления» (политическая экономия), «материальные блага» (юридическая литература) и прочее. В ранних представлениях персональные данные (или личная информация) действительно не подпадали под определение ресурсов или средств производства: они не являлись факторами для производства экономических благ, не участвовали в процессе создания товаров и услуг, - их наличие игнорировалось большинством экономистов.

С началом стремительного развития коммуникационных технологий и, в особенности, появлением интернета персональные данные постепенно начали обретать экономический смысл. Появились первые приверженцы идеи введения прав собственности на персональные данные «propertization» и они тут же разделились на два «лагеря»: одни считали необходимым, чтобы закон признал коммодификацию персональных данных, произошедшую в результате перехода к поведенческому маркетингу, другие указывали на необходимость передать контроль за персональной информацией индивидам, к которым эта информация относится. Nadezhda Purtova. The Illusion of Personal Data as No One's Property // Law, Innovation and Technology. Volume 7, 2015 В ответ на это выдвигались также аргументы против спецификации прав собственности на персональные данные, основным из которых было утверждение, что конфиденциальность информации является общественным благом, обеспечить безопасность и общую доступность которого будет невозможно в условиях «пропертизации». Ibid.

Одной из основных идей статьи Надежды Пуртовой «Иллюзия персональных данных как ничьей собственности» является утверждение о том, что, несмотря на горячие дискуссии, на данный момент не существует опционального выбора между вариантами установить частную собственность на персональные данные (чтобы каждый индивид мог контролировать информацию о себе) или же рассматривать совокупность персональных данных с точки зрения общественного блага. Nadezhda Purtova. The Illusion of Personal Data as No One's Property // Law, Innovation and Technology. Volume 7, 2015 По мнению автора, режим собственности на персональные данные уже давно установлен и большинство прав на этот новый актив принадлежит информационной индустрии «по умолчанию» Ibid.

Возвращаясь к определению «персональных данных» как любой информации созданной людьми и о людях, приходит понимание того, что к персональным данным относится не только фамилия, имя, отчество, дата рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, данные о средствах коммуникации (телефонный номер, электронная почта), данные о членах семьи и прочая индивидуальная информация. «Персональными данными» может выступать также обезличенная (деперсонализированная) информация, которая в процессе анализа может реидентифицировать индивида. Так, например, в 2006 году America Online (AOL Inc.) выпустила сборник поисковых запросов, считавшихся полностью анонимизированными, тем не менее, репортеры из The New York Times использовали эти запросы, чтобы показать, что даже когда имена и другая личная информация удаляются из наборов Big Data, часто бывает возможно ре-идентифицировать конкретного человека. Juergen Sidgman, Malcolm Crompton. Valuing Personal Data to Foster Privacy: A Thought Experiment and Opportunities for Research // Journal of Information Systems, American Accounting Association, Vol. 30, No. 2. - 2016, pp. 169-181

Если рассматривать «персональные данные» как цифровые записи всего, что люди делают и создают онлайн по всему миру, то их можно условно разделить на 8 основных групп:

* Цифровая идентификация (имена, адреса электронной почты, номера телефонов, физические адреса, демографическая информация, информация о профиле социальной сети и т. п.);

* Отношения с другими людьми и организациями (онлайн-анкеты и списки контактов);

* Активность в сети, интересы и поведение (записи о местоположении, времени, кликах, поиске, история браузера и данные календаря);

* Коммуникационные данные (электронные письма, SMS, телефонные звонки, чаты и общение в социальных сетях);

* Медиа-файлы, которые были созданы, потреблены или оценены (в том числе текстовые, аудио, фото, видео и другие файлы);

* Финансовые данные (транзакции, счета, кредитные рейтинги, физические активы и виртуальные товары);

* Данные о состоянии здоровья (история болезни, журналы медицинских приборов, рецепты и медицинская страховка);

* Институциональные данные (правительственные, академические и данные работодателей) и пр World Economic Forum, 2010. Personal Data: The Emergence of a New Asset Class [еlectronic resource]. - Electronic data. ? URL: http://www3.weforum.org/docs/WEF_ITTC_PersonalDataNewAsset_Report_2011.pdf.

Все эти цифровые данные (предоставленные людьми добровольно, наблюдаемые или предполагаемые на основе анализа других данных) могут храниться и агрегироваться различными провайдерами - веб-провайдерами, поисковыми системами Интернета, разработчиками приложений и пр., которые в своей совокупности действительно составляют информационную индустрию.

Несмотря на огромное количество разнообразной цифровой информации, хранящейся и используемой представителями информационной индустрии, на первый взгляд сложно согласиться с Надеждой Пуртовой о том, что персональные данные в большинстве своем являются их собственностью, хотя бы потому, что личная информация принципиально отличается от материальных товаров. Нельзя отрицать, что в момент сбора персональных данных третьими лицами, уровень доступности и уровень потребления этого блага самим субъектом персональных данных не меняется. Так, согласно Йозефу Штиглицу, любая информация (а в частности, и персональные данные) обладает основными свойствами общественного блага - она неконкурентна и исключить отдельных лиц из пользования преимуществами этой информации зачастую довольно трудно. Joseph E. Stiglitz. The contributions of the economics of information to twentieth century economics. - Quarterly Journal of Economics, 2000. - P. 115

С другой стороны, если бы персональные данные являлись чистым общественным благом, то многого из того, что окружает современных людей, попросту не существовало бы. В первую очередь, речь идет о бесплатных приложениях для мобильных устройств, полный функционал которых доступен в случае разрешения приложению получать доступ к определенным данным - файлам на смартфоне, профилю в социальных сетях, геолокационным данным, статистике подключения к Wi-Fi и прочей информации. Уже сейчас потребители используют свои персональные данные в качестве оплаты тех или иных приложений, что впоследствии монетизируется разработчиками посредствам трансляции таргетированной рекламы. В случае если бы персональные данные были действительно полностью общественным благом и являлись общедоступной информацией, то смысл создавать и поддерживать приложения и социальные сети, основной функцией которых является стимулирование индивидов делиться своими персональными данными и приумножать цифровую информацию о себе, был бы утерян.

Кроме того, о неизменном уровне доступности персональных данных для самого индивида можно говорить только лишь применимо к добровольно предоставляемым персональным данным. Так, зачастую наблюдаемые персональные данные (например, геолокационная статистика за определенный отрезок времени) или предполагаемые персональные данные, основанные на анализе добровольно предоставляемой и наблюдаемой информации (к примеру, кредитный рейтинг) недоступны для самого индивида или их получение требует формирование дополнительных запросов. При этом агрегированные массивы персональной информации зачастую становятся товаром, так или иначе используемым информационными компаниями для получения прибыли, что сложно представить в случае, если бы доступ к персональным данным людей был бы общедоступен.

Учитывая вышесказанное, гипотеза Надежды Пуртовой о том, что право собственности на персональные данные в современном мире закреплено за представителями информационной индустрии, кажется близкой к истине. Опираясь на работу Джона Умбека «Теория прав собственности применительно к Калифорнийской золотой лихорадке», автор статьи «Иллюзия персональных данных как ничьей собственности» утверждает, что современная конкуренция на информационном рынке во многом напоминает ситуацию 1848 года: пока права собственности окончательно юридически не определены, представители индустрии как более «сильные» (наделенные большим количеством ресурсов) заинтересованные экономические субъекты заявили и осуществляют права собственности. Nadezhda Purtova. The Illusion of Personal Data as No One's Property // Law, Innovation and Technology. Volume 7, 2015 При этом, исходя из выводов Джона Умбека, распределение прав собственности находится в прямой зависимости от способности исключать конкурентов John Umbeck, A Theory of Property Rights: With Application to the California Gold Rush (Iowa State University Press). - 1981. - P.61-68, чем можно объяснить столь высокую конкуренцию на рынке информационных технологий, особенно обострившуюся в последнее десятилетие.

Понимание эволюции прав собственности на персональные данные можно продемонстрировать при помощи схематичного рисунка 1.2., который наглядно демонстрирует, как изменялся со временем субъект прав собственности на персональные данные. Можно утверждать, что до конца XIX века индивид сам располагал всей информацией о себе и сам был в состоянии контролировать ее потоки. Со временем права собственности на персональные данные наиболее известных личностей стали размываться, в первую очередь, «желтой прессой». Общедоступность жизненных подробностей и другой частной информации (появление в прессе фотоматериалов, раскрытие тайны корреспонденции) вызвало возмущение индивидов, чья информация публиковалась, что, в свою очередь повлияло на развитие юридической науки начала XX века, привело к возникновению понятия «неприкосновенность личной жизни». Долгое время процесс перехода частных персональных данных в общедоступную информацию касался лишь определенных индивидов и охватывал сравнительно незначительное количество информации, а потому изучение этого социально-экономического явления в должной степени не проводились. Преобразование значительного пласта персональных данных в общедоступную собственность произошло с началом стремительного развития коммуникационных технологий, но до 2000х годов все более и более накапливающаяся персональная информация по большей части не имела влияние на экономическое развитие, хотя сам факт ее раскрытия вызывал интерес и привёл к разгоранию научных дискуссий. И вот с началом нового тысячелетия можно наблюдать процесс присвоения прав собственности на персональные данные игроками рынка - представителями информационной индустрии. Предполагается, что этот процесс продлится до тех пор, пока права собственности на персональные данные не будут окончательно юридически закреплены.

Рис 1.2. Процесс смены субъектов прав собственности на персональные данные во временной динамике

Составлено автором на основе: Nadezhda Purtova. The Illusion of Personal Data as No One's Property // Law, Innovation and Technology. Volume 7, 2015

Важно отметить, что значительную роль на всех этапах спецификации прав собственности на персональные данные играет государство, которое также заинтересовано в получении доступа к личным данным граждан. С давних времен государственные органы в том или ином виде занимаются сбором, систематизацией и хранением персональных данных не только для накопления статистических сведений, но и для обеспечения безопасности граждан. Если до 2000-х годов большинство персональных данных государственные органы получали непосредственно от индивида или его семьи (при рождении, браке, переписи населения и пр.), то с началом нового тысячелетия все чаще государством предъявляются требования к провайдерам информационно-коммуникационных услуг по поводу раскрытия информации о пользователях, что подробнее будет рассмотрено в пункте 2.1 данной работы. Этот факт еще раз подтверждает теорию о том, что права собственности на персональные данные в современном мире закреплены за представителями информационной индустрии.

1.3 Экономические предпосылки необходимости защиты персональных данных

Распространение информационно-коммуникационных технологий, благодаря которым массивы персональной информации ежегодно приумножаются, создает как новые возможности для бизнеса и пользователей, так и новые риски, в первую очередь, для субъектов персональных данных.

С одной стороны, установление ограничений на использование персональных данных, регулирование этого рынка со стороны государства может негативно сказываться на эффективности рыночной экономики. Представитель Чикагской школы Ричард Познер еще в 1978 году писал о том, что защита частной жизни и личных данных создает неэффективность на рынке, поскольку потенциально релевантная информация скрывается от других экономических агентов. Richard A. Posner. The Right of Privacy // Georgia Law Review, Vol 12. - 1978 Так, необходимость обезличивания персональных данных при их обработке создает дополнительные издержки компаний на шифрование информации, предложение публичных оферт пользователям, юридические консультации и прочее. Кроме того, анонимизация приводит к необходимости заново и заново собирать уже существующие данные разнообразным компаниям (например, геолокационную статистику по определенным пользователям), так как создание баз данных такой информации с привязкой к конкретным индивидам не допускается.

С другой стороны, вопрос персональных данных является критичным для обывателей, степень подверженности рискам которых прямо пропорциональна количеству персональной информации о них, находящейся в свободном доступе или в частном распоряжении представителей информационной индустрии. Угрозы приватности в цифровом мире можно разделить на три составляющие:

* недобросовестное обращение с персональными данными (в том числе допущение утечки данных) со стороны держателей информации (представителей бизнеса и государственных органов), которым были доверены персональные данные;

* сбор, систематизация и распространение персональных данных из разнообразных источников, что впоследствии позволяет составить многосторонний «профиль» конкретного субъекта персональных данных: от сведений о семейном состоянии и покупательских предпочтений до религиозных убеждений и черт характера;

* киберпреступность (мошенничество в сети интернет, программы-шпионы и вредоносные программы, кражи, совершенные при помощи информационно-коммуникационных технологий). Защита персональных данных - основа цифрового доверия. Материалы для обсуждения. Центр правовой трансформации М. А. Соколова. - 2014 г. - Режим доступа: http://www.lawtrend.org/wp-content/uploads/2015/02/Data-protection-2014_1.pdf

Одной из серьезнейших угроз неприкосновенности личной жизни является массовая систематическая слежка за гражданами. Уже сейчас представляется возможным сбор исчерпывающих сведений о конкретных субъектах из разных источников и их слияние в единой базе данных при помощи процедуры «data matching». Создание всеохватывающей системы слежки на базе data matching предполагает наличие единого поискового признака - универсального идентификационного кода. Развитие систем анализа больших массивов данных Big Data значительно усиливает эту угрозу, так как предоставляет возможность объединять не только информацию из баз данных, но и видео-, аудиоинформацию, анализ интернет-трафика и геолокационные данные. При генерации столь огромного массива информации сохранять анонимность становится все труднее и труднее. Там же

В условиях наличия такого количества значимых угроз может показаться удивительным факт, что многие пользователи продолжают ежедневно генерировать внушительные объемы персональных данных, зачастую правдиво указывая идентифицирующую информацию. Ведь именно в руках индивидов сосредоточен основной инструмент защиты персональных данных - выбор разглашать эту информацию повсеместно в сети или, по возможности, держать в тайне.

В этом контексте представляется интересным социальный эксперимент, проведенный в 2012 году в Питтсбурге, целью которого было изучение желания потребителей оставаться в анонимности. Испытуемым предлагалось выбирать между подарочными картами, которые различались между собой в зависимости от конфиденциальности и денежных вознаграждений: идентифицируемая карта (имя пользователя привязано к транзакциям, выполненным с этой картой) с 12 долларами на счету и анонимная карта с 10 долларами. Alessandro Acquisti, Leslie John, George Loewenstein. What is privacy worth? //Journal of Legal Studies, Vol 42. - 2013 По итогам эксперимента менее 35% респондентов выбрало анонимную карту, что указывает на характер предпочтений современных индивидов: ценность персональных данных зачастую оцениваются пользователями очень низко.

В условиях, когда значительная часть пользователей столь небрежно относятся к собственной личной информации, довольно трудной представляется задача эффективной защиты персональных данных посредствам, к примеру, саморегулирования этого рынка. Так, например, согласие на сбор определенной информации от индивида может быть сигналом для компании о том, что данному потребителю нечего скрывать, соответственно, другой индивид, отказавшийся от предоставления таких же данных, «подпадает под подозрение», ведь отказ от предоставления информации в некотором смысле тоже является информацией. Таким образом, перекладывание ответственности за предоставленные персональные данные полностью на частных лиц и отказ от регулирования этой экономической сферы со стороны государства не может быть реализован хотя бы потому, что данное решение ущемляет права индивидов, желающих по той или иной причине скрыть определенные личные сведения.

Важной проблемой также представляется вторичное использование персональных данных, то есть возможность их продажи третьей стороне. Так, потребитель может самостоятельно принять рациональное решение о предоставлении своих персональных данных компании взамен на определенные услуги или выгоды. Тем не менее, индивид не всегда информируется о том, что его персональная информация может быть перепродана; при этом субъект персональных данных не только не участвует в распределении прибыли, но и может нести в некотором смысле потери - например, получать спам или стать жертвой неблагоприятной ценовой дискриминации. The Economics of Personal Data and the Economics of Privacy. OECD Conference Centre, 2010 [еlectronic resource]. - Electronic data. ? URL: https://www.oecd.org/sti/ieconomy/46968784.pdf

Исходя из вышесказанного, можно заключить, что субъекты персональных данных подвержены множеству угроз как прямо, так и косвенно. Индивиды могут нести реальные потери, связанные с раскрытием персональных данных, которые могут выражаться в денежном эквиваленте (в случае киберкражи или неблагоприятной ценовой дискриминации) или как количество дополнительно потраченного времени (на удаление спама, избавление от вредоносных программ). Кроме этого, индивиды могут нести нематериальный ущерб, способный возникнуть в результате распространения их персональных данных, - то, что С. Воррен и Луис Д. Брандайз называли «нарушением душевного спокойствия». Ввиду наличия этих и других угроз, полная и качественная защита персональных данных представляется необходимой для обеспечения прав и свобод граждан и, как было показано, ее реализация должна происходить посредствам регулирования со стороны государства. Особенно актуальным это утверждение является в условиях, когда права собственности на персональные данные окончательно юридически не определены.

2. Экономические эффекты действующего режима защиты персональных данных в России

2.1 Особенности законодательства о защите персональных данных в Российской Федерации

Основные положения законодательства о защите персональных данных в России можно найти в российской Конституции, международных договорах и конкретных законах. Россия является членом Страсбургской конвенции «О защите частных лиц в отношении автоматической обработки персональных данных» (ратифицирована Российской Федерацией в конце 2005 года) Федеральный закон «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» от 19 декабря 2005 г. N 160-ФЗ [электронный ресурс] - режим доступа: http://base.garant.ru/12143756/, а Конституция Российской Федерации устанавливает право на неприкосновенность частной жизни каждого человека, запрещает «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия» (23-я и 24-я статьи). Конституция Российской Федерации [электронный ресурс] - режим доступа: http://www.constitution.ru/10003000/10003000-4.htm

Большинство действующих правил содержится в конкретных законодательных актах, в частности, в законе «О персональных данных» от июля 2006 года Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ [электронный ресурс] - режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61801/, а также в различных нормативных актах, принятых для реализации как этого, так и некоторых других законов, в том числе ФЗ «Об информации, информационных технологиях и защите информации» от июля 2006 года, устанавливающего основные правила в отношении информации в целом и ее защиты Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ [электронный ресурс] - режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61798/. Кроме того, в главе XIV Трудового кодекса Российской Федерации содержится ряд положений о защите персональных данных работников, в которых предусмотрены общие требования к обработке, хранению и передаче персональных данных, а также указана степень ответственности лиц за нарушение данных требований. Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ [электронный ресурс] - режим доступа: http://www.consultant.ru/document/cons_doc_LAW_34683/c3be99092ba7b07c366a06164bb2b2b135873064/ Другие законы также могут содержать положения о защите данных, которые реализуют положения закона «О персональных данных» применительно к конкретным областям государственных услуг или отраслей.

Деятельность в области электронного маркетинга регулируется ограничениями, установленными законом РФ «О рекламе» от 2006 года (в частности, статьей 18 закона), согласно которым распространение рекламы через телекоммуникационные сети, в частности, с использованием телефонной, факсимильной и мобильной телефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. Федеральный закон "О рекламе" от 13.03.2006 N 38-ФЗ [электронный ресурс] - режим доступа: http://www.consultant.ru/document/cons_doc_LAW_58968/ Текст закона отдельно не регулирует рекламу, распространяемую посредствам сети Интернет.

В июле 2014 года были приняты важные поправки к закону «О персональных данных», вступившие в силу 1 сентября 2015 года, в рамках которых были выдвинуты требования ко всем операторам персональных данных по хранению и обработке любых персональных данных российских граждан в базах данных, расположенных на территории России (за некоторыми исключениями). Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» от 4 июля 2014 года N 242-ФЗ [электронный ресурс] - режим доступа: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=173429&fld=134&dst=1000000001,0&rnd=0.9319122777710764#0 Наказанием за нарушение этого требования является, в конечном счете, блокирование сайтов, связанных с незаконным обращением с российскими персональными данными. Регистр нарушителей прав субъектов персональных данных создается Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором), а оттуда Роскомнадзор может перейти на блокирование сайтов. Там же

Считается, что Российское законодательство не регулирует частную жизнь граждан в Интернете в той мере, как это происходит, например, в Китайской Народной Республике, где с 90-х годов прошлого века установлена система ограничения доступа населения к иностранным веб-сайтам. How does China censor the internet? // The Economist [еlectronic resource]. - Electronic data. ? URL: http://www.economist.com/blogs/economist-explains/2013/04/economist-explains-how-china-censors-internet Тем не менее, поправки, внесенные в законодательство Российской Федерации в середине 2016 года в части противодействия терроризму и обеспечения общественной безопасности (известные в народе как «пакет Яровой») подразумевают возможное вмешательство государственных спецслужб в частную информацию и персональные данные пользователей в случаях, когда это необходимо для расследований или обеспечения государственной безопасности. Федеральный закон «О внесении изменений в Федеральный закон "О противодействии терроризму" и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» от 06.07.2016 N 374-ФЗ [электронный ресурс] - режим доступа: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=201078&fld=134&dst=1000000001,0& rnd=0.7190355115864226#0 Для реализации возможности такого вмешательства в тексте закона указывается, что с 1 июля 2018 года «организатор распространения информации… обязан хранить на территории Российской Федерации… текстовые сообщения пользователей сети «Интернет», голосовую информацию, изображения, звуки, видео-, иные электронные сообщения… до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки». Там же

Стоит отметить, что подобные требования к хранению личной информации не уникальны. Так, в 2015 году в Австралии принят закон «О внесении изменений в Закон о телекоммуникациях (перехват и доступ)», согласно которому компании, предоставляющие коммуникационные услуги, обязаны хранить метаданные о траффике на протяжении двух лет. Telecommunications (Interception and Access) Amendment (Data Retention) Act 2015 [еlectronic resource]. - Electronic data. ? URL: https://www.legislation.gov.au/Details/C2015A00039 Важно понимать, что в отличие от российского законодательства, которое требует хранить весь массив данных, продуцируемый в процессе коммуникации между пользователями при помощи сети Интернет и мобильной связи, Австралийское законодательство предполагает необходимость сохранения лишь основной информации о передаваемой пользователями информации - так называемые «метаданные», которые включают в себя:

* Информацию об интернет- и SMS сообщениях/звонках: источник и получатель информации, время передачи, тема сообщения/продолжительность звонка, тип передачи данных, местоположение оборудования, используемого для передачи данных;

* Информация о пересылаемых фото- и видеоматериалах: геолокационные данные, время съемки, параметры съемки, модель камеры;

* IP-адреса, посещаемых пользователями сайтов и пр. New data retention laws begin today, this is what you need to know [website]. URL: http://www.news.com.au/technology/online/new-data-retention-laws-begin-today-this-is-what-you-need-to-know/news-story/28ea2dc1b01d15e53f474e21b6d68501 Data Retention, Guidelines for Service Providers // Australian Government [еlectronic resource]. - Electronic data. ? URL: https://www.ag.gov.au/NationalSecurity/DataRetention/Documents/DataRetentionGuidelinesFor ServiceProviders.pdf

Закон «О сохранении данных» существует также в Германии: согласно немецкому законодательству с 2016 года CDR-данные и метаданные о передаваемой пользователями информации должны сохраняться на протяжении 10 недель, а данные о местоположении сотового телефона в течение четырех недель. New German Data Retention Law Expected to Take Effect Soon [website]. URL: http://www.lexology.com/library/ detail.aspx?g=fe41234a-b807-47da-a20e-b725327b537a

Что касается США, то согласно проведенным журналистским расследованиям в стране с 2007 года действует система PRISM, которая до недавнего времени тайно собирала персональную информацию напрямую с серверов крупнейших провайдеров (Microsoft, Google, Facebook, Skype, YouTube, Apple и др.), хранила ее и передавала в ФБР. U.S., British intelligence mining data from nine U.S. Internet companies in broad secret program // Washington Post. еlectronic resource]. - Electronic data. ? URL: https://www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html?utm_term=.728ad6679b4b Несмотря на обнародование сведений о существовании программы PRISM в 2013 году, ее деятельность, по всей видимости, не была приостановлена, так как представители коммуникационных услуг и правительство США не признают ее существования.

В целом, если рассматривать российское законодательство в сфере защиты персональных данных по сравнению с законодательством других стран, то можно говорить об умеренном уровне регулирования и давления на рынок коммуникационных технологий со стороны государства, - это можно продемонстрировать при помощи рисунка 2.1. Стоит учитывать, что на рисунке представлена текущая ситуация и не отражаются будущие изменения в законодательстве (в том числе, вступление в силу «пакета Яровой»). Стоит предполагать, что с июля 2018 года режим защиты персональных данных в России перестанет считаться умеренным и будет квалифицироваться как «значительный» или даже «весомый».

Рис. 2.1. Сравнение степени защиты персональных данных в законодательстве разных стран

На основе данных рисунка 2.1. была построена регрессионная модель, которая показывает тесную взаимосвязь между величиной ВВП на душу населения и степенью защиты персональных данных. Результаты построения модели продемонстрированы на рисунке 2.2.:

Рис. 2.2. Зависимость степени защиты персональных данных от величины ВВП на душу населения

По результатам моделирования получено значение коэффициента детерминации R², равное 0,5343, что отражает степень влияния объясняющей переменной «ВВП на душу населения» модели на зависимую переменную «степень защиты персональных данных в стране». В случае, когда R² = 0,5343, поведение зависимой переменной на 53,43% описывается поведением объясняющей переменной, а на 46,57% описывается другими, не включенными в модель, факторами. Таким образом, можно утверждать о том, что существует тесная взаимосвязь между величиной ВВП на душу населения и степенью защиты персональных данных в стране: чем выше среднедушевой показатель ВВП, тем, как правило, строже законодательство в сфере регулирования персональных данных.