Идентификация посредством персональных данных

По своей природе аспект персональных данных в контексте современных информационнотелекоммуникационных технологий отличается от аспекта идентификации пользователей как субъектов правоотношений на основе различных презумпций, в том числе подразумеваемых в ходе использования электронных подписей, однако его имеет смысл рассмотреть в контексте именно данной системной правовой проблемы.

В целом проблема персональных данных и их определения нашла свое отражение уже не в одной юрисдикции, но в каждом случае она сохраняет свою актуальность и релевантность. Например, одно из действующих определений персональных данных содержится в Акте о защите данных 1998 г. (Data Protection Act, 1998) Великобритании, в соответствии с которым «персональные данные [personal data] — любая информация, которая относится к живому физическому лицу, которое может быть идентифицировано: (а) на основании такой информации, и (Ь) на основании такой информации, а также другой информации, находящейся в распоряжении или способной оказаться в распоряжении оператора |data controller]»^[1]. Данное определение обладает достаточной ясностью за счет указания на критерий идентификации и необходимость разумного наличия данных в распоряжении конкретного оператора (если представить себе отсутствие последнего признака, тогда абсолютно любая информация может, при определенных условиях, быть признана персональными данными).

Россия является стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных СДСЕ № 1 081 981 г. Определение персональных данных в Конвенции следующее: «„Персональные данные“ означают любую информацию об определенном или поддающемся определению физическом лице („субъект данных“)» (п. «а» ст. 2 Конвенции). Аналогичным образом звучит и определение персональных данных в п. 1 ст. 3 Закона о персональных данных: «Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Такое определение и вызывает практические дискуссии, поскольку при буквальном толковании можно прийти к абсурдному результату: строго говоря, любая информация косвенно может быть связана действительно с любым лицом, вопрос только в длине логической цепочки. А любое лицо само по себе, разумеется, является определенным или определяемым. Очевидно, что толкование данного понятия должно идти иным путем.

В этом контексте актуальным является вопрос о возможности отнесения технической информации, например, IP-адреса, к персональным данным. Такая информация идентифицирует ведь устройство, а не человека, который опосредованно взаимодействует с другими людьми посредством данного устройства. Но, например, Европейский Суд по правам человека в решении по делу Scarlet Extended SA v. SABAM C-70/10 от 24.11.2011 прямо указывает буквально следующее: «Общеизвестно, во-первых, что судебное предписание, требующее установление системы фильтрации, которая является предметом спора, будет предполагать системный анализ всего контента, а также сбор и идентификацию IP-адресов пользователей, с которых неправомерный контент направляется в сеть. Данные адреса представляют собой охраняемые персональные данные, поскольку они позволяют точно идентифицировать пользователей».

Российские суды, однако, в данном контексте пока занимают относительно консервативную позицию, и связывают понятие персональных данных преимущественно, во-первых, с информацией, которая позволяет идентифицировать именно личность, а нс устройство или канал связи, а, во-вторых, находится в распоряжении конкретного оператора. Например, персональными данными может признаваться совокупность таких данных, как фамилия, имя, отчество и адрес проживания (см., например, постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015), паспортные данные (см., например, апелляционное определение Московского городского суда от 22.05.2014 по делу № 33−14 709). Напротив, сами по себе какие-либо номера, присваиваемые гражданам для различных учетных целей, могут быть расценены не как персональные данные, как это было в случае с ИНН (см., например, апелляционное определение Санкт-Петербургского городского суда от 03.02.2015 № 33−1644/2015 по делу № 2−3097/2014).

Проблема определения персональных данных в контексте критерия идентификации субъекта (а соответственно, и в контексте системной правовой проблемы идентификации пользователей сети Интернет) на сегодняшний день остается открытой и пока до конца не разрешенной. Дело в том, что, с одной стороны, ограничительное толкование понятия персональных данных соответствует здравому смыслу «реального» мира, а с другой — в виртуальном мире тот же критерий наличия информации в распоряжении одного оператора несколько стирается. Мы можем легко установить личность, сложив «паззл» из нескольких частей, которые представляют собой информацию, распределенную пользователем в нескольких социальных сетях. Но, напротив, буквальное толкование понятия персональных данных будет противоречить уже сложившейся практике деятельности коммуникационных интернет-сервисов настольно, что само развитие информационно-телекоммуникационных технологий может остановиться или даже оказаться отброшенным назад… Хотя, возможно, и нет — однако альтернативы зависят от дальнейшего развития технологий и правовых подходов к их оценке и регулированию.

• [1] См.: Data Protection Act 1998. Section 1 (1) // The Official Home of UK Legislation. URL: http://www.lcgislation.gov.Uk/ukpga/1998/29/scction/l (дата обращения: 14.01.2016). Приводим оригинальный текст: «„Personal data“ means data which relate to a living individual whocan be identified — (a) from those data, or (b) from those data and other information which is inpossession of, or is likely to come into the possession of, the data controller».