Большие (персональные) данные: проблема баланса интересов*
18 Ноября 2021
Е.А. Войниканис,
доктор юридических наук,
ведущий научный сотрудник Международного центра конкурентного права и политики
БРИКС (НИУ ВШЭ)
доктор юридических наук,
ведущий научный сотрудник Международного центра конкурентного права и политики
БРИКС (НИУ ВШЭ)
"Журнал Суда по интеллектуальным правам", № 4 (34), декабрь 2021 г., с. 19-27
Введение
Особое отношение к регулированию защиты персональных данных обусловлено его тесной связью с конституционными ценностями, правом на неприкосновенность частной жизни и достоинством личности. Учитывая, что цифровизация сделала возможным сбор, хранение и обработку практически неограниченного объема информации о каждом человеке, защита персональных данных воспринимается как основной правовой инструмент, который защищает нас от стеклянных домов алгебраического мира, описанных Замятиным в романе «Мы». При этом чем глубже проникают цифровые технологии в повседневную жизнь, тем очевиднее становится недостаточность уже устоявшихся принципов и стандартов защиты персональных данных1. Принятый Европейским союзом Общий регламент по защите защиты персональных данных2 (далее по тексту - GDPR) является примером попытки адаптировать такие стандарты к новым реалиям цифровой эпохи3. Если говорить о научных дискуссиях и тестируемых проектах, то здесь на первое место выходит проработка альтернативных стратегий, которые нацелены на максимизацию возможностей физического лица контролировать доступ и оборот личных данных4.
Значительно меньше внимания уделяется проблеме обеспечения баланса между интересами индивида, общества и бизнеса. Данную проблему нельзя считать вторичной по сравнению с проблемой защиты физического лица при обработке персональных данных, поскольку защита персональных данных и обеспечение оборота данных изначально взаимосвязаны. GDPR (как и предшествовавшая ему Директива 95/46/ЕС «О защите физических лиц при обработке персональных данных и свободном движении таких данных») с самого начала имел своей целью не только защиту физических лиц, но и «упрощение свободного оборота персональных данных на внутреннем рынке»5, поскольку для цивилизованной цифровой экономики защита и активное использование данных имеют одинаково важное значение. В Федеральном законе от 27июня 2006 г. № 152-ФЗ «О персональных данных» (далее по тексту - Федеральный закон «О персональных данных») заложен тот же принцип баланса, хотя это и менее очевидно в силу отсутствия преамбулы. В любом случае, в то время как идет работа над новыми подходами и стандартами, ключевую роль в обеспечении защиты персональных данных и динамики их оборота продолжают играть действующее законодательство и практика правоприменения. Настоящая статья посвящена анализу практических проблем, возникающих в связи с конфликтом интересов в сфере защиты персональных данных, а также тому, насколько эти конфликты учитываются законодательством.
Персональные данные и общественные интересы
Пандемия обострила многие проблемы и, в частности, вопросы, связанные с защитой права на неприкосновенность частной жизни. Много споров и обеспокоенности не только в России, но и в Европе, вызвали мобильные приложения, отслеживающие местонахождения лиц, контактировавших с заболевшими коронавирусом. Другой проблемой стало обеспечение условий для обмена медицинскими данными в исследовательских целях. Камнем преткновения в обоих случаях являлись два взаимосвязанных вопроса - защита персональных данных и соотношение публичных и частных интересов.
Приложения для отслеживания контактов с заболевшими Covid-19 при поддержке государства были разработаны во многих странах6, но их применение оказалось недостаточно эффективным и не оправдало ожиданий. Исследователи из Оксфордского университета пришли к выводу, что такие приложения способны оказать существенному помощь в борьбе с инфекцией, однако лишь в том случае, если их будет использовать примерно 60% населения7. При этом на практике данный показатель обычно не превышает 30%, а, например, во Франции приложением воспользовались чуть более 3% населения8. Иными словами, меры, предпринимаемые государством к защите персональных данных и минимизации рисков, не были решающим фактором для принятия решения об использовании приложения9. Гораздо более значимыми оказались социальные, психологические и культурные факторы. Можно сказать, что граждане не только опасались нарушения своих прав, но и не видели, не чувствовали социальную ответственность и были не готовы пожертвовать приватностью для пользы обществу.
Обработка данных пациентов для научных целей в условиях пандемии, напротив, вскрыла прежде всего правовые проблемы. Современная медицина, как и иные сферы деятельности, все больше зависит от обработки больших данных, что, в частности, проявляется в растущем интересе к биобанкам как неотъемлемой части системы здравоохранения и к вторичному использованию клинических данных. Как показало исследование немецких ученых, опубликованное в 2019 г., 93% опрошенные выразили готовность дать расширенное согласие на использование своих данных в биобанках. При этом безопасность данных и цели исследований беспокоили менее 3% респондентов. Более того, большинство опрошенных поддержали положения закона (закона об адаптации законодательства о защите персональных данных Германии к GDPR (§27))10, которые при определенных условиях позволяют проводить исследования с использованием клинических данных без согласия11. Что касается правовых проблем, то здесь заслуживает упоминания доклад «Международный обмен персональными данными о здоровье для исследований», подготовленный в 2021 г. ведущими научными академиями Европейского союза12. В докладе подчеркивается, что обмен данными, когда речь идет об исследованиях в сфере здравоохранения, является «глобальным общественным благом». Обмен данными между государственными научными учреждениями в данном контексте является особенно важным и, казалось бы, с учетом минимальных рисков, должен осуществляться беспрепятственно. Однако практика свидетельствует об обратном. В докладе подчеркивается наличие существенных препятствий для обмена данными с исследователями, которые находятся за пределами Европейского союза или Европейского экономического пространства, так как правовые рамки защиты персональных данных в других странах могут отличаться от европейских: «Меры, введенные GDPR для передачи данных за пределы ЕС /ЕЭП, не предоставляют работоспособных механизмов для обмена персональными данными с государственными исследовательскими институтами за пределами ЕС / ЕЭП»13.
О каких недостатках европейского регламента здесь идет речь? GDPR разрешает обработку генетических, биометрических данных или данных о состоянии здоровья, если такая обработка необходима для научных исследований или в статистических целях (п. 1 ст. 9), однако такое разрешение не распространяется на трансграничную передачу данных. В последнем случае действует прежде всего механизм принятия Европейской комиссией решения о том, какие страны за пределами Европейского союза обеспечивают адекватный уровень защиты персональных данных14. Список стран, по которым было принято положительное решение, на 2021 г. включал в себя всего 12 стран15. Неудивительно, что большая часть исследований, которые предполагают участие стран, не входящих в список (например, США, Австралии или любой из стран БРИКС), требует принятия иных мер, связанных с обременительными процедурами. Так, в соответствии со ст. 46 GDPR публичные учреждения должны установить обязательные для сторон и исполнимые правила. На практике это означает необходимость описать используемые меры по псевдономизации данных16. Проблема в том, что в специальном руководстве, принятом Европейским советом по защите данных17, псевдонимизация данных определяется значительно уже, чем в GDPR, а значит, обеспечить защиту, соответствующую действующим правилам, становится практически невозможным. Таким образом, хотя общий регламент и предусматривает специальные механизмы, предназначенные для обеспечения защиты персональных данных при их трансграничной передаче, их реализация настолько затруднена, что текущие международные исследования, в которых одной из сторон выступают исследовательские центры Европы, находятся под угрозой. Например, порядка 40 клинических исследований факторов риска раковых заболеваний, проводимых совместно Национальными институтами здравоохранения США и странами Европейского экономического пространства, были приостановлены или отложены из-за текущих юридических проблем18. Международное агентство по изучению рака Всемирной организации здравоохранения до сих пор лишено возможности получать данные, связанные с совместными исследованиями, из стран Европейского союза19.
Европейские ученые обсуждали наличие описанной проблемы еще до пандемии. Например, журнал «Ланцет» приводит следующую позицию: «Такие болезни как рак требует глобальных усилий. Уменьшение обмена данных и проводимых исследований нанесет вред всем, и европейцам больше, чем кому-либо еще. Если данные и образцы, полученные от европейских граждан, больше не будут частью больших международных проектов, мы не узнаем, применимы ли к европейскому населению результаты, полученные в рамках сотрудничества за пределами Европейского экономического пространства. Поэтому мы просим Европейскую комиссию в рамках взаимодействия с неевропейскими органами найти такие решения, которые были бы приемлемы для всех сторон и облегчили проведение важных исследований. GDPR должен обеспечивать и защищать, а не препятствовать научному сотрудничеству»20.
Складывается парадоксальная ситуация. С одной стороны, возникает все больше возможностей для сбора и объединения больших массивов данных, исследования и сопоставления электронных медицинских записей, которые ведутся национальными системами здравоохранения. С другой стороны, растущие требования, которые предъявляются к получению согласия и к обработке специальных категорий персональных данных приводят к сокращению международных исследований.
Наличие конфликта между публичными интересами и интересами личности в сфере защиты персональных данных хорошо иллюстрирует право на забвение. Внимание Европы к праву быть забытым связано с убеждением, что Интернет как технология, позволяющая сохранять потенциально неограниченно количество информации, является угрозой для неприкосновенности частной жизни (privacy). Однако чем выше уровень проникновения интернета и его воздействия на жизнь общества, тем очевиднее потенциальный вред, который может нанести сокрытие личной информации. Именно этим обусловлен широкий резонанс, который получило решение Суда Европейского союза от 13мая 2014 г. по делу Google против Марио Костехи Гонсалеса 21. Согласно решению фундаментальные права на уважение частной жизни и защиту персональных данных значат больше не только экономического интереса оператора поисковой системы, но и общественного интереса в получении доступа к информации персонального характера. Хотя суд и признал, что в исключительных случаях ограничение фундаментальных прав может быть оправдано, он определил систему поиска в сети Интернет как более серьезное вмешательство в частную жизнь по сравнению с публикацией информации на сайте. Но если роль поисковых ссылок столь значительна, можно ли утверждать, что их удаление восстанавливает баланс между личными и общественными интересами? Например, профессор Оксфордского университета Л. Флориди приравнивает удаление из поиска ссылок к сожжению книг в предыдущие эпохи: «Все чаще и чаще то, что к чему нет онлайн-доступа (на что нет ссылки или ссылка удалена), становится фактически недоступным. В информационной сфере карта становится важнее территории: сотри что-то на карте, и уже не будет иметь значения, что территория осталась неизменной»22. Проблема стала менее актуальной после принятия GDPR, который содержит перечень условий реализации и ограничений права на удаление персональных данных («право быть забытым»)23. В России право на забвение действует с 2016 г., когда вступил в силу федеральный закон24, который наделяет физических лиц (граждан) правом требовать от оператора поисковой системы прекращения выдачи сведений об указателе страницы сайта в сети Интернет, позволяющих получить доступ к определенной информации о таком физическом лице. В отличие от Европы российский закон использует широкие формулировки, что затрудняет учет публичных интересов, поэтому судам еще предстоит сформировать единообразный подход к данной категории споров.
Персональные данные и интересы бизнеса
Обработка персональных данных может затрагивать не только общественные интересы, но и интересы экономического развития. Конечно, когда мы говорим об отслеживании информации о заражениях или о медицинских исследованиях, то экономические интересы здесь также присутствуют, но только косвенно. Но современные бизнес-стратегии и практики говорят о том, что обработка больших пользовательских данных имеет самостоятельную экономическую ценность. Как сталкиваются интересы экономики и защиты персональных данных, можно наглядно показать на примере эволюции подходов к обезличиванию персональных данных.
Обезличивание персональных данных, принципы и методология его проведения становятся все более актуальными в связи с растущим объемом данных о физических лицах (фактически речь идет о «больших данных») и развитием профилирования, скоринга и других подобных технологий. Согласно Федеральному закону «О персональных данных» обезличивание является одним из способов обработки персональных данных и представляет собой действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (п. 9 ст. 3). Стоит отметить, что даже при наличии легального определения в отношении содержания, а следовательно и в практике применения обезличивания, сохраняется неопределенность. С одной стороны, указание на использование дополнительной информации подразумевает, что речь идет не о полной анонимизации, а лишь о частичной или обратимой анонимизации, что соответствует понятию «псевдономизация» в GDPR (п. 5 ст. 4). С другой стороны, после достижения цели обработки персональные данные подлежат уничтожению или обезличиванию, т. обезличивание фактически приравнивается к уничтожению данных и таким образом подразумевает полную, а не обратимую анонимизацию. Помимо достижения цели обработки обезличивание является обязательным при обработке персональных данных в статистических или иных исследовательских целях, при оказании медицинских услуг, переписи населения и в некоторых других случаях. При всей важности обезличивания обязательные требования, касающиеся методов его осуществления, установлены только в отношении операторов, являющихся государственными или муниципальными органами 25.
В 2018 г. Минцифры России выступило с инициативой внесения изменений в Федеральный закон «О персональных данных» в части уточнения требований при обезличивании персональных данных26. Суть поправок состояла в наделении Роскомнадзора полномочиями по утверждению требований и методов обезличивания персональных данных всеми операторами и закреплении обязанности операторов разрабатывать правила работы с обезличенными персональными данными. Законопроект получил отрицательное заключение по результатам оценки регулирующего воздействия и на обсуждение больше не выносился. Летом 2020 г. в Государственную Думу был внесен правительственный законопроект, уточняющий требования к обработке персональных данных27. В данном случае законопроект направлен на решение одновременно двух задач – упрощение получение согласия и введения обязательных требований к обезличиванию персональных данных. Операторам персональных данных предоставляется возможность получать согласие на обработку одновременно в нескольких целях и несколькими лицами. В части установления порядка обезличивания персональных данных законопроектом предлагается уточнить полномочия Роскомнадзора по утверждению требований и методов обезличивания персональных данных. Иными словами, законопроект реализует основную идею, заложенную в проекте 2018 г., но одновременно предусматривает определенные послабления для бизнеса. Кроме того, в 2020 г. был принят федеральный закон об установлении специального экспериментального правового режима в целях разработки и внедрения технологий искусственного интеллекта в городе Москве, который одновременно вносит поправки в ст. 6 и 10 Федерального закона «О персональных данных»28. Экспериментальный правовой режим устанавливается на пять лет, в течении которых обработка обезличенных персональных данных, включая данные, касающиеся состояния здоровья, в предусмотренных законом целях осуществляется без согласия субъекта персональных данных. Безотносительно к вопросу об обезличивании данных в 2021 г. были приняты два закона, направленные на усиление защиты персональных данных29.
Таким образом, мы видим, как на уровне законодательства идет поиск компромиссных подходов, задача которых обеспечить одновременно защиту личных данных и стимулирование развитие в России новых технологий обработки данных. Указанную тенденцию подтверждает дорожная карта «Создание дополнительных условий для развития отрасли информационных технологий», принятая в сентябре 2021 г30. Дорожная карта предусматривает, в частности, закрепление в рамках законодательства возможности передачи и агрегирования деперсонифицированных медицинских данных (без необходимости получения согласия) и внесение изменений в нормативные правовые акты в целях создания условий для формирования рынка больших данных для российских разработчиков ИТ-решений и вовлечение их в коммерческий оборот при безусловном соблюдении требований по защите персональных данных (п.39,50).
Можно спорить о том, насколько продуманными будут меры, касающиеся соблюдения прав субъектов персональных данных, но в целом задача создания правовых условий для обработки деперсонифицированных персональных данных поставлена правильно и своевременно. Когда речь идет об обезличенных персональных данных, требования к их обработке должны быть менее строгими по сравнению обычными персональных данных, идентифицирующими конкретного человека. Так, Рабочая группа по статье 29 в своем заключении о техниках анонимизации указывает, что анонимизация может считаться совместимой с первоначальными целями обработки персональных данных31. Псевдономизация, хотя и не защищает субъекта персональных данных в полной мере в силу возможности реидентификации, рассматривается GDPR как мера защиты конфиденциальности, которая помогает контроллерам (операторам персональных данных) снизить риски и выполнить свои обязательства по защите персональных данных и применение которой необходимо стимулировать32. В этой связи для использования псевдономизации и соблюдения требований регламента, как правило, не требуется получения согласия субъекта персональных данных. Основанием для обработки данных служат «законные интересы» (legitimate interests) контроллера33. Другим примером могут служить поправки 2020 г. в Закон о защите персональной информации Японии34. Поправки впервые вводят в закон понятие «информация, обрабатываемая псевдонимизированно» (ранее в законе речь шла только об анонимизированной информации). Псевдонимизированная информация определяется как личная информация, которая может идентифицировать конкретного человека только путем сопоставления с другой информацией. Если операторы обрабатывают персональные данные, которые считаются псевдонимизированной информацией, им не нужно получать согласие или информировать субъекта персональных данных, хотя иные требования (в том числе касающиеся целей обработки) сохраняются.
В заключении хотелось бы отметить, что защита персональных данных имеет большое значение для общества и экономики. С точки зрения коммерческих интересов идеалом является максимальный объем собираемых и обрабатываемых данных о каждом пользователе. Также желательным является полный контроль доступа к данным, который обеспечивает для компании, которая обладает данными, конкурентные преимущества и позволяет получить максимальную прибыть от использования данных. Воплощение такого идеала в жизнь может нанести непоправимый ущерб экономике (поскольку свойственный цифровой экономике рост экономической концентрации приводит к тому, что большие пользовательские данные оказываются в руках небольшого числа частных транснациональных корпораций) и обществу (поскольку большие массивы данных, используемые в коммерческих интересах, не только нарушают приватность, но и влияют на предпочтения, т.е. манипулируют сознанием). Поэтому наделение субъекта персональных данных большим контролем рассматривается не только как защита прав и интересов физических лиц, но и как элемент регулирования экономики. Так, право на переносимость данных (data portability) изначально рассматривалось как средство для того, чтобы изменить роль и положение конечных пользователей в цифровой экономике. Право перенести все свои данные на другую платформу, к другому провайдеру по сути означает переход от пассивного участия в «игре», где правила устанавливают цифровые экосистемы, к активному участию в процессах рыночной экономики, когда конкурентная борьба определяется не степенью зависимости пользователя, а его волеизъявлением и личными предпочтениями. Однако, как в жизни, так и в праве, не существует черного и белого. Права субъекта персональных данных при всей их значимости не являются абсолютными. Абсолютизация этих прав может нанести не меньший вред, чем абсолютизация права на обработку личных данных.
* Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 18-29-16169.
1 См.: Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху «Больших данных» (Big Data) // Журнал Высшей школы экономики. 2015. №1. С. 45–47.
2 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).
3 См.: Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition - two years of application of the General Data Protection Regulation. Communication from the Commission to the European Parliament and the Council. COM(2020) 264 final. Brussels, 24.6.2020.
4 Начиная от систем управления персональной информацией (PIMS) и заканчивая признанием права собственности на персональные данные. См., например: Anciaux N., Zolynski C., Chaudat S., Ladjel R. Empowerment and Big Personal Data: from Portability to Personal Agency // Global Privacy Law Review. 2021. Volume 2, Issue 1. P.16 – 30; Zech H. Information as Property // JIPITEC. 2015. Issue 6. P. 192-197.
6 Contact tracing apps: A new world for data privacy. Norton Rose Fulbright, February 2021. URL: https://www.nortonrosefulbright.com/ru-ru/knowledge/publications/d7a9a296/Africa#South
7 Digital contact tracing can slow or even stop coronavirus transmission and ease us out of lockdown. University of Oxford, 16th Apr 2020. URL: https://www.research.ox.ac.uk/article/2020-04-16-digital-contact-tracing-can-slow-or-even-stop-coronavirus-transmission-and-ease-us-out-of-lockdown
8 Russo M., Ciccotti C., De Alexandris F., Gjinaj A., Romaniello G., Scatorchia A., Terranova G. A cross-country comparison of contact-tracing apps during COVID-19. VOX EU, CERP, 02 August 2021. URL: https://voxeu.org/article/cross-country-comparison-contact-tracing-apps
9 В данном контексте заслуживает внимания специальное руководство принятое в 2020 г. Европейским советом по защите данных, в который входят представители всех национальных органов по защите персональных данных. См.: Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak. The European Data Protection Board, adopted on 21 April 2020. URL: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042020-use-location-data-and-contact-tracing_en
10 См.: Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzunggesetz EU–DSAnpUG-EU). Gesetz vom 30.06.2017 - BGBl. I 2017, Nr. 44 05.07.2017 , S. 2097. URL: https://www.bgbl.de/xaver/bgbl/start.xav<...>
11 Richter G., Borzikowsky C., Lieb W., Schreiber S., Krawczak M., Buyx A. Patient views on research use of clinical data without consent: Legal, but also acceptable? // European journal of human genetics (EJHG). 2019. Vol. 27. Issue 6. P. 845. См. также: Courbier S., Dimond R., Bros-Facer V. Share and protect our health data: an evidence based approach to rare disease patients’ perspectives on data sharing and data protection – quantitative survey and recommendations // Orphanet Journal of Rare Diseases. 2019. Vol.14. Issue 1. P. 1-15 ; Kalkman S., van Delden J., Banerjee A. et al. Patients’ and public views and attitudes towards the sharing of health data for research: a narrative review of the empirical evidence // Journal of Medical Ethics. 12 November 2019. P. 1-11. С другой стороны, существуют исследования, которые показывают, что готовность поделиться данными о своей генетической информации до сих пор является относительно невысокой. См., например: Middleton A., Milne R., Almarri M., et al. Global public perceptions of genomic data sharing: what shapes the willingness to donate DNA and health data? // American Journal of Human Genetics. 2020. Vol.107. P. 743–752.
12 International Sharing of Personal Health Data for Research. The European Academies Science Advisory Council, the Federation of European Academies of Medicine & the European Federation of Academies of Sciences and Humanities, 2021. URL: https://doi.org/10.26356/IHDT
13 International Sharing of Personal Health Data for Research. The European Academies Science Advisory Council, the Federation of European Academies of Medicine & the European Federation of Academies of Sciences and Humanities, 2021. P. 38.
14 Сходный механизм предусмотрен Федеральным законом от 27июня 2006 г. № 152-ФЗ «О персональных данных» (п.2 ст.12).
15 Adequacy decisions. How the EU determines if a non-EU country has an adequate level of data protection. European Commission. URL: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
16 В научных исследованиях используется именно превдонимизация, а не полная анонимизация данных, которая делает персональных данные практически неидентифицируемыми. При псевдонимизации поля идентифицируемой информации заменяются искусственными кодами или идентификаторами, что позволяет сохранить максимальную полноту и, как следствие, полезность обрабатываемых данных.
17 Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. Version 2.0. The European Data Protection Board, adopted on 18 June 2021. URL:https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf
18 См.: Eiss R. Confusion over Europe’s data-protection law is stalling scientific progress // Nature. 2020. Vol. 584. P. 498.
19 Подробнее о конфликте между ООН и ЕС, связанном с приостановкой обмена данными не только в медицине, но и в иных сферах, из-за невозможности выполнить требования GDPR см.: Comments of the United Nations Secretariat on behalf of the United Nations System Organizations on the “Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies” adopted by the European Data Protection Board on 18 January 2020. United Nations, 14.05.2020. URL: https://edpb.europa.eu/sites/edpb/files/webform/public_consultation_reply<...>; Andrea Jelinek, Chair of the European Data Protection Board. Official Letter to Miguel de Serpa Soares, Under-Secretary-General for Legal Affairs and United Nations Legal Counsel. Brussels, 19 May 2021. URL: https://edpb.europa.eu/system/files/2021-05/edpb_letter_out2021-0086_un_en.pdf
20 Ursin G., Stenbeck M., Chang-Claude J., et al. Data must be shared – also with researchers outside of Europe // Lancet. 2019. Vol.394. Issue. 10212. P. 1902. URL: https://www.thelancet.com/journals/lancet/article/PIIS0140-6736(19)32633-9/fulltext
21 Judgment of the Court (Grand Chamber) of 13 May 2014,Case № C-131/12.
22 Floridi L. The Right to Be Forgotten: a Philosophical View // Annual Review of Law and Ethics. 2015.Vol. 23. P.168.
23 Данный вывод можно сделать на основании последних решений Суда Европейского союза, в которых учитывается позиция Европейского суда по правам человека и акцентируется право на свободу слова и информации. См.: Judgment of the Court (Grand Chamber) of 24 September 2019, Case C-507/17 Google v CNIL; Judgment of the Court (Grand Chamber) of 24 September 2019, Case C-136/17 GC and Others. Анализ этих решений см.: Globocnik J. The Right to Be Forgotten is Taking Shape: CJEU Judgments in GC and Others (C-136/17) and Google v CNIL (C-507/17) // GRUR International, 2020. Vol. 69(4). P. 380–388. C точки зрения взвешивания частных и публичных интересов заслуживают внимания решения Высокого суда Англии и Уэльса 2018 г.: England and Wales High Court, Judgment of 13 April 2018, NT 1 & NT 2 v Google LLC [2018] EWHC 799 (QB).
24 Федеральный закон Российской Федерации от 13 июля 2015 г. № 264-ФЗ «О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации” и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации».
25 См.: Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»; Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (утв. Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций 13декабря 2013 г.)
26 Проект «О внесении изменений в Федеральный закон «О персональных данных» в части уточнения требований при обезличивании персональных данных». ID проекта 02/04/08-18/00083533. Дата создания, 30августа 2018 г. URL: https://regulation.gov.ru/Npa/Print/83533
27 Проект федерального закона № 992331-7 «О внесении изменений в Федеральный закон "О персональных данных"» (в части уточнения порядка обработки персональных данных). URL: https://sozd.duma.gov.ru/bill/992331-7 На момент написания статьи законопроект был принят в первом чтении.
28 Федеральный закон от 24 апреля 2020 г. № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных”».
29 Имеется в виду Федеральный закон от 30 декабря г. 2020 № 519-ФЗ «О внесении изменений в Федеральный закон "О персональных данных"», устанавливающий комплекс требований к получению согласия и обработке персональных данных, разрешенных субъектом персональных данных для распространения, и поправки в КоАП, в несколько раз увеличившие штрафы за нарушение требований законодательства о защите персональных данных. См.: Федеральный закон от 24 февраля 2021 г. № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
30 План мероприятий ("дорожная карта") «Создание дополнительных условий для развития отрасли информационных технологий», утвержденная Правительством Российской Федерации 09сентября 2021 г.
31 Opinion 05/2014 on Anonymisation Techniques. Article 29 Data Protection Working Party, 0829/14/EN WP216, Adopted on 10 April 2014. P.7.
33 Федеральный закон от 27июня 2006 г. № 152-ФЗ «О персональных данных» предусматривает сходное основание, когда «обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц» (подп.7 п.1 ст. 6), однако в России, в отличие от Европейского союза, данное основание используется существенно реже.
34 Amended Act on the Protection of Personal Information. Tentative Translation. Personal Information Protection Commission, Japan, 06. 2020. URL: https://www.ppc.go.jp/files/pdf/APPI_english.pdf
Список литературы:
1. Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху «Больших данных» (Big Data) // Журнал Высшей школы экономики. 2015. №1. С. 45–47.
2. Anciaux N., Zolynski C., Chaudat S., Ladjel R. Empowerment and Big Personal Data: from Portability to Personal Agency // Global Privacy Law Review. 2021. Volume 2, Issue 1. P. 16 – 30.
3. Courbier S., Dimond R., Bros-Facer V. Share and protect our health data: an evidence based approach to rare disease patients’ perspectives on data sharing and data protection – quantitative survey and recommendations // Orphanet Journal of Rare Diseases. 2019. Vol.14. Issue 1. P. 1-15.
4. Eiss R. Confusion over Europe’s data-protection law is stalling scientific progress // Nature. 2020. Vol. 584. P. 498.
5. Floridi L. The Right to Be Forgotten: a Philosophical View // Annual Review of Law and Ethics. 2015.Vol. 23. P. 163-179.
6. Globocnik J. The Right to Be Forgotten is Taking Shape: CJEU Judgments in GC and Others (C-136/17) and Google v CNIL (C-507/17) // GRUR International, 69(4), 2020 г., 380–388.
7. Kalkman S., van Delden J., Banerjee A. et al. Patients’ and public views and attitudes towards the sharing of health data for research: a narrative review of the empirical evidence // Journal of Medical Ethics. 12 November 2019. P. 1-11.
8. Middleton A., Milne R., Almarri M., et al. Global public perceptions of genomic data sharing: what shapes the willingness to donate DNA and health data? // American Journal of Human Genetics. 2020. Vol.107. P. 743–752.
9. Richter G., Borzikowsky C., Lieb W., Schreiber S., Krawczak M., Buyx A. Patient views on research use of clinical data without consent: Legal, but also acceptable? // European journal of human genetics (EJHG). 2019. Vol. 27. Issue 6. P. 841-847.
10. Russo M., Ciccotti C., De Alexandris F., Gjinaj A., Romaniello G., Scatorchia A., Terranova G. A cross-country comparison of contact-tracing apps during COVID-19. VOX EU, CERP, 02 August 2021. URL: https://voxeu.org/article/cross-country-comparison-contact-tracing-apps
11. Ursin G., Stenbeck M., Chang-Claude J., et al. Data must be shared – also with researchers outside of Europe // Lancet. 2019. Vol.394. Issue.10212. P. 1902.
12. Zech H. Information as Property // JIPITEC. 2015. Issue 6. P. 192-197.
