Н.А. Шебанова,
доктор юридических наук,
профессор кафедры интеллектуальных прав МГЮА (У)

"Журнал Суда по интеллектуальным правам", № 3 (33), сентябрь 2021 г., с. 42-51

29 мая 2014 г. в Астане Республикой Беларусь, Республикой Казахстан и Российской Федерацией был подписан Договор об учреждении Евразийского экономического союза (далее - Союз, ЕАЭС)1. Согласно статье 1 Договора Союз был определен в качестве международной организации региональной экономической интеграции, обладающей международной правосубъектностью, в рамках которого обеспечивается свобода движения товаров, услуг, капитала и рабочей силы, проведение скоординированной, согласованной или единой политики в отраслях экономики, определенных настоящим Договором и международными договорами в рамках Союза.

В этом же 2014 г. членами ЕАЭС стали также Кыргызская Республика2 и Республика Армения3. В соответствии со ст. 102 Устава Организации Объединенных Наций 24 июля 2015 г. Договор о Евразийском экономическом союзе от 29 мая 2014 г. был зарегистрирован в Секретариате Организации Объединенных Наций, что является гарантией обеспечения устойчивости и прозрачности достигнутых его участниками договоренностей.

В современных исследованиях отмечается, что учреждение ЕАЭС «соответствует логике региональной интеграции и отвечает историческим и культурным особенностям развития региона. Евразийский экономический союз, являясь интеграционным объединением региональных экономик, способствует сохранению и развитию евразийского цивилизационного пространства, формирует новую геополитическую реальность, позволяет использовать преимущества глобализации и минимизировать ее издержки»4.

Несмотря на относительно молодой возраст сегодня евразийская интеграция представляет собой динамично развивающуюся структуру, активно адаптирующуюся к новым реалиям, что позволяет позитивно оценивать ее деятельность в сравнении с ранее созданными и положительно зарекомендовавшими себя на международной арене другими региональными интеграциями.

Российская Федерация придает большое значение развитию и становлению евразийской интеграции. В соответствии с п. 51 Указа Президента РФ от 30 ноября 2016 г. N 640 «Об утверждении Концепции внешней политики Российской Федерации»5 «Россия считает ключевой задачу углубления и расширения интеграции в рамках Евразийского экономического союза (ЕАЭС) с Республикой Армения, Республикой Белоруссия, Республикой Казахстан и Киргизской Республикой в целях стабильного развития, всестороннего технологического обновления, кооперации, повышения конкурентоспособности экономик государств - членов ЕАЭС и повышения жизненного уровня их населения. ЕАЭС призван обеспечить свободу перемещения товаров, услуг, капитала и трудовых ресурсов, стать площадкой для реализации совместных инфраструктурных и инвестиционных проектов. Созданный на основе универсальных интеграционных принципов, ЕАЭС способен сыграть важную роль в деле гармонизации интеграционных процессов в Европейском и Евразийском регионах».

Современные проблемы диктуют свои актуальные задачи: это кардинально новые направления экономического сотрудничества, основанного, в том числе, на цифровых технологиях. Неотложной задачей признается создание системы стратегического планирования на базе единого цифрового пространства, формирование цифровой инфраструктуры, основным назначением которой является обмен информацией между государственными органами стран, создание набора реестров данных, сбор нормативно-справочной информации и ее систематизация.

Новое согласованное межгосударственное информационное пространство должно объединить множество существующих национальных специализированных цифровых платформ и обеспечить создание новых региональных цифровых платформ. «В рамках ЕАЭС планируется создание в Союзе 14 евразийских интеграционных технологических платформ (ЕТП). 11 платформ уже утверждены Советом ЕЭК на уровне руководителей правительств Сторон. В их числе "Космические и геоинформационные технологии", "Биомедицина", "Суперкомпьютеры", "Фотоника", "Светодиоды", "Технологии добычи твердых полезных ископаемых", "Технологии экологического развития"»6.

Для построения цифровых платформ, как подчеркнул в своем выступлении председатель правительства РФ М. Мишустин на пленарной сессии международного форума «Цифровое будущее глобальной экономики», прошедшего в Казахстане, необходимо решение правовых задач: «Это касается юридически значимого электронного документооборота в Союзе, в том числе обмена персональными данными, защиты этих данных. Надо создать и внедрить единые цифровые учётные системы идентификации граждан и бизнеса, снять, наконец, проблему признания цифровой электронной подписи»7.

11 октября 2017 г. решением №12 Высший Евразийский экономический совет утвердил Основные направления реализации цифровой повестки Евразийского экономического союза до 2025 г. (далее по тексту - Основные направления). Документ был разработан в соответствии с Заявлением глав государств – членов ЕАЭС о цифровой повестке ЕАЭС от 26 декабря 2016 г. № 21 «О формировании цифровой повестки Евразийского экономического союза» «с целью дальнейшего развития экономической интеграции государств - членов Евразийского экономического союза в условиях, когда мировая экономика находится на этапе глубоких структурных преобразований и развития цифровой экономики, когда происходит цифровая трансформация повседневной жизни, деловой среды и государственного управления»8.

В документе особо акцентировано внимание на том, что глобальная цифровая трансформация создает необходимость более надежной институциональной защиты персональных данных, с соблюдением баланса защиты в условиях их трансграничного обмена. О значимости оборота данных говорят следующие цифры: трансграничные потоки данных в период с 2005 по 2014 г. выросли в 45 раз, что составило 2,8 трлн долл. США. По оценке специалистов влияние этого процесса на прирост мирового ВВП оказалось выше, чем влияние мировой торговли товарами9.

Неоднократно отмечалось, что для решения вопросов, возникающих в рамках процессов по углублению и развитию сотрудничества, необходимо создание единой системы передачи и обмена цифровыми данными. В то же время «успешное внедрение технологий в рамках ЕАЭС и получение эффекта от их использования будут возможны только в случае обеспечения технологической совместимости/интероперабельности и масштабируемости цифровых инфраструктур, платформ и решений государств — членов ЕАЭС»10.

Евразийский экономический совет неоднократно отмечал, что «отсутствие согласованной политики государств-членов в цифровой сфере может стать препятствием для достижения синергетических эффектов в развитии цифровой экономики государств-членов и цифрового пространства Союза»11. Поставленные фундаментальные задачи, а это вопросы создания благоприятной среды для устойчивого экономического роста стран-участниц; формирование единого рынка товаров и услуг; объединение трудовых ресурсов; модернизация и повышение конкурентоспособности отраслей промышленности должны решаться вкупе с созданием нового законодательства. Это означает, что фундаментом построения новой цифровой системы становится подход государств-членов, основанный на единообразном правовом регулировании отношений в цифровой сфере.

Приоритетным направлением евразийского сотрудничества определена гармонизация законодательства, обеспечивающая реализацию стратегии экономического развития Союза.

Согласно статье 2 Договора от 29 мая 2014 г. предполагается, что для достижения гармонизации законодательства страны-участницы будут последовательно осуществлять мероприятия с целью сближения законодательства государств-членов, направленного на установление сходного (сопоставимого) нормативного правового регулирования в отдельных сферах. Для унификации законодательства будут предприниматься меры по сближению законодательства государств-членов, направленного на установление идентичных механизмов правового регулирования в отдельных сферах, определенных настоящим Договором.

В свою очередь, в Основных направлениях отмечено, что гармонизация должна быть реализована «с учетом национальных интересов каждого из государств-членов, уровня их экономического развития, уровня развития национальных рынков, технологических особенностей и состояния цифровой инфраструктуры; особенностей регулирования секторов и отраслей экономики в рамках цифровой повестки, а также специфики отраслей экономики; обязательств государств-членов в рамках международных договоров, включая обязательства, принятые в соответствии с международными договорами с третьими странами»12.

На практике это означает, что национальные цифровые инициативы должны быть дополнены комплексной региональной цифровой повесткой. Однако на сегодняшний момент союзное законодательство об обеспечении безопасности оборота информации, в том числе, охране и защите персональных данных, не разработано. И при этом практически в ЕАЭС осуществляется трансграничная передача персональных данных в электронном виде посредством интегрированной информационной системы Евразийского экономического союза (ИИС ЕАЭС). ИИС была создана в соответствии с Соглашением Правительств государств-членов Таможенного союза «О создании, функционировании и развитии интегрированной информационной системы внешней и взаимной торговли Таможенного союза» 21 сентября 2010 г.. В рамках ИИС осуществляется обмен сведениями, в том числе и персональными данными физических лиц. Также компетентными органами государств-членов ЕАЭС осуществляется обмен сведениями, касающихся трудовой миграции и социального обеспечения.

Несмотря на то что фактически в рамках интеграции обмен персональными данными присутствует, а также на то, что все государства – участники ЕАЭС признают, что отсутствие единой политики в отношении законодательного регулирования использования цифровых технологий, и в первую очередь технологий данных может стать причиной усиления контроля над евразийским цифровым пространством со стороны зарубежных участников, а отсутствие согласованной защиты открывает возможности для успеха внешних кибератак, вопросы согласования соответствующих правовых подходов остаются открытыми.

Как сообщается на официальном сайте Евразийской экономической комиссии, в Евразийском экономическом союзе может быть создана рабочая группа по вопросам цифровой трансформации на уровне глав профильных ведомств. В первую очередь рабочая группа займется регуляторикой в сфере оборота данных. «Вопрос проработки Международного договора об обороте данных в Союзе занимает важное место в цифровой повестке, отмечает министр ЕЭК Гегам Варданян. – Сегодня технологии быстро внедряются, а регулятивная часть подтормаживает. Одно из самых узких мест для развития масштабных проектов в ЕАЭС – вопрос оборота данных»13.

Тем не менее принятые в рамках ЕАЭС совместные документы о формировании цифрового пространства стали определенным стимулом для включения вопросов цифровой политики в национальные законодательства.

На сегодня вопросы законодательного регулирования оборота персональных данных в рамках реализации национальных цифровых программ разрешены во всех странах-участницах.

Вопросы, связанные со сбором, обработкой, хранением и защитой персональных данных в Российской Федерации, достаточно полно регламентированы.

Россия является участницей Конвенции о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года14. А это означает, что при разработке законодательства о персональных данных принимаются во внимание положения Конвенции и протокола о внесении в нее изменений, подписанного Российской Федерацией в Страсбурге 10 октября 2018 г.. В соответствии с положениями данной Конвенции Россией были приняты Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»15 и Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»16. Отдельные вопросы касательно персональных данных были урегулированы Трудовым кодеком РФ и Федеральным законом от 22 октября 2004 г. N 125-ФЗ «Об архивном деле в Российской Федерации»17.

Разработка и принятие программных документов, предусматривающих решение актуальных стратегических задач, обусловило внесение изменений в действующее законодательство. Одной из приоритетных национальных целей развития России до 2024 г. определено создание и внедрение цифровых технологий в экономику и социальную сферу.18 Достижение этой цели предполагается путем реализации национальной программы «Цифровая экономика Российской Федерации», утвержденной протоколом заседания президиума Совета при Президенте Российской Федерации по стратегическому развитию и национальным проектам от 4 июня 2019 г. N 719. В качестве важнейшей задачи определено создание системы правового регулирования цифровой экономики, основанного на гибком подходе в каждой сфере, а также внедрение гражданского оборота на базе цифровых технологий.

В рамках этой деятельности были внесены поправки в Федеральный закон от 27 июля 2006 г. N 149-ФЗ и Федеральный закон от 27 июля 2006 г. N 152-ФЗ . Целью нововведений была защита и ограничение оборота вне территории РФ больших данных, в том числе, персональных данных, сбор и обработка которых проводятся в РФ.

Важной вехой в вопросе охраны персональных данных стал Федеральный закон от 31 июля 2020 г. N 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации»20. Закон предусматривает, что программа экспериментального правового режима (ЭПР) должна в обязательном порядке содержать порядок и условия обезличивания и последующей обработки субъектом ЭПР персональных данных при условии обязательного обезличивания персональных данных, если ЭПР предусматривает обработку субъектом ЭПР персональных данных, полученных в результате обезличивания. Кроме того, программа ЭПР должна содержать запрет на передачу обрабатываемых персональных данных третьим лицам. Прекращение статуса субъекта ЭПР влечет утрату права на обработку персональных данных, полученных в результате обезличивания, и обязанность по их уничтожению.

Существенные изменения в отношении сбора и обработки персональных данных вносятся на нормативно-правовом уровне. Так, претерпел изменения порядок осуществления федерального государственного контроля (надзора) за обработкой персональных данных21. Государственный надзор (контроль) осуществляется Роскомнадзором и его территориальными органами посредством применения системы оценки и управления рисками. При контроле (надзоре) за обработкой персональных данных возможно проведение профилактических мероприятий (информирование, обобщение правоприменительной практики, объявление предостережения, консультирование и профилактический визит). Непосредственно контроль (надзор) может включать специальные контрольные мероприятия: инспекционный визит, документарная проверка и выездная проверка.

В 2021 г. в РФ был утвержден первый национальный стандарт в области больших данных. Это - ГОСТ «Информационные технологии. Большие данные. Обзор и словарь». Документ соответствует международному стандарту Information technology – Big data – Overview and vocabulary. ГОСТ приводит переводы англоязычных терминов, относящихся к большим данным, на русский язык и расшифровывает их значения. Также приводятся ключевые характеристики больших данных (объем, скорость обработки, разнообразие и вариативность) с объяснением их значения22.

Армения, так же как и Россия, является участницей Конвенции о защите физических лиц при автоматизированной обработке персональных данных.

Конституционно-правовые нормы о защите персональных данных закреплены в Конституции Республики Армения, принятой по итогам референдума от 6-го декабря 2015 г.. Статья 34, имеющая высшую юридическую силу, устанавливает право каждого субъекта на защиту персональных данных.

Порядок и условия обработки персональных данных регулируются Законом Республики Армении от 13 июня 2015 г. № ЗР-49 «О защите личных данных»23. Положения Закона в целом схожи с положениями российского закона, их содержание соответствует положениям Конвенции. Закон, в частности, регулирует порядок и условия обработки персональных данных органами государственного управления и местного самоуправления, государственными и муниципальными учреждениями, организациями, юридическими и физическими лицами, а также сроки и условия осуществления государственного контроля над ними.

В республике создано Агентство защиты персональных данных Министерства юстиции РА, которое является обособленным подразделением Министерства. Агентство сформировано в соответствии с приказом правительства РА 1188-Н от 20 сентября 2012 г. и действует в соответствии с Законом и другими правовыми актами, в частности, согласно приказу правительства РА 734-Н от 2 июля 2015 г.. Агентство, в предусмотренных законодательством Республики Армения случаях выступая от имени Республики Армения, предоставляет услуги в сфере защиты персональных данных (п. 1 Устава Агентства).

В 2017 г. в Республике Армения была разработана «Повестка цифровой трансформации Армении до 2030 года». По существу это рамочный долгосрочный документ, определяющий цели и задачи цифровой трансформации страны. В Повестке определены три этапа цифровой трансформации:

-

цифровой скачок—2018-2020 г. (сделан акцент на широкомасштабное внедрение инфраструктур и обновление имеющихся ресурсов);

-

цифровое ускорение — 2020-2025 г. (осуществление инвестиций для обеспечения максимально высокой производительности);

-

развитие на основе цифровизации — 2026-2030 г. (особое внимание обращается на инновации для обеспечения экономического роста)24.

В соответствии с целями и задачами программного документа в действующее законодательство вносятся требуемые изменения.

В республике Беларусь с ноября 2021 г. начнет действовать Закон «О персональных данных» № 99-3, принятый 7 мая 2021 г.25, направленный, как указано в его преамбуле, на обеспечение защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных.

Предусматривается, что «Обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц».

Документ содержит определения основных понятий: персональные данные, трансграничная передача персональных данных, определения полномочий субъектов персональных данных и обязанностей государственных органов, юридических и физических лиц в сфере работы с персональными данными. Важной особенностью является установление дополнительных гарантий от несанкционированной обработки персональных данных (бесконтрольный сбор, хранение, использование, распространение, предоставление); ответственности за нарушение законодательства.

Законом предусмотрено создание уполномоченного органа по защите прав субъектов персональных данных, в обязанности которого будет входить осуществление контроля за обработкой персональных данных операторами (уполномоченными лицами) в соответствии с законодательными актами; рассмотрение жалоб субъектов персональных данных по вопросам обработки персональных данных; выдачу разрешения на трансграничную передачу персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных; разъяснение вопросов применения законодательства о персональных данных.

Государственная программа «Цифровой Казахстан»26 рассчитана на 2018-2022 г.. Цель Программы — ускорение темпов развития экономики республики и улучшение качества жизни населения за счет использования цифровых технологий в среднесрочной перспективе, а также создание условий для перехода экономики Казахстана на принципиально новую траекторию развития, обеспечивающую создание цифровой экономики будущего в долгосрочной перспективе.

Одним из основных направлений реализации Программы является «Реализация цифрового Шелкового пути» – направление развития высокоскоростной и защищенной инфраструктуры передачи, хранения и обработки данных. Большие данные рассматриваются в качестве одного из факторов, на основе которого строится «экономика совместного потребления». Как отмечается в Программе, «она является решением для самозанятых граждан, мотивирует к ведению предпринимательской деятельности и способствует росту экономической активности».

Действующий в Казахстане Закон «О персональных данных и их защите» от 21 мая 2013 г. № 94-V (с изменениями и дополнениями по состоянию на 01 июля 2021 г.)27 подробно регламентирует условия сбора и обработки персональных данных; дачи согласия на сбор и обработку; доступ и использование; обезличивание и уничтожение. Особо регламентируются условия защиты персональных данных. Отдельно регламентированы вопросы прав и обязанностей собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных.

Надзор за соблюдением Закона возложен на прокуратуру Казахстана.

Министерство информации и коммуникаций Республики Казахстан планирует внедрять новые технологии хранения и обработки больших объемов информации. Ведомство ставит перед собой масштабную задачу по внедрению новейшей технологии BigData и выведению Казахстана в лидирующие роли мировой отрасли информационно-коммуникационных технологий (ИКТ)28.

Казахстан не является участником Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, однако в соответствии с приказом Роскомнадзора от 15 марта 2013 г. N 274 (ред. от 14 января 2019 г.) «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных» он включен в указанный перечень.

В Киргизской республике разработана и весной 2017 г. презентована программа цифровой трансформации «Таза Коом». Ее цель – развитие государства, основанного на индустрии данных, технологиях и цифровой инфраструктуре. Одна из задач – формирование открытого цифрового общества, движущей силой которого является индустрия данных (открытые государственные данные, сенсорные технологии и телеметрия, Интернет вещей, облачные вычисления, большие данные).

В этом же 2017 г. обновлен Закон «Об информации персонального характера» от 14 апреля 2008 г. № 5829, который в целом схож с аналогичным законом в России. Закон направлен на правовое регулирование работы с персональными данными в целях обеспечения защиты прав и свобод человека и гражданина, при этом действие Закона не распространяется на хранение, обработку и использование персональных данных в связи с личными, семейными или хозяйственными делами физического лица.

Закон содержит общие понятия касательно сбора, обработки, хранения персональных данных, субъекта персональных данных, держателя (обладателя) массива персональных данных, обработчика и получателя. Законом определены принципы и условия работы с персональными данными, соблюдение которых должно обеспечить достижение целей их сбора, с одной стороны, и гарантии их защиты - с другой.

Установлено, что в целях информационного обеспечения общества могут создаваться общедоступные массивы персональных данных (справочники, телефонные книги, адресные книги и т.п.).

Законом определены условия обработки специальной категории персональных данных. Так сбор, накопление, хранение и использование персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и сексуальных наклонностей, исключительно в целях выявления этих факторов, не допускаются. Исключения составляют случаи:

-

если субъект персональных данных дал свое согласие на сообщение и обработку таких данных;

-

если обработка необходима для защиты здоровья и безопасности субъекта данных, иного лица или соответствующей группы лиц.

Принципы сбора, использования биометрических данных и порядок биометрической регистрации установлены в законе КР «О биометрической регистрации граждан КР» от 14 июля 2014 г. № 13630.

Ответственность за нарушение норм, установленных законом «Об информации персонального характера», наступает в соответствии с действующим законодательством КР.

Как отметил Гюнтер Н. Эттингер, комиссар Европейской комиссии по цифровой экономике и обществу, «данные становятся активом со значительной социально-экономической ценностью. Но для того чтобы в полной мере воспользоваться преимуществами новых технологий и услуг, данные должны переступать границы между странами и различными секторами"31.

Несмотря на то что цифровизация и технология больших данных признаются в странах ЕАЭС в качестве основ будущего развития государств и технологий, способных оказать непосредственное воздействие на развитие национального и регионального рынка; в странах ЕАЭС отсутствует единый региональный документ, регламентирующий вопросы, связанные с использованием персональных данных. В этом плане ЕАЭС существенно отстает от европейской, азиатской и латиноамериканской интеграций.

Регулирование оборота персональных данных находится в ведении национального законодателя. Однако потребность в региональном регулировании остро ощутима. Так, о необходимости разработки регионального документа заявил министр по внутренним рынкам, информатизации, информационно-коммуникационным технологиям ЕЭК Гегам Варданян в ходе выступления на сессии «Большие данные и цифровые платформы для синергии отраслей производства» в рамках Петербургского международного экономического форума: «В настоящий момент при реализации цифровых проектов в ЕАЭС каждый раз приходится оговаривать, как будет осуществляться обмен данными. Это достаточно долгий процесс согласования, и очевидно, что необходимо выработать соглашение, в котором будут определены правила оборота данных в рамках ЕАЭС»32.

Причиной отставания стран ЕАЭС в разработке единого регулирования в большой степени являются разрозненные темпы развития цифровизации и ее нормативно-правового закрепления. Процесс создания единого цифрового пространства, в котором элиминированы национальные и региональные барьеры для доступа к цифровым технологиям, еще не запущен.

Современное законодательство стран – членов ЕАЭС гарантирует безопасность граждан, а также их персональные данные в цифровом пространстве (через кибербезопасность), сохраняя при этом гибкость, необходимую для эффективного использования цифровой обработки и технологий данных, только на национальном уровне.

Тем не менее предпосылки для инициирования работы по созданию единого документа, регламентирующего вопросы оборота персональных данных в ЕАЭС, наличествуют. Это разработанные и активно реализуемые цифровые программы, ставящие перед государствами амбициозные задачи цифровизации экономики; принятие всеми государствами-членами национальных законов о персональных данных; осознание объективной необходимости координации усилий для создания единой благоприятной цифровой среды и разработки правил, которые соответствуют темпам развития современных технологий.