Персональные данные в соцсетях и социальных медиа: правовые проблемы защиты и использования

(Наумов В. Б., Панова Н. В., Лебедева Т. В.) («Закон», 2012, N 5)

ПЕРСОНАЛЬНЫЕ ДАННЫЕ В СОЦСЕТЯХ И СОЦИАЛЬНЫХ МЕДИА: ПРАВОВЫЕ ПРОБЛЕМЫ ЗАЩИТЫ И ИСПОЛЬЗОВАНИЯ

В. Б. НАУМОВ, Н. В. ПАНОВА, Т. В. ЛЕБЕДЕВА

Наумов Виктор Борисович, управляющий партнер офиса в Санкт-Петербурге, руководитель российской практики в области информационных систем, информационных технологий и телекоммуникаций международной юридической фирмы Salans.

Панова Надежда Владимировна, юрист российской практики в области информационных систем, информационных технологий и телекоммуникаций международной юридической фирмы Salans.

Лебедева Татьяна Валерьевна, руководитель юридического отдела ООО «ВКонтакте».

Авторы рассматривают законодательные требования по защите и использованию персональных данных в Интернете, установленные в России. В статье проводится анализ правовых проблем социальных сетей и медиа в этой сфере, а также исследуется зарубежный опыт защиты и использования персональных данных интернет-пользователей.

Ключевые слова: персональные данные, Интернет, социальные сети и медиа, политика конфиденциальности.

В последнее время в российских СМИ все чаще упоминаются факты несанкционированного использования персональных данных в Интернете. Это связано прежде всего с тем, что интернет-активность российских граждан увеличилась за последние годы. Пользователи предоставляют большое количество информации о себе через Интернет, в основном посредством социальных сетей и социальных медиа. В этой связи в России особое значение приобретает проблема правового регулирования обработки персональных данных в Интернете. В то же время в современной отечественной практике нередко возникают ситуации, когда та или иная проблема, связанная с обработкой персональных данных в Интернете, вообще не урегулирована законодателем. В данной статье мы проанализируем требования к защите и использованию персональных данных в Интернете, установленные в России, а также соответствующие правовые проблемы социальных сетей и медиа, рассмотрим релевантный зарубежный опыт развития национального законодательства, деловой практики и правоприменения.

Законодательное регулирование

Обработка персональных данных в России осуществляется на основании Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и главы 14 Трудового кодекса РФ. Положения Закона во многом заимствованы из положений Директивы Европейского союза 95/46/ЕС от 24.10.1995 <1> о защите физических лиц при обработке персональных данных и о свободном обращении таких данных (далее — Директива 95/46/ЕС). В июле 2011 г. в Закон о персональных данных в очередной раз были внесены значительные изменения, затронувшие в числе прочего деятельность компаний, осуществляющих обработку персональных данных в Интернете. При этом Закон прямо не разделяет операторов персональных данных на интернет-компании и прочие компании, предъявляя ко всем предприятиям одинаковые требования по защите и использованию персональных данных. ——————————— <1> Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.

Для понимания логики развития законодательства в мире нужно отметить, что в Европейском союзе, к примеру, процесс обработки персональных данных в Интернете регулируется специальным актом — Директивой ЕС 2002/58/ЕС от 12.07.2002 об обработке персональных данных и защите неприкосновенности частной жизни в сфере электронных коммуникаций (далее — Директива 2002/58/ЕС) <2>; при этом, скажем, в США не существует единого законодательного акта в сфере защиты персональных данных: действуют лишь акты, регулирующие отдельные аспекты обработки персональных данных в самых различных сферах общественных отношений. ——————————— <2> Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications).

Политика конфиденциальности

В Законе о персональных данных содержится только одно специальное требование, адресованное напрямую лицам, осуществляющим сбор персональных данных в Интернете, и на это требование интернет-компаниям всегда следует обращать внимание. Такие компании обязаны опубликовать на своем сайте (в терминологии российского законодателя — «в соответствующей информационно-телекоммуникационной сети») документ, определяющий политику компании в отношении обработки персональных данных. Поскольку подобное требование появилось в Законе сравнительно недавно, еще не все российские социальные сети и социальные медиа успели разработать и опубликовать на своих сайтах документ об обработке персональных данных, однако уже сейчас существуют примеры, которые можно подвергнуть детальному анализу и критике. К примеру, в социальной сети «ВКонтакте» соответствующая политика была разработана и опубликована на сайте по адресу http://vk. com/privacy в документе «Правила защиты информации о пользователях сайта vk. com» (далее — Правила защиты информации). В нем рассмотрены основные аспекты обработки персональных данных пользователей социальной сети, в частности способы обработки таких данных, меры по защите персональных данных пользователей. Данные правила являются локальным нормативным актом компании ООО «ВКонтакте», принимаемым в общем порядке, предусмотренном действующим законодательством, и содержат описание прав и обязанностей компании в качестве оператора персональных данных пользователей социальной сети «ВКонтакте», а также прав и обязанностей пользователей, в том числе в части размещения, изменения, удаления и защиты своих персональных данных при использовании сайта «ВКонтакте». Пользователь соглашается с условиями Правил защиты информации при регистрации на сайте; в случае несогласия с ними пользователь обязан немедленно прекратить использование всех сервисов «ВКонтакте». Последнее условие широко распространено в работе интернет-компаний и определяется особенностями информационных правоотношений в Интернете. Необходимо подчеркнуть, что, исходя из логики Закона о персональных данных, пользователи должны самостоятельно знакомиться с документами, которые определяют политику обработки персональных данных на том или ином сайте. Требование о размещении в открытом доступе документа об обработке персональных данных не является оригинальным нововведением и давно содержится в законодательстве многих юрисдикций. В США особое место занимает Закон штата Калифорния о защите частной жизни в Интернете (The California Online Privacy Protection Act of 2003, OPPA). Согласно данному акту операторы интернет-сайтов, функционирующих на коммерческой основе, которые собирают персональные данные от жителей Калифорнии, обязаны размещать на видном месте своего сайта различимую ссылку на положение о защите информации <3>. ——————————— <3> В мае 2008 г. возник вопрос, связанный с соблюдением OPPA корпорацией Google. Как утверждал ряд источников, ссылка на политику конфиденциальности Google была размещена не на главной странице сайта, а в разделе About Google. Вопрос был разрешен путем мирных переговоров, без участия суда. В результате корпорация разместила прямую ссылку на политику конфиденциальности на главной странице сайта (http://allthingsd. com/20080707/google-values-users-privacy).

Поскольку для применения OPPA достаточно лишь доказать, что жители Калифорнии имеют доступ к конкретному сайту, данный акт имеет широкое применение далеко за пределами штата.

Что такое персональные данные?

Прежде чем рассматривать требования к обработке персональных данных, следует коснуться вопроса, актуального практически для каждого оператора персональных данных, в том числе и владельцев социальных сетей и социальных медиа: какая именно информация о лице является персональными данными? Согласно ст. 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) <4>. Ранее в Законе существовал примерный перечень категорий персональных данных (фамилия, имя, отчество, дата и место рождения и т. п.), однако законодатель исключил его из текста Закона. Можно предположить, что воля законодателя состояла, таким образом, в расширении исследуемого нами понятия. ——————————— <4> Директива 95/46/ЕС гласит, что определяемое (идентифицируемое) лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности путем указания на идентификационный номер либо на один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

На практике компаниям, особенно владеющим социальными сетями и социальными медиа, часто бывает достаточно трудно определить, какая информация, предоставляемая пользователями, является персональными данными, а какая — нет. Многие компании в своих публичных документах, посвященных обработке персональных данных, прямо разграничивают персональные данные пользователей и иную предоставляемую ими информацию. Однако до сих пор в связи с отсутствием обширной практики нерешенными остаются следующие вопросы: относятся ли IP-адреса, используемые пользователями социальных сетей, к числу персональных данных? Применяются ли, соответственно, к данной информации требования Закона о персональных данных? Являются ли IP-адреса сугубо технической информацией, не затрагивающей конкретное физическое лицо — субъекта персональных данных? Следует ли защищать эти адреса посредством других законодательных институтов, касающихся в целом неприкосновенности частной жизни и тайны связи? Подобные вопросы нередко ставятся в отношении адреса электронной почты, учетной записи Skype или номера ICQ.

Согласие на обработку персональных данных

Основополагающим требованием Закона о персональных данных является наличие согласия субъекта персональных данных на их обработку. В июле 2011 г. законодатель ввел в Закон долгожданную формулировку о том, что согласие на обработку персональных данных может быть дано «в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом». Данная формулировка внесла ясность прежде всего в вопрос получения согласия операторами, осуществляющими сбор персональных данных в сети Интернет. Таким образом, механизмы «проставления галочки» и предоставления согласия путем конклюдентных действий при регистрации на сайте были узаконены <5>. Главное, чтобы у компании имелась возможность доказать, что согласие субъекта персональных данных было получено. В соответствии с требованием Закона подобное согласие должно быть «конкретным, информированным и сознательным». Поэтому оператор должен создать на своем интернет-сайте условия, при которых субъект ясно осознает, что, совершая то или иное конкретное действие, он дает согласие на обработку персональных данных. ——————————— <5> Интересно, что в тексте Директивы 2002/58/ЕС прямо предусмотрено, что согласие пользователя может быть получено в числе прочего путем «проставления галочки» (п. 17).

Российский Закон освобождает оператора от обязанности получать согласие на обработку персональных данных в тех случаях, когда такая обработка необходима для исполнения договора, стороной которого является субъект персональных данных. Многие социальные сети, социальные медиа и интернет-сервисы применяют соответствующие законоположения и не получают согласия субъектов на обработку персональных данных, поскольку такая обработка осуществляется в целях исполнения договора с пользователем сайта (например, договора о предоставлении услуг по использованию сервисов сайта). При этом важно, чтобы пользователь имел возможность ознакомиться с опубликованным на сайте договором (соглашением), а в самом договоре были указаны цели обработки персональных данных. На эту проблему справедливо обращает внимание Роскомнадзор. Согласно опубликованной на его сайте официальной позиции «пользователю на этапе регистрации (в социальной сети) очень важно внимательно ознакомиться со всеми условиями Пользовательского соглашения, чтобы впоследствии избежать недопонимания или возможных нарушений его прав» <6>. ——————————— <6> http://www. pd. rsoc. ru/faq/faq30.htm

Необходимо также, чтобы при оказании услуг пользователям социальной сети владелец сайта придерживался установленных целей и не обрабатывал избыточные (с точки зрения этих целей) персональные данные пользователей.

Передача персональных данных третьим лицам

Под передачей персональных данных законодатель понимает распространение (раскрытие данных неопределенному кругу лиц), предоставление (раскрытие определенному лицу или определенному кругу лиц) и доступ. Закон не устанавливает обязанности операторов обеспечивать субъектам персональных данных возможность самостоятельно ограничивать доступ к своим персональным данным в Интернете. Многие социальные сети и социальные медиа по своей собственной инициативе устанавливают на своих сайтах «настройки приватности», с помощью которых пользователи имеют возможность самостоятельно ограничивать доступ третьих лиц к той или иной информации о себе. Иногда в силу конструктивных особенностей сайта некоторые персональные данные (чаще всего имя и фамилия) доступны любому зарегистрированному пользователю такого сайта или пользователю Интернета. В подобном случае в публичном документе (политике) об обработке персональных данных следует перечислить персональные данные, в отношении которых невозможно самостоятельно установить уровень конфиденциальности. Согласно уже упомянутым Правилам защиты информации о пользователях сайта VK. com любому зарегистрированному пользователю социальной сети «ВКонтакте» доступна следующая информация о других пользователях: — фамилия и имя пользователя; — дата рождения, профильная фотография, город, наименование посещаемого или оконченного высшего учебного заведения, год (планируемый год) окончания высшего учебного заведения, наименование факультета посещаемого или оконченного пользователем высшего учебного заведения и записи пользователя в микроблоге («стена»), если пользователь разместил эту информацию на сайте в разделе «Моя страница»; — информация о подписках и подписчиках пользователя; — список друзей пользователя, за исключением ограниченного перечня друзей, который пользователь предпочел скрыть. В этой социальной сети только фамилия и имя являются данными, указание которых обязательно для использования сайта. Все иные данные указываются исключительно по желанию пользователя. Можно утверждать, что любая социальная сеть по своей природе является универсальным средством коммуникации и ее главной функцией является восстановление и поддержание связей со старыми и новыми знакомыми, поэтому подобный подход к раскрытию информации вполне оправдан. В отличие от российского законодательства, законодательство Европейского союза закрепляет за пользователями Интернета права по ограничению доступа третьих лиц к своим персональным данным. Согласно нормам Директивы 2002/58/ЕС пользователю должна быть предоставлена ясная и точная информация об использовании cookies в отношении его оконечного оборудования, в том числе информация о целях обработки данных. Пользователю также должна быть предоставлена возможность отказаться от использования cookies или иных подобных средств на своем оконечном оборудовании. При этом информация о возможности отказаться от использования cookies должна быть передана пользователю максимально дружественным способом («as user-friendly as possible»). В качестве особого вида передачи персональных данных стоит выделить их передачу в целях исполнения закона. Статья 6 Закона о персональных данных предусматривает возможность обработки персональных данных для выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. Данная норма предоставляет различным государственным органам при наличии соответствующих законодательно установленных полномочий запрашивать персональные данные у компаний (например, при проведении оперативно-розыскных мероприятий). При получении надлежащим образом оформленного запроса от государственного органа, в полномочия которого входит истребование персональных данных, операторы персональных данных, в том числе владельцы социальных сетей и социальных медиа, обязаны предоставить запрашиваемую информацию. При использовании Интернета пользователям стоит учитывать, что размещаемая ими информация может при определенных условиях быть передана государству. Следует отметить, что в США действует Закон о конфиденциальности электронных коммуникаций (Electronic Communications Privacy Act, ECPA), позволяющий правоохранительным органам без судебного ордера получать доступ к электронным сообщениям граждан, которые хранятся на сервере дольше шести месяцев. В 1986 г., когда принимался данный Закон, электронные сообщения хранились на серверах получателя совсем короткое время, а именно пока получатель не загрузит сообщение в специальную программу на своем компьютере. Спустя 25 лет данная норма по-прежнему действует и распространяется на информацию, находящуюся на облачных и других серверах. Законопроект об отмене данной нормы находится в данный момент на рассмотрении Конгресса США.

Трансграничная передача персональных данных

Особым образом регулируется также трансграничная передача персональных данных. Закон о персональных данных устанавливает, что передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в числе прочего при наличии письменного согласия субъекта (ст. 12). Государствами, обеспечивающими адекватную защиту прав субъектов персональных данных, законодатель признает, в частности, участников Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных <7>. Вместе с тем Роскомнадзор обязан утвердить перечень иностранных государств, не являющихся сторонами данной Конвенции, но обеспечивающих адекватную защиту прав субъектов персональных данных. Хотя в настоящий момент подобный перечень еще не утвержден, на официальном сайте Роскомнадзора указано, что такими государствами признаются Аргентина, Израиль, Канада, Южная Корея и Япония <8>. ——————————— <7> Конвенция Совета Европы о защите прав физических лиц при автоматизированной обработке персональных данных от 28.01.1981. <8> http://www. pd. rsoc. ru/faq/faq26.htm

Поскольку для получения письменного согласия интернет-пользователя потребуются значительные (а иногда и в принципе невероятные) усилия и затраты (либо организация личной встречи с каждым пользователем из многомиллионной аудитории, либо внедрение специализированного программного обеспечения, предусматривающего получение согласия с электронной цифровой подписью), практическим решением для владельцев социальных сетей и социальных медиа в настоящее время будет либо внутренний запрет на передачу персональных данных пользователей в страны, не обеспечивающие адекватную защиту персональных данных, либо организация информационных отношений таким образом, что на основании п. 4 ч. 4 ст. 12 Закона о персональных данных соответствующая трансграничная передача персональных данных осуществлялась бы непосредственно в целях исполнения договора, стороной которого является пользователь.

Меры по защите персональных данных

Российский законодатель не предъявляет каких-либо специальных требований по обеспечению безопасности персональных данных в Интернете. Для всех российских операторов установлена обязанность принимать все необходимые меры, направленные на защиту персональных данных пользователей. Статьи 18.1 и 19 Закона о персональных данных предусматривают обширный перечень таких мер. Предусмотренные меры подразделяются на правовые (например, принятие локальных актов по вопросам обработки персональных данных), организационные (например, назначение лица, ответственного за организацию обработки персональных данных) и технические. Одним из технических требований, предъявляемых к операторам, является применение сертифицированных средств защиты информации. На сегодняшний день действует только одно положение о сертификации средств защиты информации <9>, и применяется оно лишь в отношении средств, предназначенных для защиты сведений, составляющих государственную тайну. В этой связи указанное техническое требование в настоящий момент выполнить невозможно. Можно ожидать, что в обозримом будущем будет разработано специальное положение, устанавливающее процедуру сертификации средств защиты персональных данных. ——————————— <9> Постановление Правительства РФ от 26.06.1995 N 608 «О сертификации средств защиты информации».

Законодатель подчеркивает, что оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения требований Закона о персональных данных. По запросу Роскомнадзора оператор обязан представить документы и локальные акты или иным образом подтвердить принятие таких мер. Европейское законодательство устанавливает специальные требования по обеспечению безопасности при оказании коммуникационных услуг. Согласно Директиве 2002/58/ЕС при оказании коммуникационных услуг провайдер обязан в числе прочего применять положение о безопасности при обработке персональных данных и обеспечивать доступ персональных данных только для авторизованных пользователей.

Обработка персональных данных несовершеннолетних

К сожалению, российский законодатель пока практически не регулирует болезненный вопрос обработки персональных данных несовершеннолетних в Интернете. В качестве примера нормативного акта, регулирующего обработку персональных данных несовершеннолетних, можно назвать Закон США о защите частной жизни детей в Интернете от 21.10.1998 (Children’s Online Privacy Protection Act of 1998, COPPA). Данный Закон применяется к интернет-сайтам и онлайн-сервисам, функционирующим на коммерческой основе, которые либо напрямую адресованы детям до 13 лет, либо осознанно получают личную информацию от детей до 13 лет в режиме онлайн. В соответствии с COPPA согласие на обработку персональных данных ребенка предоставляется родителем. Закон закрепляет процедуру «верифицируемого согласия родителя», при осуществлении которой оператор убеждается, что предварительное согласие родителя на сбор, использование и раскрытие (при необходимости) персональных данных ребенка получено. Интернет-сайты должны использовать разумные методы, чтобы убедиться: они имеют дело с родителями. Такими методами могут быть, в частности: — электронное письмо с цифровой подписью; — получение формы, подписанной родителем, по почте или по факсу; — телефонный звонок от родителя. Данный акт применяется также к зарубежным интернет-сайтам, которые напрямую адресованы американским детям до 13 лет либо сознательно получают информацию от американских детей до 13 лет. Стоит отметить, что многие американские интернет-ресурсы отказываются обрабатывать персональные данные пользователей, возраст которых ниже 13 лет. Как видно из приведенного краткого обзора, в настоящий момент правовое регулирование обработки персональных данных в Интернете в различных странах развивается по-разному. Российское законодательство отстает от интернет-активности граждан. В связи с этим на практике остается множество неразрешенных вопросов, а владельцы российских социальных сетей и социальных медиа пытаются заимствовать зарубежный опыт.

——————————————————————