Последний отзыв
Книга дельная. Без воды, приводятся реальные кейсы и способы их разрешения. Много практичных полезных советов и методик. Кое-что уже испробовала в дел...
Далее
По всем вопросам обращайтесь на: info@litportal.ru
(©) 2003-2025.
✖
Право в сфере Интернета
Настройки чтения
Размер шрифта
Высота строк
Поля
При этом опасения вызывает вопрос соблюдения прав человека и дискриминации личности. Так, некоторые авторы обращают внимание на то, что выявление различных террористических организаций, потенциальных преступников может несправедливо основываться на базе религиозных убеждений лиц, их национального или этнического происхождения[97 - Moeckli D., Thurman J. Counter-terrorism data mining: legal analysis and best practices. DETECTER project – Detection Technologies, Terrorism, Ethics and Human Rights. Deliverable 08.03. 2008. P. 2.].
Применение профайлинга в финансовой сфере также своей конечной целью нередко ставит борьбу с террористической деятельностью. В процессе выявления отмывания денег и финансового мошенничества используется автоматизированное наблюдение, которое помогает обнаружить подозрительные операции (например, совершение организациями необоснованно крупных сделок), сравнить полученные данные с данными о других организациях и сделать выводы о принадлежности лица к террористической организации.
В то же время финансовый сектор может почерпнуть немало положительного от автоматизированной обработки данных: повысить эффективность работы за счет сокращения времени на принятие решений (так, система может в считанные секунды проанализировать платежеспособность заемщика на основе ранее выданных кредитов и принять решение о выдаче займа и условиях такого займа). С помощью профайлинга финансовые организации могут предлагать оказание таких услуг, которые были бы интересны именно данному клиенту, основываясь на данных о его возрасте, поле, семейном статусе и финансовом положении.
Профайлинг используется и в сфере трудовой деятельности. Во-первых, HR-специалисты используют обработанные данные для оценки потенциальных возможностей сотрудников компании и для улучшения управления кадровыми ресурсами[98 - Воsco G. Cafiero, D'Angelo Е., Ferraris V., Suloyeva Y. The impact of profiling on fundamental rights. Working paper 3. P. 10.]. Но использование профайлинга в сфере управления кадрами нередко сопровождается слишком тщательным контролем электронной почты сотрудников и их действий в сети, что снова подвергает сомнению незыблемость фундаментальных прав человека.
Наибольшего успеха технологии профайлинга достигли в сфере коммерции, в частности в сфере использования контекстной рекламы. Такая реклама основана на анализе товаров, потребляемых покупателями. С помощью пройфайлинга продавцы могут предугадать, какие покупки будут совершены лицами, основывая свои предположения на конкретных товарах, уже просмотренных пользователем (например, кто-то может искать книгу или электронный гаджет в Google, а затем увидеть рекламу этого же товара или товара-комплемента на совершенно другом сайте) [99 - How To Block Targeted Ads From Following You Around // Business Insider (URL: http://www.businessinsider.com/how-to-keep-ad-companies-from-tracking-your-web-his-tory-2011-2 (дата обращения: 20.01.2017)).]. При этом различные лица, просматривающие одну и ту же веб-страницу, могут увидеть совершенно разную рекламу, основанную на их личных поисковых запросах в браузере[100 - Johnson J.P. Targeted advertising and advertising avoidance. Mimeo, Johnson Graduate School of Management, Cornell University. 2009 (URL: http://sites.northwestern.edu/csio/ files/2015/08/Johnson-2hvjmfr.pdf (дата обращения: 20.01.2017). P. 1.].
Многие магазины собирают информацию путем введения «программ лояльности». Сначала магазины получают личные данные покупателей для выдачи им пластиковой карты (дата и место рождения, пол, контактная информация), а затем с помощью таких карт собирают подробную информацию о покупке: место, время совершения сделки, конкретный приобретенный продукт[101 - Wakulowsky L. Managing the Privacy Side Effects of Rx (and other) Customer Loyalty Programs // Health Law Bulletin. P. 2.].
Несмотря на существующую угрозу безопасности персональных данных, преимущества использования профайлинга интернет-магазинами очевидны: организации оптимизируют производство и увеличивают прибыль. Потребители, в свою очередь, могут получать более подробную информацию о товарах и услугах, которые их интересовали, например, информацию о наиболее низких ценах.
Таким образом, проведенный анализ свидетельствует о том, что профайлинг имеет свои положительные и отрицательные стороны. Преимущества использования обработки данных в каждой сфере различаются и могут быть полезными как для оператора, так и для субъекта обработки данных. Однако при этом степень вмешательства в личную жизнь и степень контроля частной жизни отдельно взятого гражданина могут быть весьма высокими. Уже предпринимались попытки решить эту проблему законодательным образом: в частности, целью Закона о персональных данных является обеспечение таких конституционных прав граждан, как право на неприкосновенность частной жизни, на личную и семейную тайну при обработке информации (ст. 2).
В некоторых сферах можно столкнуться с дискриминацией некоторых групп людей на основе возраста, пола, состояния здоровья или места жительства, которая в конечном итоге может привести к отстранению их от каких-либо преимуществ. Указанные негативные аспекты невозможно устранить полностью, их можно только минимизировать путем законодательного ограничения использования тех или иных данных или установления ответственности операторов.
2. Информационный брокер как новый субъект правового регулирования
2.1. Гражданско-правовая характеристика отношений с участием информационного брокера
2.1.1. Правовой статус информационного брокера
Прежде чем приступить к анализу гражданско-правового статуса информационного брокера, необходимо рассмотреть понятие информационного брокера и смысл, который в него вкладывается.
В отечественной правовой литературе понятие информационный брокер отсутствует. Отдельные определения разработаны в зарубежной доктрине.
В частности, Федеральная Торговая Комиссия (ФТК) США определяет информационного брокера (data broker) как «компанию, которая собирает персональные данные потребителей и перепродает их или делится ими с другими компаниями»[102 - Federal Trade Commission. Data Brokers: A Call for Transparency and Accountability, May 2014 (URL: https://www.ftc.gov/system/files/documents/reports/data-brokers-call-trans-parency-accountability-report-federal-trade-commission-may-2014/140527databrokerreport. pdf (дата обращения: 14.02.2017)).]. Аналогичное определение было разработано Сенатом Соединенных Штатов[103 - United States Senate Committee Commerce, Science, and Transportation, Office of Oversight and Investigations, Majority Staff. A Review of the Data Broker Industry: Collection, Use, and Sale of Consumer Data for Marketing Purposes. December 18, 2013 (URL: http://educa-tionnewyork.com/files/rockefeller_ databroker.pdf (дата обращения: 14.02.2017)).], Счетной палатой США[104 - United States Government Accountability Office. Information Resellers: Consumer Privacy Framework Needs to Reflect Changes in Technology and the Marketplace, Report to the Chairman, Committee on Commerce, Science, and Transportation, US Senate, September 2013 (URL: http://www.gao.gov/assets/660/658151.pdf (дата обращения: 14.02.2017)).], а также Уполномоченным по вопросам частной жизни Канады[105 - Office of the Privacy Commissioner of Canada, Data Brokers: A Look at the Canadian and American Landscape, September 2014 (URL: https://www.priv.gc.ca/information/research-re-cherche/2014/db_201409_e.pdf (дата обращения: 14.02.2017)).].
Европейские авторы, описывая субъекта, который собирает и перепродает данные, используют другие термины, например, information reseller (лицо, занимающееся перепродажей информации), data vendors (поставщики данных), information brokers (информационный брокер), consumer data analytics (анализ данных потребителей), data warehousing (хранилище данных) и др.[106 - Rieke A., Yu H., Robinson D., von Hoboken J. Data broker in an open Society. London: Bloomberg. 2016. P. 4.] Дефиниции упомянутых терминов мало отличаются от тех, что были разработаны в США применительно к понятию информационного брокера.
Так, Европейский орган защиты данных определяет информационного брокера как организацию, которая «собирает персональные данные потребителей и продает эту информацию другим организациям»[107 - Datatilsynet. The Great Data Race: How commercial utilisation of personal data challenges privacy, November 2015 (URL: http://www.datatilsynet.no/Global/04_analyser_utred-ninger/2015/engelsk-kommersialisering- november-2015.pdf (дата обращения: 14.02.2017)).]. Организация экономического сотрудничества и развития в докладе, посвященном персональным данным, определяет информационного брокера как «фирму, которая собирает агрегированную информацию об индивидах, а затем перепродает для различных целей…»[108 - OECD, Exploring the Economics of Personal Data.URL: http://www.oecd-ilibrary.org/ science-and-technology/exploring-the-economics-of-personal-data_5k486qtxldmq-en (дата обращения: 14.02.2017).].
В декабре 2012 г. ФТК инициировала проект, целью которого являлось выявление характерных черт информационных брокеров. Для этого комиссия направила ордеры девяти наиболее крупным компаниям с запросом на получение информации об их деятельности, об источнике, из которого они получают информацию, а также об их клиентах, которым информация перепродается. Ниже приведена информация о деятельности наиболее известных компаний.
1.Acxiomпредоставляет данные потребителей и аналитические услуги для проведения маркетинговых кампаний и мероприятий по выявлению мошенничества. Их базы данных содержат информацию о 700 млн потребителей по всему миру[109 - Acxiom Corp., Annual Report, 2015 (URL: http://investors.acxiom.com/secfiling.cfm? filingid=733269-15-18&cik=733269#F10K_HTM_4 (дата обращения: 15.02.2017)).].
2. Corelogicпрежде всего предоставляет другим компаниям и правительству информацию о недвижимости, о потребителях и финансовую информацию. Также Corelogic оказывает аналитические услуги. База данных охватывает более 795 млн сделок с недвижимостью, более 93 млн заявок на ипотеку и иных данных о собственности граждан, в совокупности составляющих информацию о 99% жилой недвижимости США[110 - Corelogic, Annual Report 7 (2012) (URL:http://phx.corporate-ir.net/External.File?item= UGFyZW50SUQ9MTkwNDg0fENoaWxkSUQ9LTF8VHlwZT0z&t=l (дата обращения: 15.02.2017)).].
3.Oracleпредоставляет компаниям сведения практически о всех семьях США и располагает информацией о потребительских сделках более чем на 1 трлн долл.[111 - Oracle, Annual Report, 2015. URL: http://www.annualreports.com/HostedData/Annu-alReports/PDF/NASDAQ_ORCL_2015.pdf (дата обращения: 15.02.2017)).] В сентябре 2012 г. Facebook объявил о сотрудничестве с Datalogix (которая впоследствии была приобретена компанией Oracle), чтобы определить, как часто пользователи Facebook совершают покупки в офлайн-магазинах после просмотра контекстной рекламы в социальной сети[112 - Facebook partnership with Datalogix helps measure offline impact of online ads // Ad-week (URL: http://www.adweek.com/digital/facebook-partnership-with-datalogix-helps-mea-sure-offiine-impact-of-online-ads/ (дата обращения: 15.02.2017)).].
4. еBureauпредоставляет прогностические оценки и аналитические услуги для маркетологов, финансовых компаний, интернет-магазинов и других компаний. В первую очередь еВигеаи предлагает продукты, которые оценивают платежеспособность потребителей или вероятность заключения мошеннических сделок. еВигеаи располагает миллиардами записей с информацией о потребителях, при этом более 3 млрд новых записей добавляются каждый месяц
.
5.IDAnalyticsпредоставляет аналитические услуги, предназначенные главным образом для идентификации личности потребителей, а также для выявления мошеннических сделок. База данных этого информационного брокера включает в себя сотни миллиардов агрегированных данных и охватывает около 1,4 млрд потребительских сделок[113 - eBureau About us // eBureau (URL: http://www.ebureau.com/about (дата обращения: 15.02.2017)).]
.
6. Inteliusпредоставляет компаниям и потребителям услуги по проверке информации, а также данные из публичных источников. Базы данных этого брокера содержат более 20 млрд записей[115 - Intelius Facts // Intelius (URL: http://corp.intelius.com/intelius-facts (дата обращения: 15.02.2017)).].
7. PeekYouзапатентовала технологию, которая анализирует контент более 60 социальных сетей, новостных ресурсов и блог-платформ, чтобы обеспечивать клиентов подробными профайлами потребителей[116 - About Us // PeekYou (URL: http://www.peekyou.com/about/ (дата обращения: 15.02.2017)).].
8.Rapleaf (до поглощения брокером Tower Data)являлся агрегатором данных и располагал информацией, которая позволяла связать один из более 80% адресов электронной почты граждан США с конкретным потребителем. Rapleaf дополнял списки адресов электронной почты данными о возрасте, поле, семейном положении и 30 других положений, которые позволяли бы идентифицировать потребителя[117 - Email Intelligence Pricing // TowerData (URL: http://www.towerdata.com/email-intel-ligence/pricing (дата обращения: 15.02.2017)).].
9. RecordedFutureсобирает данные о потребителях и компаниях в сети и использует эту информацию в целях прогнозирования будущего поведения субъектов. По состоянию на май 2014 г. брокер имел доступ к информации, собранной из более чем 502 591 различных открытых интернет-сайтов[118 - Recorded Future // SCmagazine (URL: https://www.scmagazine.com/recorded-future/ article/629728 (дата обращения: 15.02.2017)).].
Согласно российском законодательству организации, преследующие извлечение прибыли в качестве основной цели своей деятельности, являются коммерческими организациями (п. 1 ст. 50 ГК РФ). Поскольку деятельность вышеуказанных компаний направлена в первую очередь на извлечение прибыли[119 - Senator John D. Rockefeller IV, «What Information Do Data Brokers Have on Consumers, and How Do They Use It?» December 18, 2013 (URL: https://www.commerce.senate, gov/public/index.cfm/ hearings?Id=a5c3a62c-68a6-4735-9dl8-916bdbbadfDl&Statement_ id=A47C081A-D653-4272-8D12- D6EDC1E04DC6).], они являются коммерческими организациями. Как коммерческая организация, занимающаяся видом деятельности, не запрещенной законом (и. 1 ст. 49 ГК РФ), информационные брокеры наделены общей правоспособностью, которая возникает с момента их регистрации в качестве юридического лица, т.е. с момента внесения записи в ЕГРЮЛ[120 - Белов В.Л. Что изменилось в Гражданском кодексе?: практ. пособие. М.: Юрайт, 2014. С. 51.].
Физические лица также могут заниматься обработкой данных (и. 2 и 3 ст. 3 Закона о персональных данных) с последующим извлечением прибыли, т.е. они также могут являться информационными брокерами, действуя в качестве индивидуального предпринимателя с момента внесения записи в ЕГРИП (ст. 23 ГК РФ).
Поскольку деятельность информационных брокеров не урегулирована специальными правовыми нормами, к вопросам их прав и обязанностей, гарантий деятельности, а также ответственности за нарушение обязательств будут применяться общие положения о коммерческих организациях.
Заслуживает внимания деятельность некоммерческих организаций, связанная с обработкой данных. Они могут осуществлять предпринимательскую деятельность и получать доход в случае, если такая деятельность служит достижению целей организаций и указана в учредительных документах (и. 2 ст. 24 ФЗ от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»).
На практике такая деятельность может быть связана с политическим профайлингом: списки избирателей формируются избирательными комиссиями на основе персональных данных избирателей (ст. 16—17 ФЗ от 12.06.2002 № 67-ФЗ «Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации» и ст. 26 ФЗ от 10.01.2003 № 19-ФЗ «О выборах Президента Российской Федерации»). Политические организации, зарегистрированные в качестве НКО, могут получить списки избирателей, содержащие персональные данные граждан Российской Федерации, для проведения предвыборной агитации с учетом ограничений, установленных ст. 15 Закона о персональных данных. Став обладателями информации, политические партии могут использовать технологии профайлинга в целях разделения людей на группы в зависимости от их политических взглядов, а затем продавать полученные списки, выступая информационными брокерами в гражданском обороте.
Таким образом, организация, зарегистрированная в качестве НКО, может являться информационным брокером, но, скорее всего, столкнется с определенными законодательными ограничениями, главным из которых является необходимость соответствия деятельности целям организации.
Деятельность информационного брокера, будучи связанной с обработкой персональных данных, затрагивает такие конституционные права человека, как право на неприкосновенность частной жизни, право на тайну переписки и телефонных разговоров, поэтому необходимо рассмотреть вопрос о том, как законодательно закрепить необходимость таких организаций соответствовать повышенным требованиям. Разрешить данный вопрос может институт лицензирования, поскольку именно он способствует «укреплению гарантий государства по защите прав и законных интересов человека»[121 - Ласкина Н.В., Степаненко О.В. Комментарий к Федеральному закону от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» (СПС «Консультант-Плюс». 2015).].
Согласно действующему законодательству лица, получившие доступ к персональным данным, обязаны обеспечивать конфиденциальность этих данных (ст. 7 Закона о персональных данных). В свою очередь, деятельность по технической защите конфиденциальной информации подлежит лицензированию (ст. 17 ФЗ от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»).
Однако в силу упомянутой ст. 7 Закона о персональных данных федеральным законом могут быть предусмотрены случаи, когда к операторам не предъявляются требования обеспечения конфиденциальности полученных данных. Например, если информация получена из общедоступных источников (ст. 8 Закона о персональных данных) или информация необходима уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность (п. 1.1 ст. 64 ФЗ от 07.07.2003 № 126-ФЗ «О связи»). То есть если информационный брокер осуществляет сбор, хранение и обработку данных из публичных источников (как, например, брокер Intellius), у него нет обязанности обеспечивать конфиденциальность информации, а следовательно, и получать лицензию.
Тем не менее даже те информационные брокеры, которые обрабатывают общедоступную информацию, совершают такие манипуляции с персональными данными, которые затрагивают права человека (ст. 2 Закона о персональных данных), в связи с чем можно говорить о необходимости закрепления в законодательстве обязанности информационного брокера получать специальную лицензию, которая предписывала бы повышенные требования для рассматриваемого субъекта права. По аналогии с требованиями к лицам, осуществляющим выполнение работ или оказание услуг по защите информации от несанкционированного доступа, утечки по техническим каналам или иного воздействия на информацию[122 - Постановление Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» (вместе с «Положением о лицензировании деятельности по технической защите конфиденциальной информации»).], к повышенным требованиям для информационных брокеров может относиться наличие специального образования у субъекта или его работников, наличие сертифицированных автоматизированных систем для обработки информации, наличие на праве собственности или ином законном основании средств, обеспечивающих защищенность информации от несанкционированного доступа.
Поскольку осуществление предпринимательской деятельности без лицензии, если таковая предусмотрена законодательством, влечет риск наступления неблагоприятных последствий (ст. 14.1 КоАП; ст. 171 УК РФ), стимул информационного брокера соответствовать повышенным требованиям возрастет, вследствие чего вопрос о защищенности персональных данных граждан не будет стоять столь остро.
Среди возможных вариантов решения проблемы нарушений конституционных прав человека компаниями – информационными брокерами можно выделить создание саморегулируемых организаций информационных брокеров. Согласно и. 1 ст. 2 ФЗ от 01.12.2007 № 315-ФЗ «О саморегулируемых организациях» (далее – Закон о СРО) под саморегулированием понимается «самостоятельная и инициативная деятельность, которая осуществляется субъектами предпринимательской или профессиональной деятельности и содержанием которой являются разработка и установление стандартов и правил указанной деятельности, а также контроль за соблюдением требований указанных стандартов и правил».
В соответствии со ст. 4 Закона о СРО саморегулируемые организации разрабатывают стандарты и правила профессиональной деятельности, которым должны соответствовать все члены саморегулируемой организации. Как правило, такие стандарты и правила предъявляют более жесткие требования, нежели предусмотрены законодательством. Соответственно санкции за нарушение правил и стандартов также более строгие, чем санкции за нарушение норм законов[123 - Соколова О.С. Правовые основы саморегулирования // Юрист. 2008. № 4.].
В настоящий момент Закон о СРО допускает возможность закрепления иными федеральными законами случаев обязательного членства субъектов в СРО (и. 2 ст. 5), в связи с чем представляется возможным при принятии федерального закона, регулирующего деятельность информационных брокеров, предусмотреть обязательное членство компаний в СРО.
Поскольку рынок информационных брокеров остается неурегулированной на законодательном уровне отраслью даже в США (где было выявлено преобладающее количество компаний-брокеров), контроль над ними осуществляется на основе стандартов, разработанных самими информационными брокерами. Как отмечается в доктрине, к преимуществам саморегулирования относятся гибкость и независимость от времени: в отличие от стандартов и правил процесс принятия законодательных актов долгий, бюрократичный и зависит от лиц, не являющихся специалистами в сфере IT-технологий и в области персональных данных[124 - Cavoukian Л. Privacy as a Fundamental Human Rights vs. Economic Right: An Attempt at Conciliation, 1999.].
На первый взгляд обязательное членство в СРО по аналогии с оценочной деятельностью выглядит обоснованной мерой, способной защитить граждан от бесконтрольного вмешательства: исключение информационных брокеров из СРО за нарушение установленных правил наряду с запретом сотрудникам компаний заниматься видами деятельности, связанными с персональными данными, лишит работы и последующего трудоустройства многих людей. Потенциальная возможность наложения подобного рода мер будет стимулировать компании соблюдать законодательство и иные требования.
Вместе с тем сравнение деятельности информационных брокеров с другими видами деятельности, подконтрольными СРО, не совсем корректно, поскольку для данной индустрии характерна непрозрачность, которая выгодна абсолютно каждой компании – потенциальному члену СРО. Из этого следует в первую очередь необходимость увеличения прозрачности отрасли, например, путем размещения на централизованном веб-сайте информации о каждом информационном брокере, о путях получения и продажи информации.
Подводя итог анализа создания СРО в области деятельности информационных брокеров, необходимо отметить, что членство в саморегулируемой организации способно обеспечить эффективную регламентацию отношений, создать условия для более тесного взаимодействия между информационными брокерами, их клиентами и источниками получения информации, что благотворно скажется на рынке персональных данных в целом.
2.1.2. Правовая квалификация договора по предоставлению персональных данных
Деятельность информационного брокера состоит в первую очередь в приобретении и последующей перепродаже данных, поэтому далее в работе будут рассмотрены источники получения данных, а также проанализирована правовая природа договоров, на основе которых брокеры покупают и продают информацию.
Исследование федеральной торговой комиссии США показало, что девять из упомянутых выше брокеров получают информацию из следующих ресурсов:
Применение профайлинга в финансовой сфере также своей конечной целью нередко ставит борьбу с террористической деятельностью. В процессе выявления отмывания денег и финансового мошенничества используется автоматизированное наблюдение, которое помогает обнаружить подозрительные операции (например, совершение организациями необоснованно крупных сделок), сравнить полученные данные с данными о других организациях и сделать выводы о принадлежности лица к террористической организации.
В то же время финансовый сектор может почерпнуть немало положительного от автоматизированной обработки данных: повысить эффективность работы за счет сокращения времени на принятие решений (так, система может в считанные секунды проанализировать платежеспособность заемщика на основе ранее выданных кредитов и принять решение о выдаче займа и условиях такого займа). С помощью профайлинга финансовые организации могут предлагать оказание таких услуг, которые были бы интересны именно данному клиенту, основываясь на данных о его возрасте, поле, семейном статусе и финансовом положении.
Профайлинг используется и в сфере трудовой деятельности. Во-первых, HR-специалисты используют обработанные данные для оценки потенциальных возможностей сотрудников компании и для улучшения управления кадровыми ресурсами[98 - Воsco G. Cafiero, D'Angelo Е., Ferraris V., Suloyeva Y. The impact of profiling on fundamental rights. Working paper 3. P. 10.]. Но использование профайлинга в сфере управления кадрами нередко сопровождается слишком тщательным контролем электронной почты сотрудников и их действий в сети, что снова подвергает сомнению незыблемость фундаментальных прав человека.
Наибольшего успеха технологии профайлинга достигли в сфере коммерции, в частности в сфере использования контекстной рекламы. Такая реклама основана на анализе товаров, потребляемых покупателями. С помощью пройфайлинга продавцы могут предугадать, какие покупки будут совершены лицами, основывая свои предположения на конкретных товарах, уже просмотренных пользователем (например, кто-то может искать книгу или электронный гаджет в Google, а затем увидеть рекламу этого же товара или товара-комплемента на совершенно другом сайте) [99 - How To Block Targeted Ads From Following You Around // Business Insider (URL: http://www.businessinsider.com/how-to-keep-ad-companies-from-tracking-your-web-his-tory-2011-2 (дата обращения: 20.01.2017)).]. При этом различные лица, просматривающие одну и ту же веб-страницу, могут увидеть совершенно разную рекламу, основанную на их личных поисковых запросах в браузере[100 - Johnson J.P. Targeted advertising and advertising avoidance. Mimeo, Johnson Graduate School of Management, Cornell University. 2009 (URL: http://sites.northwestern.edu/csio/ files/2015/08/Johnson-2hvjmfr.pdf (дата обращения: 20.01.2017). P. 1.].
Многие магазины собирают информацию путем введения «программ лояльности». Сначала магазины получают личные данные покупателей для выдачи им пластиковой карты (дата и место рождения, пол, контактная информация), а затем с помощью таких карт собирают подробную информацию о покупке: место, время совершения сделки, конкретный приобретенный продукт[101 - Wakulowsky L. Managing the Privacy Side Effects of Rx (and other) Customer Loyalty Programs // Health Law Bulletin. P. 2.].
Несмотря на существующую угрозу безопасности персональных данных, преимущества использования профайлинга интернет-магазинами очевидны: организации оптимизируют производство и увеличивают прибыль. Потребители, в свою очередь, могут получать более подробную информацию о товарах и услугах, которые их интересовали, например, информацию о наиболее низких ценах.
Таким образом, проведенный анализ свидетельствует о том, что профайлинг имеет свои положительные и отрицательные стороны. Преимущества использования обработки данных в каждой сфере различаются и могут быть полезными как для оператора, так и для субъекта обработки данных. Однако при этом степень вмешательства в личную жизнь и степень контроля частной жизни отдельно взятого гражданина могут быть весьма высокими. Уже предпринимались попытки решить эту проблему законодательным образом: в частности, целью Закона о персональных данных является обеспечение таких конституционных прав граждан, как право на неприкосновенность частной жизни, на личную и семейную тайну при обработке информации (ст. 2).
В некоторых сферах можно столкнуться с дискриминацией некоторых групп людей на основе возраста, пола, состояния здоровья или места жительства, которая в конечном итоге может привести к отстранению их от каких-либо преимуществ. Указанные негативные аспекты невозможно устранить полностью, их можно только минимизировать путем законодательного ограничения использования тех или иных данных или установления ответственности операторов.
2. Информационный брокер как новый субъект правового регулирования
2.1. Гражданско-правовая характеристика отношений с участием информационного брокера
2.1.1. Правовой статус информационного брокера
Прежде чем приступить к анализу гражданско-правового статуса информационного брокера, необходимо рассмотреть понятие информационного брокера и смысл, который в него вкладывается.
В отечественной правовой литературе понятие информационный брокер отсутствует. Отдельные определения разработаны в зарубежной доктрине.
В частности, Федеральная Торговая Комиссия (ФТК) США определяет информационного брокера (data broker) как «компанию, которая собирает персональные данные потребителей и перепродает их или делится ими с другими компаниями»[102 - Federal Trade Commission. Data Brokers: A Call for Transparency and Accountability, May 2014 (URL: https://www.ftc.gov/system/files/documents/reports/data-brokers-call-trans-parency-accountability-report-federal-trade-commission-may-2014/140527databrokerreport. pdf (дата обращения: 14.02.2017)).]. Аналогичное определение было разработано Сенатом Соединенных Штатов[103 - United States Senate Committee Commerce, Science, and Transportation, Office of Oversight and Investigations, Majority Staff. A Review of the Data Broker Industry: Collection, Use, and Sale of Consumer Data for Marketing Purposes. December 18, 2013 (URL: http://educa-tionnewyork.com/files/rockefeller_ databroker.pdf (дата обращения: 14.02.2017)).], Счетной палатой США[104 - United States Government Accountability Office. Information Resellers: Consumer Privacy Framework Needs to Reflect Changes in Technology and the Marketplace, Report to the Chairman, Committee on Commerce, Science, and Transportation, US Senate, September 2013 (URL: http://www.gao.gov/assets/660/658151.pdf (дата обращения: 14.02.2017)).], а также Уполномоченным по вопросам частной жизни Канады[105 - Office of the Privacy Commissioner of Canada, Data Brokers: A Look at the Canadian and American Landscape, September 2014 (URL: https://www.priv.gc.ca/information/research-re-cherche/2014/db_201409_e.pdf (дата обращения: 14.02.2017)).].
Европейские авторы, описывая субъекта, который собирает и перепродает данные, используют другие термины, например, information reseller (лицо, занимающееся перепродажей информации), data vendors (поставщики данных), information brokers (информационный брокер), consumer data analytics (анализ данных потребителей), data warehousing (хранилище данных) и др.[106 - Rieke A., Yu H., Robinson D., von Hoboken J. Data broker in an open Society. London: Bloomberg. 2016. P. 4.] Дефиниции упомянутых терминов мало отличаются от тех, что были разработаны в США применительно к понятию информационного брокера.
Так, Европейский орган защиты данных определяет информационного брокера как организацию, которая «собирает персональные данные потребителей и продает эту информацию другим организациям»[107 - Datatilsynet. The Great Data Race: How commercial utilisation of personal data challenges privacy, November 2015 (URL: http://www.datatilsynet.no/Global/04_analyser_utred-ninger/2015/engelsk-kommersialisering- november-2015.pdf (дата обращения: 14.02.2017)).]. Организация экономического сотрудничества и развития в докладе, посвященном персональным данным, определяет информационного брокера как «фирму, которая собирает агрегированную информацию об индивидах, а затем перепродает для различных целей…»[108 - OECD, Exploring the Economics of Personal Data.URL: http://www.oecd-ilibrary.org/ science-and-technology/exploring-the-economics-of-personal-data_5k486qtxldmq-en (дата обращения: 14.02.2017).].
В декабре 2012 г. ФТК инициировала проект, целью которого являлось выявление характерных черт информационных брокеров. Для этого комиссия направила ордеры девяти наиболее крупным компаниям с запросом на получение информации об их деятельности, об источнике, из которого они получают информацию, а также об их клиентах, которым информация перепродается. Ниже приведена информация о деятельности наиболее известных компаний.
1.Acxiomпредоставляет данные потребителей и аналитические услуги для проведения маркетинговых кампаний и мероприятий по выявлению мошенничества. Их базы данных содержат информацию о 700 млн потребителей по всему миру[109 - Acxiom Corp., Annual Report, 2015 (URL: http://investors.acxiom.com/secfiling.cfm? filingid=733269-15-18&cik=733269#F10K_HTM_4 (дата обращения: 15.02.2017)).].
2. Corelogicпрежде всего предоставляет другим компаниям и правительству информацию о недвижимости, о потребителях и финансовую информацию. Также Corelogic оказывает аналитические услуги. База данных охватывает более 795 млн сделок с недвижимостью, более 93 млн заявок на ипотеку и иных данных о собственности граждан, в совокупности составляющих информацию о 99% жилой недвижимости США[110 - Corelogic, Annual Report 7 (2012) (URL:http://phx.corporate-ir.net/External.File?item= UGFyZW50SUQ9MTkwNDg0fENoaWxkSUQ9LTF8VHlwZT0z&t=l (дата обращения: 15.02.2017)).].
3.Oracleпредоставляет компаниям сведения практически о всех семьях США и располагает информацией о потребительских сделках более чем на 1 трлн долл.[111 - Oracle, Annual Report, 2015. URL: http://www.annualreports.com/HostedData/Annu-alReports/PDF/NASDAQ_ORCL_2015.pdf (дата обращения: 15.02.2017)).] В сентябре 2012 г. Facebook объявил о сотрудничестве с Datalogix (которая впоследствии была приобретена компанией Oracle), чтобы определить, как часто пользователи Facebook совершают покупки в офлайн-магазинах после просмотра контекстной рекламы в социальной сети[112 - Facebook partnership with Datalogix helps measure offline impact of online ads // Ad-week (URL: http://www.adweek.com/digital/facebook-partnership-with-datalogix-helps-mea-sure-offiine-impact-of-online-ads/ (дата обращения: 15.02.2017)).].
4. еBureauпредоставляет прогностические оценки и аналитические услуги для маркетологов, финансовых компаний, интернет-магазинов и других компаний. В первую очередь еВигеаи предлагает продукты, которые оценивают платежеспособность потребителей или вероятность заключения мошеннических сделок. еВигеаи располагает миллиардами записей с информацией о потребителях, при этом более 3 млрд новых записей добавляются каждый месяц
.
5.IDAnalyticsпредоставляет аналитические услуги, предназначенные главным образом для идентификации личности потребителей, а также для выявления мошеннических сделок. База данных этого информационного брокера включает в себя сотни миллиардов агрегированных данных и охватывает около 1,4 млрд потребительских сделок[113 - eBureau About us // eBureau (URL: http://www.ebureau.com/about (дата обращения: 15.02.2017)).]
.
6. Inteliusпредоставляет компаниям и потребителям услуги по проверке информации, а также данные из публичных источников. Базы данных этого брокера содержат более 20 млрд записей[115 - Intelius Facts // Intelius (URL: http://corp.intelius.com/intelius-facts (дата обращения: 15.02.2017)).].
7. PeekYouзапатентовала технологию, которая анализирует контент более 60 социальных сетей, новостных ресурсов и блог-платформ, чтобы обеспечивать клиентов подробными профайлами потребителей[116 - About Us // PeekYou (URL: http://www.peekyou.com/about/ (дата обращения: 15.02.2017)).].
8.Rapleaf (до поглощения брокером Tower Data)являлся агрегатором данных и располагал информацией, которая позволяла связать один из более 80% адресов электронной почты граждан США с конкретным потребителем. Rapleaf дополнял списки адресов электронной почты данными о возрасте, поле, семейном положении и 30 других положений, которые позволяли бы идентифицировать потребителя[117 - Email Intelligence Pricing // TowerData (URL: http://www.towerdata.com/email-intel-ligence/pricing (дата обращения: 15.02.2017)).].
9. RecordedFutureсобирает данные о потребителях и компаниях в сети и использует эту информацию в целях прогнозирования будущего поведения субъектов. По состоянию на май 2014 г. брокер имел доступ к информации, собранной из более чем 502 591 различных открытых интернет-сайтов[118 - Recorded Future // SCmagazine (URL: https://www.scmagazine.com/recorded-future/ article/629728 (дата обращения: 15.02.2017)).].
Согласно российском законодательству организации, преследующие извлечение прибыли в качестве основной цели своей деятельности, являются коммерческими организациями (п. 1 ст. 50 ГК РФ). Поскольку деятельность вышеуказанных компаний направлена в первую очередь на извлечение прибыли[119 - Senator John D. Rockefeller IV, «What Information Do Data Brokers Have on Consumers, and How Do They Use It?» December 18, 2013 (URL: https://www.commerce.senate, gov/public/index.cfm/ hearings?Id=a5c3a62c-68a6-4735-9dl8-916bdbbadfDl&Statement_ id=A47C081A-D653-4272-8D12- D6EDC1E04DC6).], они являются коммерческими организациями. Как коммерческая организация, занимающаяся видом деятельности, не запрещенной законом (и. 1 ст. 49 ГК РФ), информационные брокеры наделены общей правоспособностью, которая возникает с момента их регистрации в качестве юридического лица, т.е. с момента внесения записи в ЕГРЮЛ[120 - Белов В.Л. Что изменилось в Гражданском кодексе?: практ. пособие. М.: Юрайт, 2014. С. 51.].
Физические лица также могут заниматься обработкой данных (и. 2 и 3 ст. 3 Закона о персональных данных) с последующим извлечением прибыли, т.е. они также могут являться информационными брокерами, действуя в качестве индивидуального предпринимателя с момента внесения записи в ЕГРИП (ст. 23 ГК РФ).
Поскольку деятельность информационных брокеров не урегулирована специальными правовыми нормами, к вопросам их прав и обязанностей, гарантий деятельности, а также ответственности за нарушение обязательств будут применяться общие положения о коммерческих организациях.
Заслуживает внимания деятельность некоммерческих организаций, связанная с обработкой данных. Они могут осуществлять предпринимательскую деятельность и получать доход в случае, если такая деятельность служит достижению целей организаций и указана в учредительных документах (и. 2 ст. 24 ФЗ от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»).
На практике такая деятельность может быть связана с политическим профайлингом: списки избирателей формируются избирательными комиссиями на основе персональных данных избирателей (ст. 16—17 ФЗ от 12.06.2002 № 67-ФЗ «Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации» и ст. 26 ФЗ от 10.01.2003 № 19-ФЗ «О выборах Президента Российской Федерации»). Политические организации, зарегистрированные в качестве НКО, могут получить списки избирателей, содержащие персональные данные граждан Российской Федерации, для проведения предвыборной агитации с учетом ограничений, установленных ст. 15 Закона о персональных данных. Став обладателями информации, политические партии могут использовать технологии профайлинга в целях разделения людей на группы в зависимости от их политических взглядов, а затем продавать полученные списки, выступая информационными брокерами в гражданском обороте.
Таким образом, организация, зарегистрированная в качестве НКО, может являться информационным брокером, но, скорее всего, столкнется с определенными законодательными ограничениями, главным из которых является необходимость соответствия деятельности целям организации.
Деятельность информационного брокера, будучи связанной с обработкой персональных данных, затрагивает такие конституционные права человека, как право на неприкосновенность частной жизни, право на тайну переписки и телефонных разговоров, поэтому необходимо рассмотреть вопрос о том, как законодательно закрепить необходимость таких организаций соответствовать повышенным требованиям. Разрешить данный вопрос может институт лицензирования, поскольку именно он способствует «укреплению гарантий государства по защите прав и законных интересов человека»[121 - Ласкина Н.В., Степаненко О.В. Комментарий к Федеральному закону от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» (СПС «Консультант-Плюс». 2015).].
Согласно действующему законодательству лица, получившие доступ к персональным данным, обязаны обеспечивать конфиденциальность этих данных (ст. 7 Закона о персональных данных). В свою очередь, деятельность по технической защите конфиденциальной информации подлежит лицензированию (ст. 17 ФЗ от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»).
Однако в силу упомянутой ст. 7 Закона о персональных данных федеральным законом могут быть предусмотрены случаи, когда к операторам не предъявляются требования обеспечения конфиденциальности полученных данных. Например, если информация получена из общедоступных источников (ст. 8 Закона о персональных данных) или информация необходима уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность (п. 1.1 ст. 64 ФЗ от 07.07.2003 № 126-ФЗ «О связи»). То есть если информационный брокер осуществляет сбор, хранение и обработку данных из публичных источников (как, например, брокер Intellius), у него нет обязанности обеспечивать конфиденциальность информации, а следовательно, и получать лицензию.
Тем не менее даже те информационные брокеры, которые обрабатывают общедоступную информацию, совершают такие манипуляции с персональными данными, которые затрагивают права человека (ст. 2 Закона о персональных данных), в связи с чем можно говорить о необходимости закрепления в законодательстве обязанности информационного брокера получать специальную лицензию, которая предписывала бы повышенные требования для рассматриваемого субъекта права. По аналогии с требованиями к лицам, осуществляющим выполнение работ или оказание услуг по защите информации от несанкционированного доступа, утечки по техническим каналам или иного воздействия на информацию[122 - Постановление Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» (вместе с «Положением о лицензировании деятельности по технической защите конфиденциальной информации»).], к повышенным требованиям для информационных брокеров может относиться наличие специального образования у субъекта или его работников, наличие сертифицированных автоматизированных систем для обработки информации, наличие на праве собственности или ином законном основании средств, обеспечивающих защищенность информации от несанкционированного доступа.
Поскольку осуществление предпринимательской деятельности без лицензии, если таковая предусмотрена законодательством, влечет риск наступления неблагоприятных последствий (ст. 14.1 КоАП; ст. 171 УК РФ), стимул информационного брокера соответствовать повышенным требованиям возрастет, вследствие чего вопрос о защищенности персональных данных граждан не будет стоять столь остро.
Среди возможных вариантов решения проблемы нарушений конституционных прав человека компаниями – информационными брокерами можно выделить создание саморегулируемых организаций информационных брокеров. Согласно и. 1 ст. 2 ФЗ от 01.12.2007 № 315-ФЗ «О саморегулируемых организациях» (далее – Закон о СРО) под саморегулированием понимается «самостоятельная и инициативная деятельность, которая осуществляется субъектами предпринимательской или профессиональной деятельности и содержанием которой являются разработка и установление стандартов и правил указанной деятельности, а также контроль за соблюдением требований указанных стандартов и правил».
В соответствии со ст. 4 Закона о СРО саморегулируемые организации разрабатывают стандарты и правила профессиональной деятельности, которым должны соответствовать все члены саморегулируемой организации. Как правило, такие стандарты и правила предъявляют более жесткие требования, нежели предусмотрены законодательством. Соответственно санкции за нарушение правил и стандартов также более строгие, чем санкции за нарушение норм законов[123 - Соколова О.С. Правовые основы саморегулирования // Юрист. 2008. № 4.].
В настоящий момент Закон о СРО допускает возможность закрепления иными федеральными законами случаев обязательного членства субъектов в СРО (и. 2 ст. 5), в связи с чем представляется возможным при принятии федерального закона, регулирующего деятельность информационных брокеров, предусмотреть обязательное членство компаний в СРО.
Поскольку рынок информационных брокеров остается неурегулированной на законодательном уровне отраслью даже в США (где было выявлено преобладающее количество компаний-брокеров), контроль над ними осуществляется на основе стандартов, разработанных самими информационными брокерами. Как отмечается в доктрине, к преимуществам саморегулирования относятся гибкость и независимость от времени: в отличие от стандартов и правил процесс принятия законодательных актов долгий, бюрократичный и зависит от лиц, не являющихся специалистами в сфере IT-технологий и в области персональных данных[124 - Cavoukian Л. Privacy as a Fundamental Human Rights vs. Economic Right: An Attempt at Conciliation, 1999.].
На первый взгляд обязательное членство в СРО по аналогии с оценочной деятельностью выглядит обоснованной мерой, способной защитить граждан от бесконтрольного вмешательства: исключение информационных брокеров из СРО за нарушение установленных правил наряду с запретом сотрудникам компаний заниматься видами деятельности, связанными с персональными данными, лишит работы и последующего трудоустройства многих людей. Потенциальная возможность наложения подобного рода мер будет стимулировать компании соблюдать законодательство и иные требования.
Вместе с тем сравнение деятельности информационных брокеров с другими видами деятельности, подконтрольными СРО, не совсем корректно, поскольку для данной индустрии характерна непрозрачность, которая выгодна абсолютно каждой компании – потенциальному члену СРО. Из этого следует в первую очередь необходимость увеличения прозрачности отрасли, например, путем размещения на централизованном веб-сайте информации о каждом информационном брокере, о путях получения и продажи информации.
Подводя итог анализа создания СРО в области деятельности информационных брокеров, необходимо отметить, что членство в саморегулируемой организации способно обеспечить эффективную регламентацию отношений, создать условия для более тесного взаимодействия между информационными брокерами, их клиентами и источниками получения информации, что благотворно скажется на рынке персональных данных в целом.
2.1.2. Правовая квалификация договора по предоставлению персональных данных
Деятельность информационного брокера состоит в первую очередь в приобретении и последующей перепродаже данных, поэтому далее в работе будут рассмотрены источники получения данных, а также проанализирована правовая природа договоров, на основе которых брокеры покупают и продают информацию.
Исследование федеральной торговой комиссии США показало, что девять из упомянутых выше брокеров получают информацию из следующих ресурсов:
Другие электронные книги автора Сборник статей
Другие аудиокниги автора Сборник статей
Последний отзыв
Книга дельная. Без воды, приводятся реальные кейсы и способы их разрешения. Много практичных полезных советов и методик. Кое-что уже испробовала в дел...
Далее