European approach to the delimitation of non-personal data for the purposes of civil circulation
- Authors: Sterligova A.V.1
-
Affiliations:
- HSE University
- Issue: Vol 7, No 3 (2021)
- Pages: 126-131
- Section: Tribune of young scientist
- URL: https://journals.ssau.ru/jjsu/article/view/10047
- DOI: https://doi.org/10.18287/2542-047X-2021-7-3-126-131
- ID: 10047
Cite item
Full Text
Abstract
The purpose of the article is to comprehensively investigate the need to differentiate the division of data into personal and non-personal. The article uses the methods necessary to analyze the application of a unified approach in understanding the use of data in civil circulation, namely: formal legal, comparative legal, formal logical, systemic and functional. The theoretical significance of the study lies in the development of a unified concept for understanding data in civil circulation. After analyzing foreign and national doctrine and legislation, the author comes to the conclusion that in practice in civil circulation there is value for using a unified understanding of data without highlighting both personal and non-personal data in their composition. The author considered «non-personal data» in the context of the European approach to dividing data into personal and non-personal. The author analyzed the applicability of the European approach to Russian realities, as well as the main problems that arise in practice in connection with the use of non-personal data.
Keywords
Full Text
В мире идет массовое строительство экономики данных. Страны по всему земному шару стремятся получить как можно больше выгод от новых технологий, основанных на данных. Однако построение цифровой экономики подрывается рядом препятствий: правовой неопределенностью данных, консервативностью правовых систем и иными факторами, влияющими на мобильность данных. Российская Федерация в этом не исключение. В нашей стране не уделено должного внимания информации в принципе. Несмотря на тот факт, что информация не является объектом гражданского права, она является полноправным объектом гражданского правоотношения. Поэтому сейчас остро назревают следующие вопросы: природа отношений по обладанию данными, место данных в системе объектов гражданских прав, соотношение категорий «информация», «данные», «неличные данные» и «персональные данные». Целью разрешения этих вопросов является создание более конкурентного и интегрированного рынка для услуг и операций по распоряжению и использованию данных. В частности, это означает уменьшение количества и диапазона ограничений локализации данных, повышение правовой определенности; улучшение условий, при которых участники гражданского оборота уверенно будут реализовывать свое право на распоряжение и использование данных в коммерческом обороте. Тем более что в международной практике довольно часто поднимаются вопросы «собственности» на данные в гражданско-правовом ключе. Американские ученые Джеффри Риттер и Анна Майер полагают, что современная цифровая торговля передачей, лицензированием и продажей персональных данных еще больше укрепила мнение о том, что персональные данные следует характеризовать как собственность [1, с. 220–221]. Британские ученые утверждают, что «право собственности на информацию сосредоточено на определении права компании или отдельного лица контролировать раскрытие, использование, изменение и копирование указанной информации» [2]. Также среди этих ученых есть мнение, что физические лица должны иметь «законное право собственности» на свою личную информацию [2]. В ноябре 2019 года китайская газета People's Court Daily сообщила о решении, вынесенном судом Ханчжоу по вопросам Интернета, в котором рассматривался вопрос собственности и права использования идентификаторов и паролей дилеров-пользователей ресурса истца [4]. В этом деле истцы использовали онлайн-базу данных под названием Lvzhuang Wang, или «Сеть женской одежды». Ответчик управлял конкурирующей онлайн-базой данных под названием Zhongfu Wang, или «Китайская сеть одежды». Многие пользователи, зарегистрировавшиеся у истцов, также зарегистрировались у ответчика. Двадцать четыре пользователя базы данных ответчика разрешили персоналу ответчика использовать их идентификаторы и пароли для доступа к своим счетам на веб-сайте ответчика. Поскольку многие пользователи могут использовать одни и те же идентификаторы и пароли на разных веб-сайтах, сотрудники ответчика использовали технологию «Сбой библиотеки» для входа в учетные записи двадцати четырех пользователей на веб-сайте истца. Суд установил, что ответчик загрузил информацию, используя пароли пользователей-дилеров с сайта истцов. Ответчик утверждал, что в пользовательском соглашении истцов не указано, кто является владельцем идентификаторов и паролей пользователей; даже если ответчик неправомерно использовал идентификаторы и пароли пользователей, именно пользователи, а не истцы должны требовать права на идентификаторы и пароли пользователей. Суд отклонил этот аргумент, постановив, что идентификаторы и пароли пользователей являются собственностью и должны быть защищены. Кроме того, суд постановил, что идентификаторы и пароли сильно коррелировали с аутентификацией личности пользователей и право собственности, генерируемое этой информацией, было похоже на право собственности данных компьютерной информационной системы, поэтому права на идентификаторы и пароли пользователей должны в данном случае принадлежать веб-сайтам истцов [4]. Однако аргумент о праве собственности на данные весьма проблематичен. В описанном выше случае говорить о праве собственности китайской компании на идентификаторы и пароли пользователей ее веб-ресурса сомнительно. Так как компания из Китая как лицо, собирающее и хранящее эти данные, может получить абсолютные права собственности на данные, собранные от субъектов данных. Это связано с тем, что лицо, осуществляющее сбор данных, должно использовать персональные данные строго в соответствии с соглашениями с субъектами данных. Более того, лицо, осуществляющее сбор данных, не обладает исключительно личными данными, но и наборами неперсональных, а также смешанных данных. Субъекты данных могут предоставлять такие же данные другим лицам, осуществляющим сбор данных. Тем не менее лица, осуществляющие сбор данных, вкладывают время, деньги и энергию в сбор, организацию или обработку этих данных. Следовательно, у лиц, осуществляющих сбор данных, есть законные интересы в собираемых ими данных. Предполагается, что такой интерес является имущественным интересом лиц, осуществляющих сбор данных, которые инвестируют в процесс сбора данных под предлогом того, что они не будут использованы другими конкурирующими лицами, осуществляющими сбор данных. Кроме того, в американском контексте теория права собственности на данные подвергается критике, поскольку существуют веские политические причины, такие как гражданская свобода первой поправки к Конституции Соединенных Штатов Америки, против обозначения всей личной информации как собственности. [5, с. 365–366]. Аргументы о праве собственности могут усилить право каждого субъекта данных на самоопределение и контроль над своими данными. Однако в противовес сказанному в Китае, например, такое самоопределение и контроль несовместимы с мерами цифрового наблюдения китайского правительства, которые основываются на сборе огромного количества данных [6]. Эти данные собираются в рамках чрезмерно всеобъемлющей концепции национальной безопасности без надлежащего судебного надзора и общественного надзора за прозрачностью. Хотя Гражданский кодекс Китая предусматривает, что сбор и обработка личной информации регулируются принципами законности, пропорциональности и необходимости [7], у китайских потребителей не так много реальных возможностей сказать «нет» и найти удобные альтернативы для многих основных услуг в Китае. Однако вернемся к российским реалиям. В российской практике данным, а тем более данным, не являющимся персональными, не уделено должное внимание. Отметим, что особое внимание вопросу данных уделяется узким кругом ученых-юристов, среди которых М. А. Рожкова [8; 9], А. И. Савельев [10] и В. О. Калятин [11]. Несмотря на отсутствие в российском правовом поле дефиниции неперсональных данных, предполагается, что к «неперсональным данным» относятся все данные, не являющиеся персональными по смыслу Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» [12]. С учетом этого в понимании гражданского права к неперсональным данным можно причислять не только все данные, поступающие из технических источников и имеющие коммерческую ценность. Такой вывод исходит из европейской практики разделения персональных и неперсональных данных. А именно: понятие персональных данных определено в пункте 1 статьи 4 Постановления (ЕС) 2016/679 Европейского парламента и Совета Европейского союза от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о бесплатном перемещение таких данных (сокращенно, Общие правила защиты данных, далее – GDPR) [13]. Понятие неличных данных установлено в пункте 1 статьи 3 Регламента (ЕС) 2018/1807 Европейского парламента и Совета Европейского союза от 14 ноября 2018 года о структуре свободного потока неличных данных в ЕС (Регламент о свободном потоке неличных данных, далее – Регламент). В Регламенте как раз поясняется, что неличные данные – это «данные, отличные от персональных данных, как это определено в пункте 1 статьи 4 GDPR» [14]. М. А. Рожкова отмечает, что «неперсональные данные могут создаваться в рамках ‘‘интернета вещей’’, включающего в свой состав Интернет, который «поставляет» информацию со всевозможных датчиков, котроллеров, приборов учета потребления, устройств аудио- и видеорегистрации, измерительных комплексов и проч. Сюда же будут включены данные из таких источников, как искусственный интеллект (англ. artificial intelligence) и машинное обучение (англ. machine learning). К неперсональным данным относят и такие востребованные практикой категории данных, как метеорологические, экологические и географические сведения, данные финансовых и страховых рынков, государственная статистика и информация из государственных реестров (не касающаяся субъектов персональных данных), экономические показатели, результаты аналитических и научных исследований» [8, c. 23]. Примером сбора таких (неперсональных) данных также могут послужить сведения из «Портала открытых данных» Правительства Москвы, расположенном по адресу: https://data.mos.ru (далее – Портал). Из анализа информации, размещенной на Портале, можно сделать вывод, что на Портале собираются и хранятся данные по основным сферам жизнедеятельности города (безопасность, государственные услуги, дороги и транспорт, досуг и отдых, здравоохранение, культура и образование и иные сферы). Некоторые из наборов данных содержат только техническую информацию, которую можно отнести к неперсональным данным. В европейском законодательстве вопросу разделения данных на персональные и неперсональные уделено более пристальное внимание. Так, как упоминалось выше, в Европейском союзе существует отдельный Регламент, регулирующий свободное обращение неличных данных. В этом Регламенте освещены вопросы перемещения данных, не являющихся персональными, через границу, а также вопросы обеспечения свободы в предоставлении услуг по обработке данных в пределах Европейского союза [8, c. 294]. Также документ содержит классификацию таких данных неличного характера (данных, не являющихся персональными) по происхождению, как: данные, которые изначально не относились к идентифицированному или идентифицируемому физическому лицу, или данные, которые изначально были личными данными, но позже стали анонимны. В случае смешанного набора данных Регламент устанавливает следующий подход: сам документ применяется к части набора неличных данных, а GDPR применяется к части набора персональных данных, также утверждается, что, если личные и неличные данные в наборе данных неразрывно связаны, этот Регламент «не наносит ущерба применению» GDPR. Если неличные данные и персональные данные «неразрывно связаны», права и обязанности по защите данных, вытекающие из GDPR, будут полностью применяться ко всему смешанному набору данных, даже если персональные данные представляют собой небольшую часть набора. Представляется, что такой подход неадекватен современным реалиям, поскольку GDPR накладывает довольно строгие рамки на хранение и обработку данных, что может привести к блокированию и замедлению применения смешанных наборов данных. А смешанные данные наборы данных встречаются чаще, нежели чем «чистые» наборы данных: исключительно наборы персональных данных или исключительно наборы неперсональных данных. Регламент также гласит, что нет требований к локализации данных, а требования к локализации данных больше не применяются, размещение неличных данных для хранения или обработки в пределах ЕС не должно ограничиваться территорией государства-члена. Свободный поток неличных данных означает неограниченное перемещение данных через границы и ИТ-системы. Таким образом, должно быть установлено свободное перемещение данных. На практике это означает, что оператор данных в ЕС может сам решать, где хранить неличные данные. По мнению Европейской комиссии, свободный поток неличных данных – это ключевой строительный блок единого цифрового рынка и считается наиболее важным фактором для того, чтобы экономика данных полностью раскрыла свой потенциал и удвоила свою стоимость ВВП. Новые меры соответствуют уже существующим правилам свободного перемещения и переносимости персональных данных в ЕС. Что касается переносимости данных, Европейская комиссия будет поощрять и способствовать разработке кодексов саморегулирования на уровне ЕС с целью построения более конкурентоспособной экономики данных [15]. В Российской Федерации пока не идет речь о свободном потоке данных в принципе, поскольку Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не содержит специальных положений, регулирующих территориальный охват. В целом действие российского законодательства, в том числе Закона о персональных данных, ограничено территорией Российской Федерации. Что касается применимости российского законодательства к веб-присутствию, осуществление деятельности в Интернете не позволяет четко определить географические границы такой деятельности. В связи с этим существует так называемый «целевой тест», направленный на выявление факта нацеливания на граждан России, что приводит к применимости российского законодательства. Например, веб-присутствие (допустим, веб-сайт или приложение) может рассматриваться как нацеленное на граждан России, если оно зарегистрировано в российском домене (например, .ru, .moscow, .su, .рф и так далее). Или если оно предусматривает доставку товаров и услуг по России. Использование русского языка также может быть критерием. Однако проверка таргетинга не является формалистической, и другие обстоятельства, демонстрирующие, что владелец веб-сайта или приложения рассматривает российский рынок в рамках своей бизнес-стратегии, будут изучены регулирующим органом / судами (в случае проверки, спора и так далее) [16]. Однако на уровне Европейского союза в свете свободного (межграничного) потока данных поднимаются следующие вопросы, в частности: роль личных, неличных данных и регламента Европейского союза о защите персональных данных № 2016/679 ЕС (далее – GDPR); вопросы использования допустимой терминологии (например, доступ к данным или доступность данных для нормативных целей). Рассматриваются такие задачи, при которых поставщики облачных услуг, специализирующиеся на управлении процессами приложений, накапливают как личные, так и неличные данные, используя свои сервисы и храня данные у крупных поставщиков облачных услуг. В какой-то момент может возникнуть ситуация для переноса этих данных от одного поставщика данных на другого поставщика, что вызовет правовые вопросы, так как данный сценарий не подпадает под действие статьи 20 GDPR, следовательно, этому вопросу нужно конкретное разрешение [17, c. 8]. На сегодняшний день отдельные европейские юристы более подробно исследуют вопросы разграничения персональных данных и неперсональных [18, c. 1–17]. В работах российских исследователей поддерживается деление данных на персональные и неперсональные, а также допустимость признавать имущественные права на собранные неперсональные данные за лицом, осуществляющим первоначальный сбор и накопление таких данных [10, c. 20]. Изложенное иллюстрирует, что роль неперсональных данных возрастает и имеет не только значение на территории Европейского союза, но и в других странах. Игнорирование этого вопроса приводит только к стагнации развития информационных технологий и иных технологий, основанных на данных. Однако далее хотелось бы обратить внимание на тезис о контрпродуктивности деления данных на персональные и неперсональные, изложенный в работе европейских юристов [18, c. 14]. Ученые Инге Граеф, Мартин Хусовек, Рафаэль Гелерт пришли к мысли, что разделение на личные и неличные данные сомнительно, поскольку наборы данных могут быть смешанными. А в некоторых случаях отделение персональных от неперсональных в соответствии с правилами защиты данных GDPR трудно провести. Кроме того, на практике компании могут организовывать свои данные за пределами подобного деления (личные или неличные данные). Авторы статьи полагают, что возможны существенные трудности с поддержанием двух отдельных правовых рамок, одна из которых регулирует личные данные, а другая – неперсональные данные, когда как личные данные нельзя четко отделить от неличных данных. Иллюзорное представление о неперсональных данных в качестве отправной точки для нового регулирования может создать серьезную правовую неопределенность и подрывать эффективность целей, которые преследуются. Поэтому, чтобы участники рынка сами не решали эту проблему на практике, должен быть применен целостный подход к регулированию данных. Данный подход является очень интересным и неординарным, поскольку в принципе понятие данных слишком динамично, изменчиво и неограниченно, чтобы обеспечить основу для нового режима. И отсутствие деления на персональные и неперсональные данные, возможно, более советует реалиям информационного обмена в гражданском обороте, нежели чем предложенное большинством соответствующее деление на персональные и неперсональные данные. Учитывая подобный взгляд на проблему, предполагается что деление на персональные и неперсональные, данные является исключительно искусственным делением, возможно, не применимым к реалиям сегодняшнего дня, притом что российские реалии в этом случае не исключение, потому что данные не могут носить исключительную принадлежность к территории одного государства, особенно во время роста цифровой экономики и глобализации. Цель правового закрепления данных должна имеет глобальный характер и целостный подход к регулированию. Тем более в период, когда в действующем российском гражданском законодательстве информация не закреплена как объект гражданского права, должны вырабатываться подходы к закреплению данных, в том числе к их классификации скорее в теоретическом ключе, нежели чем формально закрепленном. Таким образом, представляется неактуальным предложение российских юристов о введении деления на персональные и неперсональные данные для целей гражданского оборота и иных форм обмена и хранения данных.
About the authors
A. V. Sterligova
HSE University
Author for correspondence.
Email: sterligova.a.v34@gmail.com
Russian Federation
References
- Jeffrey Ritter, Anna Mayer. Regulating Data as Property: A New Construct for Moving Forward. Duke Law and Technology Review, 2017, Vol. 16, No. 1, pp. 220–277. Available at: https://scholarship.law.duke.edu/dltr/vol16/iss1/7.
- Raymond T. Nimmer, Patricia A. Krauthaus. Information as Property Databases and Commercial Property. International Journal of Law and Information Technology, 1993, Vol. 1, Issue 1, pp. 3–34. DOI: http://doi.org/10.1093/ijlit/1.1.3.
- Jamie Lund. Property Rights to Information. Northwestern Journal of Technology and Intellectual Property, 2011, Vol. 10, Issue 1. Available at: https://scholarlycommons.law.northwestern.edu/cgi/viewcontent.cgi?article=1155&context=njtip.
- One Company in Zhejiang Is Ordered to Pay 350,000 RMB in a Judgment. People’s Court News, November, 2019. Available at: http://rmfyb.chinacourt.org/paper/html/2019-11/05/content_161872.htm?div=-1 (accessed 24.05.2021) [in Chinese].
- Pamela Samuelson. Information as Property: Do Ruckelshaus and Carpenter Signal a Changing Direction in Intellectual Property Law?. Catholic University Law Review, 1989, Vol. 38, No. 2. Available at: https://scholarship.law.edu/cgi/viewcontent.cgi?article=1867&context=lawreview (accessed 24.05.2021).
- China Due to Introduce Face Scans for Mobile Users. BBC, December 2019. Available at: https://www.bbc.com/news/world-asia-china-50587098 (accessed 24.05.2021).
- Civil Code of the People’s Republic of China. Article 1035. Available at: http://www.npc.gov.cn/englishnpc/c23934/202012/f627aa3a4651475db936899d69419d1e/files/47c16489e186437eab3244495cb47d66.pdf (accessed 24.07.2021).
- Rozhkova M. A., Glonina V. N. Personal'nye i nepersonal'nye dannye v sostave bol'shikh dannykh [Personal and non-personal data in big data]. In: Pravo tsifrovoi ekonomiki – 2020. Ezhegodnik-antologiya. Ruk. i nauch. red. M. A. Rozhkova [Digital Economy Law –2020. Yearbook-Anthology. Leader and scientific editor Rozhkova M. A.]. Moscow: Statut, 2020, pp. 271–296. Available at: https://elibrary.ru/item.asp?id=46110150; https://rozhkova.com/pdf/2020-16-pce-we.pdf [in Russian].
- Rozhkova M. A. Personal'nye i nepersonal'nye dannye kak ob"ekty grazhdanskikh prav [Personal and non-personal data as objects of civil rights]. Khozyaistvo i pravo [Business and Law], 2019, no. 5 (508), pp. 15–21. Available at: https://elibrary.ru/item.asp?id=37422239; https://rozhkova.com/pdf/2019-05.pdf [in Russian].
- Savelyev A. I. Grazhdansko-pravovye aspekty regulirovaniya oborota dannykh v usloviyakh popytok formirovaniya tsifrovoi ekonomiki [Data commercialization regulation in the era of shaping digital economy (civil law aspects)]. Vestnik grazhdanskogo prava [Civil Law Review], 2020, vol. 20, no. 1, pp. 60–92. DOI: http://doi.org/10.24031/1992-2043-2020-20-1-60-92 [in Russian].
- Kaliatin V. O. Problema okhrany «syrykh» dannykh [The problem of protecting «raw» data]. Patenty i litsenzii. Intellektual'nye prava [Patents & Licenses. Intellectual Rights], 2020, no. 2, pp. 18–29. Available at: https://elibrary.ru/item.asp?id=42422803; http://www.patentinfo.ru/issue/2_20.html [in Russian].
- Federal'nyi zakon ot 27.07.2006 № 152-FZ «O personal'nykh dannykh» [Federal Law as of 27.07.2006 № 152-FZ «On Personal Data»]. Retrieved from legal reference system «Consultan.Plus». Available at: http://www.consultant.ru/document/cons_doc_LAW_61801 [in Russian].
- Regulation (EU) 2016/679 of the European parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, General Data Protection Regulation. Available at: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679 (accessed 24.05.2021).
- Regulation (EU) 2018/1807 of the European Parliament and of the Council of 14 November 2018 on a framework for the free flow of non-personal data in the European Union. Available at: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018R1807 (accessed 24.05.2021).
- Ofitsial'nyi sait Evropeiskogo soyuza [Official website of the European Union]. Available at: https://digital-strategy.ec.europa.eu/en/node/3803/printable/pdf (accessed 24.05.2021).
- Russia - Data Protection Overview. Available at: https://www.dataguidance.com/notes/russia-data-protection-overview (accessed 24.05.2021).
- Commission Staff Working Document Impact Assessment accompanying the document Proposal for a Regulation of the European Parliament and of the Council on a framework for the free flow of non-personal data in the European Union. Brussels, 13.09.2017.
- Graef I., Husovec M., Gellert R. Towards a Holistic Regulatory Approach for the European Data Economy: Why the Illusive Notion of Non-Personal Data is Counterproductive to Data Innovation. SSRN Electronic Journal, September 2018. DOI: http://dx.doi.org/10.2139/ssrn.3256189.