Таким образом, форма взаимодействия информационных брокеров с «поставщиками данных» и с клиентами напрямую зависит от того, как законодатель квалифицирует информацию, в частности персональные данные: это может быть лицензионный договор, договор оказания услуг или непоименованный договор. Каждая из таких конструкций имеет свои достоинства и недостатки.
Сказанное позволяет настаивать на внесении изменений в законодательство в части определения правовой природы информации, что даст возможность определить вид договоров, на основании которых такая информация будет передана.
Кроме того, нельзя не заметить, что отсутствие регулирования деятельности информационного брокера как нового субъекта права не означает отсутствия необходимости такой регламентации. В настоящий момент правовой статус рассматриваемого субъекта может быть определен путем сопоставления ряда признаков, присущих компаниям – информационным брокерам, и тех конструкций, которые уже существуют в законодательстве. Однако такой подход представляется не слишком удачным в связи с тем, что существующие правовые нормы созданы для урегулирования деятельности других субъектов права, обладающих соответствующей спецификой. Таким образом, необходима разработка норм, определяющих деятельность информационных брокеров.
2.2. Правовой статус информационного брокера в контексте информационного права
Итак, предметом деятельности информационного брокера является информация (в частности, персональные данные), что обусловливает необходимость регулирования данного субъекта соответствующими нормами права. В настоящий момент российское законодательство об информации не содержит положений, которые в полной мере регулировали бы деятельность информационного брокера, однако анализ деятельности уже существующих брокеров показывает, что им присущи черты сразу нескольких субъектов права, которые упомянуты в Законе об информации.
В соответствии с действующим законодательством информационного брокера можно квалифицировать в качестве:
– во-первых, обладателя информации (ст. 6 Закона об информации).
Согласно п. 5 ст. 2 Закона об информации обладатель информации – это «лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам». Законом не ограничен перечень лиц, которые могут выступать в качестве обладателя информации: таковым может быть и юридическое лицо, и индивидуальный предприниматель. Следовательно, информационный брокер, получив информацию по договору с правом разрешать или ограничивать доступ к этой информации, может быть квалифицирован в качестве обладателя информации. Опрос, проведенный ФТК, показал, что большинство компаний, покупая и перепродавая данные, устанавливают в договорах ограничения относительно использования информации, что подтверждает тезис о квалификации информационного брокера в качестве обладателя информации.
Статья 6 Закона об информации закрепляет перечень прав обладателя информации, которые в общем виде можно свести к следующим: установление порядка и условий доступа к информации, использование информации и защита от несанкционированного получения и использования информации.
Осуществление права информационного брокера как обладателя информации устанавливать режим доступа к информации возможно на стадии перепродажи имеющихся данных третьим лицам. При этом обладатель информации не может произвольно ограничивать доступ к любой информации. В частности, ст. 5 ФЗ от 29.07.2004 № 98-ФЗ «О коммерческой тайне» закрепляет перечень сведений, в отношении которых коммерческая организация не может установить режим «коммерческой тайны»; определенные лимиты в отношении ограничения доступа к информации установлены и п. 4 ст. 8 Закона об информации.
В то же время информационный брокер как обладатель информации ограничен в действиях в отношении некоторых категорий данных. Согласно ст. 10 Закона о персональных данных обработка данных о национальной принадлежности, политических и религиозных взглядах, состоянии здоровья, интимной жизни ограниченна. Потенциально информационный брокер может собрать персональные данные специальной категории, например, путем получения согласия субъекта персональных данных на обработку его персональных данных (подп. 1 п. 2 ст. 10 Закона о персональных данных). Но для того, чтобы осуществить главную цель своей деятельности, т.е. извлечь прибыль за счет перепродажи данных, относящихся к категории специальных, информационный брокер должен получить от субъекта согласие на совершение любых действий с данными, в особенности на использование и передачу.
Квалификация информационного брокера в качестве обладателя информации позволяет ему использовать, в том числе распространять или передавать по договору, полученные данные на законном основании с условием соблюдения ограничений, установленных законодательством об информации и о персональных данных.
Правовой статус обладателя информацией предполагает обязанность принимать меры по защите информации от несанкционированного доступа, в том числе не допускать ее модификации. Возложение на информационных брокеров указанной обязанности представляется целесообразным в целях защиты интересов клиентов брокеров как слабых сторон договора, а также в целях защиты интересов субъектов персональных данных как лиц, теряющих контроль над данными, которые при грамотной обработке могут составить портрет того или иного лица.
Несмотря на то что квалификация информационного брокера в качестве обладателя информации накладывает определенные ограничения на предпринимательскую деятельность субъекта, они все же необходимы в целях защиты прав граждан, чьи данные подвергаются обработке;
– во-вторых, организатора распространения информации в сети Интернет (ст.10.1 Закона об информации);
Организатор распространения информации в сети Интернет (далее – ОРИвСИ) – это «лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети Интернет» (и. 1 ст. 10.1 Закона об информации). В свою очередь, информационная система является не чем иным, как совокупностью содержащихся в базах данных информации и технологий, обеспечивающих ее обработку.
Принимая законопроект о регулировании деятельности организатора распространения информации в сети Интернет, Государственная Дума руководствовалась необходимостью борьбы с терроризмом. Действительно, преступники все чаще используют Интернет, социальные сети и мессенджеры для коммуникации, что, безусловно, дает основания возлагать дополнительные обязанности на определенных субъектов права. Страны Европы руководствовались теми же принципами, принимая аналогичный по содержанию акт – Директиву ЕС 2006/24/ ЕС «О хранении данных», которая, несмотря на последующее признание неконституционной, была имплементирована в национальное законодательство большинства стран ЕС. Согласно этой Директиве организаторы обязаны хранить метаданные, т.е. данные о трафике, о местонахождении клиентов, другими словами, персональные данные пользователей.
Квалификация информационных брокеров в качестве ОРИвСИ представляется оправданной, поскольку деятельность брокеров направлена на получение и перепродажу именно тех данных, которыми обладают ОРИвСИ.
Широкая формулировка дефиниции ОРИвСИ позволяет квалифицировать информационного брокера (юридическое или физическое лицо) в качестве организатора распространения информации, обладающего правами на базы данных и чья деятельность преимущественно осуществляется в сети Интернет. Однако использование ОРИвСИ информационных систем в целях обработки электронных сообщений ставит под сомнение возможность квалификации информационных брокеров в качестве таковых.
Подзаконные акты, дополняющие нормы федерального законодательства, в частности Правила хранения данных, позволяют отнести к ОРИвСИ таких лиц, которые осуществляют функционирование коммуникационного интернет-сервиса. Это ограничивает круг лиц, которых можно отнести к ОРИвСИ, теми субъектами, которые позволяют взаимодействовать пользователям между собой.
В качестве ОРИвСИ регистрируются такие компании, как ООО «ВКонтакте», ООО «Мэйл.Ру», ЗАО «Мамба», ООО «Редакция журнала «Закон»», т.е. сервисы, предоставляющие возможность ведения дискуссий между пользователями. В то же время эти компании занимаются сбором, хранением, использованием и передачей метаданных, которые хотя и зашифрованы, но представляют интерес для профайлинга, поскольку показывают, кто с кем общался, в какой период времени, как долго происходило общение.
Однако анализ деятельности существующих компаний – информационных брокеров показывает, что, как правило, здесь взаимодействие происходит между пользователем и машиной. И только в случае если информационный брокер включает в свой функционал коммуникационные сервисы, позволяющие взаимодействовать пользователям между собой, он, без сомнений, будет подпадать под категорию ОРИвСИ.
С учетом изложенного можно сделать вывод о том, что не всякая компания, имеющая доступ к персональным данным пользователей и зарегистрированная в качестве ОРИвСИ, является информационным брокером. В то же время нельзя квалифицировать всех информационных брокеров в качестве ОРИвСИ – такой подход влечет возложение на информационного брокера ненужных обязанностей, в частности, по уведомлению Роскомнадзора об осуществлении деятельности (п. 2 ст. 10.1 Закона об информации);
– в-третьих, оператора информационной системы (п. 12 ст. 2 Закона об информации);
Оператором информационной системы может быть как физическое, так и юридическое лицо, «осуществляющее деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных» (п. 12 ст. 2 Закона об информации). По общему правилу, закрепленному в п. 2 ст. 13 Закона об информации, для квалификации лица в качестве оператора информационной системы необходимо наличие двух условий: наличие права собственности на технические средства, используемые для обработки информации, содержащейся в базах данных, а также правомерное использование этих баз данных (например, по лицензионному договору).
Информационный брокер не всегда может иметь технические средства для обработки информации на праве собственности. Но закон допускает заключение оператором информационной системы договора об эксплуатации информационной системы с собственником технических средств.
Возможна и другая проблема: как было указано выше, не всегда информация, используемая информационным брокерами, может быть квалифицирована как база данных. В таком случае информационный брокер вряд ли может быть отнесен к числу операторов информационной системы. И здесь надо отметить, что в связи с тем, что в настоящий момент законодательство не содержит четких определений, которые позволили бы определить правовой статус информации, в частности персональных данных, открываются широкие возможности для манипуляции правовыми дефинициями и отнесения информационных брокеров к числу операторов информационных систем;
– в-четвертых, оператора персональных данных (гл. 4 Закона о персональных данных);
Оператором персональных данных, которым является информационный брокер «по умолчанию» (в силу того, что осуществляет действия по обработке информации в отличие от оператора информационной системы), может выступать государственный и муниципальный орган. Это позволяет причислить к числу информационных брокеров также субъектов публичного права. Например, уже упоминавшийся политический профайлинг базируется на основе данных, сбором которых занимаются муниципальные образования.
При этом необходимо подчеркнуть, что в отличие от ОРИвСИ статус оператора персональных данных не подразумевает возложение на юридическое или физическое лицо чрезмерных обязанностей. Необходимость предоставления субъекту персональных данных информации об операторе до начала сбора данных (п. 3 ст. 18 Закона о персональных данных), обеспечение безопасности персональных данных (п. 2 ст. 19 Закона о персональных данных), сообщение субъекту данных информации о наличии соответствующих данных (п. 1 ст. 20 Закона о персональных данных) являются сбалансированными мерами, позволяющими защитить права и интересы граждан.
Квалификация информационного брокера в качестве оператора персональных данных позволяет решить еще одну проблему, уже обнаружившую себя в США в процессе деятельности упомянутых компаний, – отсутствие прозрачности в деятельности информационных брокеров: граждане не знают, какая именно информация о них была получена. Например, Experian и Equifax не разрешают субъектам просматривать, какие их персональные данные были получены брокером. Усугубляет проблему тот факт, что у граждан нет информации о том, какие компании являются информационными брокерами, т.е. они могут даже не предполагать, что являются субъектом персональных данных, обрабатываемых какой-либо компанией.
Поскольку российское законодательство содержит право субъекта персональных данных на доступ к таковым (ст. 14 Закона о персональных данных), то данная проблема может быть решена путем закрепления обязанности информационного брокера сообщать об осуществлении деятельности по обработке и перепродаже данных в федеральные органы власти под угрозой административного наказания (соответствующие поправки необходимо внести и в КоАП РФ). За органами власти, в свою очередь, необходимо закрепить обязанность по созданию реестра информационных брокеров по аналогии с реестром ОРИвСИ. Такой подход обеспечит соблюдение прав граждан, поскольку они будут знать, какая именно компания является информационным брокером и занимается сбором их персональных данных, но при этом не нанесет ущерба предпринимательской деятельности коммерческих лиц и индивидуальных предпринимателей.
Больше всего вопросов в свете последних изменений законодательства вызывает обязанность оператора персональных данных, установленная ч. 5 ст. 18 Закона о персональных данных. Она возлагает на оператора обязанность при сборе данных обеспечить обработку данных граждан Российской Федерации с помощью информационных систем, находящихся на территории Российской Федерации.
Поскольку большинство баз информационных брокеров, содержащих персональные данные граждан, были созданы до вступления в силу Закона, т.е. до 01.09.2015, то на них не распространяется указанное положение. При этом обратная сила закона может быть установлена при его принятии, но этого сделано не было. В то же время базы данных информационных брокеров в силу специфики деятельности должны постоянно обновляться: у субъектов данных меняются предпочтения, меняется их семейное положение и т.д., поэтому положения Закона распространяются и на такие «обновленные» базы данных.
Актуален данный вопрос также в связи с тем, что большинство существующих информационных брокеров – иностранные компании, которые собирают информацию о гражданах Российской Федерации. Наложение на брокеров подобного рода обязательств вынуждает делить базы данных: часть данных хранить по месту осуществления деятельности организации, а другую часть – в стране граждан, чьи данные подвергаются обработке.
С одной стороны, данная норма значительно усложняет деятельность иностранных компаний – информационных брокеров, и в итоге им проще отказаться от обработки данных граждан России (что с учетом положительных сторон профайлинга для субъектов обработки данных не является лучшим решением проблемы).
С другой стороны, существуют определенные сложности применения санкции к компаниям – информационным брокерам: если социальные сети, нарушающие российское законодательство, можно заблокировать (как в случае с Linked In), то повлиять на компании, не ведущие деятельность в сети Интернет, практически невозможно.