По любым вопросам: admjuridcons@gmail.com

Все статьи > Гражданско-правовые аспекты регулирования оборота персональных данных (Савельев А.И.)

Гражданско-правовые аспекты регулирования оборота персональных данных (Савельев А.И.)

Дата размещения статьи: 10.01.2022

Гражданско-правовые аспекты регулирования оборота персональных данных (Савельев А.И.)

Люди - вторая нефть.

Сергей Иванов, вице-премьер

 

1. Введение

В одной из предыдущих статей нами был рассмотрен вопрос о гражданско-правовой природе такого объекта, как массивы данных, и был сделан общий вывод о неудовлетворительном состоянии действующего законодательства и судебной практики в этой части, несовместимом с реальным его статусом в условиях цифровизации многих сфер общества <1>. При этом одна разновидность данных заслуживает более тщательного анализа на предмет условий ее оборотоспособности, применимых видов договоров, опосредующих ее оборот, а также связанных с этим вопросов соотношения частного и публично-правового регулирования. Речь идет о персональных данных, которые уже стали de facto объектом оборота и топливом для многих интернет-сервисов, мобильных приложений и цифровых продуктов. При этом о данной роли персональных данных нередко стараются умалчивать. IT-компании предпочитают позиционировать свои сервисы как бесплатные <2>. Регуляторы стараются не высказываться по данному вопросу, нередко ограничиваясь вольными пересказами положений ст. 2 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) о том, что защита персональных данных имеет своей целью защиту права на неприкосновенность частной жизни граждан. Судебная практика по вопросам оборота персональных данных практически отсутствует.
--------------------------------
<1> Савельев А.И. Гражданско-правовые аспекты регулирования оборота данных в условиях попыток формирования цифровой экономики // Вестник гражданского права. 2020. N 1. С. 60 - 92.
<2> См., напр.: п. 1.6 Условий использования сервиса "Яндекс Go": "Сервис предлагает Пользователю бесплатную возможность разместить информацию о потенциальном спросе Пользователя на услуги по перевозке пассажиров и багажа легковым такси, и/или услуги по управлению транспортным средством Пользователя, и/или иные транспортные услуги, и/или услуги курьерской доставки, а также возможность ознакомиться с информацией о предложениях организаций, оказывающих услуги в указанной сфере" (https://yandex.com/legal/yandexgo_termsofuse/#index__russia_ru). Другим примером является Facebook, на стартовой странице регистрации которого фигурировал тезис "Sign up. It's free and it always will be" (англ. "Регистрируйся! Это бесплатно, и так будет всегда"). Правда, некоторое время назад данный тезис был заменен на "Sign up. It's quick and easy" (англ. "Регистрируйся! Это быстро и просто"). По всей видимости, это связано с изменениями в европейском регулировании, о котором будет далее сказано в данной статье. См. подробнее: Moynihan Q., Asenjo A. Facebook quietly ditched the "It's free and always will be" slogan from its homepage // https://www.businessinsider.com/facebook-changes-free-and-always-will-be-slogan-on-homepage-2019-8.

Вместе с тем такое замалчивание этого вопроса не может длиться вечно. И уже сейчас оно приводит к куда большим проблемам для самих граждан, в частности к невозможности их эффективной защиты в контексте потребительских отношений. Как известно, Закон РФ от 7 февраля 1992 г. N 2300-1 "О защите прав потребителей" (далее - Закон о защите прав потребителей) не распространяется на отношения потребителей и исполнителей по договору о безвозмездном оказании услуг. Это вытекает из дефиниции исполнителя, содержащейся в преамбуле данного Закона, под которым понимается "организация независимо от ее организационно-правовой формы, а также индивидуальный предприниматель, выполняющие работы или оказывающие услуги потребителям по возмездному договору [выделено мной. - А.С.]", и существующей судебной практики <3>. В частности, сюда относятся отношения, связанные с применением бонусных миль <4>, которые по своей сути предполагают сбор и обработку персональных данных клиентов для более оптимальной персонализации оказываемых услуг.
--------------------------------
<3> Пункт 9 информационного письма Президиума ВАС РФ от 13 сентября 2011 г. N 146 "Обзор судебной практики по некоторым вопросам, связанным с применением к банкам административной ответственности за нарушение законодательства о защите прав потребителей при заключении кредитных договоров"; Определение Первого кассационного суда общей юрисдикции от 11 марта 2021 г. по делу N 88-4919/2021; Определение Второго кассационного суда общей юрисдикции от 13 апреля 2021 г. по делу N 88-8768/2021 и др.
<4> См., напр.: решение Нижегородского районного суда города Нижнего Новгорода от 12 октября 2016 г. по делу N 2-9749/2016~М-7499/2016. См. также: Зардов Р.С. О применении потребительского законодательства к отношениям, возникающим из реализации программ лояльности // Право и экономика. 2019. N 6(376). С. 35 - 40.

В Европейском союзе эту проблему осознали и пришли к выводу, что рассмотрение персональных данных исключительно как проявление фундаментального конституционного права личности, не имеющее в силу этого рыночной цены и оборотоспособности, лишает пользователей бесплатных сервисов средств защиты, предоставляемых законодательством о защите прав потребителей. В итоге была принята Директива ЕС "О договорах предоставления цифрового контента и цифровых сервисов" 2019 г. (Digital Content Directive, DCD) <5>, в которую включена важная оговорка о том, что встречное предоставление может заключаться не только в виде уплаты денег, но и в форме предоставления права на обработку персональных данных в объеме, превышающем необходимый для целей исполнения контрагентом договора или требований законодательства (ст. 3(1) DCD). Тем самым прагматичный подход к роли персональных данных в современной экономике, ранее изложенный в Рекомендациях ОЭСР <6>, возобладал над рассмотрением их исключительно в контексте фундаментальных прав личности, из которого следовала невозможность того, чтобы они выступали объектом оборота.
--------------------------------
<5> Directive (EU) 2019/770 of the European Parliament and of the Council of 20 May 2019 on certain aspects concerning contracts for the supply of digital content and digital services. Справедливости ради надо отметить, что впервые идея о квалификации персональных данных как встречного предоставления была высказана в Проекте общеевропейского законодательства о купле-продаже (Proposal for a Common European Sales Law, COM/2011/0635 final - 2011/0284 (COD)), но она не привлекла особого внимания, пока дело не дошло до проекта Директивы.
<6> "Защита законодательства о защите прав потребителей должна распространяться на все транзакции с участием потребителей, независимо от наличия в них встречного предоставления денежного характера" (Consumer Protection in E-commerce: OECD Recommendation (2016). P. 9 // https://www.oecd.org/sti/consumer/ECommerce-Recommendation-2016.pdf). Данный подход видится логичным, поскольку неразумно лишать потребителя защиты только потому, что в качестве встречного предоставления используются его персональные данные, а не денежные средства.

Нельзя сказать, что в России никаких мер не было принято в отношении бесплатных интернет-сервисов или мобильных приложений в части их регулирования в контексте законодательства о защите прав потребителей. В 2018 г. были приняты изменения в Закон о защите прав потребителей, в рамках которых было введено понятие "владелец агрегатора информации о товарах (услугах)" <7>. Они позволили в определенном объеме подвести ряд информационных интернет-сервисов посреднического характера под некоторое регулирование законодательства о защите прав потребителей. И если ранее такие интернет-платформы могли ссылаться на свой посреднический характер и формально безвозмездный характер своих сервисов как основание для отказа потребителям в удовлетворении их требований, то сейчас у них появился ряд обязанностей в рамках Закона о защите прав потребителей <8>. Однако это не позволило охватить данным регулированием значительное количество интернет-сервисов, которые по-прежнему могут ссылаться на безвозмездный характер своей деятельности для выведения себя из-под действия законодательства о защите прав потребителей, в частности это касается поисковых сервисов, социальных сетей и мессенджеров, навигационных и картографических сервисов. Однако именно они собирают значительные объемы персональных данных граждан, не особенно афишируя это в пользовательских соглашениях с ними, а указывая в отдельных документах вроде "политики конфиденциальности". Таким образом, проблема защиты пользователей подобных сервисов в рамках использования их для личных и семейных нужд пока не решена. В связи с этим возможность квалификации предоставляемой сервисам возможности по обработке персональных данных в расширенном объеме является весьма востребованной, в том числе и для целей защиты самих субъектов персональных данных при вступлении их в потребительские отношения.
--------------------------------
<7> Федеральный закон от 29 июля 2018 г. N 250-ФЗ "О внесении изменений в Закон Российской Федерации "О защите прав потребителей".
<8> Апелляционные определения Московского городского суда от 24 марта 2015 г. по делу N 33-9321, от 10 июля 2015 г. по делу N 33-24183/2015 (в отношении "Яндекс.Маркет"), от 11 мая 2016 г. по делу N 33-8713/2016; решение Хорошовского районного суда от 14 августа 2013 г. N 2-2853/2013 (в отношении Anywayanyday) и др.

Помимо этого, по-прежнему сохраняется неопределенность относительно правового режима персональных данных как объекта гражданских прав и как встречного предоставления особого рода, а также соотношения специального публичного регулирования в виде законодательства о персональных данных с гражданско-правовым регулированием. И эти вопросы являются актуальными не только для соглашений, связанных с получением гражданами безвозмездных интернет-сервисов или мобильных приложений, но и для двух иных видов соглашений, в которых могут фигурировать персональные данные в качестве одного из объектов: 1) договоров, по которым одно лицо обрабатывает имеющийся у него массив персональных данных по заданию заказчика и передает полученный результат, и 2) договоров, в которых массив персональных данных выступает в качестве актива и объекта, передаваемого другому лицу. Учитывая неоднозначность многих положений законодательства о персональных данных, определяющих условия законности обработки персональных данных, актуальным является вопрос о том, как будет влиять нарушение таких положений на судьбу заключенных договоров. Настоящая статья представляет собой попытку ответить на данные вопросы.

2. Особенности правового режима персональных данных в качестве объекта гражданских прав

В одной из своих более ранних работ я отмечал, что "персональные данные, выступая разновидностью информации и не являясь при этом объектом интеллектуальной собственности, не подпадают под признаваемые ст. 128 ГК РФ виды информации, которая может выступать объектом гражданских прав. Еще меньше оснований относить персональные данные или согласие на их обработку к разновидности встречного предоставления, в случае если придерживаться концепции о том, что персональные данные представляют собой проявление личного неимущественного блага (личной и семейной тайны), указанного в п. 1 ст. 150 ГК РФ. Как известно, личные нематериальные блага носят неотчуждаемый и непередаваемый характер, будучи фактически изъятыми из оборота" <9>. Данный подход к персональным данным и тайне личной жизни свойствен европейской модели регулирования персональных данных и нашел свое логичное отражение в ст. 8 Хартии фундаментальных прав ЕС, согласно которой каждый человек имеет право на защиту относящихся к нему данных личного характера <10>.
--------------------------------
<9> Савельев А.И. Направления эволюции свободы договора под влиянием современных информационных технологий // Свобода договора: Сборник статей / Отв. ред. М.А. Рожкова. М.: Статут, 2016 (СПС "КонсультантПлюс").
<10> Charter of Fundamental Rights of the European Union (2010/C83/02) // http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:083:0389:0403:en:PDF.

Эти соображения являлись основанием для моего вывода о том, что соглашение, по которому субъект дает свое согласие на обработку персональных данных в обмен на получаемую услугу, не является возмездным, поскольку возмездность по смыслу ст. 423 ГК РФ предполагает, что сторона за исполнение своих обязанностей должна получить плату или иное встречное предоставление. При этом под встречным предоставлением понимается получение определенного блага в виде одного из объектов гражданских прав, указанных в ст. 128 ГК РФ (предоставление вещи, иного имущества, выполнение работы, оказание услуги и т.п.). Тем не менее окончательного вывода о правовой природе персональных данных в той работе мной сделано не было; был сделан достаточно безопасный на тот момент вывод о том, что этот вопрос является крайне дискуссионным и его необходимо решать впоследствии. Пришло время, чтобы предпринять дальнейшее погружение в него.
Для этого следует вспомнить, какие объекты гражданских прав в принципе предусмотрены в ГК РФ. Согласно ст. 128 ГК РФ к объектам гражданских прав относятся вещи (включая наличные деньги и документарные ценные бумаги), иное имущество, в том числе имущественные права (включая безналичные денежные средства, бездокументарные ценные бумаги, цифровые права); результаты работ и оказание услуг; охраняемые результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации (интеллектуальная собственность); нематериальные блага.
Несложный анализ данного списка дает основания для вывода о том, что наиболее релевантными кандидатами для возможного применения к персональным данным являются такие объекты, как нематериальные блага и иное имущество.

2.1. Персональные данные как нематериальное благо

В соответствии с ч. 1 ст. 150 ГК РФ к нематериальным благам относятся жизнь и здоровье, достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, неприкосновенность частной жизни, неприкосновенность жилища, личная и семейная тайна, свобода передвижения, свобода выбора места пребывания и жительства, имя гражданина, авторство, иные нематериальные блага, принадлежащие гражданину от рождения или в силу закона; они неотчуждаемы и непередаваемы иным способом. Закон о персональных данных прямо указывает, что его целью "является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну". Отнесение персональных данных к разновидности нематериальных благ, направленных на защиту неприкосновенности частной жизни, личной и семейной тайны, достаточно давно и последовательно обосновывается в доктрине <11>. Однако так ли однозначно отнесение персональных данных к нематериальным благам в нынешних реалиях и насколько оно согласуется с существующими представлениями о признаках данного объекта?
--------------------------------
<11> Малеина М.Н. Право на тайну и неприкосновенность персональных данных // Журнал российского права. 2010. N 11. С. 18 - 28.

Для начала имеет смысл обратиться к содержанию понятия права на неприкосновенность частной жизни, именуемого в англоязычной доктрине обычно privacy. Оно является достаточно многогранным. В одной только американской доктрине выделяется как минимум шесть возможных подходов к его определению: 1) право быть оставленным в покое (the right to be left alone) <12>; 2) возможность ограничивать доступ к своей личности; 3) возможность сокрытия определенных сведений от окружающих; 4) возможность осуществления лицом контроля над распространением информации о себе <13>; 5) право на защиту своей личности, индивидуальности и достоинства; 6) право на защиту интимных сведений о себе и своей жизни <14>.
--------------------------------
<12> См.: Warren S.D., Brandeis L.D. The Right to Privacy // Harvard Law Review. 1890. Vol. 4(5). P. 193.
<13> Westin A.F. Privacy and Freedom. The Bodley Head, 1967. P. 7.
<14> См.: Solove D.J. Conceptualizing Privacy // California Law Review. 2002. Vol. 90(4). P. 1088. Подробный анализ генезиса института защиты неприкосновенности частной жизни см.: Дмитрик Н.А. История, смысл и перспективы института персональных данных // Вестник гражданского права. 2020. N 3. С. 43 - 82.

В России также отсутствует однозначное понимание содержания данного права. Из п. 1 ст. 152.2 ГК РФ можно сделать вывод, что к информации о частной жизни гражданина как минимум относятся сведения о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни. Согласно позиции КС РФ право на неприкосновенность частной жизни, личную и семейную тайну означает предоставленную человеку и гарантированную государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера; в понятие "частная жизнь" включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если не носит противоправного характера <15>. Иные суды немного более развернуто определяют данное понятие. Так, в одном из решений отмечается, что "гарантируемое ч. 1 ст. 23 Конституции РФ право на неприкосновенность частной жизни распространяется на ту сферу жизни, которая относится к отдельному лицу, касается только этого лица и охватывает охрану всех тех сторон личной жизни лица, оглашение которых лицо по тем или иным причинам считает нежелательным. Право на неприкосновенность частной жизни означает предоставленную человеку и гарантированную государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера" <16>. Верховный Суд РФ в отдельных ситуациях толкует понятие частной жизни еще шире, включая в него сведения, которые характеризуют профессиональную деятельность лица <17>.
--------------------------------
<15> Постановления КС РФ от 25 мая 2021 г. N 22-П и от 16 июня 2015 г. N 15-П; Определение КС РФ от 24 декабря 2013 г. N 2128-О.
<16> Апелляционное определение Нижегородского областного суда от 2 февраля 2016 г. по делу N 33-1362/2016(33-15085/2015).
<17> Определение Судебной коллегии по гражданским делам ВС РФ от 12 ноября 2019 г. N 14-КГ19-15, 2-2794/18.

Столь же широко толкует данное понятие и Европейский суд по правам человека (ЕСПЧ) <18>. ЕСПЧ включает в понятие "личная жизнь" достаточно широкий спектр вопросов: физическую и моральную стороны жизни индивида, включая сексуальную жизнь <19>; физическую и психологическую неприкосновенность индивида при оказании ему медицинской помощи <20>, отношения с другими людьми, в том числе "возможность устанавливать и поддерживать отношения с другими людьми в профессиональном и деловом плане, как и в любом другом" <21>.
--------------------------------
<18> Конвенция вступила в силу для Российской Федерации 5 мая 1998 г. (СПС "КонсультантПлюс"). Поскольку право на уважение частной и семейной жизни также предусмотрено в ст. 8 Конвенции о защите прав человека и основных свобод 1950 г., стороной которой является Российская Федерация, при толковании понятий частной жизни, личной и семейной тайны, помимо вышеупомянутого Определения КС РФ, необходимо учитывать практику ЕСПЧ по данному вопросу.
<19> Постановление ЕСПЧ от 26 марта 1985 г. по делу "X и Y против Нидерландов", жалоба N 8978/80.
<20> Постановление ЕСПЧ от 22 июля 2003 г. по делу "И.Ф. (Y.F.) против Турции", жалоба N 24209/94.
<21> Постановление ЕСПЧ от 16 декабря 1992 г. по делу "Нимитц (Niemietz) против Германии", жалоба N 13710/88.

Как видно из приведенной судебной практики, содержание понятия права на неприкосновенность частной жизни не совпадает с содержанием понятия персональных данных, которое является куда более широким. Дифференцированный подход к содержанию данных понятий уже находит свое отражение в судебной практике. Так, ВС РФ признал допустимым доказательством аудиозапись телефонного разговора, сделанную одним из лиц, участвовавших в таком разговоре, и касающуюся договорных взаимоотношений между сторонами, несмотря на возражения другой стороны о тайном характере создания такой аудиозаписи. По мнению ВС РФ, в данном случае нельзя говорить о нарушении неприкосновенности частной жизни, по всей видимости, потому, что данная сфера жизни гражданина не относится к личной <22>. В другом деле суд констатировал, что "информация, указанная в доверенности, не является информацией о частной жизни истцов, защищаемой законом, ни сбор, ни ее использование не являются нарушением закона. Участие гражданина в судебных разбирательствах по гражданским делам не может являться составляющей частной жизни гражданина" <23>. И это при том, что отнесение таких данных к разряду персональных не вызывает сомнений, учитывая широту законодательной дефиниции данного понятия и существующую практику судов и Роскомнадзора <24>. Таким образом, объем информации, охватываемой режимом персональных данных, является нетождественным охватываемому правом на неприкосновенность частной жизни, личной и семейной тайны, что в перспективе может стать одним из оснований для обособления права на персональные данные от права на неприкосновенность частной жизни, личную и семейную тайну.
--------------------------------
<22> Определения Судебной коллегии по гражданским делам ВС РФ от 14 апреля 2015 г. N 33-КГ15-6 и от 6 декабря 2016 г. N 35-КГ16-18.
<23> Определение Первого кассационного суда общей юрисдикции от 29 января 2020 г. по делу N 2-1295/2019.
<24> Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Закона о персональных данных). О толковании данного понятия Роскомнадзором и судебной практикой см.: Савельев А.И. Комментарий к Федеральному закону "О персональных данных". 2-е изд., перераб. и доп. М.: Статут, 2021. С. 71.

Далее. Отнесение персональных данных к нематериальным благам означает наделение их всеми признаками нематериальных благ, традиционно выделяемыми в доктрине: 1) их производностью от личности человека, обусловливающей их неотчуждаемость и непередаваемость <25>, а также 2) неимущественным (нематериальным) характером. Указанные признаки личных нематериальных благ не только являются достоянием доктрины, но и находят свое отражение в судебной практике. Например, в одном из судебных решений было отмечено, что "признаками нематериальных благ являются: отсутствие имущественного содержания, их нельзя оценить в денежном выражении, они неразрывно связаны с личностью их носителя, что означает невозможность их отчуждения или иной передачи другим лицам ни по каким основаниям, то есть неспособность быть объектами гражданского оборота" <26>.
--------------------------------
<25> Ульбашев А.Х. Общее учение о личных правах. М.: Статут, 2019.
<26> Постановление ФАС Московского округа от 19 ноября 2008 г. N КГ-А40/8332-08 по делу N А40-26824/07-27-240.

Первый признак предполагает, что право на персональные данные, которое можно понимать как возможность гражданина контролировать распространение и использование данных о себе, не может быть отчуждено по причине того, что они неразрывно связаны с его личностью и именно поэтому и являются персональными. Это не означает, однако, что такие данные не могут стать частью другого объекта гражданских прав, например вещи или охраняемой законодательством об интеллектуальной собственности базы данных, и отчуждаться по правилам, применимым к ним. Но это возможно только при условии соблюдения положений законодательства о персональных данных <27>. Далее будет рассмотрено возможное влияние нарушений его положений на судьбу договоров, в которых фигурируют подобные объекты.
--------------------------------
<27> Некоторые персональные данные, возможно, не смогут стать объектом коммерциализации даже таким способом, например отпечатки пальцев как разновидность биометрических персональных данных. В свое время Национальный комитет по этике Франции констатировал, что подобные данные являются необоротоспособными объектами гражданских прав. См.: Data as Counter-Performance - Contract Law 2.0? Munster Colloquia on EU Law and the Digital Economy V / Ed. by S. Lohsse, R. Schulze, D. Staudenmayer. Nomos, 2020. P. 101.

Что касается второго признака нематериальных благ как особого объекта гражданских прав, то, как отмечает М.Н. Малеина, "нематериальный характер личных прав проявляется в том, что они лишены экономического содержания. Это означает, что личные неимущественные права не могут быть оценены (например, в деньгах), для них характерны безвозмездность, их осуществление не сопровождается имущественными эквивалентными обязанностями других лиц" <28>.
--------------------------------
<28> Малеина М.Н. Защита личных неимущественных прав советских граждан. М.: Знание, 1991. С. 6.

Нетрудно заметить, что основная проблема с отнесением персональных данных к нематериальным благам в качестве объекта гражданских прав заключается именно в этом последнем признаке. Существующие реалии уже наделили персональные данные экономическим содержанием. При этом определение рыночной стоимости персональных данных является непростым занятием в силу отсутствия единых подходов и методологий ее определения. ОЭСР выделяет две группы методов определения рыночной стоимости в зависимости от того, кто поставлен во главу угла - организация или сам пользователь.
К первой группе обычно относят четыре метода <29>. Во-первых, метод, основанный на финансовых результатах организации, в основе бизнес-модели которой лежит обработка персональных данных. Данный метод предполагает деление полученной прибыли компании на общее количество пользователей, исходя из которого можно определить, сколько денег компании принес отдельный пользователь. Так, например, в четвертом квартале 2020 г. прибыль Facebook составила 27,2 млрд долл. США при 2,8 млрд пользователей данной сети, что составило порядка 10 долл. прибыли, сгенерированной каждым пользователем <30>. Однако данный подход является слишком грубым и не учитывающим иные факторы, влияющие на финансовые результаты деятельности организации: кадровую политику, работу с прессой, используемые информационные технологии и пр.
--------------------------------
<29> Exploring the Economics of Personal Data: A Survey of Methodologies for Measuring Monetary Value (OECD Digital Economy Papers, No. 220, 2013) // https://www.oecd-ilibrary.org/docserver/5k486qtxldmq-en.pdf?expires=1634016076&id=id&accname=guest&checksum=0D8F175A3508B0771364E5F16F3EAAFB.
<30> Mohsin M. 10 Facebook Statistics Every Marketer Should Know in 2021 // https://www.oberlo.com/blog/facebook-statistics.

Второй метод берет за основу общую рыночную стоимость организации, в основе бизнес-модели которой находится обработка персональных данных. Данный метод предполагает деление стоимости капитализации компании на общее количество пользователей. Например, при общей капитализации Facebook в размере 1,21 трлн долл. США <31> и общем количестве пользователей в 2,8 млрд стоимость одного пользователя, а точнее его данных, составляет порядка 432 долл. США. Результат уже качественно отличается от предыдущего. Но этому методу в целом свойственны те же недостатки, что и предыдущему.
--------------------------------
<31> Dennison S. How Much Is Facebook Worth? // https://www.gobankingrates.com/money/business/how-much-is-facebook-worth/.

Третий метод предполагает установление разницы в стоимости размещения между персонализированной и неперсонализированной рекламой, имея в виду, что персонализированный характер рекламы предполагает получение разрешения от пользователя на отслеживание его активности в сети Интернет, т.е. обработку соответствующих персональных данных. Однако подобные цифры обычно составляют коммерческую тайну и не являются публично доступными, что не позволяет данный метод применять широко на практике.
Четвертый метод предполагает установление стоимости персональных данных по результатам размера ответственности организации за ее утечку. Так, например, известный информационный брокер Experian достиг соглашения с Федеральной торговой комиссией США о выплате 425 млн долл. США за утечку данных 147 млн пользователей в 2017 г. <32> Таким образом, стоимость персональных данных одного пользователя составила порядка 3 долл. США. Однако применение данного метода предполагает наличие утечки данных, ее последующее расследование регулятором с наложением штрафа в более-менее солидном размере (а не в том, который предусмотрен за нарушение законодательства о персональных данных в ст. 13.11 КоАП РФ).
--------------------------------
<32> Recent FTC Cases Resulting in Refunds // https://www.ftc.gov/enforcement/cases-proceedings/refunds/equifax-data-breach-settlement.

Вторая категория методов предполагает использование оценки стоимости своих данных уже самим пользователем, в частности разницы в стоимости бесплатной версии сервиса (с оплатой персональными данными) и платной версии, которая более privacy-friendly. Кроме того, в рамках данного метода используются различного рода статистические исследования поведения пользователей в отношении их персональных данных <33>.
--------------------------------
<33> Data as Counter-Performance - Contract Law 2.0? Munster Colloquia on EU Law and the Digital Economy V / Ed. by S. Lohsse, R. Schulze, D. Staudenmayer. P. 53.

Данные методы свидетельствуют как минимум об одном: в настоящий момент определение рыночной стоимости персональных данных является крайне затруднительным, особенно учитывая, что она сильно зависит от множества сопутствующих факторов вроде контекста и целей обработки, иных имеющихся у оператора данных. С достаточной степенью определенности можно разве что сказать, что такая стоимость обычно прямо пропорциональна степени идентификации субъекта <34>. Но из всего этого не следует вывод об отсутствии у персональных данных экономической ценности в принципе - скорее о том, что данные методологии лишь еще предстоит выработать. Однако уже сейчас очевидно, что второй признак нематериальных благ в виде отсутствия у них экономической составляющей является неприменимым к персональным данным в современных реалиях, что еще больше отдаляет их от этой квалификации.
--------------------------------
<34> Ibidem.

Наконец, необходимо сказать несколько слов о таком признаке нематериальных благ, как их абсолютный характер. М.Н. Малеина отмечает, что конкретное содержание права на защиту неприкосновенности его частной жизни при обработке персональных данных нашло отражение в Законе о персональных данных, который предусматривает, что гражданин имеет право: а) представить свои персональные данные третьим лицам; б) дать согласие на обработку персональных данных, отозвать согласие на обработку; в) получить сведения об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных; г) осуществить доступ к своим персональным данным; д) требовать уточнения своих персональных данных, их блокирования или уничтожения в установленных случаях (ст. 9, 14) <35>. По сути, в данном случае речь идет о правомочиях субъекта по управлению и контролю над процессами обработки данных о себе. При этом следует добавить, что указанные права субъектом персональных данных могут быть реализованы согласно Закону о персональных данных только по отношению к конкретному лицу - оператору персональных данных. Иными словами, вопреки абсолютному характеру права на нематериальное благо, которому по общему правилу противостоит обязанность всех третьих лиц воздержаться от его нарушения, права субъекта персональных данных в значительной степени имеют относительный характер. Так что и здесь данный объект несколько выпадает из канонических основ учения о личных нематериальных благах.
--------------------------------
<35> Малеина М.Н. Право на тайну и неприкосновенность персональных данных. С. 22.

Таким образом, можно прийти к выводу о том, что с классической доктринальной точки зрения персональные данные вряд ли могут быть отнесены к таким объектам, как нематериальные блага, по крайней мере без существенной модернизации сложившихся подходов к их ключевым признакам. В отличие от абсолютного права на неприкосновенность частной жизни права субъекта персональных данных носят преимущественно относительный характер и охватывают более широкий спектр информации, которая при этом обладает действительной экономической ценностью.
В принципе, подобного рода ситуация не является чем-то новым и ранее уже имела место применительно к праву на изображение, которое, с одной стороны, признается личным неимущественным благом, а с другой - уже давно является вовлеченным в оборот. Причем это касается не только знаменитостей. Изображения куда более малоизвестных лиц используются в рекламных видеороликах, на фотографиях при оформлении веб-сайтов, витрин магазинов и рекламных каталогов клиентов и т.д. Достаточно подробный компаративный анализ развития данного права уже производился в литературе <36>. Здесь же следует отметить, что российское право вовсю признает возможность коммерциализации изображения гражданина и договорно-правового регулирования его использования. Возможность дачи согласия на использование изображения прямо допускается в п. 3 ст. 152.1 ГК РФ. При этом ВС РФ прямо указал, что согласие на обнародование и использование изображения гражданина представляет собой сделку <37>. В другом контексте он отметил, что в трудовой договор с тренером или спортсменом могут быть включены условия "предоставления спортсменом, тренером работодателю прав на использование изображения, фамилии, имени, отчества, образцов подписи и почерка, стилизованных и фотографических образов спортсмена и др." <38>.
--------------------------------
<36> Беляева К.К. Распоряжение правом на изображение в Российской Федерации и за рубежом // Вестник гражданского права. 2019. N 2. С. 27 - 60.
<37> Договор, который предусматривает дачу такого согласия, может быть квалифицирован как непоименованный, так как помимо данного упоминания российское законодательство не содержит специального и сколько-нибудь содержательного регулирования таких соглашений. См.: Карапетов А.Г., Савельев А.И. Свобода договора и ее пределы: В 2 т. Т. 2: Пределы свободы определения условий договора в зарубежном и российском праве. М.: Статут, 2012. Данный вывод находит свое отражение и в судебной практике - см. Постановление ФАС Северо-Кавказского округа от 13 марта 2008 г. N Ф08-1048/08 по делу N А53-16736/2006-С2-8.
<38> Пункт 6 Постановления Пленума ВС РФ от 24 ноября 2015 г. N 52 "О применении судами законодательства, регулирующего труд спортсменов и тренеров".

При этом данная тенденция к вовлечению в оборот нематериальных благ не ограничивается лишь изображениями гражданина. Как отмечает Л.Ю. Михеева, круг упомянутых в ГК РФ ситуаций, в которых основанием для использования нематериального блага становится соглашение, достигнутое с его обладателем, расширился. Статья 19 ГК РФ допускает, что имя физического лица или его псевдоним могут быть использованы с согласия этого лица другими лицами в их творческой, предпринимательской или иной экономической деятельности (следует отметить, что в целях исключения недобросовестного использования имени ст. 19 ГК РФ разрешается применять только способы, исключающие введение в заблуждение третьих лиц относительно тождества граждан, а также злоупотребление правом в других формах). Статья 152.2 ГК РФ допускает возможность заключения соглашения об использовании информации о частной жизни лица, в том числе, например, при создании произведений науки, литературы и искусства <39>.
--------------------------------
<39> Михеева Л.Ю. Модернизация института нематериальных благ: достижения и перспективы // Кодификация российского частного права 2019 / Под ред. Д.А. Медведева. М.: Статут, 2019. С. 185 - 197.

Таким образом, совершение в отношении нематериальных благ сделок гражданско-правового характера в виде дачи согласия на их использование иным лицам вполне укладывается в уже признаваемые в российском праве формы распоряжения нематериальными благами <40>. Как следствие, нет оснований полагать, что по поводу персональных данных не могут заключаться соглашения гражданско-правового, в том числе возмездного, характера. А следовательно, персональные данные могут быть коммерциализируемы. Возможно, в этой связи квалификация их в виде иного имущества была бы более удачной хотя бы de lege ferenda?
--------------------------------
<40> См.: п. 46 Постановления Пленума ВС РФ от 23 июня 2015 г. N 25 "О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации" ("Согласие на обнародование и использование изображения гражданина представляет собой сделку").

2.2. Персональные данные как иное имущество

В пользу возможности отнесения персональных данных к числу объектов гражданских прав свидетельствует и ст. 5 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и защите информации" (далее - Закон об информации), согласно которой информация может являться объектом публичных, гражданских и иных правовых отношений (ч. 1 ст. 5). Персональные данные являются разновидностью информации. Конечно, можно рассматривать вышеуказанное положение Закона об информации как отсылку к ст. 128 ГК РФ и прийти таким образом обратно к отнесению персональных данных к разряду нематериальных благ, поскольку с 2008 г. в этой статье отсутствует упоминание об информации как об объекте гражданских прав. Но можно пойти и иным путем, рассматривая указание ч. 1 ст. 5 Закона об информации как приглашение посмотреть и другие статьи этого Закона, в частности его ст. 6, посвященную правам обладателя информации, к числу которых, помимо прочего, относится возможность "разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа" (п. 1); "(передавать информацию другим лицам по договору или на ином установленном законом основании" (п. 3); "осуществлять иные действия с информацией или разрешать осуществление таких действий" (п. 5).
При этом КС РФ достаточно высоко оценил значение данных положений, указав, что "цель, которую преследовал федеральный законодатель, вводя понятие "обладатель информации", заключается, таким образом, в описании - по аналогии с гражданско-правовыми категориями "собственник", "титульный владелец", но с учетом особенностей информации как нематериального объекта - правового статуса лица, правомочного в отношении конкретной информации решать вопрос о ее получении другими лицами и о способах ее использования как им самим, так и другими лицами" <41>.
--------------------------------
<41> Постановление КС РФ от 26 октября 2017 г. N 25-П "По делу о проверке конституционности пункта 5 статьи 2 Федерального закона "Об информации, информационных технологиях и о защите информации" в связи с жалобой гражданина А.И. Сушкова".

Положения ст. 6 Закона об информации тем самым создают правовой режим для информации как объекта гражданских прав в условиях отсутствия такового в ГК РФ. Однако это будет справедливо при условии, что мы можем квалифицировать информацию в качестве одного из нейтральных объектов гражданских прав, не обладающих уже сформировавшимся правовым режимом, который бы тогда имел приоритет. Категория "иное имущество" для этих целей подходит прекрасно. Как отмечалось ранее, данная квалификация мало что дает в краткосрочном плане, поскольку сопряжена с высокой степенью неопределенности как самого понятия "имущество" в соотношении со смежными категориями, так и в силу неопределенности его правового режима <42>. Однако такая квалификация может стать отправной точкой для выработки более адекватного гражданско-правового режима персональных данных de lege ferenda, в особенности тех персональных данных, которые не могут быть отнесены к разряду информации, составляющей личную и семейную тайну, а также охватываемой правом на неприкосновенность частной жизни.
--------------------------------
<42> Савельев А.И. Гражданско-правовые аспекты регулирования оборота данных в условиях попыток формирования цифровой экономики.

Есть известное изречение о том, что эволюция законодательства развитых обществ двигалась по пути от регулирования правового статуса личности как некой статичной предписанной позиции к регулированию договорных взаимоотношений, выражающих их свободное волеизъявление. Данный тренд был лаконично обозначен известным английским юристом сэром Генри Майном как движение от "статуса к контракту" (from status to contract) <43>. Если попробовать спрогнозировать складывающуюся динамику развития гражданско-правовой характеристики персональных данных, то ее можно сформулировать схожим образом - как постепенное движение от личных неимущественных благ к имуществу особого рода. Если это утверждение справедливо хотя бы отчасти, то выступление персональных данных в качестве объекта обязательства требует особого рассмотрения в контексте тематики статьи.
--------------------------------
<43> Maine H. Ancient Law. John Murray, 1920. P. 180.

3. Согласие на обработку персональных данных как объект обязательства

Представим себе следующую ситуацию: клиент заключает договор с оператором бесплатного информационного сервиса, в рамках которого он предоставляет такому сервису длящуюся возможность обрабатывать свои персональные данные в объеме, превышающем минимально необходимый для исполнения договора и (или) выполнения требований законодательства. Иными словами, клиент, помимо своих контактных данных и возможности обработки своих данных для целей выполнения публично-правового законодательства <44>, предоставляет оператору согласие на обработку его данных в расширенном объеме, например на отслеживание и фиксацию его пользовательской активности при использовании сервиса или иных активностей в сети Интернет либо отслеживание его геолокации.
--------------------------------
<44> Например, возложенных на организатора распространения информации в сети Интернет в отношении хранения информации о соединениях и сообщениях пользователей для целей обеспечения возможности расследования преступления и иной правоохранительной деятельности (ст. 10.1 Закона об информации).

Требования к такому согласию предусмотрены в ст. 9 Закона о персональных данных, а в отношении информации, которая размещается пользователем в сети Интернет и становится доступной неопределенному кругу лиц, - ст. 10.1 названного Закона. Одним из ключевых элементов правового режима согласия на обработку персональных данных является право субъекта на отзыв согласия в любой момент (ч. 2 ст. 9, ч. 12 ст. 10.1 Закона о персональных данных). Соответственно, такой отзыв влечет утрату возможности оператора информационного сервиса осуществлять после этого обработку "избыточных" данных, т.е. тех, которые нельзя продолжать обрабатывать без согласия такого субъекта в силу закона. Такой отзыв не имеет ретроактивного действия и не затрагивает процессы обработки, которые осуществлялись оператором до момента его реализации.
Если исходить из того, что пользователь "расплачивается" за получаемый сервис предоставлением возможности обрабатывать персональные данные в расширенном объеме, то лишение оператора сервиса такой возможности не может не влечь договорно-правовых последствий, которые должны возникать дополнительно к последствиям такого отзыва, предусмотренным Законом о персональных данных.
Но прежде чем определить, какие это могут быть последствия, необходимо решить вопрос о том, может ли предоставление согласия субъекта на обработку персональных данных в принципе рассматриваться как действие, имеющее гражданско-правовую природу. Для ответа на этот вопрос уместно обратиться к ситуации схожего характера - регулированию порядка и условий дачи согласия гражданином на использование своего изображения. Учитывая тот факт, что изображение гражданина может быть отнесено к персональным данным как информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, существующие в судебной практике подходы к даче согласия на использование изображения могут быть по общему правилу применимы и к даче согласия на обработку персональных данных.
В Постановлении Пленума ВС РФ от 23 июня 2015 г. N 25 согласие на обнародование и использование изображения гражданина истолковано ВС РФ как сделка, требования к форме которой определяются общими правилами ГК РФ (п. 46). Далее ВС РФ отмечает, что согласие гражданина может содержать ряд условий, определяющих порядок и пределы обнародования и использования его изображения (сроки, способы и т.п.), и в случае, если оно было дано устно или конклюдентно, допустимые объем и цели использования изображения определяются исходя из обстановки дачи согласия (п. 47). И наконец, особенно важно разъяснение ВС РФ, дополнительно сближающее согласие на использование изображения с согласием на обработку персональных данных: ранее данное согласие гражданина на использование его изображения может быть отозвано в любое время, что дает право лицу, которое обладало правом на использование данного изображения, потребовать возмещения причиненных ему таким отзывом убытков (п. 49).
Из данных положений Постановления Пленума ВС РФ можно сделать вывод о том, что и согласие на обработку персональных данных может быть квалифицировано как сделка, а его отзыв может повлечь применение санкций гражданско-правового характера со стороны лица, которое обладало правом на обработку таких данных. Таким образом, мы можем констатировать, что согласие на обработку персональных данных может рассматриваться в орбите гражданского права как действие, регулируемое гражданским законодательством. А это уже позволяет ставить вопрос о том, можно ли такое действие сделать объектом обязательства.
Общее понятие обязательства содержится в ст. 307 ГК, согласно которой в силу обязательства одно лицо (должник) обязано совершить в пользу другого лица (кредитора) определенное действие либо воздержаться от определенного действия, а кредитор имеет право требовать от должника исполнения его обязанности. Как видно, данное понятие носит широкий характер и нет никаких особых препятствий отнести выдачу согласия на обработку персональных данных и воздержание от его последующего отзыва к разряду возможного объекта обязательства (положительного - в виде совершения действия по его выдаче в совокупности с отрицательным - в виде воздержания лица от его последующего отзыва в течение срока действия договора). И этот вывод вряд ли может поколебать тот факт, что требования к такому согласию и его содержанию достаточно жестко регламентируются специальным законодательством, хотя, конечно, это обстоятельство может быть использовано и для аргумента о публично-правовом характере возникающих в связи с дачей согласия на обработку персональных данных отношений.
Теперь необходимо установить, можно ли рассматривать обязательство пользователя по предоставлению согласия в качестве встречного. Согласно п. 1 ст. 328 ГК РФ таковым признается исполнение обязательства одной из сторон, которое обусловлено исполнением другой стороной своих обязательств. Представляется, что под данное определение вполне можно подвести возникающие при использовании индивидом бесплатных онлайн-сервисов отношения: пользователь получает доступ к онлайн-сервису в обмен на предоставление его оператору права на обработку его персональных данных в расширенном объеме. Если такой возможности оператору пользователь не предоставит, оператор утрачивает экономический стимул предоставлять ему соответствующий сервис, поскольку затраты на его обеспечение (программное, аппаратное обеспечение, электроэнергия, зарплата работников и др.) не будут окупаться. Это обусловлено тем, что при отсутствии возможности отслеживания активности пользователя при использовании такого сервиса и выявления на ее основе интересов такого пользователя невозможно индивидуализировать рекламу, что влечет утрату интереса к взаимодействию с таким сервисом со стороны потенциальных рекламодателей и лишает сервис данного источника прибыли. Единственный вариант обеспечить окупаемость сервиса - это сделать его платным для пользователей. В свою очередь, далеко не все пользователи готовы платить живыми деньгами за то, что привыкли получать практически бесплатно. Так что меновой характер соглашения, выраженный в предоставлении одного блага за другое, необходимый для признания обязательств встречными <45>, в данном случае вполне налицо. Тем более что, как отмечает А.Г. Карапетов, положения п. 2 ст. 328 ГК РФ о приостановлении встречного исполнения могут применяться и в том случае, когда обязательства не находятся в прямой синаллагматической связи, при условии, что взаимная обусловленность таких обязательств вытекает из принципов разумности, справедливости и добросовестности, т.е. встречность исполнения определяется фактической экономической взаимосвязью и зависит от контекста и политико-правовых соображений <46>.
--------------------------------
<45> Сарбаш С.В. Элементарная догматика обязательств. М.: Статут, 2020. С. 151.
<46> Договорное и обязательственное право (общая часть): Постатейный комментарий к статьям 307 - 453 Гражданского кодекса Российской Федерации / Отв. ред. А.Г. Карапетов. М.: Статут, 2017. С. 197 - 198 (автор комментария - А.Г. Карапетов).

Согласно п. 2 ст. 328 ГК РФ в случае непредоставления обязанной стороной предусмотренного договором исполнения обязательства сторона, на которой лежит встречное исполнение, вправе приостановить исполнение своего обязательства или отказаться от исполнения этого обязательства и потребовать возмещения убытков. Поскольку процесс обработки персональных данных носит длящийся характер и, соответственно, законное основание для такой обработки должно также носить длящийся характер, отзыв согласия на такую обработку может быть квалифицирован как непредоставление предусмотренного договором исполнения обязательства и влечь право оператора прекратить доступ к сервису. При этом особенностью обязательства пользователя, вытекающей из специфики персональных данных, является тот факт, что такой оператор не имеет возможности принудительно потребовать от индивида исполнить в натуре (ст. 398 ГК РФ) свое обязательство по предоставлению согласия и воздержанию от его отзыва. Такое требование вступило бы в прямое противоречие с идеологией законодательства о персональных данных. У оператора есть основание для обработки данных либо в силу свободного волеизъявления лица, либо в силу прямого указания закона, но понудить лицо к даче добровольного согласия невозможно <47>.
--------------------------------
<47> Хотя реальность последнего времени демонстрируют завидную гибкость органов власти в отношении толкования понятия "добровольное согласие" применительно к предписаниям "антивирусного" законодательства. Так, например, понуждение дистанционных работников к предоставлению персональных данных о себе третьим лицам, понуждение к вакцинации в условиях общего правила о добровольности медицинского вмешательства - все это свидетельствует о том, что в определенных случаях автономия воли лица легко уступает место соображениям конъюнктурной целесообразности. Это не означает незаконности подобных посягательств на свободное волеизъявление лица. См. подробнее: Заключение Комиссии по правовому обеспечению цифровой экономики МО АЮР "О законности требований о предоставлении работодателями информации о работниках, переведенных на дистанционный режим работы" от 16 октября 2020 г. // https://alrf.msk.ru/no_value_selected_125959234.

Можно ли рассматривать персональные данные в качестве встречного предоставления с учетом тех соображений, которые ранее были высказаны в отношении их квалификации в системе объектов гражданских прав и объекта обязательства? В зарубежной литературе дается положительный ответ на этот вопрос <48>. При этом в ЕС данный вопрос является крайне непростым с политико-правовой точки зрения. Принятие DCD сопровождалось позицией европейского уполномоченного по вопросам персональных данных (European Data Protection Supervisor), который категорично ответил: "Мы против идеи о том, что люди могут платить их данными таким же образом, как и деньгами. Фундаментальные права, такие как право на защиту персональных данных, не могут быть ограничены рамками обычных интересов потребителя, а сами персональные данные не могут рассматриваться в качестве товара" <49>. Как следствие, упоминание в итоговом тексте Директивы слов "встречное предоставление" применительно к персональным данным было удалено, а итоговый текст ст. 3 Директивы содержит более нейтральную формулировку о том, что она "применяется и к случаям, когда потребитель предоставляет предпринимателю свои персональные данные в объеме, превышающем необходимый для целей исполнения договора или выполнения требований законодательства оператором". Кроме того, в п. 24 преамбулы Директивы указано в явном виде, что персональные данные не являются товаром (commodity). Но если абстрагироваться от политико-правовой и популистской составляющей данного вопроса, то сам факт признания возможности распространения действия Директивы на отношения, где потребитель предоставляет свои данные в расширенном объеме, свидетельствует о признании их встречным предоставлением, безотносительно к характеру используемых формулировок. И от такого признания субъект персональных данных, выступающий в качестве потребителя, только выиграл. В этой связи представляется целесообразным внести схожие изменения и в отечественный Закон о защите прав потребителей, а до таких изменений рассматривать соглашения с операторами информационных сервисов и мобильных приложений, в рамках которых потребитель расплачивается не деньгами, а предоставляет права обрабатывать его персональные данные, в расширенном объеме - в качестве возмездного договора с распространением на него положений законодательства о защите прав потребителей.
--------------------------------
<48> Data as Counter-Performance - Contract Law 2.0? Munster Colloquia on EU Law and the Digital Economy V / Ed. by S. Lohsse, R. Schulze, D. Staudenmayer. P. 55.
<49> Opinion 4/2017 on the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content (2017) // https://edps.europa.eu/sites/edp/files/publication/17-03-14_opinion_digital_content_en.pdf. Позиция о невозможности отнесения персональных данных к разряду встречного предоставления по гражданско-правовому договору высказывалась в ЕС и ранее. См.: Art 29 WP, Guidelines on consent under Regulation 2016/679 (2018). P. 8 // https://ec.europa.eu/newsroom/article29/items/623051 ("Положения GDPR о требованиях к согласию и возможности его отзыва гарантируют, что персональные данные не станут прямо или косвенно встречным предоставлением по договору").

При рассмотрении вопроса о возможности квалификации персональных данных в качестве встречного предоставления в ряде случаев может ребром ставиться вопрос об их рыночной стоимости, которую, как отмечалось выше, крайне непросто определить. Это может быть актуально в контексте договорных взаимоотношений субъекта и организации, где эти данные фигурируют в качестве "оплаты". В перспективе не исключена реинкарнация доктрины laesio enormis <50> в отношении случаев, когда пользователь предоставляет согласие на обработку персональных данных в заведомо чрезмерном объеме по сравнению с объемом получаемого функционала интернет-ресурса или мобильного приложения. Одно дело, когда субъект за предоставленную возможность обработки его персональных данных получает достаточно сложный и функциональный сервис (поисковый, навигационный и пр.). Другое дело, когда он предоставляет кучу разрешений на обработку своих данных в обмен на приложение в виде фонарика для смартфона <51>. Конечно, крайне непросто будет установить в таких случаях явную несоразмерность встречных предоставлений, но заключения экспертов в ряде случаев позволят это сделать. Однако развитие данной доктрины будет иметь смысл только при существенном распространении практик несоразмерности встречных предоставлений, одним из которых является информация, поскольку норм законодательства о персональных данных в виде принципа минимизации <52> может оказаться уже недостаточно для пресечения таких практик в частноправовой плоскости.
--------------------------------
<50> Данная доктрина берет свое начало в позднеримском праве. Согласно названной доктрине, если недвижимость была продана менее чем за половину ее действительной стоимости, то продавец мог расторгнуть договор и потребовать свою вещь назад. Покупатель же мог избежать таких последствий, уплатив разницу в цене. Данный институт был упомянут в Кодексе Юстиниана (4.44.2) в рамках Corpus Juris Civilis как относящийся к эпохе Диоклетиана (конец III - начало IV вв. н. э.). Позднее доктрина laesio enormis находила поддержку и в трудах многих представителей естественно-правовой школы, требовавших справедливого, т.е. равноценного, обмена. В частности, принцип эквивалентности обмениваемых благ находил соответствующим естественному праву Гуго Гроций. Более того, Самуэль Пуфендорф в том же XVII в. писал, что с точки зрения естественного права оспаривать договор можно и тогда, когда ценность обмениваемых благ различается меньше чем в два раза. См. подробнее: Карапетов А.Г., Савельев А.И. Указ. соч.
<51> Приложения-фонарики из Google Play злоупотребляют доступом к данным // https://blog.avast.com/ru/prilozheniya-fonariki-iz-google-play-zloupotreblyayut-dostupom-k-dannym.
<52> См. ч. 5 ст. 5 Закона о персональных данных ("Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки").

4. Соотношение законодательства о персональных данных и гражданско-правового регулирования и его влияние на действительность договора

Представим себе немного другие типы договорных отношений, при которых персональные данные могут стать объектом оборота. В частности, договоры, по которым одна организация (исполнитель) предоставляет другой организации (заказчику) услуги по обработке имеющегося у нее массива персональных данных с целью выведения определенных инсайдов и корреляций в таком массиве данных. Такие соглашения могут быть квалифицированы как договор об оказании услуг по предоставлению информации (ст. 783.1 ГК РФ). Или договоры, по которым одна организация предоставляет на возмездных началах другой базу данных, представляющую собой массив персональных данных, которые, в зависимости от ситуации, могут быть квалифицированы как лицензионные соглашения или договоры об отчуждении базы данных как объекта смежных прав (ст. 1308 и 1307 ГК РФ соответственно).
Предположим, что осуществляемая в рамках таких соглашений обработка персональных данных, в том числе посредством их передачи другому лицу, не имеет законного основания в виде согласия субъектов персональных данных или иных оснований из числа указанных в законе. Каковы последствия подобного нарушения законодательства о персональных данных для договорных отношений сторон? Данный вопрос особенно интересен с учетом разных принципов регулирования, заложенных в них: принципа свободы договора в одном случае и принципа "запрещено все, кроме прямо разрешенного" в отношении законодательства о персональных данных и оснований для обработки персональных данных, в частности.
Общие основания недействительности сделок, нарушающих требования законодательства, содержатся в ст. 168 ГК РФ. По общему правилу сделка, нарушающая требования закона или иного правового акта, является оспоримой, если из закона не следует, что должны применяться другие последствия нарушения, не связанные с недействительностью сделки (п. 1). При этом сделка, нарушающая требования закона или иного правового акта и при этом посягающая на публичные интересы либо права и охраняемые законом интересы третьих лиц, ничтожна, если из закона не следует, что такая сделка оспорима или должны применяться другие последствия нарушения, не связанные с недействительностью сделки (п. 2). Учитывая, что законодательство о персональных данных выполняет явно выраженную защитную функцию в отношении прав граждан, которые в данном случае выступают третьими лицами (ст. 2 Закона о персональных данных), есть основания для вывода о том, что должен применяться в таких случаях именно п. 2 ст. 168 ГК РФ, предписывающий ничтожность договора в случаях, когда при его исполнении нарушаются положения законодательства о персональных данных.
Однако одна из проблем подобного упрощенного, one size fits all подхода заключается в том, что законодательство о персональных данных регламентирует условия допустимости обработки конкретных персональных данных, не оперируя вопросами законности обмена такими данными между отдельными лицами в целом. Таким образом, не исключена ситуация, при которой какие-то данные в массиве будут обрабатываться с соблюдением прав одних субъектов (например, при наличии их действительного согласия), а иные - с нарушением требований такого законодательства в части наличия законного основания для обработки. Например, такая ситуация возможна с массивами обезличенных медицинских данных, в которых данные части пациентов обрабатываются в рамках такого договора на основании письменного согласия субъекта, а персональные данные других пациентов обрабатываются на основании согласия, не соответствующего требованиям закона. Или другой пример. Организация предоставляет партнеру массив персональных данных своих клиентов с их именами и историями покупок для последующего использования таких данных для реализации им рекламной кампании в отношении собственных продуктов. часть клиентов, чьи данные фигурируют в массиве, предоставила свое согласие на такую обработку посредством передачи своих данных партнерам оператора в маркетинговых целях, но часть клиентов отозвала свое согласие на момент передачи такого массива, однако их данные не были исключены из такого массива. Подобная частичная незаконность обработки массива персональных данных не ретранслируется в положения традиционного договорного права о недействительности части договора, на что обращается внимание и в зарубежной доктрине <53>. Действительно, ст. 180 ГК РФ допускает возможность признания недействительной части сделки, если можно предположить, что сделка была бы совершена и без включения недействительной ее части. Но это касается возможности признания недействительной части условий договора, а не составных частей объекта такого договора.
--------------------------------
<53> Data as Counter-Performance - Contract Law 2.0? Munster Colloquia on EU Law and the Digital Economy V / Ed. by S. Lohsse, R. Schulze, D. Staudenmayer. P. 57.

Не учитывает такой подход и характер соответствующего нарушения. Одно дело - отсутствие согласия на обработку персональных данных в принципе, другое - отсутствие в таком согласии одного из реквизитов, которое не влияет на суть волеизъявления субъекта. "Ничтожить" соглашения в таких случаях без учета подобных нюансов видится неверным.
Кроме того, признание ничтожным всего договора на основании факта наличия отдельных нарушений порядка обработки массива персональных данных может негативным образом сказаться на добросовестном контрагенте, который не может в ряде случаев проконтролировать соблюдение таких положений своим партнером, лишив добросовестную сторону предусмотренных в договоре средств защиты и оставив наедине с реституцией. В этой связи куда более правильным видится применение подходов, принятых в сфере соглашений о цессии, в соответствии с которыми действительность соглашения об уступке права требования не ставится в зависимость от действительности требования, которое передается новому кредитору. Неисполнение обязательства по передаче предмета соглашения об уступке права требования влечет ответственность передающей стороны, а не недействительность самого обязательства, на основании которого передается право <54>. К этому следует добавить еще и то соображение, что законодательство о персональных данных уже содержит определенный арсенал защиты прав субъектов таких данных, который вполне себе самодостаточен и может предоставить субъектам, чьи права нарушены, средства защиты их права без необходимости вмешательства в договорные отношения третьих лиц.
--------------------------------
<54> Пункт 1 информационного письма Президиума ВАС РФ от 30 октября 2007 г. N 120 "Обзор практики применения арбитражными судами положений главы 24 Гражданского кодекса Российской Федерации"; п. 8 Постановления Пленума ВС РФ от 21 декабря 2017 г. N 54 "О некоторых вопросах применения положений главы 24 Гражданского кодекса Российской Федерации о перемене лиц в обязательстве на основании сделки".

Таким образом, есть веские доводы в пользу вывода о том, что сам по себе факт нарушения законодательства о персональных данных при обработке массивов данных в рамках исполнения соглашений между организациями, в которых такая обработка является одной из целей договора, не должен влечь механически признание таких договоров ничтожными.
Однако в ситуациях, когда обе стороны договора заведомо знают о том, что выступающий его объектом массив персональных данных обрабатывается с нарушением законодательства о персональных данных, а равно в тех случаях, когда такое нарушение затрагивает законность обработки такого массива данных в целом, вполне можно ставить вопрос о признании договора недействительным. Очевидным примером таких ситуаций будет являться продажа массивов данных, выступивших предметом утечки или незаконного приобретения на черном рынке.
Но примеры соглашений с массивами персональных данных - кандидатов на признание ничтожными сделками могут возникнуть и в обычной хозяйственной деятельности организации, в частности когда передача таких данных иному лицу в принципе не должна осуществляться по причине отсутствия законного основания для нее. И такое основание отсутствует в отношении всех персональных данных, входящих в такой массив, по причине неправильных подходов компании к обеспечению комплаенса в области персональных данных. Например, в принципе отсутствуют согласия субъектов на такую передачу или иное законное основание, либо же все согласия получены с нарушением требований закона (в виде "галочки" вместо требуемой квалифицированной письменной формы). В таких случаях есть основания для постановки вопроса о признании такой сделки недействительной. По общему правилу такая сделка должна быть ничтожной по п. 2 ст. 168 ГК РФ как нарушающая права и охраняемые законом интересы третьих лиц.
Представляется, что положения ст. 173.1 ГК РФ о недействительности сделки, совершенной без необходимого в силу закона согласия третьего лица, вряд ли применимы к подобным ситуациям по причине того, что: 1) согласие третьего лица - субъекта персональных данных является не единственным возможным условием законности обработки массивов персональных данных посредством их передачи другому лицу; 2) есть огромное количество субъектов, чьи данные фигурируют в массиве, при котором инициирование каждым из них процесса оспаривания сделки было бы неразумным. В связи с этим более правильно рассматривать такие сделки ничтожными в целом, при этом в качестве истца, скорее всего, мог бы выступать уполномоченный на ведение контрольно-надзорной деятельности в сфере персональных данных орган - Роскомнадзор, а в некоторых случаях и прокурор. При этом, конечно, нельзя исключать и ситуации, когда отдельные граждане могут ставить вопрос о признании соглашений о передаче их данных третьим лицам ничтожными по причине существенных нарушений законодательства о персональных данных. Главной причиной отсутствия подобного рода большого количества споров в этой области видится латентность соответствующих действий, но есть все основания полагать, что в перспективе, по мере дальнейшей интенсификации оборота персональных данных и появления специализированных посредников на этом рынке в виде информационных брокеров, такие споры начнут появляться в судах.

5. Некоторые выводы

1. Персональные данные являются de facto объектом гражданского оборота. Наиболее близкой категорией объектов гражданских прав, к которым они могут быть отнесены, являются нематериальные блага - неприкосновенность частной жизни, личная и семейная тайна. Однако такие особенности персональных данных, как (1) потенциально более широкий объем по сравнению с информацией, составляющей неприкосновенность частной жизни, личную и семейную тайну, (2) наличие у персональных данных коммерческой ценности и рыночной стоимости, подогреваемых существующими бизнес-моделями интернет-компаний, являются основанием для последующего обособления их в иной, более благоприятный для оборота правовой режим, основой которого может стать концепция "иного имущества" и регулирование, содержащееся в Законе об информации.
2. Согласие на обработку персональных данных в расширенном объеме и последующее воздержание субъекта от его отзыва может быть объектом обязательства и встречным предоставлением в отношении действий контрагента по предоставлению информационного сервиса или функционала мобильного приложения. Отзыв согласия субъектом в рамках такого соглашения может являться основанием для приостановления или прекращения договора в одностороннем порядке другой стороной.
3. Сам по себе факт нарушения законодательства о персональных данных при обработке массивов данных в рамках исполнения соглашений между организациями, в которых такая обработка является одной из целей договора, не должен влечь признание таких договоров ничтожными. Однако в ситуациях, когда обе стороны договора заведомо знают о том, что выступающий его объектом массив персональных данных обрабатывается с нарушением законодательства о персональных данных, а равно в случаях, когда такое нарушение затрагивает законность обработки такого массива данных в целом, можно ставить вопрос о признании договора ничтожным.
Рассмотрение гражданско-правовых аспектов оборота персональных данных будет продолжено автором в последующих публикациях.

References

  1. Беляева К.К. Распоряжение правом на изображение в Российской Федерации и за рубежом [Beliaeva K.K. Disposition of the Right to Image in the Russian Federation and Abroad] (in Russian) // Civil Law Review. 2019. No. 2.
  2. Договорное и обязательственное право (общая часть): Постатейный комментарий к статьям 307 - 453 Гражданского кодекса Российской Федерации / Отв. ред. А.Г. Карапетов [Contractual and Liability Law (General Part): Article-by-Article Commentary to Articles 307 - 453 of the Civil Code of the Russian Federation / Ed. by A.G. Karapetov] (in Russian). Moscow: Statut, 2017.
  3. Карапетов А.Г., Савельев А.И. Свобода договора и ее пределы: В 2 т. Т. 2: Пределы свободы определения условий договора в зарубежном и российском праве [Karapetov A.G., Savelyev A.I. Freedom of Contract and its Limits. In 2 vols. Vol. 2: The Limits of Freedom to Determine the Terms of the Contract in Foreign and Russian Law] (in Russian). Moscow: Statut, 2012.
  4. Малеина М.Н. Защита личных неимущественных прав советских граждан [Maleina M.N. Protection of Personal Non-Property Rights of Soviet Citizens] (in Russian). Moscow: Znanie, 1991.
  5. Малеина М.Н. Право на тайну и неприкосновенность персональных данных [Maleina M.N. The Right to Secrecy and Inviolability of Personal Data] (in Russian) // Journal of Russian Law. 2010. No. 11.
  6. Михеева Л.Ю. Модернизация института нематериальных благ: достижения и перспективы [Mikheeva L.Iu. Modernization of the Institute of Intangible Benefits: Achievements and Prospects] (in Russian) // Кодификация российского частного права 2019 / Под ред. Д.А. Медведева [Codification of Russian Private Law 2019 / Ed. by D.A. Medvedev]. Moscow: Statut, 2019.
  7. Савельев А.И. Гражданско-правовые аспекты регулирования оборота данных в условиях попыток формирования цифровой экономики [Savelyev A.I. Civil Law Aspects of Data Circulation Regulation in the Context of Attempts to Form a Digital Economy] (in Russian) // Civil Law Review. 2020. No. 1.
  8. Савельев А.И. Комментарий к Федеральному закону "О персональных данных" [Savelyev A.I. Commentary on the Federal Law "On Personal Data"] (in Russian). 2nd ed. Moscow: Statut, 2021.
  9. Савельев А.И. Направления эволюции свободы договора под влиянием современных информационных технологий [Savelyev A.I. Directions of the Evolution of Freedom of Contract Under the Influence of Modern Information Technologies] (in Russian) // Свобода договора: Сборник статей / Отв. ред. М.А. Рожкова [Freedom of Contract: Collection of Articles / Ed. by M.A. Rozhkova]. Moscow: Statut, 2016.
  10. Сарбаш С.В. Элементарная догматика обязательств [Sarbash S.V. Elementary Dogmatics of Obligations] (in Russian). Moscow: Statut, 2020.
  11. Ульбашев А.Х. Общее учение о личных правах [Ulbashev A.Kh. General Doctrine of Personal Rights] (in Russian). Moscow: Statut, 2019.
  12. Data as Counter-Performance - Contract Law 2.0? Munster Colloquia on EU Law and the Digital Economy V / Ed. by S. Lohsse, R. Schulze, D. Staudenmayer. Nomos, 2020.
  13. Maine H. Ancient Law. John Murray, 1920.
  14. Moynihan Q., Asenjo A. Facebook quietly ditched the "It's free and always will be" slogan from its homepage // https://www.businessinsider.com/facebook-changes-free-and-always-will-be-slogan-on-homepage-2019-8.
  15. Solove D.J. Conceptualizing Privacy // California Law Review. 2002. Vol. 90(4).
  16. Warren S.D., Brandeis L.D. The Right to Privacy // Harvard Law Review. 1890. Vol. 4(5).
  17. Westin A.F. Privacy and Freedom. The Bodley Head, 1967.
10.01.2022

Внесенным в Госдуму Правительством законопроектом предлагается введение в КоАП РФ нового состава административного правонарушения по статье 14.6.1 "Непредставление предложения о цене на продукцию по государственному оборонному заказу и информации о затратах на ее производство".

подробнее
29.12.2021

Законопроект направлен на установление условий предоставления гражданства РФ лицам, которые проживают в России и способны стать полноценными членами российского общества. В частности, законопроектом предусмотрено сокращение числа требований более чем к 20 категориям лиц при приеме их в гражданство Российской Федерации и признании российскими гражданами. Также расширен перечень преступлений, совершение которых влечет за собой прекращение гражданства РФ.

подробнее
25.12.2021

Законопроектом предлагается запретить применение пиротехнических изделий на территориях населенных пунктов (за исключением специально отведенных мест), в зданиях, строениях и сооружениях, в лесах, на особо охраняемых природных территориях и иных, установленных законом, местах.

подробнее
21.12.2021

Закон направлен на реализацию положений Конституции о единой системе публичной власти, а также на совершенствование организации публичной власти в субъектах Российской Федерации. Новый закон, в частности, запрещает главам регионов именоваться президентами, при этом разрешая им избираться более чем на два срока подряд.

подробнее
17.12.2021

Законопроект предусматривает введение уголовной ответственности за нарушение ПДД лицом, ранее подвергнутым административному наказанию и лишенным права управления транспортными средствами.

подробнее
13.12.2021

Проект закона ориентирован на установление особенностей регулирования отношений, которые связаны с выбросами и поглощением парниковых газов на территории Сахалинской области. Законопроектом также предусмотрена возможность включения в данный эксперимент иных субъектов РФ, методом внесения изменений в этот закон.

подробнее

Информация. Знания. Результат
↑