ОБЯЗАННОСТИ ГОСУДАРСТВА В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕЖДУНАРОДНОМ ПРАВЕ

АННОТАЦИЯ

В статье анализируются обязанности государства в сфере защиты персональных данных сквозь призму международного права прав человека. На основе раскрытия понятия персональных данных, взаимосвязи между защитой персональных данных и правом на неприкосновенность частной жизни, а также перехода от традиционного понимания privacy к data protection в цифровой среде, обосновывается, что защита персональных данных стала важным элементом современного международного права.

ABSTRACT

The article examines state obligations in the field of personal data protection through the prism of international human rights law. By clarifying the concept of personal data, the relationship between personal data protection and the right to privacy, as well as the shift from the traditional understanding of privacy to data protection in the digital environment, the article substantiates that personal data protection has become an important component of contemporary international law.

Ключевые слова: защита персональных данных; право на неприкосновенность частной жизни; обязанности государства; международное право.

Keywords: personal data protection; right to privacy; state obligations; international law.

1. В международном праве прав человека персональные данные все в большей степени рассматриваются как самостоятельный объект правовой защиты, хотя их концептуальная основа восходит к праву на неприкосновенность частной жизни. На понятийном уровне специальные международные акты, как правило, определяют персональные данные как любую информацию, относящуюся к идентифицированному либо идентифицируемому физическому лицу. Конвенция Совета Европы № 108 о защите физических лиц при автоматизированной обработке персональных данных закрепляет, что ее целью является обеспечение уважения основных прав и свобод человека, «в особенности права на неприкосновенность частной жизни», в связи с обработкой персональных данных. Из этого следует, что в теоретическом плане персональные данные представляют собой не просто информацию как таковую, а составной элемент правового статуса личности в цифровом обществе, непосредственно связанный с человеческим достоинством, личной автономией и правом лица контролировать сведения о себе.

Наиболее значимым международно-правовым основанием обязанностей государства в сфере защиты персональных данных является статья 17 ICCPR. Данная норма прямо устанавливает, что никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, неприкосновенность жилища или тайну корреспонденции, и что каждый имеет право на защиту закона от такого вмешательства или таких посягательств. Хотя в статье 17 ICCPR не используется термин «персональные данные», содержание этой нормы создает необходимую нормативную основу для выведения обязанностей государства по регулированию сбора, хранения, использования и раскрытия информации, относящейся к личности. По своей сущности речь идет не только о негативной обязанности государства воздерживаться от произвольного вторжения в частную жизнь, но и о позитивной обязанности обеспечивать правовую защиту лица от нарушений, исходящих как от публичных органов, так и от иных субъектов.

General Comment No. 16 Комитета по правам человека позволяет более полно раскрыть содержание статьи 17 ICCPR. Согласно данному толкованию, хранение персональной информации в компьютерах, банках данных или иных устройствах, независимо от того, находятся ли они в ведении публичных или частных субъектов, должно регулироваться законом. Комитет особо подчеркнул, что государство обязано принимать эффективные меры для того, чтобы информация, относящаяся к частной жизни лица, не попадала в распоряжение лиц, не уполномоченных законом на ее получение, обработку или использование; одновременно каждому должно быть обеспечено право на проверку, исправление либо удаление недостоверных данных или данных, собранных и обработанных с нарушением закона. Исходя из General Comment No. 16, можно выделить три базовые группы обязанностей государства: обязанность принять законодательные меры, обязанность обеспечить механизмы контроля за обработкой данных и обязанность предоставить лицу эффективные средства правовой защиты.

На уровне развития международных стандартов OHCHR существенно расширило данное понимание в серии докладов и инициатив, посвященных «праву на неприкосновенность частной жизни в цифровую эпоху». OHCHR подчеркивает, что цифровые технологии, цифровое наблюдение, большие данные и искусственный интеллект создают качественно новые вызовы для права на неприкосновенность частной жизни и связанных с ним прав; следовательно, государство обязано формировать полноценную правовую рамку, обеспечивающую соблюдение принципов необходимости, законности, соразмерности, недискриминации, независимого надзора и подотчетности при любой обработке данных. Последние доклады OHCHR также показывают, что обработка данных не сводится к проблематике privacy в узком смысле, а затрагивает вопросы равенства, свободы выражения мнения, свободы собраний и риски технологически обусловленной дискриминации.

Наряду с системой защиты прав человека Организации Объединенных Наций, Convention 108 и Convention 108+ Совета Европы представляют собой важнейшие специальные международные инструменты в области защиты персональных данных. Совет Европы рассматривает Convention 108 как первый международно-правовой обязательный акт в данной сфере; государства-участники обязаны принять необходимые меры во внутреннем праве для реализации принципов Конвенции и обеспечения уважения прав человека при обработке персональных данных на своей территории. Редакция 108+ модернизирует данный акт с учетом новых технологий и усиливает механизмы его практического действия. Одновременно с этим OECD Privacy Guidelines, хотя и не обладают обязательной силой международного договора, представляют собой свод принципов, оказавший глобальное влияние; они ориентируют государства на учет принципов защиты частной жизни во внутреннем законодательстве, развитие трансграничного сотрудничества и недопущение необоснованных барьеров для международных потоков данных. Таким образом, совокупность указанных источников свидетельствует о том, что обязанности государства в сфере защиты персональных данных по международному праву включают не только признание соответствующего права, но и имплементацию принципов в национальное право, создание механизмов надзора, а также обеспечение безопасного и надежного управления трансграничными потоками данных.

2. С точки зрения международного права прав человека обязанности государства в сфере защиты персональных данных прежде всего выражаются в обязанности уважать право личности на неприкосновенность частной жизни. Нормативная основа данной обязанности закреплена в статье 17 ICCPR, согласно которой никто не может подвергаться «произвольному или незаконному» вмешательству в его личную и семейную жизнь, неприкосновенность жилища или тайну корреспонденции, и каждый имеет право на защиту закона от такого вмешательства («статья 17 ICCPR»). Из этого положения следует, что государство не вправе самостоятельно осуществлять сбор, хранение, использование или передачу персональных данных без достаточного правового основания, вне пределов необходимости либо с выходом за рамки допустимого ограничения прав. В цифровую эпоху OHCHR дополнительно подчеркивает, что любые меры государственного наблюдения и обработки данных должны отвечать требованиям «lawful, necessary and proportionate» («OHCHR, Privacy in the Digital Age»).

Во-вторых, государство несет обязанность защищать личность от посягательств на данные как со стороны публичных, так и со стороны частных субъектов. Данный аспект был разъяснен Комитетом по правам человека в General Comment No. 16, где подчеркивается, что хранение персональной информации в «computers, data banks and other devices» должно регулироваться законом, а государство обязано принимать эффективные меры для обеспечения того, чтобы такая информация не становилась объектом неправомерного доступа, использования или раскрытия («General Comment No. 16»). Это означает, что обязанности государства не сводятся лишь к самоограничению публичной власти, но включают также необходимость регулирования и контроля обработки данных, осуществляемой коммерческими компаниями, цифровыми платформами, финансовыми и медицинскими организациями, а равно иными частноправовыми субъектами.

В-третьих, государство обязано обеспечивать реализацию соответствующих гарантий посредством формирования надлежащей правовой рамки и эффективных надзорных институтов. В том же направлении OECD Privacy Guidelines закрепляют такие принципы, как ограничение сбора данных, определенность цели обработки, обеспечение безопасности, открытость и подотчетность («OECD Privacy Guidelines»). На основе этих стандартов можно сделать вывод, что государство обязано принимать специальное законодательство, четко определять правовые основания обработки данных, права субъектов данных, обязанности контролеров данных и механизмы независимого надзора.

Наконец, государство обязано обеспечивать эффективные средства правовой защиты и безопасное управление трансграничными потоками данных. General Comment No. 16 подчеркивает, что каждое лицо должно иметь право знать, какие сведения о нем хранятся, а также требовать «rectification or elimination» в случае, если данные являются недостоверными либо были собраны незаконно. В свою очередь, OECD признает, что защита данных должна сочетаться с обеспечением «transborder flows of personal data» в международной среде. Следовательно, содержание обязанностей государства в сфере защиты персональных данных охватывает четыре тесно взаимосвязанных измерения: уважение, защиту, обеспечение реализации и предоставление средств правовой защиты. Именно такая структура обязанностей в наибольшей степени соответствует пониманию защиты персональных данных как составной части прав человека в цифровую эпоху.

В условиях глобальной цифровой трансформации обязанности государства в сфере защиты персональных данных сталкиваются со все более сложными вызовами, прежде всего в связи с расширением цифрового наблюдения. Современные технологии наблюдения позволяют государству и частным субъектам собирать, анализировать и объединять огромные массивы данных о поведении, местоположении, коммуникациях и взаимодействиях человека в цифровой среде. С точки зрения международного права прав человека возникающий вызов состоит не только в предотвращении «произвольного или незаконного» вмешательства в частную жизнь в смысле «статьи 17 ICCPR», но и в сдерживании тенденции к нормализации наблюдения в сфере публичного управления и в цифровой экономике.

Другой заметный вызов связан с искусственным интеллектом (AI) и обработкой данных в крупном масштабе. Искусственный интеллект использует персональные данные не только как исходный материал, но и способен формировать более глубокие выводы о поведении человека, состоянии его здоровья, потребительских предпочтениях, политических и религиозных взглядах, а также о степени индивидуального риска. Это свидетельствует о том, что обязанность государства в настоящее время не может ограничиваться защитой данных в ее традиционном понимании, а должна распространяться на контроль автоматизированных решений, оценку алгоритмических рисков и обеспечение прав личности в условиях обработки данных с использованием новых технологий.

Особые вызовы создают и биометрические данные. В отличие от обычных данных, биометрические сведения, такие как изображение лица, отпечатки пальцев, радужная оболочка глаза или голос, непосредственно связаны с идентификационными признаками человека, которые невозможно легко изменить. Как только такие данные собираются, становятся доступными третьим лицам либо используются не по назначению, последствия для права на неприкосновенность частной жизни и личной безопасности оказываются значительно более серьезными, чем в случае с обычными идентификационными данными. Аналогичным образом данные о детях и медицинские данные относятся к числу чувствительных категорий информации, требующих повышенного уровня защиты. Международные стандарты защиты данных, включая «Convention 108/108+», свидетельствуют о тенденции к усиленной правовой охране именно таких чувствительных и уязвимых категорий данных.

Наконец, трансграничная передача данных является структурным вызовом цифровой эпохи. Проблема состоит в том, что в настоящее время персональные данные нередко обрабатываются в нескольких государствах, где уровень правовой защиты неодинаков, что ограничивает возможности контроля как со стороны самого лица, так и со стороны государственных органов. Поэтому современный вызов для государства заключается не только в принятии законодательства в пределах собственной юрисдикции, но и в формировании механизмов международного сотрудничества, согласования стандартов и эффективного надзора за трансграничными потоками данных в целях обеспечения прав человека в глобальной цифровой среде.

С точки зрения международного права прав человека защита персональных данных в настоящее время уже не является сугубо техническим вопросом управления информацией, а превратилась в важнейший элемент обязанностей государства по обеспечению прав человека. Исходя из нормативной основы «статьи 17 ICCPR» и ее толкования в «General Comment No. 16», можно утверждать, что государство обязано не только воздерживаться от произвольного или незаконного вмешательства в частную жизнь, но и формировать правовую рамку, механизмы надзора и эффективные средства правовой защиты для обеспечения безопасности личности перед рисками, связанными с обработкой данных.

Список литературы:

1. International Covenant on Civil and Political Rights of 16 December 1966 // United Nations Treaty Series. 1976. Vol. 999. P. 171–347.
2. Human Rights Committee. General Comment No. 16: Article 17 (Right to Privacy) // Compilation of General Comments and General Recommendations Adopted by Human Rights Treaty Bodies. U.N. Doc. HRI/GEN/1/Rev.1. 1994.
3. Office of the United Nations High Commissioner for Human Rights. The right to privacy in the digital age. Report of the United Nations High Commissioner for Human Rights // U.N. Doc. A/HRC/39/29. 3 August 2018.
4. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. Paris: Organisation for Economic Co-operation and Development, 2013.