Цифровые технологии в системе частно-правовых (цивилистических) отношений
Digital
T
echnologies in the
S
ystem of
P
rivate-legal (
C
ivilistic)
Relations
Цифровые технологии в системе частно-правовых (цивилистических) отношений
Digital
T
echnologies in the
S
ystem of
P
rivate-legal (
C
ivilistic)
Relations
208
6. Интервью А. И. Клименко о теории права в эпоху цифровизации. URL:
https://youtu.be/EB06GKXB5eY
7. Калятин В. О. Определение субъекта прав на результаты интеллектуаль-
ной деятельности, созданные с использованием искусственного интеллекта //
Право. Журнал Высшей школы экономики. 2022. № 4. С. 24-50.
8. Морхат П. М. Правосубъектность искусственного интеллекта в сфере
права интеллектуальной собственности: гражданско-правовые проблемы: дис. …
д.-ра юрид. наук. М., 2018. 420 с.
9. Нейросети для генерации музыки. URL: https://dzen.ru/a/Y-JExb-HXE-
1usxQ
10. Нейросеть за один вечер написала диплом за российского студента. URL:
https://www.msk.kp.ru/daily/27460/4714947
11. Раянов Ф. М. Фундаментальные основы современной философии права
// Юридическая наука: история и современность. 2016. № 8. С. 184-188.
12. Толковый словарь С. И. Ожегова онлайн. URL: https://gufo.me
13. Тумаков А. В., Петраков Н. А. Проблемы правовой охраны объектов,
созданных с использованием технологий искусственного интеллекта // Цивилист.
2022. № 4. С. 16-28.
Е. В. Мартыненко,
доктор политических наук, профессор,
Российский университет дружбы народов
имени Патриса Лумумбы
ФРАНЦУЗСКАЯ МОДЕЛЬ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ:
ОСНОВНЫЕ ТЕНДЕНЦИИ В ПРАВОВОЙ СФЕРЕ
Аннотация.
В статье представлен обзор мер, которые принимаются во
Франции для защиты сбора, обработки и хранения персональных данных. В част-
ности, проанализированы трансформация Закона об информатике и гражданских
свободах с 1978 года по настоящее время, а также деятельность Национальной ко-
миссии по информатике и гражданским свободам, формирование ее приоритетов,
находящихся в прямой зависимости от тенденций глобального киберпространства.
Статья подготовлена в рамках инициативной НИР кафедры теории и истории жур-
налистики РУДН № 050737-2-000 «Исследование медиасистем и медиаиндустрии
России и мира: научно-образовательная компонента».
Ключевые слова
: право, законодательство, киберугрозы, персональные дан-
ные, цифровые технологии, утечка данных, таргетированная реклама, Франция
FRENCH MODEL OF PERSONAL DATA PROTECTION:
MAIN TRENDS IN THE LEGAL FIELD
Abstract.
This article is an overview of the measures taken in France to protect
the collection, processing and storage of personal data. In particular, the transformation
Цифровые технологии в системе частно-правовых (цивилистических) отношений
Digital
T
echnologies in the
S
ystem of
P
rivate-legal (
C
ivilistic)
Relations
209
of the Law on Computer Science and Civil Liberties from 1978 to the present day is
analyzed, as well as the activities of the National Commission on Computer Science and
Civil Liberties, the formation of its priorities depending on trends in global cyberspace.
Keywords
:
law, legislation, cyber threats, personal data, digital technologies, data
leakage, targeted advertising, France
Введение.
Развитие современных технологий с каждым годом все более ак-
туализирует вопрос защиты персональных данных: возможности бесконтактной
оплаты, использование социальных сетей, подключение к сетям Wi-Fi в связи
с расширением охвата связью во многих странах – все эти достижения, с одной
стороны, упрощают жизнь человека, с другой – делают его конфиденциальную
информацию более уязвимой. Так, по данным агентства «Интерфакс», с 2020 года
в мире наблюдается резкий скачок числа киберпреступлений и связан он с пан-
демией коронавируса, из-за которой человечество стало более активным в он-
лайн-пространстве [3].
Если приводить в пример конкретные цифры, по данным IT-компании Positive
Technologies, 2022 год стал годом массовой утечки персональных данных: общее
количество киберпреступлений в мире выросло более чем на 20 %, и в данном слу-
чае речь идет лишь об успешных, то есть достигших цели (принесших негативные
последствия конкретным лицам или компаниям) инцидентах: более 700 атак за
каждый квартал вместо показателя 2021 года – 604 в среднем за квартал. При этом
в атаках на организации добиться цели злоумышленникам удалось в 47 % случаев,
а что касается частных лиц, их данные утекли в Сеть в 64 % случаев [1].
Подобные тенденции придают значимости исследованиям, связанным с за-
щитой персональных данных в Сети. Обращаясь к истории защиты персональных
данных и современным тенденциям в этой сфере на сегодняшний день, необходи-
мо привести в пример Францию – страну, которая одной из первых стала рассма-
тривать развитие информационных технологий как возможную угрозу неприкос-
новенности личной информации граждан.
Основная часть
Говоря о становлении термина Data Privacy, принято выделять два государ-
ства, повлиявших на его создание: Германию, где появился первый национальный
закон о персональных данных в 1977 году, и Францию, где буквально через год,
в 1978 году, приняли Закон об информатике и гражданских свободах.
Данный закон был принят после «скандала Сафари»: в начале 1970-х годов
власти Франции разработали проект SAFARI, который должен был создать с по-
мощью вычислительных технологий некий единый список, содержащий номера
социального страхования всех граждан страны. Таким образом, реестр давал бы
возможность идентифицировать любого жителя Франции при каждом его обраще-
нии в какие-либо ведомства и организации. Однако информация об этой задумке
дошла до редакции газеты Le Monde, которая раскрыла подробности проекта ши-
рокой общественности – в статье под названием «Сафари, или Охота на францу-
зов». Материал оказался резонансным, общество стало требовать отменить про-
ект, но при этом принять закон, защищающий личные данные граждан.
Цифровые технологии в системе частно-правовых (цивилистических) отношений
Digital
T
echnologies in the
S
ystem of
P
rivate-legal (
C
ivilistic)
Relations
Цифровые технологии в системе частно-правовых (цивилистических) отношений
Digital
T
echnologies in the
S
ystem of
P
rivate-legal (
C
ivilistic)
Relations
210
Публикации Le Monde привлекли внимание к проблеме отсутствия должной
защиты персональной информации не только среди жителей Франции, но и сре-
ди простых граждан и экспертов в сфере права за рубежом. Данную тему начали
обсуждать в международных организациях, и результатом этих обсуждений стал
первый в истории международный договор в сфере защиты данных – Конвенция
о защите физических лиц при автоматизированной обработке персональных
данных.
Рассматривая французскую модель законодательства в области защиты дан-
ных, стоит отметить, что Франция совершенствует область защиты данных год от
года – ее опыт перенимают многие другие государства. Например, именно власти
Франции стали заявлять, что законы о защите информации нуждаются в рефор-
мировании с течением времени, в связи с появлением новых технологий, мораль-
ным устареванием уже существующих инструментов коммуникации и надзо-
ра за ней, а также политическими, экономическими и социальными факторами,
одним из которых стало членство Франции в Европейском союзе. Таким обра-
зом, Закон 1978 года пережил ряд поправок. наиболее важные изменения косну-
лись его в 2004 году, когда Франция как государство – член ЕС стала учитывать
Европейскую директиву о защите данных, и в 2016 году, когда был принят Закон
«О цифровой республике», адаптирующий существующее законодательство под
глобальный тренд цифровизации. Данный закон повлиял на французский Кодекс
об интеллектуальной собственности, поскольку предусматривал исключение из
категории авторского права сбора информации из объема больших текстовых/
цифровых данных в целях анализа общественностью и учеными.
Интересен тот факт, что Франция, будучи страной Евросоюза, не отказалась
от своей архитектуры законов, а лишь постаралась интегрировать их в отноше-
нии норм, провозглашенных в ЕС. Примером такой позиции может стать всту-
пление в силу на территории ЕС в 2018 году европейского регламента по защи-
те персональных данных, больше известного как GDPR (General Data Protection
Regulation). Согласно регламенту, персональными данными считается любая ин-
формация, которая относится к субъекту данных (так называют любое иденти-
фицированное или идентифицируемое физическое лицо), то есть та информация,
с помощью которой можно определить ее владельца. К данной категории инфор-
мации относятся ФИО, сведения о местоположении физического лица (геолока-
ция), а также другие онлайн-идентификаторы вплоть до IP-адресов. Регламент
носит экстерриториальный принцип по уровню охвата: иными словами, его поло-
жения могут быть применены ко всем организациям, которые обрабатывают пер-
сональные данные физических лиц из ЕС, даже если эти организации находятся
за пределами Евросоюза.
Кроме этого, регламент устанавливает несколько типов данных, которые счи-
таются особыми: это генетические и биометрические данные (в случае, если их
используют с целью идентификации), данные о расовой и этнической принадлеж-
ности гражданина, ориентации, политических и религиозных убеждениях, а так-
же статус членства в профсоюзах, поскольку все эти факторы можно использовать
во вред человеку, а также с целью маркетинга и таргетированной рекламы.
Цифровые технологии в системе частно-правовых (цивилистических) отношений
Digital
T
echnologies in the
S
ystem of
P
rivate-legal (
C
ivilistic)
Relations
211
Принятие регламента означало для Франции необходимость пересмотра
Закона 1978 года, так как ряд его положений противоречил пунктам Регламента ев-
ропейского образца, либо в какой-то степени отличался от них. Так, Правительство
Франции внесло ряд поправок в Закон в виде дополнений к Регламенту.
Согласно этим поправкам, возраст предоставления согласия на обработку
данных во Франции начинается с 16 лет. Во-вторых, в государстве существует
специальный регистр Bloctel, где каждое физическое лицо может зарегистриро-
ваться, и регистрация в списке означает желание отказаться от каких-либо реклам-
ных звонков, писем и сообщений. Срок действия отказа – три года, однако его
можно продлевать.
Также французское законодательство отдельно рассматривает персональные
данные умерших лиц – считается, что изучение и обработку таких данных можно
проводить, если человек при жизни не выразил отказ от данных шагов.
Не менее интересна и сфера деловых отношений, которую тоже затрагивают
поправки Закона 1978 года. Работодатель во Франции имеет право отслеживать
геолокацию транспортных средств, которые водят сотрудники в рабочее время
(например, если речь идет о водителях такси, курьерах и т. п.), записывать теле-
фонные разговоры в сферах обучения или обслуживания с целью их анализа для
дальнейшей оценки эффективности, а также изучать рабочую электронную почту
сотрудников (за исключением писем, которые сотрудник помечает как «Личное»).
Францию от других государств ЕС отличает наличие собственной комиссии
по защите конфиденциальности данных. Ее название – Национальная комиссия по
информатике и гражданским свободам (CNIL) [4]. Данная комиссия является неза-
висимым административным регулирующим органом. Его задача – обеспечивать
исполнение закона о конфиденциальности данных при их сборе, хранении и ис-
пользовании. Эта комиссия появилась, как и главный закон о защите информации
Франции, в 1978 году, и даже после введения единых нормативов на территории
Евросоюза, власти страны решили не отказываться от данной организации.
Национальная комиссия выполняет целый ряд функций: регистрирует уста-
новку информационных систем, которые обрабатывают персональные данные
на территории страны, также следит за исполнением законов в данной области,
проводит расследования в случае неприменения норм местного законодательства
и выносит предупреждения или санкции организациям, нарушающим их. Более
того, комиссия имеет право принимать различные рекомендации и кодексы в сфе-
ре защиты персональных данных.
В структуре комиссии – 17 представителей различных правительственных
организации Франции. Так, к примеру, четверо представителей комиссии должны
быть членами парламента.
Авторитет комиссии настолько высок, что с 2018 года она обладает правом
формировать собственный черный список организаций, нарушающих закон в сфе-
ре защиты персональных данных. При этом комиссия изменила свою методичку
для организаций в связи с нормами GDPR, внеся изменения в руководство по изу-
чению файлов cookie и других инструментов отслеживания, а также в руководство
по оценке воздействия на защиту данных.
Цифровые технологии в системе частно-правовых (цивилистических) отношений
Digital
T
echnologies in the
S
ystem of
P
rivate-legal (
C
ivilistic)
Relations
Цифровые технологии в системе частно-правовых (цивилистических) отношений
Digital
T
echnologies in the
S
ystem of
P
rivate-legal (
C
ivilistic)
Relations
212
Работа комиссии меняется каждый год, в соответствии с изменениями в циф-
ровой среде и медиапространстве Евросоюза. В 2021 году комиссия объявила
о запуске «песочницы». Так в сфере IT называется специальная система по пои-
ску вредоносных программ, причем ее виртуальные машины изолированы от ре-
альной коммуникационной инфраструктуры комиссии. Система помогает найти
уязвимые места, выявить подозрительные коды, противостоящие атакам на про-
граммное обеспечение комиссии, поскольку она занимается большими данными,
касающимися всех граждан Франции. То есть комиссия не только следит за без-
опасностью персональных данных в других системах, но и стремится защитить
свою информацию, потому что является главным регулятором Big Data в стране.
Что касается санкций, которые имеет право вводить комиссия в отношении
организаций, работающих с персональными данными граждан Франции, в част-
ности, они могут быть введены за несоблюдение правил по обработке данных,
отказ от сотрудничества с надзорными органами Франции, нарушение принци-
пов безопасности данных, несоблюдение обязательств по ограничению срока
хранения данных пользователей и за несоблюдение требований по оформлению
cookie-файлов. К последнему пункту относятся отсутствие информации о сборе
cookie-файлов сайтом и отсутствие запроса на согласие на cookie.
Все эти нововведения способствовали появлению новых терминов и долж-
ностей, связанных с защитой персональных данных. Во многом эти термины со-
относятся с положениями GDPR. Например, во Франции появились контроллеры
данных и процессоры данных. Контроллеры – это компании либо организации,
собирающие данные пользователей. Процессорами считаются компании, которые
эти данные обрабатывают. К слову, примечательно, что в Законе 1978 года опре-
деления данных терминов отсутствуют, поскольку Франция посчитала лишним
дублировать их, ведь они и так содержатся в Регламенте.
При этом комиссия более чем щепетильна во всем, что касается трендов
цифровой среды Франции. Летом 2023 года эксперты организации приступили
к исследованию, изучающему уровень использования мобильных технологий
в стране. Оно показало, что 87% населения Франции в возрасте от 12 лет владе-
ют смартфонами, и для них это – наиболее предпочтительное устройство, что-
бы подключиться к сети Интернет. «Данная тенденция наглядно демонстрирует
важность мобильных телефонов и планшетов в повседневной цифровой жизни
французов», – указано в отчете. При этом столь массовое использование смартфо-
нов означает и массовое использование мобильных приложений, которые, в свою
очередь, создают весьма серьезные проблемы с точки зрения защиты конфиден-
циальности пользователей. Поэтому тема мобильных приложений была включена
в список приоритетов работы комиссии [5].
Несмотря на то, что большое количество мобильных приложений предлагает
те же услуги, что и их сайты-эквиваленты, техническая среда, в которой работа-
ют веб-сайты и мобильные приложения, разные. Основное отличие заключается
в том, что использование мобильных приложений позволяет обрабатывать больше
объемов персональных данных – к примеру, мобильное приложение может полу-
чить доступ к контактной книге физического лица.
Цифровые технологии в системе частно-правовых (цивилистических) отношений
Digital
T
echnologies in the
S
ystem of
P
rivate-legal (
C
ivilistic)
Relations
213
В рамках исследования комиссия провела консультации с рядом игроков
в сфере мобильных приложений, а именно с создателями и разработчиками при-
ложений, поставщиками комплектов для разработки ПО и ОС для мобильных
приложений, а также представителями магазинов приложений. Итогом всех этих
консультаций стал проект рекомендаций, который вынесен во Франции на обще-
ственное обсуждение до 8 октября 2023 года. Данный проект предполагает, что
разрешения на доступ к таким конфиденциальным ресурсам, как геолокация, спи-
сок контактов, камера мобильного телефона, заметки и файлы, должны разраба-
тываться и использоваться таким образом, чтобы в первую очередь защищать пра-
ва людей. А для этого приложения должны предоставлять четкую информацию
о том, необходимо ли согласие на доступ приложения к данным для корректного
функционирования приложения, выполнения каких-либо вспомогательных функ-
ций, а также поможет ли согласие финансировать приложение без оплаты, напри-
мер, с помощью таргетированной рекламы (таким образом, пользователь будет
знать, идут ли его персональные данные в основу для рекламы).
Эксперты комиссии рекомендуют поставщикам ОС для мобильных прило-
жений также внедрить целый ряд передовых методов для содействия созданию
«среды с уважением к защите персональных данных» – речь идет о повышении
качества и надежности информации, доступной пользователям, и предоставлении
им большего контроля над обработкой данных, которую осуществляют мобиль-
ные приложения.
Еще один приоритет текущего года для комиссии в сфере защиты персональ-
ных данных – это стремительное развитие телемедицины. Франция призывает
обращать внимание на эту сферу здравоохранения, ведь, с одной стороны, у теле-
медицины множество преимуществ – с помощью дистанционных консультаций
врач может наблюдать хронических больных, становится реальным своевремен-
ное оказание медицинской помощи лицам, находящимся далеко от медицинских
учреждений (например, в деревнях в горной местности), также более опытный
врач может консультировать посредством телемедицинской консультации моло-
дых коллег. Однако, с другой стороны, телемедицина – это сбор данных о пациен-
те, которые могут подвергнуться кибератаке. Учитывая данную опасность, в 2023
году комиссия заявила о сопровождении восьми проектов в области цифрового
здравоохранения и секторе образовательных технологий. Поддержка заключалась
в регулярных юридических и технических консультациях для клиник и универси-
тетов, благодаря которым те могли усилить защиту данных своих пациентов или
учащихся.
Третьим приоритетом для комиссии стали изучение и мониторинг иннова-
ционных методов, используемых для разработки и эксплуатации инструментов
искусственного интеллекта. Комиссия наблюдает за прозрачностью обработки
данных, которые станут основой для деятельности ИИ, на территории Франции,
а также за защитой данных, которые передают пользователи при работе с ИИ:
начиная от банального сбора информации о пользователе и заканчивая возмож-
ностью их повторного использования и обработки для построения алгоритмов
машинного обучения. Комиссия также анализирует последствия работы с ИИ –
Цифровые технологии в системе частно-правовых (цивилистических) отношений
Digital
T
echnologies in the
S
ystem of
P
rivate-legal (
C
ivilistic)
Relations
Цифровые технологии в системе частно-правовых (цивилистических) отношений
Digital
T
echnologies in the
S
ystem of
P
rivate-legal (
C
ivilistic)
Relations
214
например, как генеративный ИИ создает контент на основе информации, полу-
ченной от пользователей. Важным аспектом в данном случае является риск фор-
мирования какой-либо предвзятости или дискриминации, проводимой при подаче
данных, а также риск нарушения безопасности пользователей – утечки их персо-
нальной информации.
Стоит подчеркнуть, что комиссия не только разрабатывает рекомендации
и выносит их на обсуждение. В Европейском суде организация известна своими
громкими делами, начатыми из-за нарушений сбора, обработки и хранения дан-
ных граждан Франции. Так, в июне 2023 года комиссия наложила штраф в разме-
ре 40 миллионов евро на компанию, специализирующуюся на онлайн-рекламе,
– CRITEO. Причиной для штрафа стал тот факт, что компания не смогла подтвер-
дить наличие согласий на обработку данных со стороны лиц, информацию о ко-
торых она обрабатывала с целью формирования таргетированной рекламы. При
этом обработка касалась большого количества людей – CRITEO обладала данны-
ми, относящимися примерно к 370 млн идентификаторов по всему Европейскому
союзу. Несмотря на то, что компания собирала информацию о потребительских
привычках пользователей и не хранила их имена, комиссия сочла, что данные
о привычках каждого пользователя были настолько точными, что в некоторых слу-
чаях идентификация людей не составила бы труда: например, регулярная отметка
одних и тех же геолокаций, совершение одних и тех же покупок, заказов и т. п.
Политика конфиденциальности компании не была полной, поскольку она не
включала все предполагаемые цели обработки. Кроме того, некоторые цели были
выражены расплывчато и широко, что не позволяло пользователю точно понять,
какие персональные данные используются и для каких целей. Когда человек вос-
пользовался своим правом отозвать согласие или удалить свои данные, процесс,
реализованный компанией, только остановил показ персонализированной рекла-
мы пользователю. Однако компания не удалила идентификатор, присвоенный че-
ловеку, и не стерла навигационные события, связанные с этим идентификатором.
Наконец, комиссия посчитала, что обработка столь больших объемов данных по-
зволила CRITEO значительно увеличить свой финансовый доход.
Другим не менее громким делом этого года стало инфоцыганство. Комиссия
оштрафовала на 150 тысяч евро за несоблюдение правил французского законода-
тельства и GDPR портал KG COM, который собирал «чрезмерные и чувствитель-
ные» конфиденциальные данные без предварительного и явного согласия поль-
зователей, а также в недостаточной степени обеспечивал безопасность данных.
Сайт продавал предсказания будущего, которые передавались либо в чате, либо
с помощью телефонного разговора. В 2020 году во французских СМИ появилась
информация, что сайт допустил утечку данных, и комиссия решила заняться его
мониторингом.
«В ходе расследования комиссия заметила несколько нарушений, касаю-
щихся, в частности, систематической записи телефонных звонков, сбора данных
о здоровье и информации, касающейся ориентации, а также банковских данных
физических лиц без их согласия», – указано в отчете о расследовании.
Цифровые технологии в системе частно-правовых (цивилистических) отношений
Digital
T
echnologies in the
S
ystem of
P
rivate-legal (
C
ivilistic)
Relations
215
Дело об инфоцыганстве привлекло внимание правоохранителей на терри-
тории всего ЕС в связи с тем, что комиссия в ходе расследования сотрудничала
с коллегами из Бельгии, Люксембурга, Италии, Испании, Португалии и Болгарии,
поскольку лица из этих стран также были клиентами сайта.
Самым громким делом комиссии, однако, стали разбирательства с Google.
По мнению экспертов организации, использование американского программного
обеспечения создало риск незаконного доступа к персональным данным пользо-
вателей Франции со стороны властей США. Комиссия сочла, что сервис Google
Analytics несет угрозу конфиденциальности пользовательских данных, поскольку
не дает гарантий, что они не попадут властям Штатов [2]. Кроме этого, в 2021 году
комиссия отметила, что Google LLC и Google Ireland Limited нарушают европей-
ские требования, распространяющиеся на cookie-файлы, потому как вопрос о со-
гласии или отказе от них не выглядит явным. В результате комиссия наложила
на компанию штраф в размере 150 миллионов евро. А невыполнение требований
в дальнейшем подвергло Google уплате дополнительных штрафов в сумме 100 ты-
сяч евро за каждый день просрочки.
Заключение.
Резюмируя все эти тенденции, можно прийти к выводу, что
Франция продолжает уделять повышенное внимание защите персональных дан-
ных своих граждан, в связи с чем делает акценты на регулярном реформировании
законодательства в данной сфере, проработке эффективной интеграции местных
надзорных органов с GDPR в рамках Евросоюза, а также в рамках Национальной
комиссии каждый год формирует список приоритетов возможных рисков для за-
щиты персональных данных в стране. Важным моментом является и прозрачность
всех мер, предпринимаемых во Франции для обеспечения конфиденциальности
данных: комиссия регулярно публикует отчеты о своей деятельности, все норма-
тивы перед принятием выносятся на общественное обсуждение и подкрепляются
аналитическими исследованиями, консультантами которых выступают практики
цифровой отрасли. Французская модель охраны данных, безусловно, является ин-
тересной для изучения в условиях роста киберугроз по всему миру, поскольку на-
дежность сбора, обработки и хранения информации о пользователях способствует
формированию устойчивой цифровой экономики и укрепляет информационную
безопасность страны.
Список литературы
1. Актуальные киберугрозы: итоги 2022 года. URL: https://www.ptsecurity.com
2. Во Франции предложили способ защиты данных пользователей
в Интернете. URL: https://rossaprimavera.ru
3. Мошенничество в сети: итоги 2022 года. URL: https://spark-interfax.ru
4. Commission nationale de l’informatique et des libertés. URL: https://www.cnil.fr
5. CNIL. Mobile applications: CNIL launches a public consultation on its draft
recommendation. URL: https://www.cnil.fr
