УДК 342.7: 004.738.5.056.5
ББК 67.404.3
Н72
с С. В. Титовой), 6.4, 6.5, гл. 8 (совместно с А. Б. Жулиным)); заместитель заведующего кафеюдрой
инновации и бизнеса в сфере ИТ факультета бизнес- информатики НИУ ВШЭ, канд.
директор Института проблем правового регулирования НИУ ВШЭ, канд. юрид. наук
А. С. Дупан (Гутникова) (подразд. 1.11, гл. 3, подразд. 5.1.3, 5.2, 5.8, 6.1 (совместно
Авторский коллектив:
фрид. наук, доцент А. К. Жарова (подразд. 1.3, 1.7); заместитель заведующего кафедрой инн
ормационной безопасности факультета бизнеса и менеджмента НИУ ВШЭ, канд. пед.
с А. С. Дупан (Гутниковой)); научный сотрудник Института проблем правового регулирования
НИУ ВШЭ Ю. С. Бикбулатова (подразд. 1.1, 2.1.2, 2.2.1 (совместно
аук В. М. Елин (подразд. 1.10); директор Центра анализа деятельности органов исполнительной
власти ИГМУ НИУ ВШЭ, канд. экон. наук А.Б. Жулин (гл. 8 совместно
с Ю. С. Бикбулатовой)); аналитик Института проблем правового регулирования НИУ ВШЭ
С. В. Титова (подразд. 1.5, 1.6, 1.8, 2.1.1, 2.1.3, 2.2.2, 2.3, 5.1, 5.1.1, 5.1.2, 5.3–5.6, 6.1
с Т. И. Бикбулатовым), 5.1.4, 5.7, гл. 7); научный сотрудник Института проблем правового
регулирования НИУ ВШЭ Т. И. Бикбулатов (подразд. 1.2, 1.9, 2.2.1 (совместно
(совместно с А. С. Дупан (Гутниковой), 6.2, 6.3); адвокат Германии (Германия, Kollegienwall,
24, 49074 Osnabrück) Д. Римша (подразд. 1.4).
Н72
Новая парадигма защиты и управления персональными данными в
о Российской Федерации и зарубежных странах в условиях развития систем
С. Дупан ; Нац. исслед. ун-т «Высшая школа экономики». — 2-е изд.
А.бработки данных в сети Интернет [Электронный ресурс] / под ред.
ISBN 978-5-7598-1475-7
В монографии представлено исследование актуальных проблем регулирования
(эл.). — Электрон. текстовые дан. (1 файл pdf : 343 с.). — М. : Изд. дом Высшей
школы экономики, 2018. — Систем. требования: Adobe Reader XI либо
Adobe Digital Editions 4.5 ; экран 10".
и отношений по оказанию услуг операторами доверенных сервисов (прежде всего
вдентификация и аутентификация лиц при электронном взаимодействии) и по досерительному
управлению информацией на международном уровне, в зарубежных
втранах и в Российской Федерации, а также проблем защиты персональных данных
м Интернете, в том числе в условиях применения новых методов обработки больших
ассивов данных и использования технологии облачных вычислений.
Книга адресована сотрудникам государственных органов, осуществляющих
с регулирование информационных отношений и (или) обеспечивающих защиту пероональных
данных, и компаний, являющихся операторами доверенных сервисов,
указывающих услуги по обработке больших массивов данных, предоставляющих
ислуги с помощью Интернета, а также операторам персональных данных. Она будет
онтересной и при изучении курса информационного права в учреждениях высшего
бразования.
УДК 342.7: 004.738.5.056.5
ББК 67.404.3
зДеривативное электронное издание на основе печатного издания: Новая парадигма
сащиты и управления персональными данными в Российской Федерации и зарубежных
Атранах в условиях развития систем обработки данных в сети Интернет [Текст] / под ред.
ш. С. Дупан ; Нац. исслед. ун-т «Высшая школа экономики». — М. : Изд. дом Высшей
колы экономики, 2016. — 342 с. — ISBN 978-5-7598-1386-6.
чВ соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных технитескими
средствами защиты авторских прав, правообладатель вправе требовать от нарушиеля
возмещения убытков или выплаты компенсации.
ISBN 978-5-7598-1475-7
© Национальный исследовательский университет
© «Высшая школа экономики», 2016
ономики, 2016
эк Оформление. Издательский дом Высшей школы
Стр.3
Содержание
Предисловие ......................................................................................................11
1. НОВЫЕ ПОДХОДЫ К РЕГУЛИРОВАНИЮ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ЕВРОПЕ, США И В ИНЫХ ЗАРУБЕЖНЫХ СТРАНАХ ........13
1.1. Европейский союз .................................................................................13
1.1.1. Регулирование ...............................................................................13
1.1.2. Определение персональных данных ............................................14
1.1.3. Субъекты отношений в области обеспечения
конфиденциальности персональных данных ...................................... 20
1.1.4. Ответственность за нарушения в области персональных
данных и запрет на передачу данных третьим лицам.......................... 24
1.1.5. Режим защиты персональных данных при обработке
больших данных, позволяющих при сопоставлении получать
персональные данные .......................................................................... 25
1.1.6. Регулирование порядка анализа результатов
обработки данных (метаданных) ..........................................................27
1.1.7. Правовое обеспечение защиты данных .......................................27
1.1.8. Регулирование вопроса о наследовании прав
на персональные данные ...................................................................... 30
1.1.9. Уполномоченный орган по защите субъектов
персональных данных и его функции ..................................................31
1.1.10. Регулирование таргетированной (адресной, основанной
на персональных данных и запросах лица) рекламы ......................... 34
1.1.11. Порядок трансграничной передачи персональных
данных ................................................................................................... 35
1.2. Совет Европы ....................................................................................... 49
1.2.1. Регулирование ............................................................................. 49
1.2.2. Определение персональных данных ........................................... 53
1.2.3. Субъекты отношений в области обеспечения
конфиденциальности персональных данных ...................................... 54
1.2.4. Ответственность за нарушения в области персональных
данных и запрет на передачу данных третьим лицам.......................... 56
3
Стр.4
Новая парадигма защиты и управления персональными данными в Российской Федерации
и зарубежных странах в условиях развития систем обработки данных в сети Интернет
1.2.5. Режим защиты персональных данных при обработке
больших данных, позволяющих при сопоставлении получать
персональные данные .......................................................................... 58
1.2.6. Регулирование порядка анализа результатов
обработки данных (метаданных) ......................................................... 59
1.2.7. Уполномоченный орган по защите субъектов
персональных данных и его функции ................................................. 60
1.2.8. Регулирование таргетированной (адресной, основанной
на персональных данных и запросах лица) рекламы .......................... 61
1.2.9. Трансграничная передача данных .............................................. 62
1.3. Великобритания ................................................................................... 62
1.3.1. Регулирование .............................................................................. 62
1.3.2. Определение персональных данных ........................................... 65
1.3.3. Субъекты отношений в области обеспечения
конфиденциальности персональных данных ...................................... 66
1.3.4. Ответственность за нарушения в области персональных
данных и запрет на передачу данных третьим лицам...........................67
1.3.5. Регулирование порядка анализа результатов обработки
данных (метаданных) ........................................................................... 69
1.3.6. Правовое обеспечение защиты данных ......................................71
1.3.7. Системы удаленного распределенного управления
данными и их регламентация в национальном законодательстве .......72
1.3.8. Уполномоченный орган по защите субъектов
персональных данных и его функции .................................................. 77
1.3.9. Трансграничная передача данных ...............................................78
1.4. Германия ................................................................................................78
1.4.1. Регулирование ...............................................................................78
1.4.2. Определение персональных данных ........................................... 83
1.4.3. Субъекты отношений в области обеспечения
конфиденциальности персональных данных ...................................... 85
1.4.4. Ответственность за нарушения в области персональных
данных и запрет на передачу данных третьим лицам.......................... 86
1.4.5. Правовое обеспечение защиты данных ..................................... 87
1.4.6. Регулирование вопроса о наследовании прав
на персональные данные ...................................................................... 88
1.4.7. Уполномоченный орган по защите субъектов персональных
данных и его функции .......................................................................... 89
4
Стр.5
Содержание
1.5. Нидерланды .......................................................................................... 89
1.5.1. Регулирование .............................................................................. 89
1.5.2. Определение персональных данных ........................................... 90
1.5.3. Субъекты отношений в области обеспечения
конфиденциальности персональных данных .......................................91
1.5.4. Ответственность за нарушения в области персональных
данных и запрет на передачу данных третьим лицам.......................... 94
1.5.5. Регулирование порядка анализа результатов обработки
данных (метаданных) ........................................................................... 95
1.5.6. Правовое обеспечение защиты данных ..................................... 97
1.5.7. Уполномоченный орган по защите субъектов
персональных данных и его функции ................................................. 98
1.5.8. Регулирование таргетированной (адресной, основанной
на персональных данных и запросах лица) рекламы .......................... 99
1.6. Япония .................................................................................................. 99
1.6.1. Регулирование .............................................................................. 99
1.6.2. Определение персональных данных ..........................................102
1.6.3. Субъекты отношений в области обеспечения
конфиденциальности персональных данных .....................................103
1.6.4. Ответственность за нарушения в области персональных
данных и запрет на передачу данных третьим лицам.........................104
1.6.5. Правовое обеспечение защиты данных ....................................105
1.6.6. Режим регулирования персональных данных, отнесенных
к государственной тайне .....................................................................106
1.6.7. Регулирование таргетированной (адресной, основанной
на персональных данных и запросах лица) рекламы .........................106
1.7. Аргентина ............................................................................................106
1.7.1. Регулирование .............................................................................106
1.7.2. Определение персональных данных .......................................... 110
1.7.3. Субъекты отношений в области обеспечения
конфиденциальности персональных данных ..................................... 111
1.7.4. Ответственность за нарушения, связанные
с персональными данными, и регулирование передачи
персональных данных третьим лицам ................................................ 112
1.7.5. Правовое обеспечение защиты данных ..................................... 116
1.7.6. Системы удаленного распределенного управления
данными и их регламентация в национальном законодательстве ..... 119
5
Стр.6
Новая парадигма защиты и управления персональными данными в Российской Федерации
и зарубежных странах в условиях развития систем обработки данных в сети Интернет
1.7.7. Уполномоченный орган по защите субъектов
персональных данных и его функции .................................................120
1.7.8. Регулирование таргетированной (адресной, основанной
на персональных данных и запросах лица) рекламы ......................... 121
1.7.9. Трансграничная передача данных .............................................. 121
1.8. Бразилия ..............................................................................................122
1.8.1. Регулирование .............................................................................122
1.8.2. Определение персональных данных ..........................................125
1.8.3. Субъекты отношений в области обеспечения
конфиденциальности персональных данных .....................................126
1.8.4. Ответственность за нарушения в сфере персональных
данных и порядок передачи данных третьим лицам ..........................127
1.8.5. Правовое обеспечение защиты данных ....................................128
1.8.6. Регулирование таргетированной
(адресной, основанной на персональных данных
и запросах лица) рекламы ...................................................................128
1.9. Китай ...................................................................................................129
1.9.1. Регулирование ............................................................................ 129
1.9.2. Определение персональных данных ..........................................134
1.9.3. Субъекты отношений в области обеспечения
конфиденциальности персональных данных .....................................135
1.9.4. Ответственность за нарушения в области персональных
данных и порядок доступа к данным третьих лиц .............................136
1.9.5. Правовое обеспечение защиты данных .................................... 137
1.9.6. Уполномоченный орган по защите субъектов
персональных данных и его функции ................................................. 137
1.9.7. Регулирование таргетированной (адресной, основанной
на персональных данных и запросах лица) рекламы ........................ 138
1.9.8. Трансграничная передача данных .............................................138
1.10. Соединенные Штаты Америки .........................................................139
1.10.1. Регулирование ........................................................................... 141
1.10.2. Определение персональных данных ........................................148
1.10.3. Субъекты отношений в области обеспечения
конфиденциальности персональных данных .....................................152
1.10.4. Ответственность за нарушения в области
персональных данных и порядок передачи данных
третьим лицам ......................................................................................153
6
Стр.7
Содержание
1.10.5. Режим защиты персональных данных
при обработке больших данных, позволяющих
при сопоставлении получать персональные данные .........................154
1.10.6. Уполномоченный орган по защите субъектов
персональных данных и его функции .................................................158
1.10.7. Регулирование таргетированной
(адресной, основанной на персональных данных
и запросах лица) рекламы ...................................................................159
1.10.8. Анализ законопроектов США в области
персональных данных .........................................................................160
1.11. Сингапур ............................................................................................163
1.11.1. Регулирование ............................................................................163
1.11.2. Определение персональных данных ........................................164
1.11.3. Субъекты отношений в области обеспечения
конфиденциальности персональных данных .....................................165
1.11.4. Ответственность за нарушения в области персональных
данных и порядок передачи данных третьим лицам .........................167
1.11.5. Правовое обеспечение защиты данных ...................................168
1.11.6. Регулирование вопроса о наследовании прав
на персональные данные ....................................................................169
1.11.7. Системы удаленного распределенного
управления данными и их регламентация
в национальном законодательстве .....................................................169
1.11.8. Уполномоченный орган по защите субъектов
персональных данных и его функции ................................................. 170
1.11.9. Трансграничная передача персональных данных ................... 171
2. «ПРАВО БЫТЬ ЗАБЫТЫМ» В МЕЖДУНАРОДНОМ,
ЗАРУБЕЖНОМ И РОССИЙСКОМ ЗАКОНОДАТЕЛЬСТВЕ .................. 172
2.1. Международное регулирование ......................................................... 172
2.1.1. Общее регулирование ................................................................. 172
2.1.2. Регулирование в рамках проекта Регламента ............................ 173
2.1.3. Перспективы регулирования «права быть забытым» ............... 175
2.2. Зарубежное регулирование ................................................................ 177
2.2.1. Регулирование в отдельных странах .......................................... 177
2.2.2. Судебная практика по «праву быть забытым» .......................... 179
2.3. Российское регулирование ................................................................. 181
7
Стр.8
Новая парадигма защиты и управления персональными данными в Российской Федерации
и зарубежных странах в условиях развития систем обработки данных в сети Интернет
3. СУЩЕСТВУЮЩИЕ МОДЕЛИ РЕГУЛИРОВАНИЯ
ПРАВОВОГО ИНСТИТУТА ПЕРСОНАЛЬНЫХ ДАННЫХ
В МЕЖДУНАРОДНО-ПРАВОВЫХ И НАЦИОНАЛЬНЫХ
ЗАРУБЕЖНЫХ ПРАВОВЫХ ИСТОЧНИКАХ ...........................................189
3.1. Регулирование ....................................................................................189
3.2. Определение персональных данных .................................................192
3.3. Субъекты отношений в области обеспечения
конфиденциальности персональных данных...........................................197
3.4. Ответственность за несанкционированные действия
с персональными данными .......................................................................200
3.5. Порядок передачи персональных данных третьим лицам ................203
3.6. Режим защиты персональных данных при обработке
больших данных, позволяющих при сопоставлении получать
персональные данные ...............................................................................207
3.7. Регулирование порядка анализа результатов обработки
данных (метаданных) ................................................................................210
3.8. Правовое обеспечение защиты персональных данных .................... 211
3.9. Регулирование вопроса о наследовании прав
на персональные данные .......................................................................... 213
3.10. Системы удаленного распределенного управления
данными и их регламентация
в национальном законодательстве ...........................................................214
3.11. Уполномоченный орган по защите субъектов
персональных данных и его функции ......................................................216
3.12. Регулирование таргетированной (адресной, основанной
на персональных данных и запросах лица) рекламы ............................... 218
4. УСЛОВИЯ СБОРА, ХРАНЕНИЯ, ИСПОЛЬЗОВАНИЯ
И ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ КРУПНЕЙШИМИ
КОМПАНИЯМИ, ОКАЗЫВАЮЩИМИ УСЛУГИ В ОБЛАСТИ
ИСПОЛЬЗОВАНИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ,
В ТОМ ЧИСЛЕ В ИНТЕРНЕТЕ ...................................................................220
4.1. Собираемые персональные данные ...................................................220
4.2. Предоставление персональных данных третьим лицам ....................222
8
Стр.9
Содержание
4.3. Использование полученных персональных данных .........................223
4.4. Доступ к персональным данным и управление ими .........................223
4.5. Использование файлов cookie и аналогичных технологий ...............225
4.6. Защита персональных данных............................................................228
4.7. Трансграничная передача персональных данных ..............................229
5. ЗАРУБЕЖНЫЙ ОПЫТ В ОБЛАСТИ СОЗДАНИЯ СИСТЕМ
ДОВЕРИТЕЛЬНОГО УПРАВЛЕНИЯ ИНФОРМАЦИЕЙ,
ОПРЕДЕЛЕНИЯ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ПРОВЕДЕНИИ ЭЛЕКТРОННОЙ ИДЕНТИФИКАЦИИ
И ОКАЗАНИИ АНАЛОГИЧНЫХ УСЛУГ ДОВЕРЕННЫМИ
ЛИЦАМИ (ДОВЕРЕННЫЕ СЕРВИСЫ) .....................................................231
5.1. Страны Европейского союза. ............................................................231
5.1.1. Франция ......................................................................................237
5.1.2. Нидерланды ................................................................................244
5.1.3. Эстония .......................................................................................248
5.1.4. Великобритания ..........................................................................260
5.2. Сингапур .............................................................................................269
5.2.1. Система доверенных сервисов в Сингапуре ..............................269
5.2.2. Государственное регулирование доверенных сервисов.
Присоединение к Национальной системе аутентификации
частных компаний ...............................................................................276
5.2.3. Подходы к регулированию создания
доверенных системы и управления персональными
данными и иной информацией...........................................................278
5.2.4. IT-стандарты ...............................................................................279
5.3. Индия ..................................................................................................280
5.4. Канада .................................................................................................284
5.5. Китай ...................................................................................................292
5.6. ОАЭ .....................................................................................................295
5.7. Соединенные Штаты Америки ..........................................................298
5.8. Сравнение моделей доверительного управления
информацией (доверенных сервисов идентификации
и аутентификации) в зарубежных странах ...............................................301
9
Стр.10
Новая парадигма защиты и управления персональными данными в Российской Федерации
и зарубежных странах в условиях развития систем обработки данных в сети Интернет
6. АНАЛИЗ ПОНЯТИЙ СФЕРЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
В РОССИЙСКОМ ЗАКОНОДАТЕЛЬСТВЕ. ВОЗМОЖНЫЕ ПУТИ
РАЗВИТИЯ СФЕРЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
В РОССИЙСКОЙ ФЕДЕРАЦИИ .................................................................305
6.1. Понятие «персональные данные». Правовой режим данных,
не являющихся персональными данными, обработка
которых позволяет получить персональные данные ...............................305
6.2. Оператор персональных данных ........................................................ 311
6.3. Субъект персональных данных .......................................................... 312
6.4. Механизмы обеспечения выполнения требований,
установленных законодательством о защите персональных данных ...... 312
6.4.1. Совершенствование механизма ответственности
за нарушения в области персональных данных ................................. 312
6.4.2. Механизм информирования уполномоченного органа
об инцидентах ...................................................................................... 314
6.5. Корректировка действующего законодательства
в части полномочий уполномоченного органа по защите прав
субъектов персональных данных .............................................................. 315
7. О ВОЗМОЖНОСТИ СОСТАВЛЕНИЯ МАТРИЦЫ
СООТНЕСЕНИЯ ОБЕЗЛИЧЕННЫХ СВЕДЕНИЙ,
СОВОКУПНОСТЬ ОБОБЩЕНИЯ И СОПОСТАВЛЕНИЯ
КОТОРЫХ МОЖЕТ СТАТЬ ПЕРСОНАЛЬНЫМИ ДАННЫМИ .............. 318
8. КОНЦЕПЦИЯ РЕГУЛИРОВАНИЯ И ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ С УЧЕТОМ РАЗВИТИЯ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ....................................................331
Стр.11