«Данные – это то, что данные делают» © Daniel J. Solove

11 января 2023 года в Management Journal for Advanced Research опубликована статья одного из наиболее влиятельных ученых в области приватности – Daniel J. Solove (George Washington University Law School).

Название статьи – Data is What Data Does (англ., Данные – это то, что делают данные) – автор анализирует природу концепции sensitive data (англ., чувствительные данные) и противопоставляет присущий большинству законов в области приватности формальный подход к определению таких данных функциональному подходу de lege ferenda.

Формальный подход заключается в том, что необходимая степень защиты персональных данных определяется по критерию отнесения той или иной информации к конкретным категориям данных (например, перечни таких категорий зафиксированы в ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в ст. 9 европейского General Data Protection Regulation, в ст. 21 китайского Personal Information Protection Law и т. д.).

Функциональный подход, в свою очередь, заключается в том, что в качестве критерия определения необходимой степени защиты персональных данных используется предлагаемая D. Solove триада Use, Harm, Risk (англ., использование, вред, риск).

Под «использованием» в статье понимается «действия с персональными данными, цели и последствия таких действий». Под «вредом» понимается «негативный эффект использования персональных данных, затрагивающий субъектов или общество в целом». Под «риском» понимается «вероятность и серьезность того или иного вреда, который еще не был причинен».

Автор утверждает, что несмотря на то, что концепция чувствительных данных набирает популярность, этот подход является тупиковым в развитии законодательства в области приватности, в том числе, в связи со следующими его недостатками:

1) Несмотря на утверждения о том, что концепция чувствительных данных позволяет учитывать вред и риск, взаимосвязь слишком абстрактна, чтобы быть полезной;

2) Концепция чувствительных данных предполагает использование формального подхода к защите персональных данных;

3) Предположения о чувствительных данных могут быть сделаны на основе нечувствительных данных, в связи с чем в наше время практически любые данные могут оказаться чувствительные;

4) Концепция чувствительных данных не считается с возможностями современных технологий;

5) Концепция чувствительных данных порождает ситуации, когда нечувствительные в соответствии с законом данные защищаются недостаточно, а данные, перечисленные в законе, защищаются избыточно;

6) Концепция чувствительных данных, преследующая цель противодействия дискриминации, иронично сама допускает дискриминацию, так как закон защищает субъекта от дискриминации по одним критериям, но, по сути, допускает ее по другим.

Автор приходит к заключению о том, что закон должен предусматривать различные степени защиты для различных случаев использования персональных данных, исходя из вреда и риска в каждом конкретном случае.

«Фокус на использовании [в качестве критерия] может помочь избежать восприятия приватности в качестве предлога. Приватность становится предлогом в тех случаях, когда эта концепция используется для достижения целей, нежелательных или бесполезных для субъектов, чьи персональные данные предположительно защищаются в конкретной ситуации (например, когда регулирование в области приватности используется в борьбе между компаниями-конкурентами).

Автор: Кирилл Зюбанов - эксперт в области персональных данных и комплаенс.
19.01.2023