Международный правовой курьер

В перечне ВАК с 2015 г.

Право человека на защиту персональных данных: международно-правовые основы, примеры их имплементации в законодательстве государств, особенности регламентации в праве ЕС и национальном праве США

В статье рассматриваются вопросы международно-правовой защиты персональных данных и особенности такой защиты в праве Европейского Союза и законодательстве США. Проанализировано определение термина «персональные данные» и соотношение права индивида на защиту персональных данных с универсальными стандартами прав человека. Отдельно представлены правовые основы защиты персональных данных в контексте действия Визовой информационной системы государств-членов ЕС. Изучены формы персональных данных, необходимых для оформления запроса на получение визы для въезда граждан третьих стран в Шенгенское пространство, и правила доступа к ней. Определены национально-правовые принципы обеспечения защиты персональных данных на территории США.

Ключевые слова: защита персональных данных, международно-правовые определения, нормативные акты Европейского Союза, права человека, Визовая информационная система, Шенгенское пространство, федеральное законодательство США.

The human right to the personal data protection: international legal framework, examples of implementation in the state’s legislation, features of regulation in EU law and USA national law

Annotation. The article deals with both the international legal aspects of personal data protection and the particularities of such protection in the European Union Law and the USA legislation. It examines the definition of the term «personal data» and the correlation of the human right to personal data protection with the universal standards of human rights. Especially the legal grounds of the personal data protection are explored in the context of the effect of Visa information system. The forms of personal data required to apply the Schengen visa for the third countries citizens entering are considered. The national legal principles to provide the personal data protection in the USA are included.

Keywords: protection of personal data, international legal definitions, EU legal acts, human rights, Visa information system, Schengen area, USA federal legislation.

Понятие, международно-правовые аспекты защиты и имплементация права человека на защиту персональных данных в контексте содержания Конвенции Совета Европы 1981 г.

Международно-правовые аспекты защиты персональных данных человека связаны со стремительным использованием цифровых технологий как государственными органами и юридическими лицами на национальном уровне, так и межгосударственным сообществом. На сегодняшний день имеет место тенденция цифровизации практически всех сфер жизнедеятельности человечества[1]. Информационные технологии покрывают все больший объем взаимоотношений, возникающих в обществе в самых разных сферах. Одним из глобальных направлений указанного процесса можно назвать сферу коммуникации[2], осуществляемой как в бытовых целях, связанных исключительно с частной жизнью индивида, так и в рамках экономической сферы, где осуществляется оборот товаров и предоставление услуг.

С одной стороны, перенос общественных отношений в информационно-технологическое пространство значительно облегчил их реализацию; обмен различного рода сообщениями стал несравнимо более быстрым по сравнению с использованием традиционных форм коммуникации; производители и дистрибьютеры различных товаров и услуг получили возможность в геометрической прогрессии расширить круг потенциальных клиентов. Очевидно, что в рамках таких отношений зачастую происходит обмен и накопление персональных данных физических лиц. С другой стороны, глобальный характер информационных технологий значительно затрудняет какой-либо контроль за этими процессами со стороны государственных институтов[3]. Ситуация еще более усугубляется тем фактом, что существует широкий перечень угроз, связанных с технической стороной вопроса (утечка данных, незаконное нарушение целостности информационных систем, взлом информационных баз, содержащих персональный контент и т.п.).

Право на защиту персональных данных тесно связано с правом человека на частную жизнь и, в то же время, остается не регламентированным в международно-правовых актах универсального уровня. Ст. 12 Всеобщей декларации прав человека 1948 г.[4] содержит запрет произвольного вмешательства в личную и семейную жизнь, посягательств на неприкосновенность жилища, тайну корреспонденции, честь и репутацию индивида. Персональные данные человека априори входят в понятие «личная и семейная жизнь» как сведения о его генетических, культурных и социальных особенностях. В свою очередь, защита сведений о местоположении индивида может косвенно обеспечивать неприкосновенность жилища. Корреспонденция индивида включает информацию, относящуюся к персональным данным, поэтому обеспечение ее тайны автоматически гарантирует защиту находящихся в ней идентификаторов. Стоит также отметить наличие подобных запретов в ст. 17 Международного пакта о гражданских и политических правах 1966 г.[5] Здесь, так же, как и в содержании Всеобщей декларации прав человека 1948 г., вышеуказанное право человека на частную жизнь дополняется в ч. 2 правом на защиту закона от таких вмешательств или посягательств.

Право на защиту персональных данных в той или иной форме закреплено в ряде универсальных международных договоров, имеющих целью определение правового статуса отдельных уязвимых категорий людей. Так, ст. 8 Факультативного протокола к Конвенции о правах ребенка, касающегося торговли детьми, детской проституции и детской порнографии 2000 г.[6] содержит положение о принятии государствами-участниками надлежащих мер для защиты прав и интересов детей-жертв в частности, их частной жизни и личности, и запрет нежелательного распространения информации, которая могла бы привести к установлению личности таких детей. Ч. 2 ст. 22 Конвенции о правах инвалидов 2006 г.[7] устанавливает: «Государства-участники охраняют конфиденциальность сведений о личности, состоянии здоровья и реабилитации инвалидов наравне с другими». Представляется, что только при условии создания и поддержания на должном уровне защиты персональных данных возможно эффективно обеспечивать права таких лиц, которые относятся к сфере частной жизни и личной безопасности.

С.Ю. Кашкин и А.В. Покровский привлекают внимание к проблеме негативного влияния технологических инноваций на эффективность защиты персональных данных и указывают, что «упоминание права работников на приватность подводит нас к еще одной области, «вторжение» искусственного интеллекта в которую вызывает обоснованное беспокойство, — конфиденциальности персональных данных и сохранению неприкосновенности частной жизни граждан. Применение технологий искусственного интеллекта позволяет открыто вмешиваться в частную жизнь, сводя на нет это недавно завоеванное людьми право»[8]. Таким образом, признается необходимым не только поддерживать международно-правовую систему защиты персональных данных, но и совершенствовать ее в соответствии с развитием современных технологий, таких, как искусственный интеллект.

Наиболее детально международно-правовые аспекты права на защиту персональных данных регламентированы на региональном уровне. Так, учредительные договоры Европейского Союза содержат нормы о праве каждого индивида на защиту его персональных данных (ч. 1 ст. 16 Договора о функционировании ЕС (ДФЕС) в редакции Лиссабонского договора 2007 г.[9]). Установление правил, относящихся к защите персональных данных физических лиц и свободе их перемещения, возложено на Европейский Парламент, Европейский Совет и государства-члены ЕС (ч. 2 ст. 16 ДФЕС). Хартия об основных правах, выступающая составной частью Лиссабонского договора о ЕС 2007 г.[10], помимо права на защиту персональных данных, содержит требования к государствам-членам о добропорядочных и целевых условиях их обработки, при наличии согласия заинтересованного лица или других правомерных оснований, установленных законом (ч. 2 ст. 8). Здесь же определяется право каждого человека «получать доступ к собранным в отношении его данных и устранения в них ошибок», причем соблюдение таких правил находится под контролем независимых органов (ч. 3 ст.8).

П.А. Калиниченко и М.В. Некотенева также указывают на необходимость защиты персональных данных при осуществлении исследований генома человека и замечают, что с целью обеспечения безопасности геномной информации «ряд актов вторичного права ЕС <…> регулирует отношения, связанные с защитой прав личности при сборе, хранении и обработке персональных данных»[11]:

Стокгольмская программа «Открытая и безопасная Европа, которая служит своим гражданам и защищает их» от 4 мая 2010 г.[12] определяет в качестве цели ЕС обеспечение «стратегии для защиты данных в рамках Союза и в его отношениях с другими странами» (п. 2.5). Европейский Союз должен предусмотреть и регламентировать условия, при которых вмешательство публичных властей в осуществление права на персональные данные выступает оправданным, и применять принципы их защиты в частной сфере.

Регламент Европейского Парламента и Совета ЕС № 679/2016 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных определяет персональные данные как любую информацию, относящуюся к физическому лицу, с помощью которой такое лицо могло бы быть идентифицировано прямо или косвенно, в частности, посредством таких критериев, как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица (ч. 1 ст. 4)[13].

Российские правоведы замечают, что эффективность защиты персональных данных требует не только гармонизации принципов такой защиты, но «и в определенной степени средств их применения в столь быстро меняющейся и высоко технологической области» и условий трансграничной передачи указанных данных[14]. Как известно, Российская Федерация присоединилась к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. в ноябре 2001 г. Исполнение правовых обязательств по указанному договору и использование международно-правовых стандартов защиты приватности нашли свое закрепление в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (действует с изменениями и дополнениями)[15].

Конвенция Совета Европы и Федеральный закон № 152-ФЗ содержат идентичные определения персональных данных. По Конвенции они представляют собой любую информацию об определенном или определяемом физическом лице (п. «а» ст. 2)[16]. В Федеральном законе уточняется, что лицо при этом может быть определенным или определяемым как прямо, так и косвенно (ч. 1 ст. 3)[17]. Данный закон учитывает современные тенденции идентификации физических лиц, определяет понятие биометрических персональных данных как сведений, устанавливающих физиологические и биологические особенности человека, на основании которых выясняется его личность, и основные принципы их обработки оператором (ст. 11). Трансграничная передача персональных данных связывается с участием государств в Конвенции Совета Европы 1981 г. и наличием адекватной системы защиты прав их субъектов (ст. 12). М.Ю. Авдеев указывает, что общей целью Федерального закона № 152-ФЗ является «обеспечение защиты прав и свобод человека при обработке персональной информации о нем, в том числе защиты прав на неприкосновенность частой жизни, личную и семейную тайну» и его действие предполагает «постепенное формирование правовой культуры защиты персональных данных»[18].

Республика Молдова также является участником Конвенции Совета Европы 1981 г. При ее ратификации были сделаны оговорки, в соответствии с которыми Конвенция не будет применяться в отношении обработки персональных данных физических лиц, предназначенных исключительно для личных и семейных нужд (с условием, что они не нарушают права субъектов персональных данных), а также в отношении обработки персональных данных, относящихся к информации, являющейся государственной тайной[19].

В то же время было заявлено, что положения Конвенции будут применяться, в том числе, и в отношении персональных данных, которые не подвергаются автоматизированной обработке. В качестве компетентного органа по выполнению положений Конвенции Совета Европы был назначен Национальный центр по защите персональных данных.

В 2011 г. был принят Закон Республики Молдова «О защите персональных данных»[20]. Целью закона является «обеспечение защиты основных прав и свобод физического лица при обработке его персональных данных, в особенности права на неприкосновенность интимной, семейной и частной жизни» (ст. 1).

Данным законом регулируются правоотношения, возникающие при обработке персональных данных полностью или частично автоматизированными средствами, а также при обработке средствами, отличными от автоматизированных, персональных данных, составляющих часть системы учета или предназначенных для введения в такую систему. В соответствии со ст. 3 Закона, персональные данные определяются как «любая информация, связанная с идентифицированным или идентифицируемым физическим лицом (субъектом персональных данных)».

Закон Республики Армения «О защите персональных данных» 2015 г. [21] определяет персональные данные как «любое сведение, относящееся к физическому лицу, которое позволяет или может позволить впрямую или косвенно идентифицировать личность»[22]. Закон регулирует порядок и условия государственного контроля над обработкой персональных данных органами государственного управления или местного самоуправления, государственными или общинными учреждениями или организациями, юридическими или физическими лицами. Установленные законом средства обработки и регулирования защиты персональных данных обусловлены имплементацией положений Конвенции Совета Европы и директивы Европейского парламента и Совета Европейского Союза 95-46-ЕС от 24-го октября 1995 года «О защите физических лиц при обработке персональных данных»[23].

Подводя итог, можно сделать вывод о том, что в национальном законодательстве государств-участников Конвенции Совета Европы понятие «персональных данных» является фактически идентичным.

Содержание и особенности защиты персональных данных в праве Европейского Союза

Как уже было указано выше, персональные данные обладают высокой чувствительностью и должны быть объектами особых мер защиты. Вышеприведенный Регламент ЕС устанавливает ряд мер по защите персональных данных физических лиц. Е.В. Постникова справедливо отмечает, что Регламент «создает единое правовое регулирование ЕС в сфере защиты персональных данных, которое должно усилить право на защиту данных и сделать так, чтобы люди доверяли структурам, которым они сообщают свои данные»[24]. Необходимо уточнить, что в рамках данного правового акта государствами-членами ЕС закрепляется совокупность основополагающих принципов, необходимых к соблюдению при обработке персональных данных физических лиц. В частности, устанавливаются принципы:

  1. законной, беспристрастной и прозрачной обработки данных;
  2. целевого ограничения, согласно которому обработка данных должна происходить исключительно в установленных целях, о которых индивид был проинформирован;
  3. минимизации данных, согласно которому к обработке привлекаются только такие данные, которые действительно необходимы для указанных целей;
  4. точности, означающей, что персональные данные должны быть актуальными и любые неточности подлежат как можно более скорому исправлению;
  5. ограничения по хранению, что обеспечивает необходимость удаления данных сразу после того, как цели обработки были достигнуты и дальнейшее хранение данных более нецелесообразно;
  6. конфиденциальности и целостности, согласно которым персональные данные должны обрабатываться безопасным способом, без утечек и иного несанкционированного доступа.

Указанные принципы обеспечиваются положениями Регламента, дающего широкий перечень прав и обязанностей как субъектам, предоставляющим свои персональные данные организации или иному лицу, управомоченному осуществлять их обработку, (такие субъекты в Регламенте называются «субъектами данных» согласно ч. 1 ст. 4), так и организациям, определяющим цели и способы обработки (такие организации именуются «контролерами» согласно ч. 7 ст. 4). Например, принцип прозрачности во многом обеспечивается ст. 12 Регламента, согласно которой субъект имеет право отправлять контролерам запросы на получение необходимой информации, в частности, на предмет:

  1. идентификации самого контролера и его представителей;
  2. целей обработки персональных данных;
  3. получателей персональных данных;
  4. намерении контролера передать их в третью страну, если таковое намерение имеет место;
  5. периоде хранения персональных данных.

Также значимыми нормами Регламента представляются ст. 16 и 17, устанавливающие право субъекта на внесение исправлений в свои персональные данные в случае обнаружения неточностей, а также «право на забвение», согласно которому субъект имеет право запросить у контролера удалить его персональные данные, если надобность в таких данных исчерпана по причине выполнения оговоренных целей или если субъект более не согласен, чтобы эти данные были объектом обработки. В рамках данного положения нужно уточнить, что, согласно Регламенту, контролер в случае, если он передавал необходимые к удалению персональные данные другим контролерам, обязан уведомить последних о необходимости удаления таких данных, а также любых их копий. Регламент предусматривает право субъекта на получение от контролера результатов обработки своих персональных данных, причем контролер обязан представлять эти результаты в доступной и понятной для субъекта форме.

Е.В. Постникова также указывает на необходимость защиты персональных данных в рамках функционирования европейского цифрового рынка и считает такую защиту необходимым элементом его существования[25]. Этот автор отмечает значение защиты персональных данных в целях обеспечения взаимного доверия сторон в экономической сфере: «Защита персональных данных поставщиков и потребителей имеет большое значение для обеспечения и поддержания доверия различных действующих на рынке субъектов. Таким образом, <…> одним из инструментов повышения эффективности единого внутреннего рынка выступает защита персональных данных, которая, в свою очередь, является неотъемлемой частью пространства правосудия и основных прав человека»[26].

Защита персональных данных субъектов также обеспечивается нормами Регламента, не относящимися напрямую к самим субъектам, но обеспечивающим систему мер, которые гарантируют соблюдение настоящего Регламента в целях защиты данных. Так, Регламент устанавливает обязанность государств-членов ЕС учредить надзорные органы, обеспечивающие контроль за деятельностью контролеров и оказывающих им содействие в решении вопросов, связанных с мерами по защите данных и информировании субъектов (ст. 51 и 57). Закреплена обязанность контролеров назначать в своих организациях инспекторов по защите данных, которые выполняют консультативные функции в указанной области и обладают квалификацией по применению нормативно-правовой базы по защите данных. Субъекты наделяются правом на судебное разбирательство в том случае, если их права были нарушены контролером или надзорным органом (ст. 78, 79). Также предусматривается право субъекта на получение компенсации со стороны контролера и подачу жалобы в надзорный орган в случае нарушения им прав субъекта (ст. 77, 82).

Представляется, что перечень вышеприведенных положений Регламента № 679 в совокупности обеспечивает взаимосвязанную систему мер, как прямо, так и косвенно обеспечивающих эффективную и всестороннюю защиту персональных данных индивидов. Регламент является действенным правовым средством защиты персональных данных. В качестве его основных достоинств можно указать наделение контролеров, обрабатывающих персональные данные, весьма широким перечнем обязанностей. Например, обязанность доказывания законности обработки персональных данных лежит именно на контролере. Он также должен доказывать необоснованность или чрезмерность запросов о предоставлении информации со стороны субъектов. Другой формой контроля можно назвать назначение инспектора по защите данных и его взаимодействие с соответствующими надзорными органами.

Положительным моментом при защите персональных данных можно назвать формирование системы надзорных органов, действующих в пределах юрисдикции государств-членов ЕС. Регламент обязывает эти органы оперативно обмениваться необходимой информацией, проводить совместные международные расследования и т.п. Кроме того, согласно ст. 68 Регламента, Европейским Парламентом и Советом ЕС учрежден Европейский совет по защите данных, состоящий из представителей надзорных органов всех государств-членов. Именно в рамках этого Совета осуществляется тесное сотрудничество и принятие совместных решений надзорных органов.

Регламент включает нормы, отдельно посвященные обработке персональных данных детей (п. «g» ч. 2 ст. 40 и п. «b» ч. 1 ст. 57), так как они в силу возрастных особенностей не могут в полной мере осознавать важности и риска обработки своих персональных, что требует рассмотрения такой категории субъектов как особенно уязвимой.

Однако, в содержании Регламенте существуют и отдельные недостатки. Так, при многократном указании на такое условие, как «высокая степень риска» при обработке персональных данных, отсутствуют какие-либо критерии, на которые контролеры могли бы опираться при ее оценке. Из ст. 36 прямо следует, что контролер обязан самостоятельно оценивать степень риска возможных негативных последствий при обработке персональных данных, и только потом консультироваться с надзорными органами по поводу своих дальнейших действий. Остается неясным, по каким именно признакам контролер должен выявлять, что в данном конкретном случае степень риска высокая. Указанную проблему можно было бы решить определением перечня конкретных критериев, позволяющих идентифицировать степень риска, либо хотя бы определением перечня конкретных типов персональных данных, обработка которых априори влечет за собой возникновение высокой степени риска.

Также существенным недостатком можно назвать отсутствие закрепления в Регламенте предупреждения такой критичной ситуации, как незаконное преднамеренное использование персональных данных лицами, ответственными за их обработку и хранение. С одной стороны, такое правонарушение вполне покрывается термином «несанкционированный доступ», который неоднократно используется в этом правовом акте в контексте описания основных угроз защите данных. С другой стороны, необходимо учесть тот факт, что в существующих международно-правовых актах, посвященных борьбе с киберпреступностью (Будапештской Конвенции о компьютерных преступлениях от 23 ноября 2001 г. и Дополнительном протоколе к ней от 28 января 2003 г.[27]), отсутствуют какие-либо положения, напрямую затрагивающие проблему защиты персональных данных. Очевидно, что современные международно-правовые средства борьбы с киберпреступностью не учитывают проблему преднамеренного использования персональных данных их обработчиком. В связи с этим, по нашему мнению, необходимо уделить особое внимание такому виду правонарушений и сформировать в Регламенте отдельную норму, в которой будет описан состав данного преступления и которая потребует от  государств-членов ЕС обратить особое внимание на ситуацию преднамеренного использования персональных данных.

Отдельным недостатком можно назвать некоторую неточность в определении сферы применения Регламента. Так, ч. 1 ст. 2 устанавливает, что он «применяется в отношении обработки персональных данных полностью либо частично при помощи автоматизированных средств, а также в отношении обработки персональных данных иными способами, которые являются частью файловой системы или которые имеют целью стать частью файловой системы», однако не дает хотя бы приблизительный перечень таких автоматизированных средств. С одной стороны, такое положение обеспечивает некоторую «техническую нейтральность» Регламента и значительно расширяет возможные сферы его применения. С другой, отсутствие более конкретных положений может значительно затруднить однозначную юридическую квалификацию и интерпретацию.

С момента вступления Регламента в силу, в процессе реализации его положений на национальном уровне были обнаружены некоторые негативные эффекты. К примеру, Ж.Хэрл и Д.Хирш, указывают на ряд сложностей, возникших при применении положений Регламента, таких, как значительное увеличение бюрократии, затрудняющей работу организаций, обрабатывающих персональные данные, формальность соответствия требованиям Регламента и назначения инспекторов по защите данных, отсутствие ощутимых изменений в их корпоративной политике[28]. В качестве другого неоднозначного факта авторами приводятся суммы штрафов, которые налагаются на организации, нарушающие Регламент. Объем таких штрафов зачастую ощутимо невелик по отношению к общему объему капитала организаций-нарушителей, что делает их недостаточно эффективной мерой контроля. Кроме этого, отмечается наличие в Регламенте «лазейки», обеспечивающей организациям возможность обходить требование получения явного согласия от субъекта данных на обработку. Согласно положениям Регламента, обработчик может не получать явного согласия от субъекта, если обработка данных тем или иным образом «очевидно ожидаема» исходя из содержания правоотношений, возникающих между субъектом и обработчиком. Такая особенность Регламента привела к тому, что некоторые организации отправляли субъектам данных сообщения с рекламными предложениями, не получая при этом предварительного согласия от субъектов данных на такую рассылку[29].

Нужно также отметить, что вышеуказанный правовой акт действует вместе с Директивой Европейского Парламента и Совета ЕС № 58 от 12 июля 2002 г. в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи[30]. Директива отличается заметной узкой направленностью в отличие от Регламента, так как в большей степени нацелена на защиту данных в сфере телефонной коммуникации.

Изучаемый Регламент стал основой для ряда других международно-правовых инициатив в рамках Европейского Союза, к примеру, Регламента Европейского Парламента и Европейского Совета № 1725/2018 от 23 октября 2018 г. о защите физических лиц при обработке персональных данных институтами, органами, ведомствами и агентствами и о свободном обращении таких данных, а также об отмене Регламента № 45/2001 и Решения № 1247/2002/ЕС[31]. Регламент № 1725 включает в себя достаточное количество положений Регламента № 679. Так, например, в нем определен аналогичный перечень принципов обработки персональных данных и установлено унифицированное определение права субъекта на получение информации об операторе данных, на забвение, на ограничение целей обработки и на получение результатов обработки.

Помимо этого, в содержании Регламента № 1725 приведен гораздо более широкий перечень правовых определений. В частности, ст. 3 вводит термины «оперативные персональные данные» (персональные данные, обработанные государственными органами стран-членов ЕС) и «пользователь» (физическое лицо, оперирующее в пределах распределенной сети или оборудования, подконтрольного органам государства-члена ЕС). В ней также закреплены сугубо технические дефиниции, такие, как «сеть электронной связи» (система передачи информации, основанная на коммутационном или маршрутизирующем оборудовании, а также любых иных технологиях, предусматривающих передачу информации с использованием электромагнитных волн) и «терминальное оборудование» (оборудование, прямо или косвенно подключенное к телекоммуникационной сети и предназначенное для отправки, получения и обработки информации).

Ст. 52 Регламента № 1725 учреждает Европейский надзорный орган по защите данных (European Data Protection Supervisor). Ст. 32 определяет обязанность законодательных и судебных органов государств-членов ЕС сотрудничать с ним по вопросам обработки и защиты персональных данных. Здесь установлен перечень функций данного органа, среди которых, в частности, определен мониторинг соблюдения Регламента № 1725 и повышение осведомленности граждан и обработчиков персональных данных относительно принципов, прав и обязанностей в этой сфере. Раздел 3 гл. 4 Регламента № 1725 предусматривает обязательство органов государств-членов ЕС обеспечивать безопасность своих электронных сетей; защиту информации, переданной, полученной и обработанной с помощью терминального оборудования, относящегося к их сайтам и мобильным приложениям; запрет использования информации о пользователях в маркетинговых целях. Регламент содержит нормы, обеспечивающие создание технических условий для поддержания безопасности персональных данных и их обработки.

Другим нормативно-правовым актом в области защиты персональных данных выступает Директива Европейского Парламента и Европейского Совета № 680/2016 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или судебного преследования уголовных правонарушений или при исполнении уголовных наказаний, а также о свободном обращении таких данных[32]. В ней нашли закрепление все основополагающие принципы обработки персональных данных, обозначенные в Регламенте № 679. При этом наблюдаются и некоторые заметные отличия. Так, в ст. 10 Директивы № 680/2016  установлено, что обработка специальных категорий персональных данных (расовое или этническое происхождение, политические взгляды, религиозные и философские убеждения, членство в профсоюзах, биометрические данные, данные о здоровье и половой жизни, ориентации) разрешена в ряде случаев, к примеру, если такая обработка требуется в целях обеспечения безопасности самого субъекта данных или иных лиц. При этом в Регламенте № 679 явно установлен запрет обработки таких категорий данных при отсутствии законных оснований для их обработки. В указанной Директиве же явного запрета не предусмотрено.

Среди иных особенностей Директивы можно выделить перечень оснований, в связи с которыми субъекту может быть ограничено право на получение информации об обрабатываемых данных. Например, ограничения на доступ возникают в случае риска создания препятствий для осуществления расследований уголовных преступлений. Кроме этого, по содержанию Директивы можно сказать, что у субъектов персональных данных установлен более узкий перечень прав, в частности, отсутствует право на забвение и положение о явном запрете на обработку специальных категорий персональных данных.

Правовые основы защиты персональных данных и действие Визовой информационной системы

Отдельной частью права ЕС в сфере регламентации защиты персональных данных выступает содержание Визового кодекса в редакции Регламента № 1155/2019 Европейского Парламента и Совета ЕС от 20 июня 2019 г. об изменении Регламента ЕС № 810/2009, устанавливающего Кодекс Сообщества о визах[33]. Речь идет о включении персональных данных граждан третьих стран, въезжающих на территорию государств-членов ЕС, в Визовую информационную систему (VIS/ВИС). Указанная база представляет собой систему информационного обмена данными о краткосрочных визах граждан третьих стран для государств, входящих в Шенгенское пространство. ВИС состоит из центральной базы данных, национальных интерфейсов и коммуникационной структуры, соединяющей эти элементы. Благодаря ВИС компетентные органы государств-участников Шенгенских соглашений могут обобщать данные об обработке визовых заявлений, получении или отказе в выдаче виз. ВИС также включает автоматизированную дактилоскопическую систему идентификации, в которой сохраняются отпечатки пальцев заявителей и обеспечена возможность установления их совпадений при повторном обращении. С ее помощью лицо, въезжающее в Шенгенское пространство, оперативно идентифицируется пограничными службами государств-членов при пересечении границ. ВИС соединена с национальными визовыми системами государств-участников.

Назначение и функции ВИС определены Регламентом Европейского Парламента и Совета EC № 767/2008 от 9 июля 2008 г. в отношении системы ВИС и обмена между государствами-членами данными в отношении краткосрочных виз (Регламент по ВИС)[34]. Правовые основы использования ВИС уполномоченными властями должны быть построены на принципе недискриминации заявителей и держателей Шенгенской визы по таким основаниям, как пол, расовое или этническое происхождение, вероисповедание, наличие инвалидности, возраст и сексуальная ориентация, с уважением их человеческого достоинства и личной неприкосновенности (ч. 2 ст. 7 Регламента по ВИС). Это позволяет связывать организацию ВИС с использованием специальных (отраслевых) принципов международного права прав человека и с фундаментальным правом человека на защиту частной и семейной жизни. В содержание ВИС поочередно вносятся сведения о подаче визового заявления, его рассмотрении, выдаче визы, прерывании рассмотрения заявления, отказе в выдаче визы, ее аннулировании или продлении (ст. 8-14).

В качестве биометрических идентификаторов ходатайствующих о Шенгенской визе лиц Регламентом № 1155/2019 установлены фотография и десять отпечатков пальцев заявителя в цифровой форме (ст. 12). Решением Совета ЕС в 2021 г. фотографии для виз должны выполняться при подаче ходатайства; требования дактилоскопии распространены на детей в возрасте с 6 лет; при рассмотрении ходатайств могут проводиться дополнительные проверки биографических данных заявителей. В базы ВИС включается также, помимо информации о краткосрочных визах, сведения о долгосрочных визах и видах на жительство, которые подразумевают свободное передвижение граждан третьих стран в общем пространстве ЕС.[35] Эти правила вступят в силу к 2023 г.

Доступ к ВИС обеспечивается только для уполномоченного персонала консульских учреждений государств-членов; сотрудничество с внешними поставщиками услуг подразумевает надзор за ними и контроль защиты персональных данных заявителей (ст. 43). В части получения биометрических идентификаторов сотрудничество государств-членов с коммерческими посредниками не осуществляется (ст. 45). Консультация с ВИС производится по каждому визовому ходатайству с полным использованием всех критериев поиска (ч. 2 ст. 21 Регламента № 1155). В случае признания ходатайства неприемлемым компетентное консульское учреждение должно уничтожить полученные им биометрические идентификаторы с целью защиты персональных данных заявителя и поддержания политики конфиденциальности, проводимой ЕС. Каждый заявитель имеет право получить информацию о своих личных сведениях, которые сохранены в ВИС (ст. 15 Регламента по ВИС). Он также вправе требовать исправления неправильных сведений о себе и удаления незаконно полученных персональных данных (ст. 38). Тем не менее, если ходатайство было принято, и решение по предоставлению Шенгенской визы отрицательное, информация о заявителе остается в ВИС.

В течение пяти лет при получении Шенгенской визы отпечатки пальцев ходатайствующего лица, находящиеся в архиве ВИС, могут использоваться повторно, за исключением случаев возникновения обоснованных сомнений относительно его личности. Когда держатель визы прибывает на внешние границы ЕС, пограничные службы также получают доступ к системе VIS, чтобы установить его личность и проверить подлинность визы (ст. 18 Регламента по ВИС). Доступ к системе предоставляется в целях:

1) проверки визового заявления и связанных с ним решений;

2) исполнения проверки на внешних границах ЕС по поводу идентификации личности въезжающего лица и подлинности Шенгенской визы;

3) выявления и пресечения незаконной миграции;

4) установления государства-члена ЕС, ответственного за предоставление убежища, если лицо обращается за ним;

5) предупреждения угроз для национальной безопасности государств-членов ЕС (cт. 2 Регламента по ВИС).

Помимо этого, властям государства, ответственного за выдачу визы, разрешено использование персональных данных заявителя, таких, как информация о его статусе, целях въезда, типе въездного документа и т.д., для ведения отчетности и статистики. Каждое государство-член обязано обеспечивать безопасность личных сведений, которое оно получает из базы ВИС (ч. 1 ст. 32).

Таким образом, оформление персональных данных граждан третьих стран в унифицированных базах ЕС представляет собой самостоятельный правовой инструмент пограничного, идентификационного и визового контроля таких лиц, который обладает определенной временной устойчивостью и обеспечивает к ним постоянный доступ государств-членов и стран, входящих в Шенгенское пространство. Представляется, что указанная правовая система получения и использования индивидуальных персональных данных индивидов должна применяться ими с детальной регламентацией права человека на частную жизнь и дополняться гарантиями конфиденциальности информации по таким данным в цифровой среде.

Особенности регламентации права на защиту персональных данных в законодательстве США

Рассматривая право индивида на защиту персональных данных в современном контексте, необходимо отметить, что регулирование данного права в США может осуществляться в соответствии с федеральным законодательством. Одновременно оно присутствует и на уровне каждого отдельного штата, в соответствии с федеральным и его собственным законодательством.

Основными федеральными законами можно считать Закон «О неприкосновенности частной жизни» 1974 г.[36] и Закон «О защите частной жизни» 1980 г.[37], которые, прежде всего, регламентируют деятельность федеральных государственных органов по отношению к компаниям–операторам, которые обрабатывают персональные данные граждан на территории США. В указанных законах содержатся определенные нормативно-технические правила, которые должны применяться в целом в вопросах, которые затрагивают конфиденциальность граждан. Однако необходимо отметить, что в содержании правовых норм отсутствуют стандарты и параметры, которые должны установить требования, связанные с автоматизацией систем защиты персональных данных. Органом, который устанавливает данные нормы, является Национальный институт стандартов и технологий (NIST – National Institute of Standards and Technology)[38], подразделение Управления по технологиям США, одного из агентств Министерства торговли США. Для компаний, которые действуют на всей территории США, NIST принимает подзаконные акты, обязательные для исполнения на всей территории страны. Если сравнивать их с российским законодательством, то можно сказать, что указанные правовые акты имеют правовую природу, аналогичную ГОСТ в Российской Федерации.

Еще одним федеральным законом, регулирующим специфические персональные данные, является Закон «Об унификации и учете в области медицинского страхования»[39], защищающий медицинскую информацию (PHI – personal health information -персональные медицинские данные).

Особую значимость в сфере защиты персональных данных граждан США имеет документ под названием NIST Special Publication 800-122[40], принятый в апреле 2010 г. Указанный документ имеет раздел «Гид по защите конфиденциальных персональных данных». В нем содержатся нормы, которые касаются организационных, технических и правовых мер по защите персональных данных граждан, а также пояснения и примеры внедрения и правильного применения всех вышеназванных мер организациями (операторами), которые так или иначе касаются персональных данных граждан США[41]. Особое внимание уделяется системному обучению сотрудников, которые работают с персональными данными граждан и, в связи с этим, обладают определенной конфиденциальной информацией. Так, например, сотрудник, который прошел соответствующее обучение, обязан обладать определенными компетенциями:

— знать и применять на практике следующее: обязанности по защите данных; правила безопасной обработки информации для ее носителя; действующие в сфере защиты персональных данных требования федерального законодательства и законов штатов, где они работают;

— понимать свой уровень ответственности за неправомерное обращение с персональными данными;

— учитывать, что обрабатываемый массив информации может содержать персональные данные, которые нуждаются в защите;

— знать, какие есть ограничения на сбор, обработку, хранение и использование персональных данных различных категорий лиц;

— уметь действовать в случаях выявления нарушений, связанных с обработкой и защитой персональных данных[42].

Кроме этого, указанный документ устанавливает определенные принципы управления персональными данными оператором. К таковым, в первую очередь, относятся: ограничение на любые формы оборота персональных данных, в том числе, использование и распространение; получения права на доступ к персональным данным; требования к реакции сотрудников оператора на инциденты информационной безопасности и нормы, регулирующие их устранение; основные требования к их хранению на серверах, информационных базах и т.д. В этих же рекомендациях заложено требование по минимизации обрабатываемых персональных данных и их максимальному обезличиванию, что затрудняет идентификацию по ним конкретной личности и получение каких-либо иных сведений о ее жизни, имуществе, здоровье. Это существенно препятствует незаконному использованию и распространению сведений о конкретном индивиде[43].

Также NIST Special Publication 800-122 устанавливает такие важнейшие моменты защиты персональных данных, как требования к квалификации и образованию персонала, который будет заниматься использованием персональных данных. К мерам защиты отнесены следующие возможные мероприятия: расследование в форме аудита случаев нарушения информационной безопасности; управление доступом компетентных сотрудников к массивам информации в соответствии с обозначенными требованиями; установление правил доступа и способов идентификации и аутентификации сотрудников, которые имеют право на допуск к обработке персональных данных; все возможные варианты обращения с материальными носителями информации, их маркировка, хранение и режим перемещения в пределах помещения, занимаемого оператором, и вне его; необходимость шифрования персональных данных при их передаче; мониторинг работоспособности информационной системы защиты персональных данных. При этом оператор сам вправе выбирать средства защиты персональных данных своих клиентов.

Примером международного договора, который регулирует защиту персональных данных в США, является соглашение с ЕС под названием Transfer of Air Passenger Name Record (PNR) Data[44], где вопросы защиты персональных данных определены в качестве компетенции органов таможни и пограничной службы США.

Также можно упомянуть подзаконные акты Административно-бюджетного управления США (OMB — Office of Management and Budget)[45], которые в первую очередь касаются сохранения персональных данных налогоплательщиков США.

Важно подчеркнуть, что правовые акты, принимаемые вышеназванными органами, обязательны для исполнения всеми федеральными государственными органами; для иных организаций, в том числе и коммерческих, они носят рекомендательный характер.

Можно сказать, что США применяют комплексный подход,  подразумевающий одновременное применение законодательства отдельного штата и федерального законодательства, которые регулируют право на защиту персональных данных. Однако в современном мире с глобальными тенденциями сложно оставить регулирование данного вопроса исключительно в ведении одного государства. Поэтому Министерство торговли США совместно с ЕС в 2000 г. разработало концепцию, которая должна помочь защите персональных данных при взаимном сотрудничестве. Данная концепция получила название US-EU Safe Harbor[46]. Она в достаточной степени лаконична и содержательна. Концепция содержит несколько принципиальных положений, которые касаются защиты персональных данных в США и ЕС.

Первый принцип касается передачи личной информации третьим сторонам. В подобной ситуации организация, имеющая личные данные лица, обязана явно уведомить это лицо о необходимости передачи информации третьим лицам. Но перед этим организация, имеющая личные сведения о лице, обязана проверить третью сторону на соответствие принципов US-EU Safe Harbor, или каким-либо иным способом обеспечить защиту личных данных.

Далее осуществляется выбор субъекта личной информации: он сам должен решать можно ли передавать его личную информацию третьей стороне. Также индивид сам решает вопрос об использовании такой информации в иных целях, чем в случае предоставления информации о себе.

Следующий принцип касается доступа субъекта, обладающего персональными данными, к своей личной информации, которая обрабатывается организацией. При этом организация обязана предоставить субъекту возможность изменять, дополнять или удалять информацию о себе.

Далее следует принцип конфиденциальности. В связи с тем, что субъект имеет право на защиту персональных данных, организация, которой он их предоставил, обязана принять все разумные меры для защиты персональной информации субъектов от потерь, злоупотреблений, раскрытия, несанкционированного доступа, изменения и уничтожения иными лицами. При этом сама организация может заключить соответствующий письменный договор с третьей стороной для гарантированности конфиденциальности.

Также в US-EU Safe Harbor упоминается целевой принцип, согласно которому личная информация должна быть использована организацией в соответствии с теми целями, для которых она была получена. Организация обязана гарантировать и принять все возможные меры для того, чтобы обеспечить надежность данных для их предполагаемого использования, точности, полноты и актуальности.

Завершающий принцип касается правоприменения. Для обеспечения соблюдения содержания US-EU Safe Harbor необходимо наличие:

 а) доступных независимых механизмов обжалования, с тем чтобы можно было расследовать и разрешать жалобы и споры в отношении каждого человека, а также присуждать компенсацию за ущерб, если это предусмотрено применимым законодательством или инициативами частного сектора;

b) процедуры проверки соблюдения компаниями обязательств по соблюдению принципов US-EU Safe Harbor;

c) обязательств по решению проблем, возникающих в результате несоблюдения принципов.

Санкции должны быть достаточно строгими, чтобы обеспечить их соблюдение организацией. Организации, не предоставляющие ежегодные письма о внутреннем аудите, больше не будут фигурировать в списке участников.

Таким образом, можно сказать, что в США основные нормативно-правовые акты, касающиеся вопросов защиты персональных данных, направлены в первую очередь на регулирование деятельности государственных органов. Эти правила имеют рекомендательный характер для иных организаций, которые получают такую информацию.

Однако проблема кражи личности[47], как называется преступление, при котором незаконно используется персональные данные физического лица для получения выгоды, в США стоит уже достаточно давно.[48] Поэтому необходимо найти определенные общие подходы для решения вопроса о защите персональных данных граждан.

В 2020 г. федеральные власти США в лице ФТС США дали 45 дней Facebook, Twitter, WhatsApp, YouTube, Amazon, ByteDance, Discord, Reddit и Snap на то, чтобы раскрыть государству методы сбора и обработки персональных данных пользователей данных компаний. Такие действия федеральных властей объясняются тем, что подобные организации постоянно нарушают право на частную жизнь граждан и сохранность их персональных данных[49].

В 2018 г. в Калифорнии был принят закон The California Consumer Privacy Act, который регулирует правила сбора и использование персональных данных всеми компаниями в штате[50]. Этот закон вступил в силу с 1 января 2020 г. По его содержанию к персональным данным отнесены любые данные, которые позволяют идентифицировать конкретного человека, от геолокации до биометрии (SEC. 9. Section 1798.140 (o) (1)). Но такой опыт является единичным и пока никак не повлиял на принятие подобных правовых актов в других штатах.

Тем не менее, есть смысл обратиться к федеральному законодательству США, так как в государстве существуют определенные регуляторы, помимо упомянутых выше законов. Однако они находятся в сфере уголовного права, так, в 1984 г. был принят федеральный закон «О компьютерном мошенничестве»[51], который был дополнен в 1986 г. законом «О компьютерном мошенничестве и злоупотреблении»[52]. Федеральные суды весьма активно применяют нормы данных законов[53]. Очевидно, что они устанавливают прежде всего ответственность за составы преступлений, такие, как компьютерный шпионаж; несанкционированный доступ к информации; компьютерное мошенничество; угрозы, вымогательство, шантаж, совершаемые с использованием компьютерных технологий и др. Но все указанные нормативно-правовые акты так или иначе касаются нарушения права гражданина США на защиту персональных данных.

Необходимо также упомянуть USA PATRIOT Act[54], который с 2001 г. предоставил государству право легально собирать любые персональные данные граждан, что реализуется компетентными государственными органами в случае подозрений в совершение ими террористических актов. Этой возможностью США неоднократно пользовались, так как в соответствии с указанным законом компетентные федеральные органы, прежде всего правоохранительные, получали доступ к любой личной информации граждан-клиентов частных электронных компаний без уведомления. В 2015 г. произошло частичное ограничение сбора таких данных. Теперь требуется ордер федерального суда на получение персональных данных. В указанном законе установлено, что собирать данные о гражданах США могут исключительно провайдеры, которые получили такое право в соответствии с Законом о свободе[55].

Подводя итог сказанному, стоит отметить, что, несмотря на ряд положительных моментов в федеральном законодательстве, о которых мы сказали выше, в нем присутствуют  и определенные пробелы. Вопросы, касающиеся защиты персональных данных в США, вызывают серьезные научные дискуссии; ярким примером обсуждения этих вопросов служит публикация профессоров Нью-Йоркского университета П. Шварца и Д. Соловья[56]. Авторы доказательно отмечают, что в США нет единого подхода к персональным данным и понятия, определяющие эти юридические категории, в достаточной степени расплывчаты. Кроме того, граница между персональными данными (PII) и неперсональными данными (non — PII) четко не определена; защита персональных данных требует новых принципов регулирования в национальном праве.

На федеральном уровне в США отсутствует единый нормативный акт, который бы регламентировал обработку и защиту персональных данных. Основные правовые акты, действующие в сфере защиты персональных данных, касаются прежде всего государственных органов. Для остальных субъектов права, в том числе, и для коммерческих организаций, они носят рекомендательный характер. Новые нормы возникают исключительно в сфере прецедентного права и в случаях, когда уже произошла утечка каких-либо персональных данных.

 

Заключение

 В ходе проведенного исследования, авторы пришли к следующим выводам.

  1. Право на защиту персональных данных тесно связано с правом человека на частную жизнь и, в то же время, остается не регламентированным в международно-правовых актах универсального уровня. Тем не менее, право на защиту персональных данных в той или иной форме закреплено в ряде универсальных международных договоров, имеющих целью определение правового статуса отдельных уязвимых категорий людей.
  2. В национальном законодательстве государств-участников Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. понятие «персональных данных» является фактически идентичным, что облегчает выработку совместных региональных подходов к защите таких данных.
  3. Представляется, что только при условии организации и поддержания на должном уровне защиты персональных данных возможно эффективно обеспечивать права таких лиц, которые относятся к сфере частной жизни и личной безопасности.
  4. Наиболее детально международно-правовые аспекты права на защиту персональных данных регламентированы на региональном уровне. Так, например, государствами-членами ЕС сформирована система надзорных органов, действующих в сфере защиты таких данных.
  5. Общие основы использования Визовой информационной системы ЕС уполномоченными властями построены на принципе недискриминации заявителей и держателей Шенгенской визы, с уважением их человеческого достоинства и личной неприкосновенности. Представляется, что правовая система получения и использования индивидуальных персональных данных индивидов должна применяться государствами-членами ЕС с детальной регламентацией права человека на частную жизнь и дополняться гарантиями конфиденциальности информации по таким данным в цифровой среде.
  6. Анализ федерального законодательства в области защиты персональных данных, а также законодательства штатов, показывает, что в США нет единого подхода к персональным данным и понятия, определяющее эту юридическую категорию, четко не регламентированы. Так, в частности, правовая граница между персональными и неперсональными данными и данными не определена. Существует потребность в пересмотре принципов регулирования защиты частной жизни граждан в национальном законодательстве США.

Список литературы

  1. Авдеев М.Ю. Право на неприкосновенность частной жизни: конституционно-правовой аспект // Право и жизнь. — 2012. — № 173. — С. 220-228.
  2. Акобян М. Обзор законодательства Республики Армения в сфере информационной безопасности — Часть 1: Общий обзор. [Электронный ресурс]. – URL: https://digital.report/zakonodatelstvo-armenii-informatsionnaya-bezopasnost/ (дата обращения: 19.11.2021).
  3. Данельян А.А. Международно-правовое регулирование киберпространства // Образование и право. — 2020. — № 1. — С. 261 — 269. DOI 10.24411/2076-1503-2020-10140
  4. Калиниченко П.А., Некотенева М.В. Особенности правового регулирования геномных исследований на международном и европейском уровне // Вестник университета имени О.Е. Кутафина (МГЮА). — 2020. — № 4. — С. 68-78. https://doi.org/10.17803/2311-5998.2020.68.4.068-078
  5. Кашкин С.Ю., Покровский А.В. Искусственный интеллект, робототехника и защита прав человека в европейском союзе // Вестник университета имени О.Е. Кутафина (МГЮА). — 2019. — № 4. — С. 64-90. https://doi.org/10.17803/2311-5998.2019.56.4.064-090
  6. Полякова Т.А., Химченко А.И. Актуальные организационно-правовые вопросы трансграничной передачи персональных данных // Право: журнал Высшей школы экономики. — 2013. — № 1. — С. 113-122.
  7. Постникова Е.В. Некоторые аспекты правового регулирования защиты персональных данных в рамках внутреннего рынка Европейского союза // Право: журнал Высшей школы экономики. — 2018. — № 1. — С. 234-254.
  8. Щербакова В.А. Институциализация социальных сетей. / Коммуникология: электронный научный журнал. – 2018. –  Т. 3. – № 3. – С. 93-99.
  9. Herrle J., Hirsh J. The Peril and Potential of the GDPR. [Электронный ресурс]. – URL: https://www.cigionline.org/articles/peril-and-potential-gdpr/ (дата обращения: 19.11.2021).
  10. Schwartz P.M. & Solovey D.J. The PII problem: privacy and a new concept of personally identifiable information // New York University Law Review. December 2011. — Vol. 86. — P. 1814 – 1894.
  11. Stringer J. Protecting personally identifiable information: What data is at risk and what you can do about it. [Электронный ресурс]. – URL: https://www.sophos.com/en-us/medialibrary/pdfs/other/sophosprotectingpii.pdf (дата обращения: 15.11.2021).
  12. Terry I. Protecting Personally Identifiable Information (PII). [Электронный ресурс]. – URL: https://www.ispartnersllc.com/blog/protecting-personally-identifiable-information/ (дата обращения: 10.11.2021)
  13. Tunggal A.T. What is Personally Identifiable Information (PII)? [Электронный ресурс]. – URL: https://www.upguard.com/blog/personally-identifiable-information-pii (дата обращения: 10.11.2021).


Материалы судебной практики

  1. United States v. Kane, No 11-mj-00001 (D. Nev. filed Jan. 19, 2011);
  2. United States v. Valle, No. 14-2710 (2d Cir. 2015);
  3. Van Buren v. United States, 940 F.3d 1192 (11th Cir. 2019);
  4. Van Buren v. United States, 206 L. Ed. (2d 822 (2020)
  5. Facebook v. Power Ventures and Vachani, 91 U.S.P.Q. (2d 1430 2016);
  6. HiQ Labs v. LinkedIn, 938 F.3d 985 (9th Cir. 2019);
  7. Sandvig v. Barr, 2020, No. 16-1368, 2020 WL 1494065 (D.D.C. Mar. 27, 2020)

Список международно-правовых и национально-правовых актов

  1. Всеобщая декларация прав человека [Текст]: принята Резолюцией 217 А (III) Генеральной Ассамблеи Организации Объединенных Наций от 10 декабря 1948 г. // Российская газета. – 1995. – № 67.
  2. Закон Республики Армения от 13 июня 2015 года №ЗР-49 «О защите персональных данных». [Электронный ресурс]. – URL: http://base.spinform.ru/show_doc.fwx?rgn=78183 (дата обращения: 19.11.2021).
  3. Закон Республики Молдова «О защите персональных данных» от 8 июля 2011 года №133. [Электронный ресурс]. – URL:   http://base.spinform.ru/show_doc.fwx?rgn=51097 (дата обращения: 19.11.2021)
  4. Конвенция о защите физических лиц при автоматизированной обработке персональных данных, 28 января 1981 г. [Электронный ресурс]. – URL: http://www.consultant.ru/document/cons_doc_LAW_121499/ (дата обращения: 15.11.2021)
  5. Конвенция о правах инвалидов от 13 декабря 2006 г. // СЗ РФ от 11.02.2013. № 6.Ст. 468.
  6. Международный пакт о гражданских и политических правах [Текст]: принят Резолюцией 2200 А (XXI) Генеральной Ассамблеи Организации Объединенных Наций от 16 декабря 1966 г. // Бюллетень Верховного Суда Российской Федерации. – 1994. – № 12.
  7. Факультативный протокол к Конвенции о правах ребенка, касающийся торговли детьми, детской проституции и детской порнографии, от 25 мая 2000 г. // СЗ РФ от 17.02.2014. № 7. Ст. 633.
  8. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [Электронный ресурс]. – URL: https://base.garant.ru/12148567/  (дата обращения: 15.11.2021).
  9. Additional Protocol to the Convention on Cybercrime, concerning the criminalisation of acts of a racist and xenophobic nature committed through computer systems (ETS No. 189) [Электронный ресурс]. – URL: https://www.coe.int/en/web/conventions/full-list?module=treaty-detail&treatynum=189 (дата обращения: 19.11.2021);
  10. Agreement between the United States of America and the European Union on the use and transfer of passenger name records to the United States Department of Homeland Security [Электронный ресурс]. – URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:22012A0811(01) (дата обращения: 15.11.2021)
  11. Budapest Convention on Cybercrime (23.XI.2001) [Электронный ресурс]. – URL: https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680081561 (дата обращения: 19.11.2021);
  12. Charter of fundamental rights of European Union (2000/C364/01). [Электронный ресурс]. –  URL: https://www.europarl.europa.eu/charter/pdf/text_en.pdf (дата обращения: 10.11.2021).
  13. Comprehensive Crime Control Act of 1984 (Pub.L. 98–473, S. 1762, 98 Stat. 1976, enacted October 12, 1984) [Электронный ресурс]. – URL: (дата обращения: 15.11.2021).
  14. Computer Fraud and Abuse Act (CFAA) (18 U.S.C. § 1030) [Электронный ресурс]. – URL: (дата обращения: 15.11.2021).
  15. Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA [Электронный ресурс]. – URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680 (дата обращения: 15.11.2021).
  16. Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications). [Электронный ресурс]. – URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32002L0058&qid=1626790176306  (дата обращения: 10.11.2021).
  17. Health Insurance Portability and Accountability Act (HIPAA) (Pub.L. 104–191, 110 Stat. 1936) [Электронный ресурс]. – URL: https://www.govinfo.gov/app/details/CRPT-104hrpt736/CRPT-104hrpt736  (дата обращения: 15.11.2021).
  18. NIST Special Publication 800-122 — Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) [Электронный ресурс]. – URL:  https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf (дата обращения: 15.11.2021)
  19. Position of the Council at first reading with a view to the adoption of a Regulation of the European Parliament and of the Council amending Regulations (EC) No 767/2008, (EC) No 810/2009, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1860, (EU) 2018/1861, (EU) 2019/817 and (EU) 2019/1896 of the European Parliament and of the Council and repealing Council Decisions 2004/512/EC and 2008/633/JHA, for the purpose of reforming the Visa Information System. Adopted by the Council on 27 May 2021. [Электронный ресурс]. – URL: https://data.consilium.europa.eu/doc/document/ST-5950-2021-REV-1/en/pdf (дата обращения: 10.15.2021).
  20. Privacy Act of 1974 (Public Law 93–579, 88 Statute 1896, enacted 31 December 1974, 5 United States Code § 552a) [Электронный ресурс]. – URL: (дата обращения: 15.11.2021).
  21. Privacy Protection Act of 1980 (42 U.S.C. § 2000aa et seq.) [Электронный ресурс]. – URL: (дата обращения: 15.11.2021).
  22. Regulation (EC) No 767/2008 of the European Parliament and of the Council of 9 July 2008 concerning the Visa Information System (VIS) and the exchange of data between Member States on short-stay visas (VIS Regulation). URL: https://eur-lex.europa.eu/eli/reg/2008/767/oj [Электронный ресурс]. – URL: (дата обращения: 15.11.2021).
  23. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). [Электронный ресурс]. –  URL: https://eurlex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1626789259064  (дата обращения: 15.11.2021).
  24. Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (Text with EEA relevance.) [Электронный ресурс]. – URL: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018R1725&from=EN (дата обращения: 15.11.2021)
  25. Regulation (EU) 2019/1155 of the European Parliament and of the Council of 20 June 2019 amending Regulation (EC) No 810/2009 establishing a Community Code on Visas (Visa Code). URL: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019R1155&from=EN [Электронный ресурс]. – URL: (дата обращения: 15.11.2021).
  26. The California Consumer Privacy Act of 2018 [Электронный ресурс]. – URL: https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375 (дата обращения 15.11.2021).
  27. The Stockholm Programme: An open and secure Europe serving and protecting citizens (2010/C115/01). [Электронный ресурс]. –  URL: https://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:115:0001:0038:EN:PDF (дата обращения: 15.11.2021).
  28. Treaty of Lisbon amending the Treaty on European Union and the Treaty establishing the European Community (2007/C306/01). [Электронный ресурс]. –  URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A12007L%2FTXT (дата обращения: 10.11.2021).
  29. USA Freedom Act (H.R. 2048, Pub.L. 114–23, 129 Stat. 268 (2015)) [Электронный ресурс]. – URL: https://web.archive.org/web/20150518072652/http://judiciary.house.gov/_cache/files/9cf342ec-8479-4b45-996c-dce8b9971a68/04.30.15-markup-transcript.pdf (дата обращения 15.11.2021).
  30. USA Patriot Act (Pub.L. 107–56, 115 Stat. 272) [Электронный ресурс]. – URL: https://www.aclu.org/other/text-usa-patriot-act (дата обращения 15.11.2021).

Ресурсы сети Интернет

  1. Административно-бюджетное управление (OMB — Office of Management and Budget [Электронный ресурс]. – URL: https://www.whitehouse.gov/omb/ (дата обращения: 15.11.2021).
  2. Национальный институт стандартов и технологий (NIST – National Institute of Standards and Technology) [Электронный ресурс]. – URL: https://www.nist.gov/ (дата обращения: 15.11.2021).

3.    Обзор законодательства Республики Молдова в сфере информационной безопасности. Часть 2: Персональные данные, личная и семейная тайна. [Электронный ресурс]. – URL:  https://digital.report/zakonodatelstvo-moldovy-infobezopasnost-2/  (дата обращения: 19.11.2021)

  • Health Data in the Information Age: Use, Disclosure, and Privacy. [Электронный ресурс]. – URL: https://www.ncbi.nlm.nih.gov/books/NBK236546/ (дата обращения: 10.11.2021).
  • Investopedia [Электронный ресурс]. – URL: https://www.investopedia.com/terms/i/identitytheft.asp (дата обращения: 10.11.2021).
  • NIST Special Publication 800-122 — Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) [Электронный ресурс]. – URL:  https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf (дата обращения: 15.11.2021)
  • US-EU Safe Harbor [Электронный ресурс]. – URL: https://www.ftc.gov/tips-advice/business-center/privacy-and-security/u.s.-eu-safe-harbor-framework (дата обращения: 15.11.2021).

Информация об авторах:

Ястребова А.Ю., доктор юридических наук, доцент, профессор кафедры международного права,

Акчурин Т.Ф., кандидат юридических наук, доцент, доцент кафедры международного права,

Анисимов И.О., кандидат юридических наук, зам. декана факультета «Международные отношения и

международное право»,

Горелик И.Б., аспирант кафедры международного права, Дипломатическая академия МИД Российской Федерации

Information about the authors:

Alla Yu.Yastrebova, Doctor of Law, Associate Professor, Professor of the International Law Department,

T.F. Akchurin, Ph.D in Law, Assistant Professor of the International Law Department,

I.O. Anisimov, Ph.D in Law, Deputy Dean of the Faculty of International Relations and International Law
I.B. Gorelik, Postgraduate student of the International Law Department

The Diplomatic Academy of the Russian Foreign Ministry


[1] Данельян А.А. Международно-правовое регулирование киберпространства // Образование и право. — 2020. — № 1. — С. 262. DOI 10.24411/2076-1503-2020-10140

[2] Щербакова В.А. Институциализация социальных сетей // Коммуникология. — 2018. — Т. 3. — № 3. — С. 94.

[3] Котляров М.В. Контролируя неконтролируемое: стратегия Российского государства в Интернете // Вестник Пермского университета. Серия «Политология». — 2017. — № 3. — С. 41.

[4] Всеобщая декларация прав человека [Текст]: принята Резолюцией 217 А (III) Генеральной Ассамблеи Организации Объединенных Наций от 10 декабря 1948 г. // Российская газета. – 1995. – № 67.

[5] Международный пакт о гражданских и политических правах [Текст]: принят Резолюцией 2200 А (XXI) Генеральной Ассамблеи Организации Объединенных Наций от 16 декабря 1966 г. // Бюллетень Верховного Суда Российской Федерации. – 1994. – № 12.

[6] Факультативный протокол к Конвенции о правах ребенка, касающийся торговли детьми, детской проституции и детской порнографии, от 25 мая 2000 г. // СЗ РФ от 17.02.2014. № 7. Ст. 633.

[7] Конвенция о правах инвалидов от 13 декабря 2006 г. // СЗ РФ от 11.02.2013. № 6.Ст. 468.

[8] Кашкин С.Ю., Покровский А.В. Искусственный интеллект, робототехника и защита прав человека в европейском союзе // Вестник университета имени О.Е. Кутафина (МГЮА). — 2019. — № 4. — С. 75. https://doi.org/10.17803/2311-5998.2019.56.4.064-090

[9] Treaty of Lisbon amending the Treaty on European Union and the Treaty establishing the European Community (2007/C306/01). [Электронный ресурс]. –  URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A12007L%2FTXT (дата обращения: 10.11.2021).

[10] Charter of fundamental rights of European Union (2000/C364/01). [Электронный ресурс]. –  URL: https://www.europarl.europa.eu/charter/pdf/text_en.pdf (дата обращения: 10.11.2021).

[11] Калиниченко П.А., Некотенева М.В. Особенности правового регулирования геномных исследований на международном и европейском уровне // Вестник университета имени О.Е. Кутафина (МГЮА). — 2020. — № 4. — С. 75. https://doi.org/10.17803/2311-5998.2020.68.4.068-078

[12] The Stockholm Programme: An open and secure Europe serving and protecting citizens (2010/C115/01). [Электронный ресурс]. –  URL: https://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:115:0001:0038:EN:PDF (дата обращения: 15.11.2021).

[13] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). [Электронный ресурс]. –  URL: https://eurlex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1626789259064  (дата обращения: 15.11.2021).

[14] Полякова Т.А., Химченко А.И. Актуальные организационно-правовые вопросы трансграничной передачи персональных данных // Право: журнал Высшей школы экономики. — 2013. — № 1. — С. 122.

[15] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [Электронный ресурс]. – URL: https://base.garant.ru/12148567/  (дата обращения: 15.11.2021).

[16] Конвенция о защите физических лиц при автоматизированной обработке персональных данных, 28 января 1981 г. [Электронный ресурс]. – URL: http://www.consultant.ru/document/cons_doc_LAW_121499/ (дата обращения: 15.11.2021).

[17] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». [Электронный ресурс]. – URL: https://base.garant.ru/12148567/  (дата обращения: 15.11.2021).

[18] Авдеев М.Ю. Право на неприкосновенность частной жизни: конституционно-правовой аспект // Право и жизнь. — 2012. — № 173. — С. 222-223.

[19] Авдеев М.Ю. Право на неприкосновенность частной жизни: конституционно-правовой аспект // Право и жизнь. — 2012. — № 173. — С. 222-223. 17 ] Закон Республики Молдова в сфере информационной безопасности. Часть 2: Персональные данные, личная и семейная тайна. [Электронный ресурс]. – URL:  https://digital.report/zakonodatelstvo-moldovy-infobezopasnost-2/  (дата обращения: 19.11.2021).

[20] Закон Республики Молдова «О защите персональных данных» от 8 июля 2011 года №133. [Электронный ресурс]. – URL:   http://base.spinform.ru/show_doc.fwx?rgn=51097 (дата обращения: 19.11.2021).

[21] Республика Армения ратифицировала 9 мая 2012 г. Конвенцию о защите физических лиц при автоматизированной обработке персональных данных 1981 г.

[22]  Закон Республики Армения от 13 июня 2015 года №ЗР-49 «О защите персональных данных». [Электронный ресурс]. – URL: http://base.spinform.ru/show_doc.fwx?rgn=78183 (дата обращения: 19.11.2021).

[23] Подробнее см.: Акобян М. Обзор законодательства Республики Армения в сфере информационной безопасности — Часть 1: Общий обзор. [Электронный ресурс]. – URL: https://digital.report/zakonodatelstvo-armenii-informatsionnaya-bezopasnost/ (дата обращения: 19.11.2021).

[24] Постникова Е.В. Некоторые аспекты правового регулирования защиты персональных данных в рамках внутреннего рынка Европейского союза // Право: журнал Высшей школы экономики. — 2018. — № 1. — С. 244.

[25] Постникова Е.В. Некоторые аспекты правового регулирования защиты персональных данных в рамках внутреннего рынка Европейского союза // Право: журнал Высшей школы экономики. — 2018. — № 1. – С. 210.

[26] Там же, с. 234.

[27] Budapest Convention on Cybercrime (23.XI.2001) [Электронный ресурс]. – URL: https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680081561 (дата обращения: 19.11.2021); Additional Protocol to the Convention on Cybercrime, concerning the criminalisation of acts of a racist and xenophobic nature committed through computer systems (ETS No. 189) [Электронный ресурс]. – URL: https://www.coe.int/en/web/conventions/full-list?module=treaty-detail&treatynum=189 (дата обращения: 19.11.2021);

[28] Herrle J., Hirsh J. The Peril and Potential of the GDPR. [Электронный ресурс]. – URL: https://www.cigionline.org/articles/peril-and-potential-gdpr/ (дата обращения: 19.11.2021).

[29] Там же.

[30] Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications). [Электронный ресурс]. – URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32002L0058&qid=1626790176306 (дата обращения: 10.11.2021).

[31] Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (Text with EEA relevance.) [Электронный ресурс]. – URL: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018R1725&from=EN (дата обращения: 15.11.2021).

[32] Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA [Электронный ресурс]. – URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680 (дата обращения: 15.11.2021).

[33] Regulation (EU) 2019/1155 of the European Parliament and of the Council of 20 June 2019 amending Regulation (EC) No 810/2009 establishing a Community Code on Visas (Visa Code). URL: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019R1155&from=EN [Электронный ресурс]. – URL: (дата обращения: 15.11.2021).

[34] Regulation (EC) No 767/2008 of the European Parliament and of the Council of 9 July 2008 concerning the Visa Information System (VIS) and the exchange of data between Member States on short-stay visas (VIS Regulation). URL: https://eur-lex.europa.eu/eli/reg/2008/767/oj [Электронный ресурс]. – URL: (дата обращения: 15.11.2021).

[35] Position of the Council at first reading with a view to the adoption of a Regulation of the European Parliament and of the Council amending Regulations (EC) No 767/2008, (EC) No 810/2009, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1860, (EU) 2018/1861, (EU) 2019/817 and (EU) 2019/1896 of the European Parliament and of the Council and repealing Council Decisions 2004/512/EC and 2008/633/JHA, for the purpose of reforming the Visa Information System. Adopted by the Council on 27 May 2021. [Электронный ресурс]. – URL: https://data.consilium.europa.eu/doc/document/ST-5950-2021-REV-1/en/pdf (дата обращения: 10.15.2021).

[36] Privacy Act of 1974 (Public Law 93–579, 88 Statute 1896, enacted 31 December 1974, 5 United States Code § 552a) [Электронный ресурс]. – URL: (дата обращения: 15.11.2021).

[37] Privacy Protection Act of 1980 (42 U.S.C. § 2000aa et seq.) [Электронный ресурс]. – URL: (дата обращения: 15.11.2021).

[38]Национальный институт стандартов и технологий (NIST – National Institute of Standards and Technology) [Электронный ресурс]. – URL: https://www.nist.gov/ (дата обращения: 15.11.2021).

[39] Health Insurance Portability and Accountability Act (HIPAA) (Pub.L. 104–191, 110 Stat. 1936) [Электронный ресурс]. – URL: https://www.govinfo.gov/app/details/CRPT-104hrpt736/CRPT-104hrpt736  (дата обращения: 15.11.2021).

[40] NIST Special Publication 800-122 — Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) [Электронный ресурс]. – URL:  https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf (дата обращения: 15.11.2021)

[41]Tunggal A.T. What is Personally Identifiable Information (PII)? [Электронный ресурс]. – URL: https://www.upguard.com/blog/personally-identifiable-information-pii (дата обращения: 10.11.2021).

[42] См.: NIST Special Publication 800-122. URL: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf (Date of access: 10.11.2021).

[43] Stringer J. Protecting personally identifiable information: What data is at risk and what you can do about it. [Электронный ресурс]. – URL: https://www.sophos.com/en-us/medialibrary/pdfs/other/sophosprotectingpii.pdf (дата обращения: 15.11.2021).

[44] Agreement between the United States of America and the European Union on the use and transfer of passenger name records to the United States Department of Homeland Security [Электронный ресурс]. – URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:22012A0811(01) (дата обращения: 15.11.2021)

[45] Административно-бюджетное управление (OMB — Office of Management and Budget [Электронный ресурс]. – URL: https://www.whitehouse.gov/omb/ (дата обращения: 15.11.2021).

[46] US-EU Safe Harbor [Электронный ресурс]. – URL: https://www.ftc.gov/tips-advice/business-center/privacy-and-security/u.s.-eu-safe-harbor-framework (дата обращения: 15.11.2021).

[47] Identity theft is the crime of obtaining the personal or financial information of another person to use their identity to commit fraud, such as making unauthorized transactions or purchases. Identity theft is committed in many different ways and its victims are typically left with damage to their credit, finances, and reputation. [Электронный ресурс]. – URL: https://www.investopedia.com/terms/i/identitytheft.asp (дата обращения: 10.11.2021).

[48] См., например, Terry I. Protecting Personally Identifiable Information (PII). [Электронный ресурс]. – URL: https://www.ispartnersllc.com/blog/protecting-personally-identifiable-information/ (дата обращения: 10.11.2021); Health Data in the Information Age: Use, Disclosure, and Privacy. [Электронный ресурс]. – URL: https://www.ncbi.nlm.nih.gov/books/NBK236546/ (дата обращения: 10.11.2021).

[49] Так, например, Google тайно собирал личные данные о лечении пациентов и следил за своими сотрудниками. Twitter незаконно передавал телефонные номера и адреса электронной почты пользователей рекламодателям. YouTube, с целью показа рекламы, собирал данные о детях. Facebook собирал информацию о пользователях и предлагал на этом заработать. Стоит вспомнить также дело «стрелка из Сан-Бернардино» Ризвана Фарука, а также спор между ФБР и Apple по поводу доступа к информации с телефона Р. Фарука.

[50] The California Consumer Privacy Act of 2018 [Электронный ресурс]. – URL: https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375 (дата обращения 15.11.2021).

[51] Comprehensive Crime Control Act of 1984 (Pub.L. 98–473, S. 1762, 98 Stat. 1976, enacted October 12, 1984) [Электронный ресурс]. – URL: (дата обращения: 15.11.2021).

Comprehensive Crime Control Act of 1984 (Pub.L. 98–473, S. 1762, 98 Stat. 1976, enacted October 12, 1984).

[52] Computer Fraud and Abuse Act (CFAA) (18 U.S.C. § 1030) [Электронный ресурс]. – URL: (дата обращения: 15.11.2021).

[53] См., например, в уголовно-правовой сфере: United States v. Kane, 2011; United States v. Valle, 2015; Van Buren v. United States, 2020.; в гражданско-правовой сфере: Facebook v. Power Ventures and Vachani, 2016; HiQ Labs v. LinkedIn, 2019; Sandvig v. Barr, 2020.

[54] USA Patriot Act (Pub.L. 107–56, 115 Stat. 272) [Электронный ресурс]. – URL: https://www.aclu.org/other/text-usa-patriot-act (дата обращения 15.11.2021).

[55] USA Freedom Act (H.R. 2048, Pub.L. 114–23, 129 Stat. 268 (2015)) [Электронный ресурс]. – URL: https://web.archive.org/web/20150518072652/http://judiciary.house.gov/_cache/files/9cf342ec-8479-4b45-996c-dce8b9971a68/04.30.15-markup-transcript.pdf (дата обращения 15.11.2021).

[56] Schwartz P.M. & Solovey D.J. The PII problem: privacy and a new concept of personally identifiable information // New York University Law Review. December 2011. — Vol. 86. — P. 1814 – 1894.

Добавить комментарий

Войти с помощью: