Персональные Данные Как Объект Гражданских Правоотношений

В соответствии со ст. 2 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Итак, признаки персональных данных:

• ПД — всегда информация, а именно — сведения в форме данных; персональные данные всегда являются данными, но не сообщениями, хотя сообщения могут содержать в себе данные: например, субъект направляет сообщение, содержащее персональные данные, при даче согласия на их обработку;
• Информация может быть выражена в любой форме, но единственное требование к ней: она должна прямо или косвенно относиться к определенному или определяемому физическому лицу — только тогда ее признают персональными данными. Доктрина едина во мнении о том, что если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность (наверно, самый распространенный тип данных, «прямо» относящихся к определенному субъекту-индивиду). При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.

Проблема возникает, если мы обратимся к регламентированному ст. 3 Федерального закона «О персональных данных» процессу обезличивания персональных данных — совокупности действий, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Если отталкиваться от данного определения, то становится не совсем ясно — является ли недостаточная для идентификации информация персональными данными или нет? По логике доктрины персональные данные, прошедшие процедуру обезличивания, становятся обычной информацией, не обладающей признаками ПД. И, возможно, 152-ФЗ намекает на это, когда говорит о невозможности определить физическое лицо без дополнительной информации — таким образом, в результате процедуры обезличивания персональные данные становятся информацией с потенциалом становления персональными данными при добавлении тех или иных сведений о физическом лице.

«…прямо или косвенно…» в определении персональных данных — оговорка о возможности идентифицировать индивида по коснувшемуся его действию или событию. Если «прямое» определение всегда — описание признаков субъекта, то «косвенное» — обнаружение участия этих же признаков в самостоятельном явлении (субъект ПД определяется через свое присутствие в ином акте).

Но что в действительности определяют персональные данные? Где их предел? Могут ли считаться персональными данными сведения, которые раскрывают иные персональные данные? Закон ставит равенство между терминами «физическое лицо» и «субъект персональных данных» — можно ли сказать, что достаточность персональных данных определяется возможностью преломления с субъекта персональных данных (ситуативность, номадичность, множественность, ризоматичность) на физическое лицо (монолитность, единство, постоянность, правовая трансцендентность)? Но в какой момент это преломление осуществляется?

Механизм определения физического лица — использование персональных данных для получения субъективно исчерпывающих данных о персоналии. У нас есть два логических хода: либо мы признаем, что где-то субъект ПД наслаивается на физическое лицо своего отражения, либо — персональные данные всегда относят нас к другим персональным данным, то есть определение индивида оканчивается тем, что определяющий обнаруживает иные и неизвестные ему ранее персональные данные.

Но стоит помнить, что децентрализованная дерривативность информационного инфрасубъекта выражается в том, что субъект персональных данных всегда динамичен, поэтому он не только «определенный», но и «определяемый». Таким образом, персональные данные возникают и при попытках идентифицировать физическое лицо из имеющейся о нем косвенной информации, хоть и обезличенной. Например, это выражается в запрещении законом осуществления действий по сбору личной тайны (данных о частной жизни) — для защиты индивида 152-ФЗ признает персональными данными любую информацию о нем, если она используется противоправно, но при этом не позволяет достоверно определить детерминируемого ей субъекта.

Мы уже обсуждали категорию «субъект персональных данных». Нам достаточно известна проблема разграничения субъекта персональных данных от персональных данных — якобы, объекта, с которым должно происходить отношение обладания. Персональные данные не просто указывают на своего субъекта, отсылают к нему или в чем-то его обязывают. Они маскируются в нем и демаскируют его — детерминируют его в той же степени, в которой субъект персональных данных выступает причиной своих персональных данных. «Персональность» субъекта ПД выражается в деперсонализации индивида на неограниченное множество элементов, возможно отбираемых операторами для обработки. Инфрасубъектность данной фигуры демонстрируется в его ситуативности и множественности, которые должны в достаточной степени определять индивида.

Субъект персональных данных — это доверительный управляющий самого себя при том обстоятельстве, что его «я» целостно и монолитно (и при этом — множественно) выражено у других (операторов персональных данных).

Когда в таком случае данные признаются персональными? Если поставить вопрос по-иному: в какой момент мы можем говорить о совпадении субъекта персональных данных и физического лица? Можно ли сказать, что «физическое лицо» — это категория истины для «субъекта персональных данных», который в любом случае играет роль эпистемологического инструмента логической операции по установлению тождественности или соответствия?

Тут необходимо найти общий язык между традиционной общей цивилистикой и информационным правом. Разложить стол переговоров для «физического лица» и «субъекта ПД». Обнаружить двойственные элементы, имеющие «гражданско-правовую» и «информационно-правовую» стороны.

Доктрина всегда будет говорить о «достаточности информации» для идентификации физического лица, но нас волнует момент перехода из информационного права в общую цивилистику. Идентификация всегда отсылает на саму себя, даже если выходит за изначальные свои исходные. В рамках информационного права она всегда ходит по кругу до совершения волевого гносеологического решения о завершении — признания отражения информационно-правового процесса в гражданско-правовой фигуре физического лица.

Тут можно поставить вопрос о разграничении персональных данных и нематериальных благ, таких как, например, имя или изображение гражданина. Среди нематериальных благ стоит выделить регламентированную ст. 152.2 ГК РФ частную жизнь, которая всегда состоит из сведений о самой себе, т. е. персональными данными (причем специальными персональными данными). Отметим также, что в соответствии с п. 1 ст. 150 ГК РФ перечень перечисленных в норме нематериальных благ не является исчерпывающим. Такая позиция аналогична положению ст. Федерального закона «О персональных данных», признающей за персональными данными «любую информацию», идентифицирующую физическое лицо.

Первое разграничение — отсутствие информации (а, следовательно, и персональных данных) в перечне объектов гражданского права в ст. 128 ГК РФ, где нематериальные блага прямо указаны. Можем ли мы тут зацепиться за юридический формализм, несмотря на регламентацию информации в качестве возможного объекта гражданских правоотношений в ФЗ «Об информации…»? Если так, то придется выдумывать теорию о том, что персональные данные как-то произрастают из нематериальных благ, а распоряжение персональными данными — сделки с нематериальными благами.

Вообще по Гражданскому кодексу РФ этот вопрос не совсем ясен — прямо указывается только защита нематериальных благ. Да, нематериальные блага не отчуждаются и не передаются, но также и персональные данные — субъект же просто дает согласие на взаимодействие с информацией о нем, а не передает ее (вообще едва ли категория «передача» допустима к информации — к ней можно лишь предоставить доступ). В то же время категория «нематериальных благ» признается неким ядром физического лица, его неизменной частью, которая в тех или иных ситуациях может подвергаться риску вреда. Может быть, нематериальные блага можно описать словом «человечность». Для гражданского права здесь подразумевается личностно-индивидуалистический коэффициент, который можно как-то негативно поколебать, но не более. В отличие от ситуации персональных данных, у физического лица нет какого-либо права доступа к своим нематериальным благам. Вообще весь круг прав субъекта персональных данных исходит из информационного права, а права субъекта персональных данных — права специального субъекта информационного права. И в этом как раз и состоит второе разграничение — в институциональном содержании рассматриваемых нами категорий.

Третье разграничение — в функциональности. Нематериальные блага можно лишь защищать, потому что субъект всегда их носит в себе и (или) состоит из них. Нематериальные блага — status quo физического лица, присущее ему от рождения и не подлежащее отчуждению. Несмотря на то, что персональные данные также появляются у индивида с момента рождения, существует ряд элементов, явно отличающих ПД от НБ.

Например, сами сведения о личности, выполняющие конкретизирующую и интенсифицирующую функции, динамичны, изменчивы и поливалентны на протяжении жизнедеятельности данного лица, в то время как нематериальные блага перманентно остаются тождественны себе, потому что существуют в формате концептов, образующих физическое лицо как правовое явление. «Имени гражданина» и «изображению гражданина» из ГК РФ по большому счету все равно как именно это физическое лицо зовут и как оно выглядит, в то время как с точки зрения права персональных данных категории «имени» и «внешности» являются важнейшими при целеполагании определения индивидуальной единицы межличностной социальной матрицы.

Далее — нематериальные блага представляют собой отношения индивида самого с собой. Они формируют «свободу, которую не должна нарушать свобода другого субъекта». Персональные данные же как раз-таки и принадлежат другим — их восприятию, их процессам определения (объективизирования) субъекта ПД. Этот процесс исходит от невозможности различения субъекта персональных прав и его объектов — это мы уже исследовали в статье об информационном праве, поэтому не будем здесь останавливаться.

Все же право прекрасно отдает себе отчет в сложности вопроса определения точки совпадения физического лица и субъекта персональных данных, поэтому вводит юридический формализм в виде «достаточности». Для разных ситуаций законодатель просто регламентирует определенный набор сведений, который презюмируетмся достаточным в определенных отношениях. Несмотря на то, что такой прагматизм верен и оправдан, нельзя нивелировать момент, когда введенной формальности оказывается объективно недостаточно.

На дату публикации настоящей статьи в Центрально-восточном Коррекционном Центре строгого режима в Онтарио (Канада) находится некий Херман Эммануэль Фенкем — это не настоящее имя, а псевдоним, данный физическому лицу криминальной юстицией Канады. Реальное имя заключенного неизвестно по сей день.

Иммиграционные власти Канады пытаются депортировать его после его ареста в Торонто по делу о мошенничестве в 2013 году. Однако, пока чиновники не узнают его личность и гражданство, они не могут начать процесс выдворения. Мужчина утверждает, что он — Герман Эммануэль Фанкем из Франции, но французские власти утверждают, что его паспорт фальшивый, и он, скорее всего, куплен у определенного преступного сообщества, промышляющего торговлей поддельными документами в Париже. Спустя более десятка лет проведения расследования в 11-ти странах личность «Мистера Фанкема» все еще не установлена: правоохранительные органы находят следы таинственного заключенного, связанные с разными именами и национальностями. Британская полиция сообщила, что еще до прибытия в Канаду «Герман» был судим за мошенничество.

Лишь 21 августа 2020 года удалось установить, что «Мистер Фанкем» родом из Камеруна (город рождения — вероятно, Дуала). Из личной переписки на телефоне задержанного полиции стало известно, что друзья зовут арестованного «Эммануэлем». Но никаких других сведений об этом лице на данный момент у канадских властей нет. «Герман» продолжает проявлять недюжинное упорство — он стабилен в своих резких отказах что-то рассказывать о себе или вообще как-то сотрудничать с правоохранительными органами Канады. Иногда обжалует свое ограничение права на свободу передвижения.

Мы видим ситуацию в которой не получается определить физическое лицо, и сам факт сложности идентификации представляет собой совокупность персональных данных этого субъекта. То есть мы сталкиваемся с тем, что праву приходится признавать негативный элемент в качестве идентифицирующего. Оказывается, что отсутствие персональных данных само по себе может выступать персональными данными.

Стоит обратиться к ситуации, при которой правонарушитель представляет оператору ложные (несоответствующие действительности) сведения в качестве своих персональных данных. Здесь возможны два типа обстоятельств: либо определяемого физического лица физически и объективно не существует (например, используется данные выдуманной/сконструированной личности), либо физическое лицо наделяет себя семиотикой мнимого субъекта персональных данных (например, при использовании поддельного паспорта).

В обоих случаях мы имеем дело с сфальсифицированным субъектом персональных данных — таковым право признает того, кто не имеет трансцендентности в гражданско-правовом субъекте «физическое лицо». Здесь имеется та самая «достаточность» определения индивида (особенно, если у нас есть паспортные данные поддельного паспорта — для права это достаточный объем), но нет конечного объекта определения, нет индивида. Есть лишь некая виртуальная квазиличностная сущность-орудие.

Тут интересно следующее: в случае объективного отсутствия какого-нибудь физического лица мы не можем считать сведения о нем персональными данными с момента обнаружения ложности существования субъекта ПД (хотя до этого момента презюмируется полная правоспособность физического лица-субъекта персональных данных). Но в ситуации «образа сфабрикованной личности» (по поддельному паспорту) персональные данные субъекта-конструкта не утеривают своего юридического значения персональных данных — они просто признаются информацией, косвенно свидетельствующей об «истинном» субъекте ПД, который необходимо определить. Т. е. такие сведения являются персональными данными определяемого физического лица. Ложь рассматривается как факт частной жизни индивида, проявление его онтологического агентства.

Идентификация физического лица завершается, когда информация о нем признается персональными данными — то есть знаками, отсылающему к этому субъекту. Именно этот момент признания выступает для нас объектом исследования. В большинстве случаев закон дает необходимый перечень сведений формально необходимых для объявления идентификации состоявшейся. Но в то же время подобный подход отсутствует в некоторых институтах и даже отраслях права: например, уголовный процесс не дает каких-либо критериев, по которым можно было бы установить такие персональные данные как «причастность лица к совершенному преступлению» — он лишь разворачивает инструментарий, по применению которого можно установить причастность/непричастность в общей исходной картине.

Прибегая к семиологическо-правовому анализу, мы можем представить индивида как знак, в котором физическое лицо — это означаемое, а субъект персональных данных — означающее; и в данной ситуации значением является отношение второго к первому.

Один из основных признаков персональных данных — наличие права субъекта на информацию об обработке ПД. Можем ли мы говорить о завершении идентификации в тот момент, когда появляется компетентность указать на соответствующее физическое лицо, управомоченное обратиться с требованием о предоставлении сведений об использовании персональных данных? Нет. Не только по формальному признаку — ведь таким правом обладают опекуны, попечители, наследники и некоторые иные лица; они же и реализуют это права не в отношении своих персональных данных. Мы просто не преодолеваем «парадокс канадского заключенного», ибо лицо может ввести в заблуждение не только в отношении наличия у него права на предоставление ему вышеуказанных сведений, но в отношение своей личности как таковой.

Первый эпистемологический прием по проблеме определения физического лица — формалистический. Если закон определяет формальность при сборе персональных данных, то ее соблюдение говорит о завершении идентификации. «Документ, удостоверяющий личность» — в данном понятии содержится императив персональных данных, раскрываемый материальным формализованным содержателем сведений. В чем проблемы этого приема? Первая — в ограниченности сведений и нередком несоответствии объема имеющейся в документе информации целям определения физического лица или иным гносеологическим операциям. По формальной установке права все, что содержится в документе — персональные данные, но сведения о данном лице, не содержащиеся в, например, паспорте, подлежат проверке на их возможность признания персональными данными. Информация в документах, удостоверяющих личность, может столкнуться с «парадоксом канадского заключенного», и если же не будет иных «формальных» источников, то идентификации придется отказываться от описываемой механики «документа, удостоверяющего личность».

Другой эпистемологический прием — гипотеза истины через семиотическую аналогию правомочия объективизированного в определении подразумеваемого субъекта. Что же определяет означаемое в данном случае? Субъекта, имеющего право на информацию о нем? Семиологической системы-единицы частной жизни, где персональные данные — всегда ее содержание? В таком случае идентификация завершается в момент тождественности в одном физическом лице прав на частную жизнь и на наличие права требования получения сведений о ней. Имя и изображение индивида можно сопоставлять, определять тождество и тем самым признать сведения о нем персональными данными при обнаружении значительного сходства. Минус такого подхода: «парадокс канадского заключенного», который необходимо устранять в рамках административного и уголовного права.

Можно выдвинуть также следующий эпистемологический прием: информация становится персональными данными в момент установления взаимосвязи между элементами сведений о лице. Эти сведения отсылают именно друг к другу, в то время как их отношение к физическому лицу — не столько отношение (подобно тому, которое возникает в сети информации об индивиде), сколько логическая операция по регламентированию наличия связи. Например, семиологический анализ индивида в данном контексте будет брать любые элементы определяемой личности (как сведения о ней, так и факты реализации ее правоспособности — а есть ли разница?) и сопоставлять их между собой, отыскивая причинно-следственные связи или совокупности соприкосновений, дополнений и выявлений.

Отношение персональных данных к физическому лицу всегда будет иметь свою долю произвольности. Персональным данным не остается ничего другого, кроме как отсылать на персональные данные, а индивид, проводящий идентификацию, считает для себя успехом получение иных сведений об определяемом им лице, и тем самым считает идентификацию завершенной в момент получения новой информации, вписывающейся в имеющуюся матрицу знаков определяемого лица и устанавливающей собственные взаимосвязи с иными элементами. Таким образом, настоящий эпистемологический прием дает право заявлять: «Идентификация завершается тогда, когда новые сведения не противоречат взаимосвязанной совокупности уже имеющейся информации о человеке».

Проблема возникает при верификации новых сведений. Информация, не вписывается в имеющуюся «картину личности», может свидетельствовать как об истинности первоначальных сведений, так и об их ложности. Не трудно представить ситуацию существования двух параллельно существующих информационных конструкций, якобы идентифицирующих одного и того же индивида, но не имеющих какой-либо взаимосвязи между собой. В таком случае одну из данных конструкций придется признать ложной. Подобные могут возникнуть при накоплении «ложных» непроходящих верификацию сведений и обнаружении взаимозависимостей в данном информационном аппарате.

В рамках права признание сведений персональными данными происходит путем применения всех трех эпистемологических приемов в среде установленного соответствующим институтом права режима истины. Право отдает себе отчет в неисчерпаемости идентификации — поэтому оно всегда старается улизнуть в сторону приема формализации, развернуть бюрократию «установления личности» через носители. Это лучшее, что есть у права из инструментария установления «объективной истины» — этого концепта, от которого праву никогда не удастся отделаться в полной мере, ведь поле юриспруденции со всей прямотой представляет истину не как гносеологическую величину, а аксиологическую. Для права истина — это ценность, а не обстоятельство, положение или состояние. Эта ценность кочует из отрасли в отрасль, из института в институт и меняет ансамбль своих означаемых, по сути, оставаясь тем же знаком. Разве «справедливость» для права не «истина»? Разве «действие по справедливости» не «режим объективности» (принимая во внимание все те проблемы категорий «объективность» и «объект», которые довольно грубо и по-традиционалистски используются правом; но, как мы обсуждали, именно информационное право дает возможность преодолеть молодящиеся в юриспруденции, но обветшавшие в философии конструкции)?

Когда информация признается персональными данными? Когда удается выйти на формалистический прием. Но если сведения из документов установления личности являются неполными, незначимыми или ложными, то приходится применять приемы выявления тождественностей материально-правового и семиологическо-правового субъектов индивида и установления экосистемной взаимосвязи между информацией-означающим, потенциально (по воле субъекта идентификации) относящейся к субъекту-означаемому. Идентификация заканчивается волеизъявлением субъекта идентификации, выражающее его дедуктивное умозаключение о тождественности физического лица и субъекта персональных данных одному индивиду. Отсюда проистекает возможность наличия искового требования о признании информации персональными данными — этот механизм диктуется применением приемов «материально-семиологической аналогии» и «экосистемной ризомы». При формалистском же подходе требование о признании информации персональными данными тавтологично. Любое волеизъявление о достаточности идентификации никогда не свободно от верификации (оспаривания) ввиду указания персональных данных либо на имеющиеся сведения, либо на новые персональные данные (в том числе и добытые в результате отсылок имеющихся ПД между собой).

В соответствии со ст. 153 ГК РФ сделки — действия граждан и юридических лиц, направленные на установление, изменение или прекращение гражданских прав и обязанностей. В соответствии с п. 2 ст. 154 ГК РФ односторонней считается сделка, для совершения которой в соответствии с законом, иными правовыми актами или соглашением сторон необходимо и достаточно выражения воли одной стороны. П. 1 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» устанавливает, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Исходя из правового регулирования, мы можем заключить, что дача согласия субъектом персональных данных на обработку его персональных данных сама по себе является односторонней сделкой.

Также ФЗ «О персональных данных» не обходит стороной вопрос о форме сделки — в той же ст. 9 указывается, что согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Сам ФЗ-152 устанавливает обязательность выражения согласия на обработку персональных данных в письменной форме в некоторых случаях:

• при включении в общедоступные источники персональных данных фамилий, имен, отчеств, дат рождения, адресов, номеров, сведений о профессии и иных сведений, сообщаемых субъектом персональных данных;
• при указании сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
• при получении согласия на обработку биометрических персональных данных.

Также отметим, что в случае присутствия намерения совершить в будущем трансграничную передачу персональных данных, оператору все же стоит получить согласие на обработку персональных данных в письменной форме. Иначе он просто не пройдет проверки Роскомнадзора, который будет требовать подтверждение оснований обработки и передачи персональных данных.

Таким образом, если федеральными законами не ставится императив дачи согласия на обработку персональных данных в письменной форме, то такое согласие может выражаться как угодно. В большинстве случаев это будет сделано конклюдентными действиями: в п. 2 ст. 10.1 Федерального закона «О персональных данных» говорится о «…случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия». Хотя стоит тут же заметить, что российской право различает согласие на обработку персональных данных и согласие субъекта персональных данных на распространение обрабатываемых персональных данных — это второе согласие должно оформляться отдельно. И при этом молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Например, активное участие в видеозаписи индивида, поставленного в известность о том, что ролик будет выложен в интернет, само по себе будет представлять собой согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Все вышесказанное также относится и к отзыву субъектом персональных данных согласия на обработку персональных данных — данное действие мы также можем обозначить как одностороннюю сделку. Этот механизм может быть выражен в выдвижении требования о прекращении обработки персональных данных (ст. 15 ФЗ-152) или требования о прекращении передачи персональных данных (ч. 12 ст. 10.1 ФЗ-152). Представляется, что акт субъекта персональных данных, направленный на прекращение гражданско-правовой связи его персональных данных с оператором, должен выражаться в той же форме, что и случившаяся дача согласия на обработку/распространение персональных данных. При этом, конечно же, данная односторонняя сделка-отказ всегда может быть выражена в письменной форме даже если сделка-согласие была совершена в устной форме.

Согласие на обработку персональных данных остается односторонней сделкой даже в тех случаях, когда это согласие необходимо для совершения определенных последующих юридически значимых действий — например, заключения сделок (зачастую граждане дают согласие на обработку ПД при заключении договора оказания услуг). Нет таких договоров, по которым одно лицо обязуется передать вещь, выполнить работы или оказать услуги, а другое — заплатить и дать согласие на обработку персональных данных. Также странными и несоответствующими закону являются пункты в соглашениях, в соответствии с которыми сторона обязуется получить/отобрать согласие на обработку ПД третьих лиц — все-таки дача такого согласия является самостоятельным индивидуальным волевым решением автономного субъекта персональных данных, и (по логике совершения односторонних сделок) никто и ничто не может на это повлиять, кроме самого субъекта. Он, представляется, рационально рассчитывает все возможные последствия предоставления сведений о себе на обработку иному лицу и потом выражает свою волю. Это примерно также, как два субъекта гражданского права заключат некий договор, в котором будет положение о гарантии того, что некое третье лицо вступит в отношения дарения с кем-либо — мы понимаем реальную оспоримость такого пункта ввиду того, что совершение дарения является личным волевым решением никому ничем не обязанного дарителя.

Хорошим примером здесь может служить взаимодействие индивида и банка при осуществлении первым финансовых операций, подлежащих обязательному контроль по Федеральному закону от 07.08.2001 N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Кредитная организация обязана провести идентификацию (KYC-процедуру) физического лица перед совершением транзакции. Как мы видим по п. 1 ст. 7 115-ФЗ банк обязан идентифицировать клиента до приема на обслуживание (за исключением некоторых случаев) и установить сведения, которые в соответствии с 152-ФЗ признаются персональными данными. Причем в 115-ФЗ существует определенная градация: грубо говоря, есть несколько уровней финансовых операций, дифференцирующихся по размеру суммы, и каждый из этих уровней требует определенной «глубины» идентификации — чем больше денег, тем больше данных нужно предоставить банку.

Но законодательство нигде не указывает, что у клиента существует обязанность согласиться на обработку персональных данных. Ни Г К, ни 152-ФЗ, ни 115-ФЗ не заявляют об обязанности «согласиться». Более того, абз. 2 п. 2 ст. 846 ГК РФ содержит положение о том, что банк имеет право отказать в открытии счета в том случае, когда это допускается законом — и одним из законов, предусматривающим такие случаи, является 115-ФЗ. Поэтому кредитная организация вполне может правомерно отказать в заключении договора банковского счета при отказе клиента совершить одностороннюю сделку по даче согласия на обработку определенного объема его персональных данных.

Так что «согласие» никогда не является встречным предложением по сделке — оно всегда представляет собой отдельную самостоятельную сделку, совершение которой выступает условием возникновения правоотношений иного типа.

После получения согласия на обработку персональных данных оператор вправе эксплуатировать обрабатываемые сведения способами, предусмотренными в упомянутом согласии. Для нас сейчас интересно следующее — какие сделки с персональными данными может совершать оператор, и каково их содержание? 152-ФЗ п. 3 ст. 3 дает нам понятие, которое охватывает правоотношения двух и более лиц, связанных с распространением, предоставлением и представлением доступа к персональным данным — «передача».

Таким образом, сделка передачи ПД — договор между двумя лицами, имеющими право осуществлять обработку персональных данных, в соответствии с которым одна сторона предоставляет доступ к персональным данным другой стороне в объеме, обозначенном в согласии субъекта персональных данных на обработку его ПД.

Ст. 3 Федерального закона «О персональных данных» объединяет в термине «передача» три различных действия с информацией, в результате которых третьи лица воспринимают ее и приобретают возможность оперировать ей: распространение, предоставлении и доступ.

Мы уже говорили о том, что в правовом разрезе информация осуществляет свою юридическую циркуляцию именно через концепцию «доступа», которая является основополагающей для осмысления взаимодействия субъектов с информацией. Вопрос разрешения или ограничения доступа к информации решается в каждом гражданском правоотношении, предметом которых выступает информация. В своем основополагающем смысле любые сделки с информацией содержат в себе волеизъявление о дозволении доступа к информации. Даже в рамках договора, по которому обладатель информации «отчуждает» (данный термин, конечно, довольно условен для информационного права, поэтому мы и применяем его с некоторой долей вульгаризации) информацию своему контрагенту, видна конструкция, в которой обладатель информации ограничивает себе доступ к информации, при этом разрешает другой стороне такой масштаб доступа к информации, что эта другая сторона становится полноправным обладателем информации.

Информационное право прекрасно отдает себе отчет в том, что информация не подлежит отчуждению (также как и результаты интеллектуальной деятельности; а лишь права на них) из-за возможности сознательного воспроизведения у любого познавшего соответствующий предмет субъекта. Под «доступом» информационное право понимает реальную возможность физических лиц (как сознающих биологических единиц) воспринимать сведения. На этом также строится теория «неправомерного доступа» в уголовно-правовой доктрине преступлений в сфере компьютерной информации, а Российское уголовное законодательство не содержит наказания за неправомерное восприятие, созерцание или ознакомление без установленных в объективной стороне соответствующего состава определенных действий виновного (по умолчанию — воспринимающего) лица (копирование, блокирование, модификация или уничтожение компьютерной информации).

Поэтому упоминание «доступа» в «передаче» (данный термин осуществляет здесь лишь прагматическую обобщающую функцию) предсказуемо и справедливо. «Доступ» можно было бы и не перечислять — его тень в любом случае ложится на любые юридически значимые действия с информацией. Теперь исследуем понятия «распространение» и «предоставление» с использованием ст. 10 Федерального закона N 149-ФЗ «Об информации, информационных технологиях и о защите информации» в контексте всего права и законодательства РФ.

Распространение информации — одностороннее свободное юридически значимое действие (возможно — сделка, но это дискуссионная тема, и в рамках нашего исследования нет смысла на ней останавливаться), в результате которого информация становится общедоступной, т. е. адресуется группе или неограниченному кругу лиц при выраженности в любой доступной для данных лиц форме. Подтверждение справедливости такого определения мы найдем в уголовном запрещении призывов к осуществлению террористической деятельности, в оправдании терроризма или его пропаганде (ст. 205.2 УК РФ) — из положений Постановления Пленума Верховного Суда Р Ф «О некоторых вопросах судебной практики по уголовным делам о преступлениях террористической направленности» мы увидим, что «призывы» — распространение сообщений (как подвида «сведений» в «информации»), а «оправдание» и «пропаганда» — распространение сведений, которые могу включать в себя как «сообщения», так и «данные». По тому же пути пошли составы преступлений, установленных в ст. 207.1; 207.2; 207.3 УК РФ: эти конструкции работают с запрещением распространения заведомо ложной информации, которая воспринимается группой или неограниченным кругом лиц.

Ну и в качестве довольно-таки тривиального аргумента в пользу нашего определения «распространения информации» можно привести определение «рекламы» (ст. 3 Федерального закона «О рекламе»), которая всегда распространена («…любым способом…») и адресована неопределённому кругу лиц. Юридическая циркуляция рекламы возможна только через «распространение», никого другого метода право не подразумевает.

«Предоставление информации», как регламентирует ст. 10 ФЗ «Об информации…» осуществляется в порядке, который устанавливается соглашением лиц, участвующих в обмене информацией. То есть предоставление информации происходит при исполнении сделок или реализации иных гражданско-правовых отношений, предметом которых выступает в том числе и информация. «Распространение» — для односторонних действий, «предоставление» — для двусторонних и многосторонних отношений.

Отметим таже, что законодатель использует термин «предоставление» как раз именно потому, что он отдает отчет в невозможности отчуждения информации (при возможности отчуждения исключительных прав на базу данных, программу для ЭВМ или ноу-хау, правовая онтологическая архитектура которых подразумевает наличие информации в самом объекте) ввиду ее возможности оставлять «след» в памяти бывшего обладателя информации. Право реалистично в отношении «нереальности забвения» — удаления сведений из памяти/сознания физических лиц (как невозможно удалить знание об оказании услуг или о результате интеллектуальной деятельности). Ограничение возможности воспроизводства информации устанавливается иными юридическими инструментами (например, уголовными запретами разглашения тайн), и право достаточно точно дает нам термин, который в таком контексте уже имеет смысл «использования того, что доступно другому».