Защита персональных данных

Дипломная работа

В современном мире смартфонов, «умных» вещей и массовой интернет-зависимости компании собирают, хранят и используют больше информации о потребителях, чем когда-либо прежде. Эти данные в большинстве своем используются для разработки инновационных продуктов, стимулирования спроса и предоставления более качественных товаров и услуг для потребителей, что, в целом, повышает эффективность рынка. Тем не менее, сбор и хранение значительных массивов персональной информации влечет за собой множество угроз, с которыми не способны справиться игроки рынка без применения государственного регулирования.

Необходимость обеспечения защиты личной информации, в том числе персональных данных, возникла в России еще с 90-х годов прошлого века, и чем сильнее информационно-коммуникационные технологии проникали в жизнь граждан, тем более острой становилась эта необходимость. Несмотря на множество принятых нормативно-правовых актов в сфере защиты личной информации, на сегодняшний день институт персональных данных в России пока не полностью сформирован.

В условиях постоянного реформирования законодательства и стремительного развития информационных технологий вопрос экономической эффективности действующего режима защиты персональных данных, а также его возможных альтернатив, представляется довольно актуальным.

Объектом работы является защита персональных данных. Предмет работы — действующий и альтернативные ему режимы защиты персональных данных в России.

Целью выпускной квалификационной работы является определение уровня эффективности текущего режима защиты персональных данных в России и оценка его возможных альтернатив. Для реализации цели работы необходимо выполнить ряд задач:

  • Определить субъект прав собственности на персональные данные в современных реалиях;
  • Выявить экономические предпосылки защиты персональных данных;
  • Проанализировать особенности законодательства России о защите персональных данных и оценить их экономический эффект;
  • Определить возможные альтернативные режимы защиты персональных данных и оценить их возможное влияние на деятельность различных социальных групп.

Выпускная квалификационная работа состоит из трех глав.

В первой главе раскрывается генезис понятия «персональные данные», изучается процесс смены субъектов прав собственности на персональные данные во временной динамике, выделяются основные угрозы приватности в цифровом мире, которые выступают экономическими предпосылками необходимости защиты персональных данных.

14 стр., 7000 слов

Персональные данные работника

... данных. Целью данной работы является анализ законодательства, регулирующего персональные данные работника. Рассмотрение порядка работы с конфиденциальными сведениями о работнике, способы их защиты. Объект исследования - общественные отношения, связанные с оборотом персональных данных работника. ... отношения, касающихся персональных данных работника и их защиты в России является Федеральный закон ...

Вторая глава работы содержит анализ особенностей российского законодательства в сфере защиты информации, в ней также изучается экономический эффект действующего законодательства Российской Федерации о защите персональных данных.

В третьей главе оценивается влияние альтернативных режимов защиты персональных данных на операторов и потребителей информационно-коммуникационных услуг.

Работа содержит такие методы исследования: анализ статей и законодательства, институциональный анализ, эконометрическое моделирование, экономико-статистический анализ, классификация информации.

Среди источников, используемых при написании работы, в первую очередь стоит отметить множество международных нормативно-правовые актов, Конституцию Российской Федерации, законы Российской Федерации и некоторых других стран (Великобритания, Австралия), — источники права были необходимы для изучения юридической стороны защиты персональных данных. Экономическая сторона защиты персональных данных в работе изучена при помощи подборки научных статей и периодики на русском, украинском и английском языках. Во второй и третьей главах работы также широко применяются данные, полученные из статистических интернет-источников, отчетов и электронных СМИ.

1. Теоретические аспекты защиты персональных данных

1 Генезис понятия «персональные данные» как правовой категории

Понятие «персональные данные» считается относительно молодым, его появление связывают с периодом после окончания Второй Мировой войны, когда постепенно возникает необходимость в компьютерной безопасности, а в дальнейшем и в сетевой безопасности. В это время правовые системы обращают все больше и больше внимания на регулирование оборота информации о физических лицах и практически разрабатывают новое субъективное право — право индивида на его «персональные данные». Тем не менее, еще задолго до возникновения самого термина «персональные данные», распространение личной информации о других людях в той или иной степени подлежало регулированию как со стороны общества, так и со стороны государства.

Еще с давних времен возможность самореализации человека была неразрывно связана с информацией, которая наличествует о нем в обществе. Ранние правовые системы предусматривали средства защиты «доброго имени» физических (а также юридических) лиц путем запрета на распространение недостоверных, а позже, и достоверных, но интимных сведений. Тогда информация в большинстве своем передавалась из уст в уста, а поэтому минимального вмешательства государства в регулирование информационного оборота было достаточно, так как в целом общество саморегулировалось при помощи социальные санкций.

Первые исследования природы конфиденциальной информации (считающиеся впоследствии источником более узкого права — права на персональные данные) проводились в конце XIX века в США и были ознаменованы выходом в свет статьи «Право на неприкосновенность частной жизни» юристов С. Воррена и Луиса Д. Брандайза в 1890 году. В этой статье, помимо общепризнанных прав на жизнь, на свободу и на собственность, описывается также право человека на «быть оставленным в покое» как ответная реакция на гонку желтой прессы за подробностями частной жизни известных людей. Дороти Дж. Гланси интерпретирует концепцию Воррена и Брандайза в виде схемы (рисунок 1.1), отображающей четкое разделение права на частную жизнь от неотъемлемых прав человека на свободу и собственность.

15 стр., 7189 слов

Правовая защита персональных данных в России

... Европейского суда по правам человека. По мнению Саидова, государство должно создавать условия для обеспечения защиты персональных данных каждого гражданина Российской Федерации. В работе В.Я. Ярочкина «Информационная безопасность», персональные данные относятся к тому ...

 теоретические аспекты защиты персональных данных 1

Рис. 1.1: Неотъемлемые права личности согласно статье «Право на неприкосновенность частной жизни»

Авторы статьи определяют персональные данные как такие, которые наделены атрибутами обыкновенной собственности: права на них могут быть переданы, они имеют ценность, их публикация и/или воспроизведение — это использование, при помощи которого эта ценность реализуется. Тем не менее, С. Воррен и Луис Д. Брандайз не рассматривают право на частную жизнь как составляющую права на интеллектуальную собственность: смысл защиты личной информации не в перераспределении прибыли, а в душевном спокойствии индивида. Согласно статье, «принцип, который защищает личные писания и все другие личные произведения не от воровства и физического присвоения, а от публикации в любой форме, на самом деле является не принципом частной собственности, а принципом неприкосновенности личности».

Статья «Право на неприкосновенность частной жизни» считается одним из самых влиятельных эссе в истории американского права и первой публикацией в Соединенных Штатах о защите прав на личную информацию. Впервые формулировка «право на быть оставленным в покое» в суде была использована в 1928 году по делу Роя Олмстеда, что также привело к возникновению юридической категории «право на неприкосновенность частной жизни». Обвиняемый, оспаривая приговор, утверждал, что использование записей телефонных разговоров в качестве доказательства вины является недопустимым. Несмотря на то, что Рой Олмстед был впоследствии осужден на 4 года заключения, особое мнение по материалам дела ассоциированного судьи Луиса Брандайза, согласно которому «право человека на быть оставленным в покое — всеобъемлющее право, наиболее ценимое цивилизованными людьми,… каждое неоправданное вмешательство правительства в частную жизнь человека, независимо от используемых средств, должно считаться нарушением Четвертой поправки», стало очень известным и повлияло на вынесение ряда других решений.

История формирования законодательной базы защиты персональных данных берет начало в 1948 году, когда во Всеобщей декларации прав человека провозглашается: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь,… тайну его корреспонденции или на его честь и репутацию; каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств». Европейская конвенция о защите прав и основных свобод человека от 1950 года в статье 8 предусматривает ряд случаев, когда право на уважение частной и семейной жизни отдельного индивида может нарушаться для «сохранения национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц». Международный пакт о гражданских и политических правах от 1966 года запрещает не только произвольное, но и незаконное вмешательство в личную и семейную жизнь и тайны корреспонденции, во всем остальном формулировка статьи 17 полностью повторяет цитату из Всеобщей декларации прав человека.

Выше описанные международные договоры и другие источники международного права описывают только право человека на невмешательство в личную жизнь, которое можно отождествить с правом «на быть оставленным в покое», описанном ранее С. Ворреном и Луис Д. Брандайзом. Право человека на защиту персональных данных, как уже было упомянуто выше, считается производным от права человека на невмешательство в личную жизнь.

Современные научные исследования основных закономерностей правового регулирования информации о физических лицах появились как отклик на возникновение качественно новых социальных явлений в сфере оборота и защиты конфиденциальной информации. Такие понятия как «персональные данные» (personal data), «информация, позволяющая установить личность» (personally identifiable information) и подобные возникли в различных правовых системах во второй половине XX в. в связи с появлением информационно-телекоммуникационных технологий, прежде всего, сети Интернет. С этого момента внимание общества к проблеме защиты сферы частных общественных отношений от противоправных посягательств непрерывно растет, правовая защита персональных данных становится одним из приоритетных направлений исследований зарубежных ученых, в частности, таких как Чарльз Д. Рааб, Штиг Штрoмхолм, Раймонд Уэкс и других.

На данный момент понятие «персональные данные» имеет множество различных определений, анализ некоторых из них представлен в таблице 1.1.

Таблица 1.1. Анализ подходов к определению понятия «персональные данные» в современных источниках*

Преимущество определения

Недостаток определения

Data Protection Act: Персональные данные — это данные, которые относятся к живому индивидууму, которого можно идентифицировать, (1) исходя из этих данных, или (2) исходя из этих данных и другой информации, которая находится во владении или может попасть во владение; это также информация, которая включает любое выражение мнения об индивидууме и любое указание намерений в отношении индивидуума (1998 г.).

В понятие «персональные данные» включается не только объективная информация об индивиде, но и субъективные оценки других людей о нем.

Определение ограничивает круг субъектов персональных данных при помощи определения «живой индивидуум»

Федеральный закон РФ «О персональных данных»: Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (2006 г.).

Определение довольно лаконично и полно

Определение сложно воспринимается при чтении, ему не хватает конкретики

Лушников А.: Персональные данные — это информация (зафиксированная на любом материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним (2009 г.).

Определение лаконично, но при этом довольно полно характеризует понятие «персональные данные»

Согласно данному определению предполагается, что только зафиксированная информация об индивидууме может рассматриваться как «персональные данные»

Мировой экономический форум: Персональные данные — это данные (и метаданные), созданные людьми и о них, включая: (1) данные, предоставляемые индивидуумами самостоятельно и добровольно, например, профили социальных сетей; (2) наблюдаемые данные — фиксируются путем записи действий отдельных лиц, например, данных о местоположении при использовании сотовых телефонов; (3) предполагаемые данные — данные о людях, основанные на анализе добровольно предоставленной или наблюдаемой информации, например, кредитные рейтинги (2010 г.).

В отличие от остальных определений, данное подразумевает возможность наличия персональных данных не о конкретном индивидууме, а сразу о группе людей, что выражается во множественном числе субъекта персональных данных

Определение включает классификацию персональных данных согласно источнику получаемой информации с готовыми примерами, что скорее полезно как дополнительная информация и сильно загружает текст определения

Анализ разнообразных определений понятия «персональные данные» показывает, что на протяжении более 15 лет трактовка «персональных данных» эволюционировала: если более ранние определения несколько ограничивают круг субъектов персональных данных или объект персональных данных (например, рассматривая только зафиксированную на материальном носителе информацию), то в более свежих определениях прослеживаются попытки достичь наиболее полного охвата. Так, например, в федеральном законе РФ «О персональных данных» от 2006 года в определении используется слово «любая», что, с одной стороны, дает возможность очень полно описать понятие «персональные данные», но, с другой стороны, вовсе не конкретизирует ни источники такой информации, ни ее характер.

Наиболее удачным определением «персональных данных» можно назвать формулировку, предложенную в 2010 году на Мировом экономическом форуме, которая может быть дополнена и несколько сокращена

Персональные данные — это данные и метаданные, созданные людьми и о них, включая: данные, предоставляемые индивидуумами самостоятельно и добровольно, наблюдаемые данные, фиксируемые путем записи действий отдельных лиц, а также предполагаемые данные и субъективные оценки, основанные на анализе добровольно предоставленной или наблюдаемой информации.

Выше приведенное определение довольно полно характеризует информацию, которая может являться персональными данными, описывает возможные источники такой информации. Кроме того, определение допускает существование персональных данных не только о конкретном индивиде, но и о группе индивидов (например, об определенной семье или об определенной группе потребителей).

Таким образом, генезис понятия «персональные данные» восходит еще к концу XIX века, когда идея о необходимости защиты информации о личной жизни людей только начала зарождаться. Возникновение «персональных данных» как отдельной правовой категории относят к 80-90-м годам XX века, когда развитие средств коммуникации достигло небывалых успехов и личная информация о пользователях электронных устройств стала постепенно накапливаться. Впоследствии появление интернета и переход к «цифровой экономике» стали триггерами к постоянному уточнению и дополнению понятия «персональные данные», так как данная сфера с каждым годом нуждается все в большем и большем регулировании со стороны государства.

1.2 Определение субъекта прав собственности на персональные данные в рамках институциональной экономической теории

В XXI веке необходимость защиты персональных данных связана не только и не столько с защитой «доброго имени» индивида и его душевного спокойствия, но также с защитой его благосостояния. Если С. Воррен и Луис Д. Брандайз в конце XIX века четко разграничивали право на «быть оставленным в покое» и право на собственность, то уже в 70-е годы XX века предложение о введении имущественных прав на персональные данные впервые стало предметом научных дискуссий, особенно остро разгоревшихся ближе к 2000-м годам.

Согласно определению, права собственности — это санкционированные и принятые в обществе отношения между экономическими агентами, определяющие возможные способы использования ресурсов как прерогативу индивидов или групп или, проще, это отношения между людьми по использованию ограниченных ресурсов. В выше приведенных, а также многих других определениях прав собственности смысл сводится к тому, что имущественные права могут распространяться только лишь на «ресурсы» (институциональная экономика), «средства производства и предметы потребления» (политическая экономия), «материальные блага» (юридическая литература) и прочее. В ранних представлениях персональные данные (или личная информация) действительно не подпадали под определение ресурсов или средств производства: они не являлись факторами для производства экономических благ, не участвовали в процессе создания товаров и услуг, — их наличие игнорировалось большинством экономистов.

С началом стремительного развития коммуникационных технологий и, в особенности, появлением интернета персональные данные постепенно начали обретать экономический смысл. Появились первые приверженцы идеи введения прав собственности на персональные данные и они тут же разделились на два «лагеря»: одни считали необходимым, чтобы закон признал коммодификацию персональных данных, произошедшую в результате перехода к поведенческому маркетингу, другие указывали на необходимость передать контроль за персональной информацией индивидам, к которым эта информация относится. В ответ на это выдвигались также аргументы против спецификации прав собственности на персональные данные, основным из которых было утверждение, что конфиденциальность информации является общественным благом, обеспечить безопасность и общую доступность которого будет невозможно в условиях «пропертизации».

Одной из основных идей статьи Надежды Пуртовой «Иллюзия персональных данных как ничьей собственности» является утверждение о том, что, несмотря на горячие дискуссии, на данный момент не существует опционального выбора между вариантами установить частную собственность на персональные данные (чтобы каждый индивид мог контролировать информацию о себе) или же рассматривать совокупность персональных данных с точки зрения общественного блага. По мнению автора, режим собственности на персональные данные уже давно установлен и большинство прав на этот новый актив принадлежит информационной индустрии «по умолчанию».

Возвращаясь к определению «персональных данных» как любой информации созданной людьми и о людях, приходит понимание того, что к персональным данным относится не только фамилия, имя, отчество, дата рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, данные о средствах коммуникации (телефонный номер, электронная почта), данные о членах семьи и прочая индивидуальная информация. «Персональными данными» может выступать также обезличенная (деперсонализированная) информация, которая в процессе анализа может реидентифицировать индивида. Так, например, в 2006 году America Online (AOL Inc.) выпустила сборник поисковых запросов, считавшихся полностью анонимизированными, тем не менее, репортеры из The New York Times использовали эти запросы, чтобы показать, что даже когда имена и другая личная информация удаляются из наборов Big Data, часто бывает возможно ре-идентифицировать конкретного человека.

  • Цифровая идентификация (имена, адреса электронной почты, номера телефонов, физические адреса, демографическая информация, информация о профиле социальной сети и т. п.);

  • Отношения с другими людьми и организациями (онлайн-анкеты и списки контактов);

  • Активность в сети, интересы и поведение (записи о местоположении, времени, кликах, поиске, история браузера и данные календаря);

  • Коммуникационные данные (электронные письма, SMS, телефонные звонки, чаты и общение в социальных сетях);

  • Медиа-файлы, которые были созданы, потреблены или оценены (в том числе текстовые, аудио, фото, видео и другие файлы);

  • Финансовые данные (транзакции, счета, кредитные рейтинги, физические активы и виртуальные товары);

  • Данные о состоянии здоровья (история болезни, журналы медицинских приборов, рецепты и медицинская страховка);

  • Институциональные данные (правительственные, академические и данные работодателей) и пр.

Все эти цифровые данные (предоставленные людьми добровольно, наблюдаемые или предполагаемые на основе анализа других данных) могут храниться и агрегироваться различными провайдерами — веб-провайдерами, поисковыми системами Интернета, разработчиками приложений и пр., которые в своей совокупности действительно составляют информационную индустрию.

Несмотря на огромное количество разнообразной цифровой информации, хранящейся и используемой представителями информационной индустрии, на первый взгляд сложно согласиться с Надеждой Пуртовой о том, что персональные данные в большинстве своем являются их собственностью, хотя бы потому, что личная информация принципиально отличается от материальных товаров. Нельзя отрицать, что в момент сбора персональных данных третьими лицами, уровень доступности и уровень потребления этого блага самим субъектом персональных данных не меняется. Так, согласно Йозефу Штиглицу, любая информация (а в частности, и персональные данные) обладает основными свойствами общественного блага — она неконкурентна и исключить отдельных лиц из пользования преимуществами этой информации зачастую довольно трудно.

С другой стороны, если бы персональные данные являлись чистым общественным благом, то многого из того, что окружает современных людей, попросту не существовало бы. В первую очередь, речь идет о бесплатных приложениях для мобильных устройств, полный функционал которых доступен в случае разрешения приложению получать доступ к определенным данным — файлам на смартфоне, профилю в социальных сетях, геолокационным данным, статистике подключения к Wi-Fi и прочей информации. Уже сейчас потребители используют свои персональные данные в качестве оплаты тех или иных приложений, что впоследствии монетизируется разработчиками посредствам трансляции таргетированной рекламы. В случае если бы персональные данные были действительно полностью общественным благом и являлись общедоступной информацией, то смысл создавать и поддерживать приложения и социальные сети, основной функцией которых является стимулирование индивидов делиться своими персональными данными и приумножать цифровую информацию о себе, был бы утерян.

Кроме того, о неизменном уровне доступности персональных данных для самого индивида можно говорить только лишь применимо к добровольно предоставляемым персональным данным. Так, зачастую наблюдаемые персональные данные (например, геолокационная статистика за определенный отрезок времени) или предполагаемые персональные данные, основанные на анализе добровольно предоставляемой и наблюдаемой информации (к примеру, кредитный рейтинг) недоступны для самого индивида или их получение требует формирование дополнительных запросов. При этом агрегированные массивы персональной информации зачастую становятся товаром, так или иначе используемым информационными компаниями для получения прибыли, что сложно представить в случае, если бы доступ к персональным данным людей был бы общедоступен.

Учитывая вышесказанное, гипотеза Надежды Пуртовой о том, что право собственности на персональные данные в современном мире закреплено за представителями информационной индустрии, кажется близкой к истине. Опираясь на работу Джона Умбека «Теория прав собственности применительно к Калифорнийской золотой лихорадке», автор статьи «Иллюзия персональных данных как ничьей собственности» утверждает, что современная конкуренция на информационном рынке во многом напоминает ситуацию 1848 года: пока права собственности окончательно юридически не определены, представители индустрии как более «сильные» (наделенные большим количеством ресурсов) заинтересованные экономические субъекты заявили и осуществляют права собственности. При этом, исходя из выводов Джона Умбека, распределение прав собственности находится в прямой зависимости от способности исключать конкурентов, чем можно объяснить столь высокую конкуренцию на рынке информационных технологий, особенно обострившуюся в последнее десятилетие.

Понимание эволюции прав собственности на персональные данные можно продемонстрировать при помощи схематичного рисунка 1.2., который наглядно демонстрирует, как изменялся со временем субъект прав собственности на персональные данные. Можно утверждать, что до конца XIX века индивид сам располагал всей информацией о себе и сам был в состоянии контролировать ее потоки. Со временем права собственности на персональные данные наиболее известных личностей стали размываться, в первую очередь, «желтой прессой». Общедоступность жизненных подробностей и другой частной информации (появление в прессе фотоматериалов, раскрытие тайны корреспонденции) вызвало возмущение индивидов, чья информация публиковалась, что, в свою очередь повлияло на развитие юридической науки начала XX века, привело к возникновению понятия «неприкосновенность личной жизни». Долгое время процесс перехода частных персональных данных в общедоступную информацию касался лишь определенных индивидов и охватывал сравнительно незначительное количество информации, а потому изучение этого социально-экономического явления в должной степени не проводились. Преобразование значительного пласта персональных данных в общедоступную собственность произошло с началом стремительного развития коммуникационных технологий, но до 2000х годов все более и более накапливающаяся персональная информация по большей части не имела влияние на экономическое развитие, хотя сам факт ее раскрытия вызывал интерес и привёл к разгоранию научных дискуссий. И вот с началом нового тысячелетия можно наблюдать процесс присвоения прав собственности на персональные данные игроками рынка — представителями информационной индустрии. Предполагается, что этот процесс продлится до тех пор, пока права собственности на персональные данные не будут окончательно юридически закреплены.

 теоретические аспекты защиты персональных данных 2

Рис 1.2. Процесс смены субъектов прав собственности на персональные данные во временной динамике

Составлено автором на основе: Nadezhda Purtova. The Illusion of Personal Data as No One’s Property // Law, Innovation and Technology. Volume 7, 2015

Важно отметить, что значительную роль на всех этапах спецификации прав собственности на персональные данные играет государство, которое также заинтересовано в получении доступа к личным данным граждан. С давних времен государственные органы в том или ином виде занимаются сбором, систематизацией и хранением персональных данных не только для накопления статистических сведений, но и для обеспечения безопасности граждан. Если до 2000-х годов большинство персональных данных государственные органы получали непосредственно от индивида или его семьи (при рождении, браке, переписи населения и пр.), то с началом нового тысячелетия все чаще государством предъявляются требования к провайдерам информационно-коммуникационных услуг по поводу раскрытия информации о пользователях, что подробнее будет рассмотрено в пункте 2.1 данной работы. Этот факт еще раз подтверждает теорию о том, что права собственности на персональные данные в современном мире закреплены за представителями информационной индустрии.

.3 Экономические предпосылки необходимости защиты персональных данных

Распространение информационно-коммуникационных технологий, благодаря которым массивы персональной информации ежегодно приумножаются, создает как новые возможности для бизнеса и пользователей, так и новые риски, в первую очередь, для субъектов персональных данных.

С одной стороны, установление ограничений на использование персональных данных, регулирование этого рынка со стороны государства может негативно сказываться на эффективности рыночной экономики. Представитель Чикагской школы Ричард Познер еще в 1978 году писал о том, что защита частной жизни и личных данных создает неэффективность на рынке, поскольку потенциально релевантная информация скрывается от других экономических агентов. Так, необходимость обезличивания персональных данных при их обработке создает дополнительные издержки компаний на шифрование информации, предложение публичных оферт пользователям, юридические консультации и прочее. Кроме того, анонимизация приводит к необходимости заново и заново собирать уже существующие данные разнообразным компаниям (например, геолокационную статистику по определенным пользователям), так как создание баз данных такой информации с привязкой к конкретным индивидам не допускается.

С другой стороны, вопрос персональных данных является критичным для обывателей, степень подверженности рискам которых прямо пропорциональна количеству персональной информации о них, находящейся в свободном доступе или в частном распоряжении представителей информационной индустрии. Угрозы приватности в цифровом мире можно разделить на три составляющие:

  • недобросовестное обращение с персональными данными (в том числе допущение утечки данных) со стороны держателей информации (представителей бизнеса и государственных органов), которым были доверены персональные данные;

  • сбор, систематизация и распространение персональных данных из разнообразных источников, что впоследствии позволяет составить многосторонний «профиль» конкретного субъекта персональных данных: от сведений о семейном состоянии и покупательских предпочтений до религиозных убеждений и черт характера;

  • киберпреступность (мошенничество в сети интернет, программы-шпионы и вредоносные программы, кражи, совершенные при помощи информационно-коммуникационных технологий).

Одной из серьезнейших угроз неприкосновенности личной жизни является массовая систематическая слежка за гражданами. Уже сейчас представляется возможным сбор исчерпывающих сведений о конкретных субъектах из разных источников и их слияние в единой базе данных при помощи процедуры «data matching». Создание всеохватывающей системы слежки на базе data matching предполагает наличие единого поискового признака — универсального идентификационного кода. Развитие систем анализа больших массивов данных Big Data значительно усиливает эту угрозу, так как предоставляет возможность объединять не только информацию из баз данных, но и видео-, аудиоинформацию, анализ интернет-трафика и геолокационные данные. При генерации столь огромного массива информации сохранять анонимность становится все труднее и труднее.

В условиях наличия такого количества значимых угроз может показаться удивительным факт, что многие пользователи продолжают ежедневно генерировать внушительные объемы персональных данных, зачастую правдиво указывая идентифицирующую информацию. Ведь именно в руках индивидов сосредоточен основной инструмент защиты персональных данных — выбор разглашать эту информацию повсеместно в сети или, по возможности, держать в тайне.

В этом контексте представляется интересным социальный эксперимент, проведенный в 2012 году в Питтсбурге, целью которого было изучение желания потребителей оставаться в анонимности. Испытуемым предлагалось выбирать между подарочными картами, которые различались между собой в зависимости от конфиденциальности и денежных вознаграждений: идентифицируемая карта (имя пользователя привязано к транзакциям, выполненным с этой картой) с 12 долларами на счету и анонимная карта с 10 долларами. По итогам эксперимента менее 35% респондентов выбрало анонимную карту, что указывает на характер предпочтений современных индивидов: ценность персональных данных зачастую оцениваются пользователями очень низко.

В условиях, когда значительная часть пользователей столь небрежно относятся к собственной личной информации, довольно трудной представляется задача эффективной защиты персональных данных посредствам, к примеру, саморегулирования этого рынка. Так, например, согласие на сбор определенной информации от индивида может быть сигналом для компании о том, что данному потребителю нечего скрывать, соответственно, другой индивид, отказавшийся от предоставления таких же данных, «подпадает под подозрение», ведь отказ от предоставления информации в некотором смысле тоже является информацией. Таким образом, перекладывание ответственности за предоставленные персональные данные полностью на частных лиц и отказ от регулирования этой экономической сферы со стороны государства не может быть реализован хотя бы потому, что данное решение ущемляет права индивидов, желающих по той или иной причине скрыть определенные личные сведения.

Важной проблемой также представляется вторичное использование персональных данных, то есть возможность их продажи третьей стороне. Так, потребитель может самостоятельно принять рациональное решение о предоставлении своих персональных данных компании взамен на определенные услуги или выгоды. Тем не менее, индивид не всегда информируется о том, что его персональная информация может быть перепродана; при этом субъект персональных данных не только не участвует в распределении прибыли, но и может нести в некотором смысле потери — например, получать спам или стать жертвой неблагоприятной ценовой дискриминации.

Исходя из вышесказанного, можно заключить, что субъекты персональных данных подвержены множеству угроз как прямо, так и косвенно. Индивиды могут нести реальные потери, связанные с раскрытием персональных данных, которые могут выражаться в денежном эквиваленте (в случае киберкражи или неблагоприятной ценовой дискриминации) или как количество дополнительно потраченного времени (на удаление спама, избавление от вредоносных программ).

Кроме этого, индивиды могут нести нематериальный ущерб, способный возникнуть в результате распространения их персональных данных, — то, что С. Воррен и Луис Д. Брандайз называли «нарушением душевного спокойствия». Ввиду наличия этих и других угроз, полная и качественная защита персональных данных представляется необходимой для обеспечения прав и свобод граждан и, как было показано, ее реализация должна происходить посредствам регулирования со стороны государства. Особенно актуальным это утверждение является в условиях, когда права собственности на персональные данные окончательно юридически не определены.

2. Экономические эффекты действующего режима защиты персональных данных в России

.1 Особенности законодательства о защите персональных данных в Российской Федерации

Основные положения законодательства о защите персональных данных в России можно найти в российской Конституции, международных договорах и конкретных законах. Россия является членом Страсбургской конвенции «О защите частных лиц в отношении автоматической обработки персональных данных» (ратифицирована Российской Федерацией в конце 2005 года), а Конституция Российской Федерации устанавливает право на неприкосновенность частной жизни каждого человека, запрещает «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия» (23-я и 24-я статьи).

Большинство действующих правил содержится в конкретных законодательных актах, в частности, в законе «О персональных данных» от июля 2006 года, а также в различных нормативных актах, принятых для реализации как этого, так и некоторых других законов, в том числе ФЗ «Об информации, информационных технологиях и защите информации» от июля 2006 года, устанавливающего основные правила в отношении информации в целом и ее защиты. Кроме того, в главе XIV Трудового кодекса Российской Федерации содержится ряд положений о защите персональных данных работников, в которых предусмотрены общие требования к обработке, хранению и передаче персональных данных, а также указана степень ответственности лиц за нарушение данных требований. Другие законы также могут содержать положения о защите данных, которые реализуют положения закона «О персональных данных» применительно к конкретным областям государственных услуг или отраслей.

Деятельность в области электронного маркетинга регулируется ограничениями, установленными законом РФ «О рекламе» от 2006 года (в частности, статьей 18 закона), согласно которым распространение рекламы через телекоммуникационные сети, в частности, с использованием телефонной, факсимильной и мобильной телефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. Текст закона отдельно не регулирует рекламу, распространяемую посредствам сети Интернет.

В июле 2014 года были приняты важные поправки к закону «О персональных данных», вступившие в силу 1 сентября 2015 года, в рамках которых были выдвинуты требования ко всем операторам персональных данных по хранению и обработке любых персональных данных российских граждан в базах данных, расположенных на территории России (за некоторыми исключениями).

Наказанием за нарушение этого требования является, в конечном счете, блокирование сайтов, связанных с незаконным обращением с российскими персональными данными. Регистр нарушителей прав субъектов персональных данных создается Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором), а оттуда Роскомнадзор может перейти на блокирование сайтов.

Считается, что Российское законодательство не регулирует частную жизнь граждан в Интернете в той мере, как это происходит, например, в Китайской Народной Республике, где с 90-х годов прошлого века установлена система ограничения доступа населения к иностранным веб-сайтам. Тем не менее, поправки, внесенные в законодательство Российской Федерации в середине 2016 года в части противодействия терроризму и обеспечения общественной безопасности (известные в народе как «пакет Яровой») подразумевают возможное вмешательство государственных спецслужб в частную информацию и персональные данные пользователей в случаях, когда это необходимо для расследований или обеспечения государственной безопасности. Для реализации возможности такого вмешательства в тексте закона указывается, что с 1 июля 2018 года «организатор распространения информации… обязан хранить на территории Российской Федерации… текстовые сообщения пользователей сети «Интернет», голосовую информацию, изображения, звуки, видео-, иные электронные сообщения… до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки».

Стоит отметить, что подобные требования к хранению личной информации не уникальны. Так, в 2015 году в Австралии принят закон «О внесении изменений в Закон о телекоммуникациях (перехват и доступ)», согласно которому компании, предоставляющие коммуникационные услуги, обязаны хранить метаданные о траффике на протяжении двух лет. Важно понимать, что в отличие от российского законодательства, которое требует хранить весь массив данных, продуцируемый в процессе коммуникации между пользователями при помощи сети Интернет и мобильной связи, Австралийское законодательство предполагает необходимость сохранения лишь основной информации о передаваемой пользователями информации — так называемые «метаданные», которые включают в себя:

  • Информацию об интернет- и SMS сообщениях/звонках: источник и получатель информации, время передачи, тема сообщения/продолжительность звонка, тип передачи данных, местоположение оборудования, используемого для передачи данных;

  • Информация о пересылаемых фото- и видеоматериалах: геолокационные данные, время съемки, параметры съемки, модель камеры;

  • IP-адреса, посещаемых пользователями сайтов и пр.

Закон «О сохранении данных» существует также в Германии: согласно немецкому законодательству с 2016 года CDR-данные и метаданные о передаваемой пользователями информации должны сохраняться на протяжении 10 недель, а данные о местоположении сотового телефона в течение четырех недель.

Что касается США, то согласно проведенным журналистским расследованиям в стране с 2007 года действует система PRISM, которая до недавнего времени тайно собирала персональную информацию напрямую с серверов крупнейших провайдеров (Microsoft, Google, Facebook, Skype, YouTube, Apple и др.), хранила ее и передавала в ФБР. Несмотря на обнародование сведений о существовании программы PRISM в 2013 году, ее деятельность, по всей видимости, не была приостановлена, так как представители коммуникационных услуг и правительство США не признают ее существования.

В целом, если рассматривать российское законодательство в сфере защиты персональных данных по сравнению с законодательством других стран, то можно говорить об умеренном уровне регулирования и давления на рынок коммуникационных технологий со стороны государства, — это можно продемонстрировать при помощи рисунка 2.1. Стоит учитывать, что на рисунке представлена текущая ситуация и не отражаются будущие изменения в законодательстве (в том числе, вступление в силу «пакета Яровой»).

Стоит предполагать, что с июля 2018 года режим защиты персональных данных в России перестанет считаться умеренным и будет квалифицироваться как «значительный» или даже «весомый».

 теоретические аспекты защиты персональных данных 3

Рис. 2.1. Сравнение степени защиты персональных данных в законодательстве разных стран

На основе данных рисунка 2.1. была построена регрессионная модель, которая показывает тесную взаимосвязь между величиной ВВП на душу населения и степенью защиты персональных данных. Результаты построения модели продемонстрированы на рисунке 2.2.:

 теоретические аспекты защиты персональных данных 4

Рис. 2.2. Зависимость степени защиты персональных данных от величины ВВП на душу населения

По результатам моделирования получено значение коэффициента детерминации R2 , равное 0,5343, что отражает степень влияния объясняющей переменной «ВВП на душу населения» модели на зависимую переменную «степень защиты персональных данных в стране». В случае, когда R2 = 0,5343, поведение зависимой переменной на 53,43% описывается поведением объясняющей переменной, а на 46,57% описывается другими, не включенными в модель, факторами. Таким образом, можно утверждать о том, что существует тесная взаимосвязь между величиной ВВП на душу населения и степенью защиты персональных данных в стране: чем выше среднедушевой показатель ВВП, тем, как правило, строже законодательство в сфере регулирования персональных данных.

Анализируя законодательство Российской Федерации в сфере защиты персональных данных, можно прийти к выводу о том, что его развитие соответствует современным тенденциям ужесточения требований к провайдерам коммуникационных услуг. Нововведение, связанное с предоставлением доступа государственным структурам к цифровым персональным данным, которое вступает в силу с июля 2018 года, не являются уникальными в общемировом масштабе и во многом повторяет действующие законодательные нормы некоторых развитых стран.

.2 Оценка экономического эффекта текущего режима защиты персональных данных

Стремительный рост объемов персональных данных не остался без внимания участников рынка, и они быстро нашли пути извлечения выгоды из общедоступной личной информации пользователей. Так, в отчете мирового экономического форума «Личные данные: Появление нового класса активов» персональные данные называют «новой нефтью» — ценным ресурсом XXI века.

Несмотря на принятие ряда нормативно-правовых актов (как международных, так и локальных), направленных на защиту персональных данных индивидов и, тем самым, ограничивающих коммерческое использование личной информации, на современном этапе развития коммуникационных технологий можно смело говорить о существовании рынка персональных данных. Ежегодно спрос на личную информацию людей растет: частные компании все чаще используют персональные данные для выхода на новые рыночные сегменты, стимулирования спроса, построения отношений с клиентами и прочее. Использование персональных данных потребителей (или потенциальных потребителей) в маркетинговой и рекламной деятельности компаний — наиболее распространенная область применения этого ресурса.

Цепочка добавленной стоимости охватывает все виды деятельности, необходимые для обеспечения прохождения продуктом (услугой) полного жизненного цикла, начиная с создания и заканчивая потреблением и утилизацией.

На рисунке 2.3. рассмотрена схема цепочки стоимости персональных данных, которая дает возможность понять, как личная информация пользователей, передаваемая при помощи коммуникационных устройств, влияет на рынки других товаров и услуг.

Исследование рекламных бирж как одного из ключевых звеньев цепочки стоимости персональных данных показало, что значительной тенденций на рынке маркетинговых услуг является рост предложения (а значит, и рост спроса) на таргетированную рекламу — объявления, демонстрирующиеся только тем пользователям сети, которые отвечают определенным критериям, заранее заданным рекламодателем (пол, возраст пользователя, уровень образования, город проживания и прочее).

Это подтверждается результатами проведенного в 2016 году социального опроса среди крупнейших рекламодателей России: на открытый вопрос о том, какие основные изменения на рынке интерактивной рекламы за последние 6-12 месяцев они могли бы отметить, 40% опрошенных упомянули таргетированную рекламу.

 теоретические аспекты защиты персональных данных 5

Рис. 2.3. Цепочка стоимости персональных данных: от создания до потребления

Составлено по: World Economic Forum, 2010. Personal Data: The Emergence of a New Asset Class [еlectronic resource]. — Electronic data. ̶ URL: #»900245.files/image006.jpg»>

Рис. 2.4. Доля рекламодателей, использовавших таргетированную рекламу в 2016 году (среди тех рекламодателей, которые размещают рекламу в интернете)

Тем не менее, статистика по распространенности сети Интернет среди жителей Российской Федерации свидетельствует о некотором отставании России от ведущих стран мира в части проникновения интернета в жизнь граждан, что наглядно продемонстрировано на рисунке 2.5. Так, средневзвешенное значение доли интернет-пользователей в Европейском союзе приближается к 81,2%, тогда как в России доступом к интернету обеспечены лишь 71,3%.

 теоретические аспекты защиты персональных данных 6

Рис. 2.5. Доля интернет-пользователей в странах мира, 2016 год

Анализируя полученные результаты, нельзя не заметить некоторое несоответствие: уровень популярности таргетированной рекламы в России у рекламодателей едва уступает европейскому, в то время как доля интернет-пользователей Российской Федерации значительно ниже среднеевропейского показателя. Одним из объяснений этого факта может выступать разница в степени защиты личной информации в России и в Европейском союзе: несмотря на схожесть законодательства, текущий режим защиты персональных данных также во многом характеризуется качеством работы института исполнительной власти. Допуская, что соблюдение законодательства в России в худшую сторону отличается от ситуации в странах Европейского союза, можно предположить, что именно это послабление благоприятно влияет на функционирование рынка таргетированной рекламы.

Таким образом, текущий режим защиты персональных данных в России, который характеризуется как «умеренный», в целом, положительно сказывается на развитии онлайн-индустрии и интернет-маркетинга. В условиях, когда сбор, обработка хранение и использование персональных данных пользователей не запрещены при некоторых условиях (предварительной деперсонализации информации) возможен социальный договор между пользователями и онлайн платформами об обмене личных данных индивида на бесплатное пользование услугами. Это подталкивает онлайн платформы развиваться, становиться лучше, внедрять инновации, чтобы, таким образом, привлечь новых потребителей, стать более популярными и, впоследствии, собрать еще больше персональных данных. Так как текущий режим защиты персональных данных в России позволяет использовать агрегированную личную информацию пользователей в целях интернет-рекламы, происходит стимулирование спроса потребителей, что, в свою очередь, порождает большее предложение, — эти процессы развивают экономику России в целом.

3. Институциональные альтернативы действующему режиму защиты персональных данных в России

.1 Оценка влияния поправок к закону «О персональных данных» от 2016 года на деятельность различных социальных групп

Рассмотрим первую альтернативу действующего режима защиты персональных данных — вступление в силу поправок к закону «О персональных данных» в полной мере, как это предусмотрено законом от 2016 года, и на основе выводов спрогнозируем события, которых стоит ожидать после июля 2018 года.

К концу 2016 года правительством был разработан паспорт проекта «О порядке, сроках и объеме хранения операторами… информации…», предполагавший создание технических средств накопления в объемах 1Пбайт информации на 1 Гбит/с емкости узла связи с 1 июля 2018 года и 2 Пбайт на каждый Гбит/с емкости узла с 1 января 2019 года (информация об измерении количества информации в байтах представлена в приложении А).

В марте 2017 года появилось Заключение об оценке регулирующего воздействия, согласно которому стоимость затрат, необходимых на реализацию предлагаемого проекта, оценивается уже в сумму от 3 до 10 трлн рублей (от 52,5 до 175,5 млрд долл) в то время, как совокупный доход мобильных операторов за 2016 г составил около 1,66 трлн рублей.

Исходя из вышеприведенных экономических оценок, в случае если поправки к закону «О персональных данных» вступят в силу в полной мере, действительно следует ожидать значительного повышения стоимости мобильной связи (как звонков, так и интернета): затраты на сооружение хранилищ персональных данных будут в большой степени переложены на потребителей.

В ситуации роста цен на мобильную связь стоит опасаться снижения потребления этих услуг на рынке в целом. Так, с 2012 года постепенно начали приобретать популярность приложения, работающие как «voice over internet protocol» (VoIP), например, WhatsApp и Viber, которые стали первыми субститутами сотовой связи: большинство лидирующих приложений позволяют клиентам отправлять не только мгновенные сообщения, но и голосовые вызовы. Согласно исследованиям телекоммуникационной отрасли молодое поколение абонентов отдают предпочтение таким приложениям, нежели традиционной мобильной связи.

Анализируя рынок оборудования для информационно-коммуникационных технологий, можно прийти к выводу, что реализация поправок к закону «О защите персональных данных» в малой степени поддержит отечественных производителей: несмотря на то, что Россия находится в топ-20 стран по импорту и экспорту ИКТ оборудования, годовой внешнеторговый оборот страны в этой сфере как минимум в 2 раза уступает величине предполагаемых инвестиций. Так, по оценкам около 70-75% затрат на реализацию проекта составляет стоимость необходимого оборудования, что эквивалентно 36,8 — 131,6 млрд долл.

 теоретические аспекты защиты персональных данных 7

Рис. 3.1. Объемы экспорта и импорта информационно-коммуникационного оборудования по странам в млн долларов за 2013 год

В 2013 году импорт ИКТ оборудования в Россию был произведен на 21,5 млрд долларов, а экспорт — на 2,2 млрд долларов, что даже трудно различимо на выше приведенной диаграмме. Очевидно, что если правки к закону «О персональных данных» будут применены в полном объеме, то ИКТ оборудование будет заказано из-за границы, ведь, насколько можно судить по статистическим данным, соответствующее оборудование внутреннего производства, вероятно, не может быть поставлено в заданных объемах в столь сжатые сроки.

Авторы ежегодно отчета «Цена свободы и безопасности» в 2016 году также оценили влияние «пакета Яровой» на социально-экономические показатели страны, что представлено в таблице 3.1. Каждый показатель оценивается по шкале от -5 до 5 баллов, где:

  • Воздействие на свободу: -5 — катастрофическое ограничение, +5 -значительное увеличение;

  • Воздействие на безопасность: -5 — катастрофическое сокращение, +5 -значительное увеличение;

  • Экономический эффект: -5 — неоправданные затраты, +5 — значительный экономический эффект.

Таблица 3.1. Составляющие индекса «Цена свободы и безопасности» 2016 года для России*

Свобода

Безопасность

Экономический эффект

Государство

+ 0,03

+ 1,03

+ 0,56

Бизнес

— 1,78

— 0,53

— 1,94

Социум

— 2,34

— 1,03

— 1,34

Индивид

— 2,03

— 0,41

— 1,53

Согласно авторам отчета, российское государство как институт было единственным бенефициаром законодательных инициатив, принятых в 2016 году в сфере защиты прав персональных данных. Экспертные оценки влияния нововведений на другие социальные группы крайне негативны, особенно в контексте снижения прав и свобод.

Таким образом, вступление в силу поправок к закону «О персональных данных» в том виде, как это сейчас прописано в законодательстве, накладывают жесткие ограничения на представителей операторов мобильной связи, вынужденных в короткие сроки организовать внушительные хранилища данных за счет средств предприятий. В этих условиях значительное повышение постоянных (амортизация хранилищ данных) и переменных (обслуживание хранилищ) издержек операторов приведет к росту цены на услуги мобильной связи, что негативно скажется на благосостоянии конечных потребителей. При этом ожидается некоторый спад рынка телекоммуникационных услуг в целом, так как рост стоимости связи приведет к оттоку клиентов и их переключение на альтернативные способы коммуникации (например, при помощи мессенджеров и приложений, поддерживающих голосовые вызовы).

При этом ожидается, что рост спроса на ИКТ оборудование со стороны операторов мобильной связи в рамках реализации законодательных инициатив не значительно повлияет на развитие отечественного производства в сфере информационно-коммуникационных технологий.

.2 Оценка влияния законодательства о хранении метаданных на деятельность различных социальных групп

Рассмотрим вторую возможную альтернативу действующего режима защиты персональных данных — отказ от текущей редакции закона «О персональных данных» и корректировка статей, связанных со сбором и хранением информации о пользователях в соответствии с правилами, разработанными на основе примера законодательства Австралии в сфере защиты персональных данных. Это, в первую очередь, подразумевает отказ от концепции хранения всей передаваемой пользователями информации и переход к идее сбора метаданных.

По опыту Австралийского правительства, для реализации этой инициативы в 2016 году понадобилось 131 млн долларов на развитие инфраструктуры, — эти деньги были выделены из государственной казны. С поправкой на количество населения России (от чего напрямую зависят объемы продуцируемой пользователями информации), для реализации подобного законопроекта на территории Российской Федерации требуется около 793,5 млн долларов, что эквивалентно 45 млрд рублей. В случае российских реалий, предположим, что организация хранилищ данных все так же ложится на плечи провайдеров.

Суммарные расходы для развития отраслевой инфраструктуры в размере 45 млрд рублей в рамках новых требований к защите персональных данных существенны для представителей телекоммуникационной отрасли, но посильны. Так, группа компаний МТС на развитие бизнеса, в том числе строительство сети связи, расходовала в России 455,1 млрд. рублей за 6 лет (2010-2015).

Соответственно, выше указанная сумма сопоставима с полугодовым инвестиционным бюджетом лишь одного представителя «большой четверки» мобильных операторов, что подтверждает выполнимость подобной задачи.

Как известно, рынок мобильной связи в России является классическим примером олигополии, которому присуща X-неэффективность: цена услуг всегда значительно превышает средние издержки; при этом одним из классических подходов к ценообразованию на олигополистическом рынке является метод «Издержки+», который предполагает получение компанией прибыли в размере определенного процента от издержек. В случае подобного метода ценообразования на рынке телекоммуникаций России при значительном росте себестоимости услуг мобильной связи все издержки действительно перекладывались бы на конечного потребителя, что привело бы к заметному удорожанию услуг сотовых операторов. Тем не менее, рынок мобильной связи в России представлен четырьмя основными компаниями, которые активно конкурируют между собой не только при помощи маркетинговых инструментов, но и по цене. В условиях ценовой конкуренции и некооперативного поведения компании мобильной связи в описанных условиях будут стараться как можно дольше не повышать цены на свои услуги, чтобы не спровоцировать постоянных клиентов на переход к другому оператору. Учитывая, что олигопольные цены довольно высоки и разница между ценой и предельными издержками (P > MC) приближается к уровню монопольного рынка, можно ожидать, что компании мобильной связи в рамках осуществления данной альтернативной инициативы не значительно повысили бы цены на свои услуги для потребителей, а скорее допустили бы некоторое снижение прибыльности в краткосрочной перспективе (1-3 года).

Описанный режим защиты персональных данных не значительно повлиял бы на предпочтения потребителей в сфере коммуникаций. Тем не менее, одной из новых тенденций в результате применения закона может стать учащение использования мессенджеров (таких как Telegram и WhatsApp), особенно среди молодежи. Это связано, в первую очередь, с тем, что поправки к закону «О персональных данных», в частности, предполагают обязательную сертификацию средств кодирования сообщений в информационно-коммуникационных сетях, что предполагает возможность раскрытия «ключей» к зашифрованному трафику по требованию ФСБ. Тем не менее, сертификация средств шифрования для мессенджеров в законе «О персональных данных» не предусмотрена, что может повлиять на предпочтения потребителей, озабоченных сохранением тайны своей переписки. Впрочем, подобные изменения также актуальны для первой альтернативы действующему режиму защиты персональных данных, описанной ранее.

Таким образом, реализация второй возможной альтернативы действующего режима защиты персональных данных, в рамках которой происходил бы сбор и хранение метаданных о фактах коммуникации между пользователями, обошлась бы игрокам рынка мобильной связи в разы дешевле, чем предполагают текущие поправки к закону «О персональных данных». Анализ необходимых объемов инвестиций показал, что в условиях олигополистической конкуренции на российском рынке телекоммуникаций реализация альтернативной законодательной инициативы не повлекла бы за собой рост цен на услуги мобильных операторов в краткосрочной перспективе: затраты на инфраструктуру покрывались бы за счет некоторого снижения прибыли провайдеров, что снизило бы X-неэффективность рынка и, соответственно, благоприятно повлияло бы на общественное благосостояние.

Заключение

В условиях стремительного развития информационных технологий вопрос экономической эффективности действующего режима защиты персональных данных, а также его возможных альтернатив все чаще подымается в обществе. Целью данной выпускной квалификационной работы было определение уровня эффективности текущего режима защиты персональных данных в России и оценка его возможных альтернатив.

В первой главе работы изучен генезис понятия «персональные данные», изучается процесс смены субъектов прав собственности на персональные данные во времени, определяются экономические предпосылки необходимости защиты персональных данных. Так, в работе было определено, что возникновение отдельной правовой категории «персональные данные» относят к 80-90-м годам XX века, но с появлением интернета и переходом к «цифровой экономике» это понятие все чаще подлежит уточнению и дополнению.

Изучение спецификации прав собственности на персональные данные в разные временные промежутки дало понять, что субъектами прав собственности на личную информацию долгое время считались индивиды, к которым эта информация относится; тем не менее, значительную роль в сборе, систематизации и хранении персональных данных во все времена играло государство, которое также в некоей мере предъявляет права на персональные данные граждан. С началом нового тысячелетия персональные данные все чаще воспринимаются как ресурс, получаемый представителями информационной индустрии от индивидов в обмен на предоставление бесплатного доступа к интернет-контенту, — таким образом компании присваивают персональные данные.

В процессе исследования экономических предпосылок необходимости защиты персональных данных был выявлен ряд угроз в отношении субъекта персональных данных, которые возникают в случае разглашения личной информации индивида. Исходя из этого, были сделаны выводы о том, что полная и качественная защита персональных данных необходима, а ее реализация должна происходить посредствам регулирования со стороны государства.

Вторая глава работы посвящена анализу особенностей российского законодательства в сфере защиты информации, также в ней изучаются экономические эффекты действующего законодательства Российской Федерации о защите персональных данных. Анализ законодательства Российской Федерации показал, что его развитие полностью соответствует современным тенденциям ужесточения требований к провайдерам коммуникационных услуг. На основе построенной регрессионной модели были сделаны выводы о наличии тесной взаимосвязи между величиной ВВП на душу населения и степенью защиты персональных данных в стране.

В пункте 2.2 построена цепочка добавленной стоимости персональных данных, которая дает возможность понять, как личная информация пользователей, передаваемая при помощи коммуникационных устройств, влияет на рынки других товаров и услуг. На основе полученной информации была проведена оценка экономического эффекта текущего режима защиты персональных данных и сделаны выводы об эффективном развитии рынков онлайн-индустрии и интернет-маркетинга.

В третьей главе оценивается возможное влияние альтернативных режимов защиты персональных данных на операторов и потребителей информационно-коммуникационных услуг. В качестве первой альтернативы в пункте 3.1. рассмотрена ситуация вступления в силу поправок к закону «О персональных данных» в полной мере, как это предусмотрено законом от 2016 года. Анализ доступной информации показал, что в рамках осуществления данной альтернативы стоит ожидать рост цен на услуги мобильной связи и вызванный ним некоторый спад рынка телекоммуникационных услуг в целом, отток клиентов мобильных операторов и их переключение на альтернативные способы коммуникации.

Второй рассмотренной альтернативой действующему режиму защиты персональных данных была ситуация отказа правительства Российской Федерации от концепции хранения всей передаваемой пользователями информации и переход к идее сбора метаданных. На основе изучения Австралийского опыта был сделан вывод о том, что реализация такой альтернативной законодательной инициативы не повлекла бы за собой рост цен на коммуникационные услуги и снизила бы X-неэффективность рынка, что, в целом, благоприятно повлияло бы на общественное благосостояние.

Таким образом, цель выпускной квалификационной работы, заключающаяся в определении уровня эффективности текущего режима защиты персональных данных в России и оценке его возможных альтернатив, была достигнута.

право экономический законодательство безопасность

Список использованных источников

[Электронный ресурс]//URL: https://liarte.ru/diplomnaya/zaschita-personalnyih-dannyih-2/

Официальные документы и законодательные акты

. Всеобщая декларация прав человека, принята резолюцией 217 А (III) Генеральной Ассамблеи ООН от 10 декабря 1948 года [электронный ресурс]

. Заключение об оценке регулирующего воздействия на проект

. Конвенция от 4 ноября 1950 года «О защите прав человека и основных свобод»

. Международный пакт о гражданских и политических правах, принят резолюцией 2200 А (XXI) Генеральной Ассамблеи от 16 декабря 1966 года

. Проект Постановления правительства Российской Федерации «О порядке, сроках и объеме хранения операторами связи текстовых сообщений, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей услугами связи»

. Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ

. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ

. Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» от 4 июля 2014 года N 242-ФЗ

. Федеральный закон «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» от 06.07.2016 N 374-ФЗ

. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ

. Федеральный закон «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» от 19 декабря 2005 г. N 160-ФЗ

. Федеральный закон «О рекламе» от 13.03.2006 N 38-ФЗ

. ГОСТ 8.417-2002 ГСИ. Единицы физических величин

14. 277 U.S. 438 Olmstead v. United States () Argued: February 20, 21, 1928 [еlectronic resource]. — Electronic data.

. Data Protection Act 1998, United Kingdom Act of Parliament [еlectronic resource]. — Electronic data.

. Data Retention, Guidelines for Service Providers // Australian Government [еlectronic resource]. — Electronic data.

Научные статьи и периодика

. Каплински Р. Распространение положительного влияния глобализации. Какие выводы можно сделать на основании анализа цепочки накопления стоимости? Пер. с англ.: Препринт WP5/2002/03. — М.: ГУ ВШЭ, 2002.

19. Курдин А. Экономическая теория прав собственности и ее роль для глобальной экономики (лекционный материал).

— 2015 г.

. Лушников А. Защита персональных данных работника: сравнительно-правовой комментарий гл. 14 Трудового кодекса РФ

21. Сопілко І. М. Генезис змісту категорії «персональні дані» / І. М. Сопілко // Юридичний вісник. Повітряне і космічне право. — 2013. — № 4. — С. 62-66.

. Уфимцева О.Ю. Микроэкономика: Учебник. — Днепропетровск: ПДАБА, 2012. — 173 с.

23. Dorothy J. Glancy, «The Invention of the Right to Privacy», Arizona Law Review, v.21, n.1, 1979. — PP. 1-39

. John Umbeck, A Theory of Property Rights: With Application to the California Gold Rush (Iowa State University Press).

— 1981. — P.61-68

. Joseph E. Stiglitz. The contributions of the economics of information to twentieth century economics. — Quarterly Journal of Economics, 2000. — P. 115

. Juergen Sidgman, Malcolm Crompton. Valuing Personal Data to Foster Privacy: A Thought Experiment and Opportunities for Research // Journal of Information Systems, American Accounting Association, Vol. 30, No. 2. — 2016, pp. 169-181

. Nadezhda Purtova. The Illusion of Personal Data as No One’s Property // Law, Innovation and Technology. Volume 7, 2015

28. «Perspectives on “Personal Identity”», BT Technology Journal, Vol. 23, No. 4, October, pp. 15- 24.

. Richard A. Posner. The Right of Privacy // Georgia Law Review, Vol 12. — 1978

. Strömholm Stig. Right of privacy and rights of the personality: a comparative survey. Working paper prepared for the Nordic conference on privacy organized by the International Commission of jurists, Stockholm, May 1967

. Warren and Brandeis. The Right to Privacy // Harvard Law Review, Vol. IV December 15, 1890. — No 5

. Wakes R. Protection of Privacy. London: Sweet & Maxwell, 1980. P. 31