Право собственности на персональные данные в контексте GDPR: миф или реальность
Принятие GDPR с определением в этом акте некоторых полномочий владельцев персональных данных, в частности, возможности получать копии своих данных, передавать данные от одного контролера другому, требовать их уничтожения и тому подобное (ст. ст. 17, 20, 26 GDPR), дало основания некоторым исследователям считать, что персональные данные можно признать разновидностью собственности, поскольку указанные полномочия аналогичны полномочиям собственника по пользованию, распоряжению, получению доходов от принадлежащего ему нематериального блага[1]. К примеру, согласно ст. 17 GDPR, субъект данных должен иметь «право на забвение», т.е. право требовать стирания (уничтожения) своих данных, которое должно быть осуществлено без каких-либо безосновательных отлагательств, что рассматривается как аналогия правомочия собственника на распоряжение. В соответствии со ст. 20 GDPR, субъект данных имеет право на мобильность данных, т.е. возможность в любой момент получить переданные им контролеру персональные данные в структурированном, легко считываемом машиной формате, и передать их другому контролеру без каких бы то ни было препятствий со стороны предыдущего контролера. В данном случае проводится параллель с правомочиями собственника на владение и пользование своим имуществом.
Однако позиция, в соответствии с которой персональные данные рассматриваются как разновидность собственности, поддается критике. Так, французский юрист Л. Маурел в своем блоге отмечает, что в указанном выше исследовании некоторые полномочия, которые предоставляются пользователям, ошибочно приравниваются к форме частной собственности. Между тем, этот термин не употребляется в Регламенте, в котором данные защищаются как атрибут лица, а не разновидность имущества.
В то же время, формулировки GDPR порождают вопрос о возможности продажи персональных данных третьему лицу и о том, можно ли считать такие сделки действительными. Автор предлагает проанализировать ситуацию, когда человек хочет продать свои личные данные третьему лицу, что, по его мнению, является возможным на основании ст. 6 GDPR, согласно которой "обработка законна лишь в том случае, если субъект согласился на обработку своих персональных данных", соответственно, заинтересованный в такой обработке субъект может быть готовым платить за предоставление согласия на обработку. Однако в отмеченной статье указано, что согласие дается "для одной или нескольких определенных целей". Следовательно, в отличие от продажи товара, который допускает реальную передачу права собственности, компания, которая собирает персональные данные, будет обязана указывать цели, для которых они передаются.
Таким образом, по мнению автора, такая ситуация уже скорее напоминает не куплю-продажу, а предоставление определенной лицензии, что схоже с предоставлением разрешения в вопросах, связанных с авторскими правами, но такое сравнение тоже не совсем актуально, поскольку цессия прав третьему лицу является невозможной с точки зрения личных данных. Кроме того, согласно GDPR, пользователь может отозвать свое согласие в любое время, что невозможно сделать в случае передачи авторских прав. Следовательно, происходила бы не покупка или уступка, а скорее аренда, причем довольно ненадежная по той причине, что в любой момент согласие может быть отозвано.
Такие ограничения усложняют для покупателя и перепродажу третьим лицам, даже если данные были переданы с этой целью, поскольку такие третьи лица должны опять же фиксировать цели передачи данных и получать согласие пользователя, повторно обращаясь к нему. Такая цепочка получения согласия для перепродажи в целом не является невозможной, но его сложно обеспечить с точки зрения безопасности операций. Поэтому в США, например, уже существуют компании, которые позиционируют себя как "брокеры персональных данных" и выступают в качестве посредников между лицами, которые доверяют им свои данные и третьими лицами, которые желают их приобрести.
Такая модель не является невозможной в рамках GDPR, однако посредник должен будет каждый раз получать согласие физического лица на каждую транзакцию, указывая ему точные цели, для достижения которых третье лицо желает получить его данные. Однако если учесть концепцию "свободного согласия", в трактовке которой есть тенденция понимать согласие как "безусловное", а следовательно, не связанное ни с применением санкций, ни с выплатой вознаграждения, то можно прийти к выводу, что в случае официального принятия такой трактовки, даже при наличии согласия лица на использование третьим лицом его персональных данных, оно не сможет их передать за вознаграждение, поскольку такая сделка будет считаться недействительной. Следовательно, такой подход будет равнозначным утверждению, что персональные данные находятся "вне торговли" и не могут быть преобразованы в товары.[2]
Отметим, что вопрос о праве собственности на персональные данные в украинских реалиях отсылает к давней дискуссии о праве собственности на информацию (поскольку персональные данные являются разновидностью информации). На сегодняшний день ответ на этот вопрос отрицательный, информация рассматривается как особый объект гражданских прав, и на отношения, предметом которых является информация, не распространяются нормы о праве собственности. Против понимания информации как разновидности собственности выступают и английские исследователи. Так, бывший судья апелляционного суда Дж. Маммери в своей работе "Property in the Information Age", анализируя дело Fairstar Heavy Transport NV v Adkins относительно возможности заявлять требования собственника на содержание электронных деловых писем, которые хранились в компьютере ответчика, и ряд других дел относительно информации, приходит к заключению о невозможности считать информацию разновидностью собственности. Он не исключает возможность распространения правового режима собственности на информацию в будущем, но на сегодняшний день не видит для этого оснований. В качестве единственного исключения приводится дело Tucows v Renner, где предметом судебного разбирательства было недобросовестное использование доменного имени. Дело было разрешено в пользу истца, при этом было отмечено, что доменное имя является личной собственностью, частью нематериальных активов (intangible property) истца, и больше, чем просто информацией.[3] Отметим, что такая позиция подтверждает складывающийся в мировой практике подход к пониманию правовой природы доменного имени как разновидности имущества, что, однако, является предметом уже отдельной дискуссии[4].
[1] My data are mine. Why we should have ownership rights on our personal data: report. - URL: https://www.generationlibre.eu/wp-content/uploads/2018/01/Rapport-Data-2018-EN-v2.pdf
[2] Le RGPD interdit-il aux individus de «vendre» leurs données personnelles?
https://scinfolex.com/2018/05/12/le-rgpd-interdit-il-aux-individus-de-vendre-leurs-donnees-personnelles/
[3] John Mummery. Property in Information Age in Barr (ed). Modern studies in Property Law, vol 8 (Bloomsbury 2015)
[4] Некіт К.Г. Доменне ім’я як об’єкт цивільних прав // Часопис цивілістики. – 2017. - № 23. – С. 40-45; Правовий статус криптовалют в Україні та у світі // Юридичний науковий електронний журнал. – 2018. - № 1. – С. 40-42. – URL: http://lsej.org.ua/1_2018/12.pdf