Актуальным курсом государственной политики является внедрение цифровых технологий во все сферы общественных отношений. Безусловно, это имеет ряд несомненных преимуществ, в частности, автоматизация большинства процессов, которая способствует, например, сокращению времени получения той или иной услуги, или выполнения задачи; делает доступным хранение большего количества информации в цифровой среде, минимизировав бумажную документацию и др. Вместе с тем, одной из важных проблем, которая актуализировалась на практике, является защита данных и конфиденциальности в цифровой среде. Данные обстоятельства определяют актуальность выбранной темы для исследования.
Цель настоящего исследования – формулирование рекомендаций по совершенствованию правового регулирования защиты в эпоху цифровизации.
Объектом исследования являются общественные отношения, возникающие в сфере защиты в эпоху цифровизации.
При написании настоящего исследования были использованы такие методы как анализ и синтез (например, при работе с научной литературой и практикой правоприменения). Особое значение имел и метод обобщения, который позволил выявить позиции ученых по вопросу эффективности правовых механизмов защиты данных и конфиденциальности в цифровой среде. Без внимания не остался и метод сравнительно-правового исследования. Особую значимость такой метод имеет при исследовании зарубежного опыта по вопросам настоящей темы, что позволило выявить достоинства правового регулирования, которые могут быть имплементированы в отечественное законодательство. При этом при проведении исследования был использован, например, такой подход как междисциплинарный.
Вопросы эффективности правовых механизмов защиты данных и конфиденциальности в цифровой среде имеют особое распространение в качестве предмета исследования в научной литературе за последние несколько лет. Главным образом, это связано с актуализацией выработки способов, которые повысят защиту данных в сети Интернет, минимизируют кибератаки, утечку персональных данных.
Так, основным законом, который регулирует правовые механизмы защиты данных и конфиденциальности, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»[1].
В.В. Ветрова справедливо указывает, что «одним из основных регулирующих механизмов этого акта законодательства является право на обезличивание информации о конкретном лице. Под обезличиванием понимается вызванная определенными действиями ограниченность данных, в результате которой невозможно точное определение принадлежности информации конкретному субъекту без использования дополнительных источников» [1, c. 314].
В контексте реализации данного права следует отметить и «право на забвение в сфере персональных данных в сети». Фактически операторы поисковых систем интернета обязаны ограничивать доступ к ссылкам на информацию о пользователях, обратившихся с такими требованиями.
Однако данными механизмами не исчерпывается защиты данных и конфиденциальности в виртуальном пространстве.
Например, К.Р. Удальцов указывает, что «эффективным методом защиты конфиденциальности данных является конечное шифрование» [5, c. 56].
Нельзя не выделить и технологию блокчейн, которая многими авторами в научной литературе признается в качестве одной из самых перспективных в сфере осуществления защиты данных и конфиденциальности в цифровой среде [2, c. 83].
В частности, А.В. Чуваков отмечает, что «блокчейн может обеспечить надежную защиту от несанкционированного доступа, поскольку все данные, хранящиеся в блокчейн, защищены от изменений и подделок» [6, c. 129].
Применительно к данным и их конфиденциальности в социальной сети можно назвать использование следующих механизмов. Как указывает Д.Е. Сухов, «практически все социальные сети предоставляют пользовательские настройки конфиденциальности. Эти настройки позволяют контролировать, кто может видеть ваши посты, фотографии и другую информацию о вас» [4, c. 3260]. Кроме того, реализовать защиту данных можно посредством использования более сложных паролей, которые сложно взломать; ограничение доступа к геолокации.
Таким образом, анализ научной литературы позволяет говорить о том, что в настоящее время предусмотрено достаточно много различных правовых механизмов защиты данных и конфиденциальности в цифровой среде. Вместе с тем, на практике они не всегда доказывают свою эффективность.
Так, например, в ноябре 2021 г. мировой судья Хамовнического района наложил штраф в размере 30 тысяч рублей на компанию Oriflame за разглашение более 1,3 млн персональных данных своих российских клиентов[2]. Данные клиентов Oriflame, которые были выставлены на продажу на хакерских форумах, помимо прочего содержали электронные копии паспортов клиентов, которые в комбинации с другими данными или сами по себе могут использоваться для оформления ряда электронных сделок. При этом, усредненная выручка данной компании в России составляет более 15 млрд рублей в год.
В 2022 году пострадавшие от утечки персональных данных сервиса по доставке еды «Яндекс.Еда» подали первый коллективный иск в Московский суд[3]. Заявители просили компенсации в размере 100 тысяч рублей за утечку данных каждого пользователя. Заявители ссылались на право компенсации морального вреда в связи с нарушением основного закона о персональных данных, поскольку в результате утечки их данных им начали поступать спам-звонки с маркетинговыми активностями и также массово стали звонить мошенники. Пользователи сервиса посчитали, что была нарушена неприкосновенность их частной жизни, их безопасность под угрозой, так как в утечке есть их ФИО, фактические адреса, коды от домофонов, номера квартир и другая их частная информация. Некоторым пользователям суд присудил компенсации морального вреда от 5 000 до 20 000 рублей.
Практика богата подобными примерами, особенно ситуациями, характеризующимися в качестве утечки данных в рамках виртуального пространства.
Например, в суд было заявлено требование о защите права на персональные данные. Из материалов дела следует, что выявлена утечка информации, в результате которой в сети Интернет были опубликованы и выложены на сайте личные данные пользователей, в том числе личные данные истца (фамилия, имя, номер телефона, адрес места жительства, адрес электронной почты). Разглашенные сведения позволяют однозначно идентифицировать истца и являются его персональными данными. В результате суд удовлетворил заявленные требования[4].
Примечательно отметить, что GDPR предусмотрены и нематериальные санкции (запрет на обработку данных, их передачу до момента устранения нарушений), что дополняется развитой системой вынесения предупреждений перед штрафом. Примером являются действия Французской национальной комиссии по информационным технологиям и правам человека, которая оштрафовала корпорацию «Google» на 57 млн. евро за нарушение правил прозрачности при получении согласия на обработку и использование персональной информации пользователей[5].
Данный опыт видится достаточно актуальным, поскольку в российской правовой системе не прописаны механизмы, позволяющие нести ответственность операторам-нарушителям и их создание, и внесение изменений в отечественное правовое регулирование с учетом зарубежного опыта позволит повысить степень ответственности операторов и пользователей в отношении защиты персональных данных, и тем самым позволит уменьшить риск утечки данных в дальнейшем.
Таким образом, был проведен анализ научной литературы и материалов практики правоприменения, которые позволили выявить особенности правовых механизмов защиты данных и конфиденциальности в цифровой среде, которые обосновываются учеными, а также вытекают из норм действующего законодательства. Особый интерес вызывает практика правоприменения по исследуемой категории дел, которая позволила выявить несовершенство таких механизмов на практике.
Проведенный анализ научной литературы и судебной практики позволяет сделать вывод, что практическая реализация правовых механизмов защиты данных и конфиденциальности в цифровой среде имеет ряд проблем, которые связаны как с недостаточным правовым регулированием в данной сфере, так и организационными, техническими трудностями.
Так, хранение и использование персональных данных имеет ряд проблем, которые особенно явно проявляются в связи с цифровизацией всех сфер отношений, что приводит к увеличению количества информации, хранящейся в электронной среде.
Проблемы защиты персональных данных могут возникать из-за недостаточной осведомленности сотрудников о правилах обработки данных, уязвимостей системы безопасности, ошибок в настройках доступа к данным и других факторов. Это может привести к утечкам данных, краже личной информации, нарушению прав на конфиденциальность и другим серьезным последствиям.
Более того, сама категория персональных данных на сегодняшний день является достаточно многогранной, особенно в рамках информационного пространства. Однако в рамках российского правового регулирования не установлено даже общих положений о специфике использования персональных данных в сети Интернет. При этом отсутствие общего законодательного регулирования данного вопроса затрудняет и развитие специальных правовых положений, связанных с использованием персональных данных в виртуальном пространстве.
Кроме того, в действующем законодательстве отсутствует содержательное определение утечки персональных данных. На наш взгляд, под утечкой подразумеваются все факты неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных. Также, отсутствуют требования по оперативному уведомлению о подобных утечках данных самих субъектов, чьи данные были раскрыты и которые непосредственно, могут самостоятельно принять какие-либо быстрые меры снижающие риски утечки, что предопределяет необходимость внесения законодательных дополнений.
Как следствие, тенденции в исследуемом направлении должны быть в первую очередь сфокусированы на совершенствовании законодательства, поскольку имеется достаточно много пробелов в правовом регулировании правовых механизмов защиты данных и конфиденциальности в цифровой среде. Во внимание может быть взят успешный опыт иных стран, в которых более эффективная правовая основа защиты данных в виртуальном пространстве.
Проведенный анализ позволил прийти к следующим выводам. Несколько лет назад в России начался и продолжается стремительный переход к новому типу общества, получившего название информационное, одной из основных целей которого обозначены развитие и внедрение во все сферы жизни информационных и телекоммуникационных технологий. Данные технологии позволяют осуществлять сбор и обработку колоссального массива данных, которые имеют свойства накапливаться и перерастать в объемные базы данных. Эти базы данных могут использоваться сами по себе или комбинироваться с другими базами данными и таким образом представлять самую полную информацию о жизни и привычках человека. Утечка подобной информации или любой другой незаконный доступ к ней является одной из самых актуальных угроз, ввиду чего задача обеспечения правовой защиты персональных данных безусловно является первостепенной.
При этом, несмотря на то, что Федеральный закон «О персональных данных» был принят достаточно давно, он постоянно трансформируется с учетом происходящих изменений в сфере данных и конфиденциальности. В числе последних изменений абсолютно новые нормы о порядке обработки «персональных данных, разрешенных субъектом для распространения», которым нет аналогов в зарубежных правопорядках [3, c. 7]. Также, постоянно появляется новая судебная практика и разъяснения надзорного органа, Роскомнадзора, по применению ранее существовавших положений. Кроме того, стремительное развитие новых технологий, таких как распознавание лиц, возможности облачного хранения данных, сложная политическая обстановка, ожидания общества и субъектов данных к безопасности своих данных, создают новые вызовы и пробелы в области обработки персональных данных. На сегодняшний день большая часть каждого публичного семинара Роскомнадзора по-прежнему посвящена, казалось бы, базовым аспектам работы с персональными данными, таким как отнесение тех или иных данных к персональным или ожиданиям надзорного органа по соблюдению законодательства с учетом специфики организации.
Важную роль в изменениях российского законодательства в области персональных данных, также, играет вступление в силу Регламента EC по защите данных (General Data Protection Regulation, GDPR) в мае 2018 года и появившаяся практика применения данного Регламента, включая экстерриториальное действие данного акта и применение оборотных штрафов за ряд нарушений.
Сфера регулирования персональных данных в России продолжает активно развиваться, как в направлении расширения охвата законодательной базы, с учетом развивающихся информационных технологий, включая высокие технологии с искусственным интеллектом, так и в направлениях усиления прав субъектов персональных данных и структуры надзора за соблюдением требований законодательства. Вместе с тем, были выявлены проблемы, которые еще до сих пор нуждаются в разрешении, в т.ч. путем внесения изменений в действующее законодательство.
В данной связи были разработаны следующие рекомендации, которые могли бы быть использованы в практической сфере или как основа для будущих исследований:
1) Необходима разработка методологии, позволяющей своевременно анонимизировать персональные данные, другими словами, легитимно выводить определенные наборы данных из категории персональных.
Если надзорным органом будет проанализирована практика сбора персональных данных и сформирован перечень персональных данных, которые однозначно являются персональными, как самостоятельными так и в определенных комбинациях и возможно совместно с операторами разработано дерево решений по отнесению данных к персональным и необходимым, для того или иного сегмента в сфере предпринимательской деятельности, услуги или процесса, а сбор каких-либо других данных будет признаваться как избыточный и последовательно отслеживаться надзорным органом как нарушение, это позволит ограничить изначальный сбор данных, только теми данными, которые непосредственно необходимы оператору и на том правом основании, которое действительно коррелирует с целями сбора оператора. Субъекту же такой подход позволит лучше понимать объем и необходимость предоставления этих данных, и юридические основания для их сбора. Также подобный подход поможет, в том числе, лучше управлять рисками, в случаях утечки данных. Введение понятного режима анонимизации данных безусловно приведет к снижению их накапливания внутри организаций «на всякий случай» и существенно снизит риски как операторов в части обеспечения особых режимов безопасности этих данных, так и риски субъектов в случае их неправомерного раскрытия.
Персональными данными могут считаться как самостоятельные данные, например, электронная почта, так и данные в комбинации с другими ФИО + контактный телефон. В связи с этим актуализируется необходимость на уровне Регулятора разработать методологию, которая позволит организациям быстро и однозначно классифицировать данные и определять какие из наборов данных должны защищаться как персональные.
2) Предлагаем внести дополнения в правовое регулирование, а именно ФЗ «О персональных данных» дополнить статьей, в которой будут систематизированы правовые механизмы защиты данных и конфиденциальности в цифровой среде.
В целом развитие законодательства в данной сфере должно учитывать современные проблемы защиты данных и конфиденциальности в виртуальном пространстве, с учетом чего должны вноситься как изменения в нормативные правовые акты, так и совершенствоваться организационные и технические аспекты, позволяющие противодействовать кибератакам, поддерживать кибербезопасность.
[1]Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 24.06.2025) «О персональных данных» // Собрание законодательства РФ. 2006. № 31 (1 ч.). Ст. 3451
[2]Суд оштрафовал Oriflame на 30 тыс. рублей за утечку персональных данных 1,5 млн российских клиентов. – URL: https://habr.com/ru/news/590033/ (дата обращения: 11.04.2026)
[3]СМИ: в суд подан первый коллективный иск на «Яндекс.Еду» из-за утечки персональных данных пользователей. – URL: https://habr.com/ru/news/658107/ (дата обращения: 11.04.2026)
[4]Определение Второго кассационного суда общей юрисдикции от 14.11.2023 по делу № 88-29330/2023, 2-5898/2022 // СПС «КонсультантПлюс»
[5]The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC // CNIL. 21 January 2019. – URL: https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc (дата обращения: 11.04.2026)
Список литературы
- Ветрова, В. В. Защита и конфиденциальность данных граждан на платформе цифрового профиля гражданина / В. В. Ветрова // Стратегии бизнеса. – 2021. – Т. 9, № 11. – С. 314-317
- Новикова, В. И. Технология блокчейн - решение надежной кибербезопасности и защиты конфиденциальности данных клиентов банка / В. И. Новикова // Наука, образование, транспорт: актуальные вопросы, приоритеты, векторы взаимодействия: Материалы II Международной научно-методической конференции, Самара–Оренбург, 08–09 ноября 2023 года. – Оренбург: ОрИПС - филиал СамГУПС, 2023. – С. 83-88
- Савельев, А.И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных» / А.И. Cавельев. – 2-е издание, переработанное и дополненное. – Москва: Статут, 2021 – 468 c.
- Сухов, Д. Е. Защита личных данных в социальных сетях: как сохранить конфиденциальность / Д. Е. Сухов // Научный аспект. – 2024. – Т. 26, № 3. – С. 3260-3264
- Удальцов, К. Р. Значение конечного шифрования для защиты конфиденциальности данных / К. Р. Удальцов // Международный журнал информационных технологий и энергоэффективности. – 2024. – Т. 9, № 5 (43). – С. 56-59
- Чуваков, А. В. Угрозы информационной безопасности и методы защиты: фокус на облачные хранилища и технологию блокчейн / А. В. Чуваков, А. В. Артамонова // Современные вопросы устойчивого развития общества в эпоху трансформационных процессов: Сборник материалов VIII Международной научно-практической конференции, Москва, 17 апреля 2023 года. – Москва: Общество с ограниченной ответственностью "Издательство АЛЕФ", 2023. – С. 124-131
