Привет, Хабр! Меня зовут Илья Башкиров. Я юрист по информационной безопасности в ГК InfoWatch. Только ленивый не написал, что с июня этого года в России вводятся оборотные штрафы и другие санкции для компаний за утечку персональных данных. Здесь Россия движется в фарватере общемировых практик. Однако подход к оценке рисков и санкциям за нарушения у нас отличается от американского или европейского, изложенного в GDPR. Как и сама мотивация, стоящая за регулированием оборота персональных данных государством. Кстати, GDPR — это не первая европейская инициатива по защите персональных данных. Вы знали, что продажа персональных данных началась задолго до появления Интернета? В этой статье расскажу про эти и другие факты, поделюсь данными и сделаю небольшой футурологический прогноз.

Введение

Сегодня регулирование оборота персональных данных воспринимается как данность. Обсуждения идут вокруг усиления мер — те же самые оборотные штрафы, которые грозят компаниям в России за нарушения с начала июня. Предлагаем отмотать назад и посмотреть на историю вопроса — как развитие телекоммуникационных и цифровых технологий сделало персональные данные одним из важнейших нематериальных активов. Рассмотрим основные этапы, которые сформировали современное понимание прав на личную информацию. А еще дадим небольшой прогноз на будущее.

Нужно понимать, что законодательство — это ответ государства и общества на угрозы. То, какую модель угроз строит для себя государство и определяет, какие законы по итогу будут утверждены. Поэтому сегодня мы разберем исторический путь таких угроз и законодательных ответов на них. Но с чего начать?

Если посмотреть на общемировое регулирование персональных данных, то можно выделить два подхода. Каждый определяется руководящей ценностью, которая и двигает законодательное регулирование. В Европе и США доминирует так называемый антимонопольный подход — он видит в персональных данных угрозу монопольного характера. Россию обычно относят к группе стран, которые в первую очередь видят в сборе и обработке персональных данных угрозу конфиденциальности человека и стратегической безопасности страны.

Ранние этапы и первые угрозы

Какие угрозы персональным данным выделяют сейчас? Мошенничество с использованием слитых баз, злоупотребление обработкой данных со стороны оператора персональных данных, их незаконная продажа. Стали ли эти угрозы актуальными только к началу XXI века? Не совсем.

Да, торговля персональными данными в XX веке по современным меркам выглядит безобидно. Типичный пример — торговля визитными книгами. Визитные книги — это каталоги визиток и сведений об их обладателях. Собирались такие базы данных путем личного знакомства. В книгу обычно заносились обстоятельства встречи и сведения, которые помогут начать разговор при «выходе» на человека.

Типичный пример записи в визитной книге: Джон Доу, встретились за игрой в гольф в Квинсе, менеджер в Ford, сын поступил на юриста. Типичный пример использования: «Уважаемый мистер Доу! Мы познакомились на матче в гольф в Квинсе (верификация контакта). Хотел узнать, как идет юридическая учеба вашего сына (дополнительная верификация, необходимая вежливость)? Кстати, мы ищем нового поставщика шарикоподшипников, ваша фирма не занимается таким?».

Ценность записей в том, что их было сложно получить. Знакомства происходили на закрытых мероприятиях, попасть на которые мог не каждый. Получение данных визитной книги могло ускорить подъем по карьерной лестнице биржевого маклера, менеджера по продажам, адвоката или брокера по недвижимости, увеличить его клиентскую базу. Поэтому продажа визитной книги была неплохим дополнением к пенсии уволившегося менеджера. Хотя такие случаи и были редкостью — книги обычно переходили по наследству. Так что в начале XX века торговля данными не представляла угрозы, даже отдаленно сравнимой с современной. Чего не скажешь о других угрозах, например, об использовании собранных данных «оператором» со злым умыслом. Особенно когда оператор — это Третий рейх.

В 1941 году нацистская Германия использовала собранные в Нидерландах базы данных о гражданах для поиска евреев. Данные обрабатывались, говоря современным языком, с использованием средств автоматизации — машин Холерита, работавших на перфокартах. Аналогичную систему нацисты хотели развернуть и во Франции. Но благодаря Рене Кармилю, первому хактивисту, который внедрился под видом коллаборациониста в процесс сбора данных, а также деятельности Сопротивления, все эти машины были повреждены, а данные искажены. Итог в том, что в Нидерландах геноциду подверглось 82% евреев — самый высокий процент в оккупированной Европе. На это в том числе повлияли и базы данных всех граждан, которые удалось собрать нацистам при помощи местных коллаборационистов.

Во Франции, где нацисты не смогли собрать хоть сколько‑то достоверные базы данных о гражданах, пострадало 25% евреев. Язык не поворачивается сказать «всего лишь 25%», ведь каждый процент — это тысячи жизней. Но 82% больше 25%. Эта статистика оказалась явным примером того, насколько большую опасность может представлять база персональных данных в руках преступников.

После Второй мировой войны государства задумались о повышении защиты частной жизни человека и, как следствие, о контроле за персональными данными. Тайна частной жизни признана базовым правом человека в 1948 году на международном уровне — во Всеобщей декларации прав человека (ВДПЧ). Однако до 1970-х годов в регулировании персональных данных отсутствовала одна очень важная черта — экономический анализ. Для его формирования нужно, чтобы у персональных данных появилась коммерческая ценность.

1970–1980-е годы: ценность есть, цены — нет

В 1970-х уровень жизни в большинстве развитых стран позволил гражданам получить домашние технологии «потребления контента» — телевизоры и телефоны. Вместе с ними появились телефонные справочники и базы данных продаж «подписки» на кабельное ТВ.

Так компании получили техническую возможность проникнуть в комфорт и спокойствие домашней жизни — через прообразы таргетированной рекламы. Ими стали адресные звонки по телефонным книгам, а также визиты коммивояжёров — это разъездные торговцы, которые раньше имели обыкновение ходить по домам. Прозвоны по телефонным книгам отчасти можно притянуть под современное понимание недобросовестного использования персональных данных. И хотя суды в частных делах и штрафовали компании за недобросовестную рекламу, все же этого было недостаточно для построения централизованного законодательства о персональных данных.

Тем не менее, законодательство о конфиденциальности развивалось, но с оглядкой на прошлое. Собранные на тот момент базы данных были в разы больше тех, которых нацистами хватило для осуществления геноцида в 1940-х. Эти базы в первую очередь собирало государство. Исходя из законодательства того времени, скорее всего модель угроз выглядела так:

1. Принятие необоснованных решений в адрес граждан на основании их персональных данных.

2. Политические и административные риски, связанные с чрезмерной обработкой данных (нарушение конституционных прав граждан и ВДПЧ).

3. Попадание данных «не в те руки».

В 1970 году в Швеции был принят первый в Европе самостоятельный закон о сборе личной информации. Он устанавливал вполне современные принципы: необходимость согласия, требование к заявлению цели сбора и обработки, соответствие объема обработки заявленной цели.

В 1974 году в США приняли закон, от которого и пошел термин «прайваси» (privacy) — «Закон о Приватности» (Privacy Act of 1974). Он был нацелен, опять же, на работу государственного аппарата. Еще более очевидную параллель можно провести с французским законом 1978 года, который, среди прочего, прямо запрещал сбор и обработку данных о национальности человека в любых государственных базах данных.

Только в 1980 году сформировался один из самых важных принципов обработки данных, на котором построена современная система работы частного сектора с персональными данными. Звучит он так: «вы данные собрали, вы за них и отвечайте». Он установлен в рекомендациях Организации экономического сотрудничества и развития (ОЭСР) по защите конфиденциальности и трансграничному движению персональных данных.

1990-е годы: наконец понятно, что делать!

Вернемся к телефонам, ведь их развитие привело к появлению первого закона о персональных данных в современном понимании. Причина — технология автоматического набора номера. Именно она была запрещена самым первым законом о защите персональных данных — TCPA (The Telephone Consumer Protection Act of 1991), он же закон о защите прав потребителя телефонной связи. Он был принят в 1991 году и рассматривал персональные данные как ресурс бизнеса.

Закон TCPA исходил из любопытного умозаключения. Человек покупал услугу связи, чтобы улучшить свою жизнь. При этом он заплатил оператору сотовой связи справедливую и заранее установленную цену. Стороны пришли к соглашению — человек получил услуги связи, а оператор получил деньги. Тогда какое право имеет оператор получать дополнительную прибыль от того, что он передает возможность другим компаниям беспокоить человека при помощи рекламных звонков? К тому же это нарушает комфорт человека, за который он заплатил деньги, купив услуги сотовой связи. Это умозаключение пригодится, когда будем разбирать Facebook.

Но в 1990-х годах в сфере персональных данных произошло еще одно событие. Если вы знакомы с GDPR, то знаете, что само понятие «General Data Protection Regulation» там взято в скобки, а сам документ включает в себя слова «и об отмене Директив…». Да, GDPR — не первый европейский закон о персональных данных. В 1995 году была принята Директива ЕС 95/46/EC о защите данных, которая дополнила уже существовавшее законодательство о защите частной жизни. Особенность этого закона в том, что он рассматривал персональные данные как чрезвычайно чувствительный актив, которым обладает оператор.

Помня о вреде, который может причинить недобросовестная обработка данных, европейские законодатели стали искать способы контроля над обработкой. Потому что контроль за накоплением данных — сложная задача, у государства просто нет инструмента для его осуществления. Поэтому контроль был отдан субъектам персональных данных, для чего было введено 7 принципов работы с персональными данными.

Их можно поделить на 3 группы:

_{Это не научная классификация, вы не найдете ее в доктрине.}

• Базовые сдерживающие принципы сбора и обработки: принцип наличия уведомления, согласия и цели — устанавливали общие рамки работы с данными.

• Контрольные принципы раскрытия информации и наличия доступа субъекта ‑позволяли последнему в любое время узнать, как обстоят дела с обработкой конкретно его данных.

• Принципы ответственности оператора и безопасности обработки данных — позволяли обрушиться на оператора всей мощью европейского законодательства. Конечно, в порядке отработки жалобы субъекта. Названия этой группы принципов я не придумал — можете помочь в комментариях, а я украду вашу авторскую идею и опубликую по ней статью в ВАК:)

Эта идея хорошо перекликается с той, которая изложена американским законодателем в TCPA. И кажется, вот он — идеальный баланс. Но тут появляется Интернет.

2000-е годы: Интернет и социальные сети

В XXI веке развитие законодательства о персональных данных подстегивают уже не телефоны, а Интернет. Все началось в 2000 году, когда компания Google стала продавать рекламу в поисковой выдаче. Еще в 1994 году была разработана система куки (cookie), которая позволяла отслеживать действия пользователей, но пока не о ней.

Что насторожило государства? То, что есть сервис, который является бесплатным для пользователя и который может собирать куда больше данных, чем телефония. Эти данные могут быть переданы третьим лицам, например, рекламодателям. Проблема в том, что такая система не укладывалась в существовавшую в США систему невмешательства в комфорт, которую мы обсуждали, говоря о ТСРА. Ведь в ней пользователь не платил денег, но получал услугу. Можно ли расценивать сбор данных платой за предоставление сервиса? Государство и судебная практика ушли подумать. И, пока они думали, появился Facebook.

Появившийся в 2004 году Facebook стал главным символом угрозы персональным данным. Во‑первых, он подтвердил жизнеспособность модели бесплатного сервиса, зарабатывающего на сборе персональных данных. Во‑вторых, в социальные сети люди грузили намного больше чувствительной информации, нежели в поисковики.

Но государства переживали не только из‑за громадных баз данных вне их контроля. Их пугала еще и возможность появления нового типа монополий — монополий данных.

Такая монополия держится на идее, что тот, у кого больше данных, сможет по итогу создать более привлекательный продукт. На более привлекательный продукт придет больше потребителей — станет больше данных. Повторить цикл до бесконечности.

Обоснован ли этот страх? Да, ведь в 2016 году он приведет к появлению GDPR (General Data Protection Regulation).

2010-е годы: переломный момент

К 2010-м годам законодатели всех стран пришли к позиции, что главное зло в сфере персональных данных — это их бесконтрольный сбор. Технологии развились достаточно, чтобы собирать данные на каждом шагу. Стоимость хранения данных с каждым годом становилась меньше. Появление мега‑баз персональных данных, как и монополий персональных данных, становилось необратимым. Нужно было срочно что‑то делать.

Тут появляется два дополнительных вызова, которые представляют не меньшую угрозу. Первый — утечки. Да, до 2015 года утечки не рассматривались как нечто системообразующее. Но в этом же году группа хактивистов взломала сайт Ashley Madisson. Это сайт знакомств для людей, состоящих в браке. Думаю, все понимают, что данные на их серверах были… чувствительными. Эта утечка привела к международной волне разводов и политических скандалов. Она наглядно показала, что и с этой угрозой надо что‑то делать.

Теперь ко второму вызову. Помните, что изначально персональные данные считались ресурсом государства? Так вот, после 2014 года началась так называемая борьба за информационный суверенитет. Если коротко, то государства поняли, что у них есть еще одна, четвертая, граница. Помимо суши, воздуха и воды, у них также есть некоторое эфемерное пространство в Интернете. Граждане государства находятся и на этой территории. Если доступ зарубежных субъектов к гражданам в реальной жизни государство контролировать может, то вот в виртуальной сети — нет.

Ответом на выявленные в 2010-х годах угрозы стали тренды современного законодательства о персональных данных.

Тем временем в России

Часто историю персональных данных представляют, как развитие истории права на защиту частной жизни. Если применять такой подход, то в России история персональных данных начинается еще со времен Телеграфного указа 1876 года, который запрещал безосновательно нарушать тайну передаваемого сообщения. Нарушившие эту тайну сотрудники несли уголовную ответственность. Но в нашей статье мы рассматриваем персональные данные, как ресурс, имеющий экономическое значение. Поэтому, придется заглянуть дальше во времени и пропустить эпоху СССР.

Современный экономический подход исходит из того, что операторы должны самостоятельно определять способы и цели обработки данных, а потребитель должен согласиться с условиями обработки данных или отказаться от них. Для такого поведения необходима самоорганизация как потребителя (субъекта персональных данных), так и бизнеса (оператора персональных данных). Для этого нужен капитализм.

В 1981 году Совет Европы принял Конвенцию о защите физических лиц при автоматической обработке персональных данных, которая в будущем станет основой для европейского законодательства о персональных данных. Она была ратифицирована (подписана) Россией в 2005 году, когда страна стремилась обеспечить правовые основания для работы транснационального бизнеса. Хотя специальный закон «О персональных данных» был принят только в 2006 году, уже на тот момент в нашем праве было понятие персональных данных.

Его ввел Закон «Об информации, информатизации и защите информации» от 1995 года. Там под персональными данными понимались сведения о фактах, событиях и обстоятельствах жизни человека, по которым его можно идентифицировать. Определение достаточно узкое, и по современным меркам оно не позволяло установить границы для бесконтрольного сбора информации, генерируемой поведением человека.

Полноценное законодательство о ПДн появилось в 2006 году с принятием профильного Федерального закона «О персональных данных». В нем понимание самих данных изменилось — теперь под ПДн попадали и сведения о действиях субъекта в системе, и его предпочтения. Это позволило зарегулировать появившиеся к тому моменту файлы cookies и другие аналитические технологии. Но соблюдение законодательства с точки зрения экономики выглядело, скорее, как жест доброй воли оператора — штрафы были слишком малы, чтобы обеспечить реально высокий уровень соблюдения законодательства. К тому же в персональных данных на тот момент ни в одной стране не видели ни стратегического ресурса, ни стратегической угрозы. Не случилось еще ни показательной утечки Ashley Maddison, ни волн телефонного мошенничества, ни политически‑неоднозначного участия Cambridge Analitica в первой победе кандидата в Президенты США Дональда Трампа в 2016 году.

Такая ситуация длилась до 2014 года, когда российское правительство, на фоне обострения отношений с западными странами, осознало, что данные российских граждан хранятся за рубежом. Это побочный эффект интеграции в мировую экономики с транснациональными операторами: крупными международными сервисами и компаниями.

Чтобы обеспечить хотя бы общее понимание объемов данных, было введено требование об их локализации и хранении на территории России. Да, его быстро стали обходить с использованием системы «двойного хранения» — базы создавались сразу в России и за рубежом. Но это позволило по крайней мере иметь представление об объемах и типах данных.

Интересно, что норма о локализации была первой, которая ввела именно в российскую практику понятие комплаенса — методики соблюдения законодательства, как основы ведения бизнеса. Причина в том, что норма сопровождалась самым серьезным на тот момент штрафом — 18 миллионов рублей за повторное несоблюдение требования. Но норма была очень «узкой» и не привела к всеобъемлющему соблюдению законодательства. В отличие от изменений 2025 года.

В современном цифровизованном обществе персональные данные представляют большую угрозу, когда попадают не в те руки. На слуху сейчас такие киберугрозы, как телефонное и кибермошенничество, вербовка иностранной разведкой, склонение к противоправному и деструктивному поведению. Все эти угрозы опираются на персональные данные. Самый простой способ их получить — найти в открытом доступе или в слитых базах.

Сделать цифровую гигиену обязательной под страхом штрафа и удалить слитые базы данных — мероприятия невозможные. Зато можно выстроить систему, которая постепенно приведет к устареванию слитых баз данных, что повысит защищенность граждан. Главный метод здесь — ввести настолько большие штрафы за утечку данных, чтобы они перебили размер средств, которые оператор экономит на пренебрежении защитой информации. 500 миллионов, наверное, будет достаточно — именно такой штраф грозит тем, кто допустит минимум 2 утечки подряд. Механизм этой нормы сложен и поместится только в отдельную статью, поэтому прости, Хабр, но я вкину тейк и не буду его объяснять.

После «реформ» законодательства о персональных данных 2025 года можно выделить такие ключевые направления российского законодательства о персональных данных:

• Борьба с базами слитых данных через их устаревание. Инструменты: большие штрафы за утечки, уголовная ответственность за использование слитых баз и их создание.

• Уменьшение потребности в накоплении «супербаз» данных через создание государственной системы обезличенных данных.

• Усиление локализации данных через запрет на сбор и первичную обработку данных не на территории России. Инструмент: изменения, которые вступают в ч. 5 ст. 18 ФЗ 152-ФЗ с 1 июля 2025 года.

• Повышение прозрачности обработки данных для государственного регулирования и реагирования. Инструменты: повышение штрафов за неуведомление Роскомнадзора о начале обработки данных (формируется реестр операторов) и об обнаружении утечки.

2020 — современные тренды и взгляд в будущее

Тренд первый — локализация

Тренд на локализацию является следствием борьбы государств за информационный суверенитет. Характерная черта этого тренда — обязанности, которые заставляют оператора хранить данные в «зоне досягаемости» государства. То есть на его территории. Идея в том, что, пока данные находятся на территории государства, последнее может применять всю свою мощь для давления на оператора — банально физически закрыть доступ к его серверам путем их ареста и изъятия. Иначе нет гарантий, что требования государства будут исполнены. Пример — Google и его штрафы.

Напомним, что в июле 2025 вступают в силу поправки в текст части 5 статьи 18 ФЗ «О персональных данных», которые усиливают требования к локализации ПДн. Усиление локализации — общемировой тренд. В новостях постоянно всплывают заголовки об американских или европейских инициативах о построении системы кибербезопасности на локальных компонентах, о запрете иностранных технологий ИИ и так далее. Все это — часть локализации.

Тренд второй — используем антимонопольные инструменты

Почти все государства пришли к тому, что персональные данные — это инструмент бизнеса. Если бы в их сборе и обработке не было денег — их бы попросту не собирали и не обрабатывали. Функция ответственности, согласно экономическому анализу права, в том, чтобы сделать незаконное поведение заведомо невыгодным. Значит, надо делать штрафы настолько огромными, чтобы никто не мог даже подумать о незаконном поведении. Инструмент — оборотные штрафы, которые исчисляются в проценте от общего оборота компании. Отсюда и название. Не важно, сколько вы заработали от злоупотребления данными — штраф в проценте от всех ваших денег сведет вашу прибыль на нет.

И тут мы разберем различия между российским и европейским законодательством. И поищем цель того и другого.

В GDPR (европейское законодательство) штраф исчисляется в проценте от общего оборота за предшествующий год за нарушение прав субъектов, принципов обработки данных или за нарушение принципов трансграничной передачи данных. Это — классический подход антимонопольного права. Вы нарушили требования закона, чтобы получить прибыль? Тогда мы идем к вам и лишаем вас даже потенциальной прибыли. Цель здесь — не допустить любого злоупотребления.

В России оборотные штрафы появились только в мае 2025 года. Назначаются они за повторную утечку персональных данных и составляют процент от оборота за предыдущий год. Учитывая, как КоАП РФ определяет понятие «повторно» и некоторые другие особенности нашего законодательства, можно сделать примерно такой вывод: оборотные штрафы в России призваны предотвратить вопиющую халатность в обеспечении безопасности персональных данных.

Вводя такой оборотный штраф, государство стремится сделать расходы на безопасность персональных данных заведомо экономически обоснованными. Чтобы никакой менеджер, глядя на размер штрафов, не мог отказать ИБшнику в его инициативе по усилению защиты. Главная цель российского законодательства на данном этапе (по мнению авторов) — построить национальную систему защиты данных и граждан. Для этого нужны 3 составляющие: отечественные компоненты, локализованные базы и понимающие операторы. Как мотивировать операторов? Рублем. Это универсальный метод.

Тренд третий — обязанность заботиться

Современное законодательство о персональных данных построено на базовом принципе соответствия объема обработки заявленной цели. Государства понимают, что у операторов данных есть как техническая возможность обрабатывать данные за рамками согласия субъекта, так и корыстное желание это делать. Позиция их по этому вопросу примерно следующая — вы решили собирать и обрабатывать данные, поэтому если допустите нарушения — пеняйте на себя. Законодатель понимает, что ему при всем желании не удастся угнаться за развитием технологий. Будут появляться новые виды мошенничества, новые способы манипулирования данными и их недобросовестной обработки.

Поэтому прямые запреты в этой области неэффективны, а сфера персональных данных все ближе подходит к крайне необычному способу регулирования — разрешительному.

Всего способа законодательного воздействия два: разрешительный — разрешено только то, что прямо разрешено законом. Запретительный — все, что прямо не запрещено — разрешено. Свободы в разрешительной системе в разы меньше, чем в запретительной. Из‑за стремительного развития технологий сфера персональных данных уже ближе к разрешительному методу — можно обрабатывать данные только тем способом, на который субъект дал прямое согласие. Желательно, письменное. Желательно, отдельное.

В дополнение к этому можно предсказать усиление «обязанности заботиться» — установки, что только активное стремление оператора соблюсти права субъекта персональных данных можно рассматривать в качестве законного поведения. Иными словами: не хочешь получить штраф — вкладывай деньги в защиту данных.

А теперь немного футуризма. Коллеги попросили дать прогноз развития персональных данных. Должен отметить, что в Государственной Думе рассматривается закон о запрете рекламы услуг тарологов и магов, поэтому отмечу, что автор не является специалистом по предсказанию будущего. Тем не менее, можно сделать некоторые обоснованные предположения.

Тренд четвертый — фидуциарная ответственность

Фидуциарная ответственность — это ответственность за несоблюдение обязанности действовать в интересах кого‑то. Такую ответственность несет брокер по недвижимости, который продает квартиру доверителя дешевле в надежде на откат от покупателя.

В сфере персональных данных — это развитие «обязанности заботиться», а точнее — ответственность за ее невыполнение. В настоящий момент такой обязанности перед субъектами у операторов нет.

Тренд пятый — вооружить субъектов

Мы уже говорили, что субъект персональных данных играет не последнюю роль в контроле за соблюдением законодательства. Большая часть штрафов назначается именно после обращения субъекта в Роскомнадзор. Аналогично после такого обращения может быть проведена проверка. Сотни тысяч законодательно вооруженных субъектов, которые будут выискивать нарушения их прав, явно склонят оператора к соблюдению законов.

Такой поиск нарушений — это поведение, которое, чтобы стать нормой, должно быть экономически целесообразным. Как мотивировать субъекта начать искать нарушения? Дать ему за это денег. Точнее, дать ему законный механизм получить деньги за эффективно выявленное нарушение. Им может стать получение выплаты от оператора за нарушение прав субъекта.

В России уже есть механизм компенсации морального вреда, причиненного нарушением законодательства о персональных данных (ч. 2 ст. 24 ФЗ «О персональных данных»), но размер такой компенсации не сравним с общим объемом затрат на поиск нарушенного права и его восстановление в судебном порядке. Но чтобы изменить это, нужен всего один прецедент.

Илья Башкиров

Юрист по информационной безопасности ГК InfoWatch